Seguridad de WordPress: 16 pasos para asegurar y proteger su sitio

Cuando se trata de seguridad, no existe un tipo de seguridad específico de WordPress. Todos los problemas de seguridad son comunes para todos los sitios web o aplicaciones.

Sin embargo, los problemas de seguridad de WordPress son de gran interés porque alimenta alrededor del 40% de la web y es de código abierto. Cuando uno encuentra una vulnerabilidad en el núcleo de WordPress o en los complementos, otros sitios web que la usan se vuelven vulnerables porque todos usan el mismo código.

Por otro lado, hay una cantidad decente de complementos que puede usar para fortalecer la seguridad de su sitio web.

En esta columna, aprenderá cómo fortalecer su sitio de WordPress contra diferentes tipos de vulnerabilidades, aunque el alcance de este artículo es más amplio y se aplica a todo tipo de aplicaciones web.

Protección contra las vulnerabilidades de WordPress

Los tipos más comunes de vulnerabilidades son:

1. Puertas traseras.
2. Trucos farmacéuticos.
3. Intentos de inicio de sesión de fuerza bruta.
4. Redirecciones maliciosas.
5. Secuencias de comandos entre sitios (XSS).
6. Denegación de servicio (DDoS).

Estos son los tipos comunes de vulnerabilidades, pero eso no significa que se limiten solo a estos. Cuando piensas en seguridad, en general, debes pensar en una forma de 360°.

No hay un conjunto limitado de formas de hackear un sitio web. Los atacantes pueden usar muchas técnicas para acceder a su sitio.

Por ejemplo, pueden robar su PC y tener acceso físico a su computadora. También pueden usar técnicas de vigilancia para ver sus contraseñas cuando inician sesión desde una red pública en su sitio web.

Profundicemos en cómo fortalecer nuestras instalaciones de WordPress para hacerles la vida un poco más difícil a los atacantes.

Siga leyendo para obtener más información sobre cada una de estas 16 formas de fortalecer la seguridad de su sitio web de WordPress:

1. Utilice HTTPS.
2. Utilice siempre contraseñas seguras.
3. Utilice administradores de contraseñas para almacenar sus contraseñas.
4. Habilite Captcha en los formularios de inicio de sesión.
5. Evite los intentos de inicio de sesión de fuerza bruta.
6. Utilice la autenticación de dos factores.
7. Mantenga los complementos actualizados.
8. Establecer encabezados HTTP de seguridad.
9. Establezca los permisos de archivo correctos para los archivos de WordPress.
10. Deshabilite la edición de archivos desde WordPress.
11. Deshabilite todas las funciones innecesarias.
12. Ocultar la versión de WordPress.
13. Instale un cortafuegos de WordPress.
14. Mantenga copias de seguridad.
15. Utilice SFTP.
16. Supervisar las actividades de los usuarios.

1. Asegure su sitio con HTTPS

No es casualidad que comencemos por proteger el sitio web con HTTPS.

Todo lo que haces fluye a través de la red y los cables. HTTP intercambia datos como texto sin formato entre el navegador y el servidor. Por lo tanto, cualquiera que tenga acceso a la red entre el servidor y el navegador puede ver sus datos sin cifrar.

Si no protege su conexión, corre el riesgo de exponer datos confidenciales a los atacantes. Con HTTPS, sus datos se cifrarán y los atacantes no podrán leer los datos transmitidos, incluso si tienen acceso a su red.

Entonces, el paso número uno para asegurar su sitio web es habilitar HTTPS. Si aún no te has mudado a HTTPS, puedes usar esta guía para mover tu WordPress a HTTPS.

Herramientas y complementos de WordPress que puede usar para migrar HTTP a HTTPS

1. Mejor Buscar Reemplazar.
2. Script de búsqueda y reemplazo de base de datos.

2. Utilice siempre contraseñas seguras

La forma más común en que los piratas informáticos acceden a los sitios web es a través de contraseñas débiles o pwned. Estos te hacen vulnerable a los ataques de fuerza bruta.

Mejore su seguridad utilizando contraseñas seguras más que cualquier otra forma que se detalla a continuación.

Utilice siempre contraseñas seguras y compruebe periódicamente si han sido manipuladas.

