Jan 15, 2022 ‚ÄĘ 7 min read

0 comentarios

5 sencillos pasos para mejorar la seguridad WordPress

Los piratas inform√°ticos atacan de promedio sitios web cada 39 segundos, seg√ļn muestra un estudio de la Escuela Clark de la Universidad de Maryland. Dado que m√°s del 40% de la web usa WordPress, es uno de los objetivos populares en peligro de ataques de piratas inform√°ticos. Adem√°s, como software de c√≥digo abierto, al que todos los desarrolladores pueden contribuir, puede haber algunas vulnerabilidades potenciales en el c√≥digo. Los ciberdelincuentes aprovechan las vulnerabilidades y otros problemas de seguridad de WordPress que se pueden evitar f√°cilmente, como nombres de usuario comunes, contrase√Īas d√©biles, complementos obsoletos y otros.

Afortunadamente, hay cuatro cosas f√°ciles que todo propietario de una web puede hacer, generalmente sin la ayuda de un desarrollador, para hacer que su sitio web sea m√°s seguro.

Problemas de seguridad y vulnerabilidades m√°s comunes de WordPress

Primero, echemos un vistazo a algunas de las vulnerabilidades y problemas m√°s comunes de WordPress que los ciberdelincuentes tienden a explotar cuando atacan un sitio web:

  • N√ļcleo de WordPress desactualizado

Tener WordPress desactualizado es una de las cosas que los piratas informáticos buscan en un sitio web. Es por eso que debes estar atento cuando sale una actualización para un programa o biblioteca.

  • Temas y plugins obsoletos

Aseg√ļrate de que todos tus temas y plugins est√©n actualizados, de modo que cualquier error existente se solucione con la versi√≥n m√°s reciente.

  • Ataques de fuerza bruta

Puedes detener los ataques de fuerza bruta de varias maneras, como usar un complemento de seguridad o tener mitigación de fuerza bruta con tu proveedor de alojamiento web.

  • Malware

Evita la inyección de software malicioso en tu sitio web por diferentes medios, como escáneres de malware y servicios de limpieza de forma regular.

  • Ataques DoS o DDoS

Una forma de evitar este tipo de ataques es tener un sistema de almacenamiento en caché o un sistema de mitigación DDoS integrado en la infraestructura de tu proveedor de alojamiento web.

  • Entorno de alojamiento deficiente

Cuando busques un proveedor de alojamiento web, aseg√ļrate de que tenga una buena reputaci√≥n, un conocimiento profundo de WordPress y, sobre todo, que sea confiable.

Mejora la seguridad de tu WordPress en cinco sencillos pasos

¬ŅEst√°s listo para abordar estas vulnerabilidades por tu cuenta? Para quitarte la carga de encima, tengo cinco sencillos pasos para hacer que tu sitio web de WordPress sea m√°s seguro con solo unos pocos clics:

1. Cambia el nombre de usuario del administrador

Esto es muy obvio. Si todav√≠a usas admin, administrador o algo que sea realmente f√°cil de adivinar, ¬°PARA! Fijate, para acceder a tu web, un atacante necesita dos cosas, un nombre de usuario y una contrase√Īa. Si usas un nombre de usuario de administrador predeterminado, entonces les has dado la mitad de lo que necesitan. Hag√°moslo un poco m√°s dif√≠cil, ¬Ņde acuerdo?

Para cambiar el nombre de administrador, puedes hacerlo manualmente o puedes instalar un plugin. Dado que los plugins ralentizan tu web y solo lo necesitarías para hacer esto, mejor hagámoslo manualmente.

