¿Cuántas horas le has dedicado a tu web? Pues todo ese trabajo, tiempo y (puede que hasta inversión) se vaya al garete si no está bien protegida.
Para evitarte este problema, a continuación vamos a contarte cómo mejorar la seguridad en WordPress para que ningún pirata informático pueda con ella.
No es solo tu trabajo lo que está en peligro, también te juegas tu reputación y la seguridad de tus visitas así que, más vale ponerse manos a la obra.
Además como podrás comprobar, son acciones que cualquiera puede llevar a cabo y algunas de ellas es recomendado hacerlas desde que inicias la creación de una página web, para no tener sustos posteriormente.
WordPress es maravilloso, pero no perfecto
Como herramienta para la creación de cualquier tipo de web, es complicado que encuentres una mejor que WordPress.
Este gestor de contenidos es la opción más utilizada en el mundo entero, y lo es por varias razones:
- Potente.
- Sencillo.
- Gratuito.
- Personalizable.
- Con una gran comunidad detrás.
- Seguro.
Porque sí, WordPress es un CMS muy seguro. Lo que ocurre es que igual que en otros muchos aspectos, parte de ese nivel de seguridad depende de los usuarios.
Es como si pones en tu casa una puerta blindada pero dejas las llaves por fuera.
Pues en WordPress ocurre exactamente lo mismo, si no tienes ciertas precauciones o cometes imprudencias, expones tu web a los peligros de Internet.
Así que resumiendo, la seguridad en WordPress no debe preocuparte siempre y cuando tengas ciertas precauciones.
Motivos de hackeo en WordPress
Ahora voy a explicarte ciertas vulnerabilidades que presenta WordPress y que son aprovechadas por los hackers para cometer daños y robo de datos importantes.
1. Backdoor
El backdoor o “puerta trasera” en español, es un método por el cual los hackers acceden al sitio evadiendo los encriptamientos se seguridad por medio del wp-Admin, SFTP, FTP, entre otros.
Así pueden atacar los servidores de hosting con código malicioso involucrando a todos los sitios que estén en el, esta forma es una de las más usadas a la hora de cometer un hackeo.
2. Pharma Hacks
Esta técnica se basa en la implementación de código malicioso por medio de la descarga de plugins de terceros, versiones antiguas de WordPress o de plugins de WordPress, lo que hace que la web arroje anuncios de productos farmacéuticos en los artículos.
Google puede tomar esto como motivo para bloquear el sitio web por spam, siendo un problema que se puede trabajar por medio de la limpieza de los archivos y bases de datos.
3. Ingreso forzado
Otra forma de hackeo es por medio del logueo o ingreso forzado, que se implementa con el uso de secuencias automáticas para atacar las contraseñas de baja seguridad y así obtener acceso al sitio.
Es por eso que para evitar este tipo de hackeo, es importante contar con una contraseña segura, bloquear IPs, vigilar los accesos fallidos, autenticar el inicio de sesión en 2 pasos (2FA) o limitar los intentos de entrada al sitio.
4. Redirecciones Malignas
Esta práctica se enfoca en la implementación de códigos de redirección maliciosos en el archivo .htaccess, de forma que los visitantes del sitio hackeado sean llevados al sitio que desee el hacker.
Esto es posible por medio de las instalaciones de WordPress a través del wp-admin, SFTP, FTSP, etc.
5. Cross-Site Scripting (XSS)
Este tipo de ataque es usado para robar datos al usuario final como los datos de cookies.
Se suele producir cuando se inserta un script malicioso en una web o en una aplicación.
Normalmente este tipo de ataque se da forma habitual a través de plugins, por ello es vital descargar plugins del repositorio oficial o de sitios de confianza.
6. DoS (denegación de servicio)
Consiste en agotar la memoria de los SO (sistema operativo) de la web, estos ataques son muy normales en las versiones antiguas de WordPress, que presentan errores de software, pudiendo así robar toda la información de valor.
Varios sitios han sido afectados por esta técnica de hacking, ocasionando una pérdida grande a nivel económico por parte de estos hackers.
10 acciones que puedes hacer para mejorar la seguridad en WordPress
Si alguna vez tu web ha sufrido un ataque de piratas informáticos, ya sabrás lo molesto que resulta lidiar con este problema y conseguir que todo vuelva a la normalidad.
Y mucho más si ganas dinero con tu página.
Pues como dice el refrán, “más vale prevenir que curar” así que en las próximas líneas, te mostraremos qué puedes hacer para evitar que los hackers echen por tierra todo tu trabajo.
1. Ponte imaginativo con tu contraseña
Porque ni tu cumpleaños, ni el nombre de tu mascota, ni por supuesto “123456” son contraseñas válidas para WordPress.
De hecho, no lo son en ninguna otra situación.
Para conseguir una contraseña que se lo ponga complicado a cualquiera que intente conseguirla, debe cumplir estos requisitos:
- Longitud mínima de 8 caracteres.
- Al menos un número.
- Debe contener mayúsculas y minúsculas.
- Incluye un símbolo (como “%”, “&”, “?”…).
Será más complicada de recordar, pero sin duda alguna tu web será más segura.
Y como consejo final, no uses la misma contraseña para varios sitios.
Para crear estas contraseñas puedes usar nuestro generador de contraseñas seguras.