Complementos de WordPress para mejorar la seguridad de las contraseñas:

1. No permitir la contraseña de Pwned.
2. Descargue el Administrador de políticas de contraseñas.
3. Contraseña bcrypt.

3. Use administradores de contraseñas para almacenar sus contraseñas

Cuando inicia sesión mientras trabaja desde una red pública, no puede estar seguro de quién está viendo lo que está escribiendo en su computadora portátil o registrando sus contraseñas.

Para resolver este problema, utilice administradores de contraseñas para acceder fácilmente a sus contraseñas y almacenarlas en un lugar seguro.

Incluso si se accede a su PC, no podrán obtener sus contraseñas. Los administradores de contraseñas se basan en el navegador y no en complementos de WordPress.

Complementos del navegador Password Manager:

1. Ultimo pase.
2. 1 Contraseña.
3. NordPass.

4. Agregue CAPTCHA en el formulario de inicio de sesión y registro

Cuando ha asegurado su sitio web con HTTPS y ha utilizado contraseñas seguras, ya les ha hecho la vida bastante difícil a los piratas informáticos.

Pero puede hacerlo aún más difícil agregando CAPTCHA a los formularios de inicio de sesión.

Los captchas son una excelente manera de proteger sus formularios de inicio de sesión contra ataques de fuerza bruta.

Complementos para agregar Captcha en el inicio de sesión de WordPress:

1. Iniciar sesión No Captcha reCAPTCHA.
2. Seguridad de inicio de sesión reCAPTCHA.

5. Proteger de los intentos de inicio de sesión de fuerza bruta

Iniciar sesión CAPTCHA le brindará protección contra intentos de fuerza bruta hasta cierto punto, pero no completamente. A menudo, una vez que se resuelven los tokens de captcha, son válidos durante unos minutos.

Google reCaptcha, por ejemplo, es válido durante 2 minutos. Los atacantes pueden usar esos dos minutos para intentar intentos de inicio de sesión de fuerza bruta en su formulario de inicio de sesión durante ese tiempo.

Para resolver este problema, debe bloquear los intentos fallidos de inicio de sesión por dirección IP.

Complementos de WordPress para prevenir ataques de fuerza bruta:

1. Límite de intentos de inicio de sesión de WP.
2. Límite de intentos de inicio de sesión recargados.

6. Configuración de autenticación de dos factores (2FA)

Con contraseñas seguras y captcha en los formularios de inicio de sesión, está más protegido, sí.

Pero, ¿qué sucede si los piratas informáticos usaron métodos de vigilancia y grabaron la contraseña que ingresó en un video para acceder a su sitio web?

Si tienen su contraseña, solo la autenticación de dos factores puede proteger su sitio web de los atacantes.

Complementos de WordPress para configurar la autenticación 2FA:

1. Dos factores.
2. Autenticador de Google.
3. Autenticación de dos factores de WordPress (2FA, MFA).

7. Mantenga el núcleo y los complementos de WordPress actualizados

Las vulnerabilidades ocurren a menudo para el núcleo y los complementos de WordPress, y cuando lo hacen, se encuentran y se informan. Asegúrese de actualizar sus complementos con la última versión para evitar que los sitios web sean pirateados por agujeros en los archivos conocidos e informados.

No recomendaría cambiar a la actualización automática, ya que podría dañar sus sitios web sin su conocimiento.

Pero le recomiendo que habilite las actualizaciones menores del núcleo de WordPress agregando esta línea de código en wp-config.php, ya que estas actualizaciones incluyen parches de seguridad para el núcleo.

 define('WP_AUTO_UPDATE_CORE', 'menor');

8. Establecer encabezados HTTP de seguridad

Los encabezados de seguridad brindan una capa adicional de protección al restringir las acciones que se pueden realizar entre el navegador y el servidor cuando uno navega por el sitio web.

Los encabezados de seguridad tienen como objetivo proteger contra ataques de Clickjacking y Cross-site Scripting (XSS).

Los encabezados de seguridad son:

• Seguridad estricta en el transporte (HSTS).
• Contenido-Seguridad-Política.
• Opciones de X-Frame.
• Opciones de tipo de contenido X.
• Obtener encabezados de metadatos.
• Política de referencia.
• Control de caché.
• Borrar datos del sitio.
• Característica-Política.