  • Inicia sesi√≥n con tu cuenta de administrador existente.
  • En “Usuarios”, haz clic en “A√Īadir nuevo”.
  • Crea un nuevo usuario y asignale un rol de de administrador. Pon el nombre de usuario sea el que desees, EXCEPTO Administrador, admin o tu nombre. (S√≠, los atacantes probablemente lo sepan, dado que la cuenta de Facebook de tu empresa est√° vinculada a tu p√°gina personal)
  • Cierra sesi√≥n en WordPress y vuelve a iniciar sesi√≥n con tu nueva usuario administrador.
  • Haz clic en ‚ÄúUsuarios‚ÄĚ para enumerar los usuarios y, en tu cuenta de administrador original, haz clic en “Eliminar”. Aseg√ļrate de seleccionar “Atribuir contenido a” y selecciona tu nueva cuenta de administrador para que no pierdas ning√ļn contenido.

Si deseas deshabilitar los nombres de usuario comunes con un solo clic, instala el plugin SiteGround Security. Es una herramienta gratuita que brinda opciones fáciles para proteger tu sitio web y mejorará en gran medida la seguridad de tu WordPress. Úselo para deshabilitar la creación de nombres de usuario comunes y, si ya tienes uno o más usuarios con un nombre de usuario débil, te pedirá que proporciones uno nuevo. Además, cuando se alterna, aparecerá una ventana emergente en la que podrás elegir un nuevo nombre de usuario y reemplazar automáticamente los débiles existentes.

>> Si est√°s empezando con WordPress, quiz√° te interese este v√≠deo donde descubrir√°s los “Primeros pasos de seguridad para tu web WordPress” <<

2. Utiliza contrase√Īas seguras

S√≠, a todo el mundo le encanta usar su cumplea√Īos como contrase√Īa. ¬ŅSabes a qui√©n le gusta m√°s? A los atacantes. Mira, las contrase√Īas d√©biles son f√°ciles de adivinar.

Si publicas en tus redes sociales: ‚Äú¬°Frozen II es mi PEL√ćCULA FAVORITA! ¬°Ir√© a verla ma√Īana por mi cumplea√Īos! “, le has dado a un atacante un dato fundamental. En este punto, comenzar√°n a probar contrase√Īas y nombres de usuario relacionados con la pel√≠cula.

Todo lo que hayas publicado en las redes sociales les brinda a los atacantes un poco m√°s de informaci√≥n con la que trabajar. SUGERENCIA: Utilizar el l33tsp34k (Leet Speak) o reemplazar letras con n√ļmeros tampoco enga√Īa a los atacantes. Ellos se dieron cuenta de eso antes que t√ļ.

Entonces, ¬Ņqu√© funciona? Contrase√Īas seguras. Las cadenas largas y aleatorias de letras y s√≠mbolos son geniales. El problema de esto es que, como son dif√≠ciles de recordar, tendemos a escribirlos. Si pierdes el folio (puede ser f√≠sico o electr√≥nico) en el que apuntaste, entonces un hacker tiene las llaves del reino.

WordPress ahora tiene la funcionalidad para generar contrase√Īas seguras, pero no las requiere. Sin embargo, hay plugins que lo har√°n cumplir. No tengo la costumbre de recomendar plugins de seguridad de WordPress, pero si vas a wordpress.org/plugins y buscas por ‚ÄúContrase√Īas seguras‚ÄĚ, encontrar√°s varios para elegir.

Instala uno de estos plugins.

Si tienes usuarios habituales en tu web, as√≠ como administradores, autores, etc., es posible que solo quieras aplicar contrase√Īas seguras en tus cuentas de nivel superior para reducir la complejidad que tienen tus usuarios al registrarse e iniciar sesi√≥n en tu sitio web.

¬°Ah! Y si te est√°s preguntando c√≥mo lidiar con contrase√Īas seguras sin escribirlas, invierte en un administrador de contrase√Īas. La mayor√≠a de los modernos funcionan tanto en ordenadores de mesa como en dispositivos m√≥viles y sincronizar√°n tus datos en todos tus dispositivos.

