Los 10 principales problemas de seguridad de WordPress y cómo solucionarlos
Publicado: 2020-09-16
WordPress es, con mucho, uno de los CMS de código abierto más utilizados en el mundo. Impulsa millones de sitios web y tiene una participación de mercado del 35%. Esto convierte a WordPress en el CMS alfa entre bloggers, diseñadores, propietarios de tiendas WooCommerce y otros propietarios de negocios.
A pesar de ser tan popular, muchos usuarios de WordPress no conocen los conceptos básicos para proteger sus sitios de WordPress. Peor aún, muchos usuarios creen en la idea errónea (muy peligrosa) de que instalar un certificado SSL es suficiente para proteger su sitio. Por lo tanto, es importante discutir los diversos métodos efectivos para proteger el sitio de WordPress.
El cofundador de Sucuri, Dre Armeda cree que:
"La gente es y seguirá siendo el mayor problema de seguridad con WordPress", Dre Armeda analiza la seguridad de WordPress
También creo que la mitad de las vulnerabilidades de seguridad de WordPress se deben a negligencia. Esta es una razón importante por la que los sitios web de WordPress son un objetivo fácil para los ciberdelincuentes. Muchos usuarios principiantes simplemente instalan WordPress y luego confían en la seguridad predeterminada del sitio web de WordPress.
En esta publicación, presentaré varios consejos básicos y algunos no tan comunes sobre cómo lidiar con los problemas de seguridad de WordPress.
¡Vamos a empezar!
- Invierta en el alojamiento web adecuado
- Adquirir copias de seguridad programadas
- Crea una contraseña segura
- Limitar los intentos de inicio de sesión
- Cambiar la URL de inicio de sesión de WordPress y el nombre de usuario predeterminado
- Mantener al usuario de WordPress actualizado
- Eliminar complementos o temas no utilizados
- Evite la inyección de SQL y la piratería de URL
- Denegar el acceso a archivos confidenciales en WordPress
- Ocultar la versión de WordPress y cambiar el prefijo predeterminado para la base de datos
- Consejo adicional: cómo Cloudways ayuda a proteger un sitio de WordPress
Los basicos
La seguridad de WordPress se trata principalmente de soluciones simples y de sentido común. La idea es aplicar correcciones que minimicen los problemas de seguridad comúnmente conocidos de WordPress y refuercen la seguridad del sitio web.
SUGERENCIA # 1: Invierta en el alojamiento web adecuado
La seguridad del sitio web comienza con un proveedor de alojamiento de WordPress administrado y seguro. Esto se ha convertido en un aspecto esencial para construir su presencia en línea. Un proveedor de alojamiento web seguro no solo contará con procesos de seguridad probados en la industria, sino que también lo respaldará en caso de que algo salga mal con su sitio web. Casi todos los proveedores tienen una estrategia eficaz de recuperación ante desastres que se activa en caso de que su sitio web sufra un incidente.
Para darle una idea de las opciones de alojamiento web, existen cinco tipos de soluciones de alojamiento web en las que puede alojar sus sitios web de WordPress:
Alojamiento compartido: una sola máquina servidor se comparte entre varias cuentas de usuario. Si una sola cuenta es pirateada, todo el servidor se ve comprometido. En muchos casos, el servidor no está realmente protegido porque hay demasiadas lagunas.
Alojamiento dedicado: usted es el propietario del servidor y solo su sitio web está alojado en el servidor. Dado que es el propietario del servidor, la seguridad del servidor se limita a su experiencia en ciberseguridad.
Alojamiento VPS: en el alojamiento VPS, obtiene una parte dedicada de una máquina física. Al igual que en el alojamiento dedicado, usted es el responsable de la seguridad. Si no está bien versado en ciberseguridad, debe aprender rápido o gastar mucho dinero en subcontratar la seguridad de su servidor.
Alojamiento en la nube: en una solución de alojamiento en la nube, posee una parte de una red de máquinas de servidor físico conectadas. Las soluciones de alojamiento en la nube son seguras por definición, pero como servidor dedicado, debe dedicar mucho esfuerzo y tiempo a la seguridad.
Alojamiento en la nube gestionado: como su nombre lo indica, una solución de alojamiento en la nube gestiona todos los aspectos de su servidor en la nube, incluida la seguridad, el rendimiento y las actualizaciones del lado del servidor. Esto es lo que hace Cloudways : proporciona múltiples capas de seguridad (una de las cuales son firewalls a nivel de plataforma), lo que da como resultado un entorno de alojamiento seguro para que no tenga que preocuparse por la seguridad de su servidor.
Fatiga de seguridad. ¿Te sientes abrumado?
Pruebe Cloudways para reforzar la seguridad de su sitio web de WordPress.
SUGERENCIA # 2: Aproveche las copias de seguridad programadas
A primera vista, es posible que las copias de seguridad programadas no parezcan una medida de seguridad de WordPress. Sin embargo, este paso crucial puede resultar un salvavidas cuando ocurre un desastre. En tales casos, las copias de seguridad del sitio web son una excelente manera de volver a poner el sitio en línea a las pocas horas de un desastre.