No profundizaremos en la explicación de cada encabezado de seguridad, pero aquí hay algunos complementos para solucionarlos.

Complementos de WordPress para habilitar encabezados de seguridad:

1. Encabezados HTTP para mejorar la seguridad del sitio web.
2. Encabezados de seguridad GD.

9. Establezca los permisos de archivo correctos para los archivos de WordPress

Los permisos de archivo son reglas en el sistema operativo que aloja sus archivos de WordPress; estas reglas establecen cómo se pueden leer, editar y ejecutar los archivos. Esta medida de seguridad es esencial, especialmente cuando aloja un sitio web en un alojamiento compartido.

Si se configura incorrectamente, cuando un sitio web en el alojamiento compartido es pirateado, los atacantes pueden acceder a los archivos de su sitio web y leer cualquier contenido allí, específicamente wp-config.php, y obtener acceso completo a su sitio web.

• Todos los archivos deben ser 644.
• Todas las carpetas deben ser 775.
• wp-config.php debe ser 600.

Las reglas anteriores significan que su cuenta de usuario de alojamiento puede leer y modificar archivos y el servidor web (WordPress) puede modificar, eliminar y leer archivos y carpetas.

Otros usuarios no pueden leer el contenido de wp-config.php. Si configurar 600 para wp-config.php hace que su sitio web se caiga, modifíquelo a 640 o 644.

10. Deshabilitar la edición de archivos desde WordPress

Es una característica conocida en WordPress que puede editar archivos desde el backend de administración.

Realmente no es necesario porque los desarrolladores usan SFTP y rara vez lo usan.

11. Deshabilite todas las funciones innecesarias

WordPress viene con muchas características que quizás no necesites en absoluto. Por ejemplo, el punto final XML-RPC en WordPress se creó para comunicarse con aplicaciones externas. Los atacantes pueden usar este punto final para inicios de sesión de fuerza bruta.

Deshabilite XML-RPC usando el complemento Deshabilitar XML-RPC-API.

Otro problema que WordPress ha incorporado es proporcionar un punto final REST-API para enumerar a todos los usuarios en el sitio web.

Si agrega "/wp-json/wp/v2/users" a cualquier instalación de WordPress, verá una lista de nombres de usuario e ID de usuario como datos JSON.

Deshabilite los usuarios REST-API agregando esta línea de código en functions.php

 función disabled_users_rest_json( $respuesta, $usuario, $solicitud){

 devolver '';

}add_filter('rest_prepare_user', 'disable_users_rest_json', 10, 3);

12. Ocultar la versión de WordPress

WordPress inyecta automáticamente un comentario con la versión de WordPress en el HTML de la página. Le da al atacante la versión de su WordPress instalado como información adicional.

Por ejemplo, si está utilizando una versión de WordPress cuyo núcleo se informó que tiene una vulnerabilidad, el atacante sabe que puede usar la técnica informada para piratear su sitio web.

Oculte las metaetiquetas de la versión de WordPress usando estos complementos:

1. Meta generador y removedor de información de versión.
2. Eliminador de generador WP de Dawsun.

13. Instala un cortafuegos de WordPress

Un firewall es una aplicación web que se ejecuta en sitios web y analiza cualquier solicitud HTTP entrante. Aplica una lógica sofisticada para filtrar las solicitudes que potencialmente pueden ser una amenaza.

Uno puede configurar sus reglas sobre las reglas integradas del firewall para bloquear solicitudes. Uno de los tipos comunes de ataques es la inyección SQL.

Digamos que ejecuta un complemento de WordPress que es vulnerable a las inyecciones de SQL y no lo sabe. Si ejecuta un firewall, incluso si el atacante conoce la falla de seguridad en el complemento, no podrá piratear el sitio web.

Esto se debe a que el cortafuegos bloqueará aquellas solicitudes que contengan inyecciones de SQL.

Los cortafuegos bloquearán esas solicitudes de la IP y evitarán que lleguen sucesivas solicitudes peligrosas. Los cortafuegos también pueden prevenir ataques DDoS al detectar demasiadas solicitudes de una sola IP y bloquearlas.