>> Descarga gratis el ebook “22 pasos para mantener tu WordPress seguro” <<

La autenticaci√≥n de dos factores (o 2FA) no es un nuevo concepto de seguridad. Durante d√©cadas, las instituciones financieras han usado los “Fobs” (peque√Īos dispositivos que se pueden adjuntar a tu llavero que tienen una pantalla y generan un n√ļmero que cambia constantemente) como un factor adicional para iniciar sesi√≥n.

El concepto general de seguridad es “Algo que sabes, algo que tienes, algo que eres”. En 2FA, elegimos dos de estos. Cuando inicia sesi√≥n en un sitio web sin 2FA, solo usa “algo que sabes”: el nombre de usuario y la contrase√Īa. Independientemente de cu√°n fuertes creas que son, existe la posibilidad de que puedan verse comprometidos. 2FA agrega una capa encima de eso, el “algo que tienes”.

Actualmente, en lugar de tener que entregarle un llavero a cada usuario administrador, tenemos tel√©fonos inteligentes y software que pueden reemplazar a los llaveros. Si tienes un tel√©fono inteligente moderno (uno fabricado en los √ļltimos 5 a√Īos), puedes ejecutar una aplicaci√≥n que funciona como “algo que tienes”.

La aplicaci√≥n m√°s utilizada, aunque de ninguna manera la √ļnica, para 2FA es “Google Authenticator”. Es la m√°s com√ļn porque es gratis. Antes de seguir el camino de 2FA, aseg√ļrate de que Google Authenticator est√© disponible para tu tel√©fono.

Si ya usas un plugin como SiteGround Security, tienes todo lo que necesitas para configurar 2FA. Solo necesitas habilitar esta opción desde el panel del plugin y se les pedirá a todos los usuarios administradores y editores que configuren su autenticación de dos factores en su próximo inicio de sesión.

Una vez que se implementa la 2FA y despu√©s de que el usuario haga clic en el bot√≥n de inicio de sesi√≥n, ser√° llevado a una segunda pantalla de inicio de sesi√≥n que le pedir√° su “token”. Si han configurado la aplicaci√≥n correctamente, la abrir√°n, encontrar√°n tu sitio web en ella y escribir√°n el n√ļmero en la pantalla. Este n√ļmero cambia cada 30 segundos. El n√ļmero se denomina “Contrase√Īa de un solo uso basada en el tiempo” (TOTP). Tu tel√©fono y el plugin que usas saben c√≥mo calcularlo, pero nadie m√°s lo sabe. Cuando ingresan el token y pulsan el bot√≥n, el plugin calcular√° el TOTP apropiado y luego verificar√° que coincida con lo que el usuario escribi√≥. En funci√≥n de eso, permitir√° o denegar√° el inicio de sesi√≥n.

Ten en cuenta que algunos sistemas 2FA no se basan en aplicaciones sino en mensajes de texto enviados a tu teléfono con los tokens. Ten en cuenta que estos no son seguros, por lo que debes evitarlos.

4. Utiliza HTTPS

Sinceramente, este paso ya lo deber√≠as estar haciendo. Desde hace ya un par de a√Īos Google sostiene que si tu sitio no se ejecuta a trav√©s HTTPS, lo posicionar√° por debajo de otros sitios que s√≠ lo hacen. Sin embargo, aparte del SEO, https mantiene todo tu tr√°fico encriptado y alejado de miradas indiscretas.

Si no usas SiteGround, esto implica trabajar con tu proveedor de hosting para comprar e instalar un certificado seguro. Luego, deber√°s pedirle a WordPress que cambie tu URL a HTTPS.

Si SiteGround es tu proveedor de hosting, todo lo que necesitas hacer es usar el Gestor de SSL para obtener un certificado gratuito “Let’s Encrypt”. Una vez que el panel de control de SiteGround lo obtenga e instale el certificado por ti, todo lo que necesitas hacer es hacer clic en “Forzar HTTPS” y listo, todo tu sitio web estar√° encriptado.