2. No utilices “Admin” como nombre de usuario
Para acceder al panel de administración de WordPress hacen falta “solo” 2 datos: el nombre de usuario y la contraseña.
Pues si usas “Admin” para el primero, le quitas a los hackers la mitad del trabajo.
El motivo es que ese nombre es el más común y por tanto, la primera opción que prueban los piratas informáticos.
Es más, es tan poco recomendable que exista ese usuario en tu página web, que nuestro consejo es que lo elimines del todo y crees otro usuario con sus mismos permisos.
Igual que ocurre con la contraseña, elige un nombre difícil de adivinar (lo que elimina el nombre con el que firmas los posts, el dominio y otras opciones de ese estilo).
3. Limita los intentos de acceso
Algo tan sencillo como bloquear el acceso a WordPress si se introduce mal el usuario y la contraseña 2 veces, basta para aumentar su seguridad.
¿El motivo? Que muchos hackers utilizan lo que se conoce como ataques de fuerza bruta, que consisten básicamente en intentar varias combinaciones de acreditaciones hasta dar con la correcta.
Pero si tu web solo permite 2 intentos, esta estrategia no sirve.
Y lo mejor de todo es que conseguir este tipo de protección, es tan sencillo como instalar alguno de los plugins que hay en el repositorio oficial de WordPress.
Como por ejemplo Limit Login Attempts, con más de 1 millón de instalaciones activas.
4. Activa la verificación en 2 pasos
Tal y como su nombre indica, esta acción consiste en añadir un segundo paso para acceder al panel de administración.
Es decir, que después de introducir tu usuario y contraseña, debes escribir un código que recibirás en tu correo, por SMS, a través de una app, etc.
Característica que está incluida en Ciberprotector, el servicio de Webempresa para protegerte mientras estés online.
5. Uso de VPN para conectarse a la administración
Utilizar una VPN para navegar por Internet es algo que solo te traerá ventajas, porque te permite:
- Acceder a contenido restringido geográficamente.
- Evitar la censura.
- Ocultar tu IP.
Y sobre todo, encriptar tus datos, lo que significa que si alguien es capaz de acceder a ellos, no podrá interpretarlos (incluido tu contraseña y usuario de WordPress).
Esta es otra de las características que ofrece Ciberprotector así que, si te haces con ella, “matas” 2 pájaros de un tiro.
6. Mantén tus temas y plugins actualizados
Sin duda alguna, una de las claves del éxito de WordPress es su catálogo de plantillas y plugins.
El problema es que son una de las vulnerabilidades más fuertes del CMS.
Por esa razón es tan importante que estén siempre actualizados a la última versión porque, además de añadir nuevas funcionalidades, corrigen posibles brechas en su seguridad.
7. Opta siempre por plugins y temas de sitios de confianza
WordPress cuenta con un repositorio oficial donde encontrar miles de plugins y plantillas para tu sitio y, como norma general, de ahí deberías descargarlos todos.
Y si no es de ahí, asegúrate que la página desde donde los consigues es de confianza.
Y siempre, siempre evita las descargas piratas de plugins o plantillas de pago. No solo porque esté mal, sino porque corres el riesgo de que su código esté modificado para atacar tu web.
Además en WordPress siempre hay alternativas gratuitas, así que no merece la pena arriesgarse.
8. Mucho ojo con el Spam
Si tienes activado los comentarios en tu página, debes tener mucho cuidado con el SPAM.
Sí, esos comentarios (a veces escritos por robots) cuya única intención es hacer publicidad en el mejor de los casos y que, en el peor de ellos, es infectar tu blog con virus, troyanos o cualquier otro malware.
Por suerte, WordPress incluye preinstalado Akismet, un plugin que entre sus funciones tiene evitar el SPAM en los comentarios.
9. Uso de HTTPs
Esta es una de las medidas más básica que podemos encontrar por varias razones.
La primera que encontramos es que usamos no usamos un protocolo SSL, es decir, usamos HTTP en vez de HTTPs.
Lo que significa que cada vez que una persona se inicie sesión se transmitirá la información a través de un texto plano.
En cambio con el uso de HTTPs nos aseguramos que esta transmisión sea a través de archivos cifrados que serán mucho más seguros que el texto plano.
Además de dar una mayor confianza a los usuarios al no ver en el navegador la frase de “No es seguro”, en referencia a nuestro sitio web.
10. Busca código malicioso en tu web
Si a pesar de todas las precauciones que te hemos contado hasta ahora, detectas que tu web no funciona como debería, lo mejor es indagar en sus “tripas”.
Y no te preocupes porque a pesar de lo que pueda parecer, no necesitas conocimientos técnicos para esta tarea.
Porque en el repositorio oficial de WordPress tiene una serie de plugins que escanean el código de tu página en busca de “cambios extraños” en el código.
Y si no lo encuentra, siempre puedes contratar a un freelance para que lo haga de forma manual.
Hay algo más que puedes hacer aumentar la seguridad de WordPress
Además de todo lo que te hemos contado en este post, si hay algo importante para mantener a salvo tu web es elegir un buen hosting seguro.
Y en el caso de WordPress, uno especializado en el CMS, con reglas específicas para esta herramienta y con un servicio técnico especializado en él.
La combinación de un servidor con estas características y lo visto aquí (casi) te garantiza una web a prueba de hackers.