Las copias de seguridad de WordPress se pueden realizar en dos niveles: copias de seguridad fuera del sitio y / o copias de seguridad a través del proveedor de alojamiento.
1- Copia de seguridad de WordPress fuera del sitio
Hacer una copia de seguridad de un sitio de WordPress es bastante fácil, gracias al complemento UpdraftPlus que realiza una copia de seguridad de un sitio de WordPress en soluciones de almacenamiento externas como Dropbox, Google Drive y Amazon S3.
Si desea explorar la idea en detalle, aquí hay una guía extensa para hacer una copia de seguridad de un sitio de WordPress.
Nota: 2- Copia de seguridad local de WordPress
Hacer una copia de seguridad de un sitio de WordPress en el servidor del proveedor de alojamiento crea una copia de seguridad local. Muchos proveedores de alojamiento en la nube de WordPress proporcionan un proceso de copia de seguridad local en el que se puede realizar una copia de seguridad de todo el servidor de forma automática o manual en el mismo servidor.
Si es cliente de Cloudways, está en buenas manos. Puede tener una copia de seguridad local (mismo servidor) Y también se puede hacer una copia de seguridad de todo el servidor en Amazon S3 . Consulte una guía para realizar copias de seguridad de un servidor de WordPress.
SUGERENCIA # 3: Tenga una contraseña segura
Una contraseña segura es una necesidad de seguridad de WordPress muy básica, pero a menudo pasada por alto, que protege contra muchas vulnerabilidades de WordPress.
Idealmente, las contraseñas deben ser difíciles de adivinar para las personas y deben contener letras, signos de puntuación y números que distingan entre mayúsculas y minúsculas ( por ejemplo, # [email protected] $).
Los expertos también sugieren usar diferentes contraseñas para diferentes sitios web, como cuentas de redes sociales y cuentas de correo electrónico.
Para hacer cumplir el hábito de las contraseñas seguras en su sitio, debe usar un complemento para hacer cumplir las políticas de contraseñas sólidas de WordPress. Esto asegura que todos sus usuarios usen contraseñas seguras.
Ataques de fuerza bruta: una contraseña segura es su primera defensa contra los ataques de fuerza bruta que intenta varias combinaciones de nombres de usuario y contraseñas hasta que su sitio se ve comprometido. Una contraseña débil nunca se comporta bien contra un ataque de fuerza bruta.
CAPTCHA se considera una de las mejores protecciones contra ataques de fuerza bruta. Anteriormente, Google inició un proyecto "Google Invisible reCAPTCHA" en el que los visitantes no tienen que ir al veterinario manualmente. De forma predeterminada, es invisible y solo se activa cuando Google sospecha que el visitante no es un humano.
Lea más sobre cómo agregar reCAPTCHA invisible de Google a WordPress
SUGERENCIA # 4: Limite los intentos de inicio de sesión
De forma predeterminada, WordPress no impone restricciones sobre cuántas veces un visitante puede probar nombres de usuario y contraseñas varias veces al iniciar sesión. Esta es la razón detrás de los muchos problemas de seguridad de WordPress causados involuntariamente por el usuario.
Para evitar esto y agregar una capa adicional de seguridad a los sitios web de WordPress, los administradores del sitio deben instalar un complemento de límite de intentos de inicio de sesión que evite que los piratas informáticos exploten este problema y organicen un ataque de inicio de sesión de fuerza bruta en su sitio.
Esta herramienta inteligente bloquea la IP de cualquier posible pirata informático que intente este ataque en el panel de administración de su sitio de WordPress. El complemento hace esto limitando el número de intentos fallidos por usuario.
Utilice la autenticación de dos factores : la autenticación de dos factores (2FA) es una práctica de seguridad estándar de la industria que utiliza credenciales de dos capas para minimizar las posibilidades de inicio de sesión no autorizado en el sitio. Si desea agregar 2FA a su sitio web de WordPress, aquí le mostramos cómo puede agregar autenticación de dos factores a un sitio de WordPress.
SUGERENCIA # 5: Cambie la URL de inicio de sesión de WordPress y el nombre de usuario predeterminado
Después de lanzar WordPress, puede ir al panel de administración y cambiar su sitio de acuerdo con sus requisitos. Esto no es posible si no tuvo acceso al panel de administración de WordPress.
Cambiar la URL de inicio de sesión de WordPress : Cambiar la URL de inicio de sesión predeterminada de WP-admin dificulta que los piratas informáticos lancen un ataque de fuerza bruta en su sitio web. Este simple paso fortalece enormemente la seguridad de su sitio de WordPress.
Aunque hay muchos complementos disponibles, recomiendo el complemento WPS Hide Login para cambiar la URL de administración de WordPress predeterminada. El complemento tiene más de 700,000 activos instalados y tiene reseñas de 5 estrellas.