También es posible ejecutar cortafuegos a nivel de DNS que se ejecutan antes de que se realicen solicitudes a un servidor web. Un ejemplo es el cortafuegos DNS de Cloudflare.

La ventaja de este método es que es más robusto frente a los ataques DDoS.

Los firewalls de nivel de aplicación que se ejecutan en el servidor permiten que las solicitudes HTTP lleguen al servidor web y luego lo bloquean. Eso significa que el servidor gasta algunos recursos de CPU/RAM para bloquearlos.

Con cortafuegos a nivel de DNS, no gasta recursos del servidor, por lo que es más sostenible frente a los ataques.

Complementos de firewall de WordPress que puede usar:

1. Seguridad de Wordfence.
2. Sucuri.
3. Todo en uno WP Seguridad y cortafuegos.
4. Seguridad a prueba de balas.
5. Escudo de Seguridad.

Nota: si decide instalar cortafuegos, es posible que tengan funciones como protección de fuerza bruta de inicio de sesión o autenticación 2F y puede usar sus funciones en lugar de instalar los complementos mencionados anteriormente.

14. Mantenga copias de seguridad

Si lo piratean, la mejor manera de recuperarse es restaurar el sitio web desde la última versión que no estaba infectada.

Si no almacena copias de seguridad del sitio web, limpiar el sitio web puede llevar mucho tiempo. Y en algunos casos, puede que no sea posible restaurar toda la información porque el malware borró todos los datos.

Para evitar tales escenarios, haga copias de seguridad periódicas de la base de datos y los archivos de su sitio web.

Verifique con su soporte de alojamiento si brindan la funcionalidad de copias de seguridad diarias y habilítelas. De lo contrario, puede usar estos complementos para ejecutar copias de seguridad:

1. Copia de seguridad.
2. UpdraftPlus.
3. Compañero de copia de seguridad.
4. Bóveda de blogs.

15. Utilice SFTP

Muchos desarrolladores ya usan SFTP para conectarse a servidores web, pero es importante recordar esto, en caso de que todavía no lo haga.

Al igual que HTTPS, SFTP usa encriptación para transferir archivos a través de la red, lo que hace que sea imposible leerlos como texto sin formato, incluso si uno tiene acceso a la red.

16. Supervisar la actividad de los usuarios

Hemos discutido muchas formas de proteger su sitio web de piratas informáticos desconocidos. Pero, ¿qué pasa cuando uno de sus empleados que tiene acceso al administrador del sitio web hace cosas sospechosas, como agregar enlaces en el contenido?

Ninguno de los métodos anteriores puede detectar a un empleado dudoso.

Eso se puede hacer mirando los registros de actividad. Al observar la actividad de cada usuario, es posible que encuentre que uno de los empleados editó un artículo que no debía.

También puede buscar actividad que parezca sospechosa y ver qué cambios se realizaron.

Complementos de WordPress para monitorear la actividad de los usuarios:

1. Registro de actividades.
2. Registro de actividad del usuario.
3. Registro de actividad de WP.

Tenga en cuenta que es posible que desee limitar el período (o la cantidad de registros) que mantienen estos complementos. Si hay demasiados, sobrecargará su base de datos y puede afectar el rendimiento y la velocidad del sitio web.

¿Qué hacer si te hackean?

Incluso con todos los consejos de los expertos en seguridad y conociendo las formas de proteger sus sitios web de los piratas informáticos, todavía suceden.

Si su sitio web fue pirateado, debe realizar estos pasos a continuación para recuperarse:

1. Cambie todo su correo electrónico y otras contraseñas personales primero , ya que es posible que los piratas informáticos hayan accedido primero a su correo electrónico y, por lo tanto, puedan acceder a su sitio web.
2. Restaure su sitio web a la última copia de seguridad no pirateada conocida.
3. Restablecer las contraseñas de todos los usuarios del sitio web.
4. Actualice todos los complementos si hay actualizaciones disponibles.

Conclusión

Piense en 360° cuando se trata de seguridad. Haga hincapié en la importancia de la seguridad para todos sus empleados para que entiendan las consecuencias que la empresa puede sufrir si no siguen las reglas de seguridad.

Si lo piratean, recupere su sitio web desde la copia de seguridad y cambie todas las contraseñas de su sitio web y correos electrónicos lo antes posible.