>> Descubre en este vídeo cómo instalar gratis el certificado SSL en SiteGround <<

5. Mantén tus plugins actualizados

No me refiero solo a los principales, me refiero a cada plugin que hayas instalado en tu sitio web, cada vez que haya una actualizaci√≥n. ¬ŅPor qu√© es importante mantener los plugins actualizados?

La raz√≥n principal es, por supuesto, la seguridad de WordPress. Los buenos autores de plugins solucionan los problemas de seguridad de WordPress cuando se informan y lanzan parches tan pronto como pueden. Si tienes activada la actualizaci√≥n autom√°tica, ni siquiera tienes que hacer nada, obtendr√°s el nuevo c√≥digo. Si no lo haces, tan pronto como inicies sesi√≥n y observas que hay actualizaciones, ve a Plugins, haz clic en los botones de actualizaci√≥n, observa c√≥mo se actualizan y luego intenta recordar por qu√© inici√≥ sesi√≥n en primer lugar. 

Si eres cliente de SiteGround, puedes aprovechar la herramienta SiteGround WordPress AutoUpdate. Mantiene tus sitios de WordPress seguros y actualizados en todo momento. Entre otras cosas, también se encarga de tus plugins. En esta herramienta, puedes habilitar la opción de actualizaciones automáticas del plugin desde la configuración. Si habilitas esta opción, en cada actualización de WordPress realizada, SiteGround verificará si tus plugins también están actualizados y, de lo contrario, los actualizará para ti.

Si puedes medir el tiempo de inactividad en euros, entonces vale la pena asegurarse de tener siempre la √ļltima y mejor versi√≥n de todo y que los plugins importantes en tu sitio web tienen mantenimiento constantemente. Aseg√ļrate de que las actualizaciones de seguridad de WordPress est√©n entre tus principales prioridades.

Un √ļltimo paso

  • S√≠, es muy importante que mantengas WordPress actualizado.
  • S√≠, es muy importante que mantengas tus temas actualizados.
  • S√≠, es muy importante que mantenga actualizados tus plugins.

Pero hay otro paso. En alg√ļn momento dentro del mundo del c√≥digo abierto, los autores se cansar√°n de dar soporte a un paquete y lo abandonar√°n. A veces son amables y le cuentan a la gente sus planes y hacen arreglos para que alguien se haga cargo. Si no es as√≠, el c√≥digo se queda sin actualizar. Debes asegurarte de que los plugins en los que conf√≠as est√©n en desarrollo activo.

La forma más sencilla de hacerlo es saber quién está detrás del plugin. Si hay una empresa o un equipo detrás de él, las posibilidad de que se abandone es mucho mejor que si hay un solo programador.

Conclusión

El secreto de la seguridad web es que no se trata de hacer una gran cosa, se trata de hacer muchas cosas peque√Īas. Estos sencillos pasos  ayudar√°n a mejorar la seguridad de tu WordPress. Cada capa de seguridad que agregas a tu web hace que sea un poco m√°s dif√≠cil el acceso para los atacantes. No tienes que tener un sitio web absolutamente seguro para estar seguro, s√≥lo tienes que crear m√°s trabajo para el hacker de lo que realmente vale hackear. Los hackers finalmente se cansan y pasan a objetivos m√°s f√°ciles… esos sitios cuyos propietarios no han le√≠do esta entrada de blog.

Cal Evans

Evangelista PHP

Una de las personas m√°s admiradas de la comunidad PHP, que ha dedicado m√°s de 16 a√Īos a construir la incre√≠ble comunidad PHP y asesorar a la pr√≥xima generaci√≥n de desarrolladores. Nos sentimos extremadamente honrados de que √©l tambi√©n sea un amigo muy especial de SiteGround.

Iniciar discusión

Artículos relacionados

Ha llegado el momento de practicar

Ha llegado el momento de practicar

Elige el proveedor de alojamiento que te ayude a comenzar de manera fácil, a construir rápidamente y a crecer fuerte. Está libre de riesgos con nuestra garantía de devolución de dinero de 30 días.