Cambiar el nombre de usuario predeterminado de WordPress : la laguna de seguridad más básica que puede tener en su sitio web es el nombre de usuario de administrador "admin". Eso es demasiado fácil de adivinar. Si bien puede usar un complemento para cambiar este nombre de usuario, existe un método más simple para esto: vaya al panel de control, cree un nuevo usuario y asígnele el rol de “Administrador”.
Diferentes roles de usuario de WordPress : WordPress permite que varios usuarios contribuyan a un sitio de WordPress utilizando roles predefinidos. Como administrador de un sitio web, puede modificar o incluso crear un rol de usuario separado siguiendo la guía sobre roles de usuario personalizados de WordPress.
SUGERENCIA # 6: Mantenga WordPress actualizado
Team WordPress publica periódicamente actualizaciones de los archivos principales. Estos parches están disponibles como archivos de instalación autónomos que solucionan problemas conocidos y, en general, refuerzan la seguridad de los sitios web de WordPress.
Mantener el CMS del sitio web es un aspecto esencial del funcionamiento del sitio web. Lo ideal es que el propietario del sitio aplique el parche pocas horas después del lanzamiento, porque siempre existe la posibilidad de que los atacantes estén al acecho de sitios web vulnerables.
Esto también se aplica a los complementos y temas instalados. Los desarrolladores de complementos siguen el ciclo de lanzamiento de los archivos principales de WordPress para asegurarse de que el complemento se mantenga al día con las versiones más recientes de WordPress.
Nota: Siempre pruebe los parches en un entorno de prueba de WordPress para asegurarse de que todo sigue funcionando según lo previsto . Si su alojamiento no tiene un entorno de prueba, le sugiero que primero haga una copia de seguridad y comience a actualizar.
Por otro lado, si está en un alojamiento administrado de WordPress, los ingenieros se encargan de parchear los archivos centrales de WordPress y se aseguran de que la seguridad no se vea comprometida. La mayor amenaza de seguridad para ellos mismos.
SUGERENCIA # 7: Elimine complementos o temas no utilizados
Probar nuevos temas y complementos es una buena manera de obtener la experiencia de primera mano de las últimas versiones. Sin embargo, una vez finalizada la prueba, los usuarios de WordPress suelen desactivar los complementos en lugar de realizar una desinstalación adecuada.
Tenga en cuenta que los temas y complementos no utilizados o inactivos representan una seria amenaza para el sitio web de WordPress. Por lo tanto, es de suma importancia que todos los complementos y temas que no estén en uso se eliminen de inmediato para asegurarse de que no queden datos en la base de datos de WordPress. Aquí hay una guía adecuada sobre cómo desinstalar correctamente los complementos de WordPress.
Como precaución general, descargue siempre la versión más reciente de temas y complementos de un recurso confiable para asegurarse de que el complemento o tema no abra una nueva laguna de seguridad en su sitio.
Lo no tan básico
Ahora que comprende los conceptos básicos de seguridad de WordPress, es hora de consultar los siguientes consejos avanzados para reforzar la seguridad de sus sitios web.
SUGERENCIA # 8: Evite las inyecciones de SQL y la piratería de URL
Las inyecciones SQL son ataques en los que los atacantes incorporan comandos SQL en varias áreas de los sitios web (en particular, el cuadro de comentarios y las áreas de texto). Estos comandos pueden comprometer la base de datos SQL y pueden revelar información confidencial almacenada en la base de datos.
La modificación de la URL agregando declaraciones PHP es otra amenaza potencial para la seguridad de WordPress en la que los atacantes pueden desencadenar ataques a la base de datos y otros componentes del sitio web.
La mayoría de los sitios web de WordPress están alojados en un servidor Apache que tiene un truco inteligente para contrarrestar estos ataques. Todos los servidores Apache tienen un archivo .htaccess que define las reglas de acceso para el sitio web.
Para reducir la incidencia de inyecciones de SQL y piratería de URL, agregue el siguiente código al archivo .htaccess para establecer un conjunto sólido de reglas.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond% {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE | TRACK) [NC]
RewriteRule ^ (. *) $ - [F, L]
RewriteCond% {QUERY_STRING} \. \. \ / [NC, OR]
RewriteCond% {QUERY_STRING} boot \ .ini [NC, OR]
RewriteCond% {QUERY_STRING} etiqueta \ = [NC, OR]
RewriteCond% {QUERY_STRING} ftp \: [NC, OR]
RewriteCond% {QUERY_STRING} http \: [NC, OR]
RewriteCond% {QUERY_STRING} https \: [NC, OR]
RewriteCond% {QUERY_STRING} (\ <|% 3C). * Script. * (\> |% 3E) [NC, OR]
RewriteCond% {QUERY_STRING} mosConfig_ [a-zA-Z _] {1,21} (= |% 3D) [NC, OR]
RewriteCond% {QUERY_STRING} base64_encode. * \ (. * \) [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (\ [| \] | \ (| \) | <|> | E | "|; | \? | \ * | = $). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (& # X22; | & # x27; | & # x3C; | & # x3E; | & # x5C; | & # x7B; | & # x7C;). * [NC, O ]
RewriteCond% {QUERY_STRING} ^. * (% 24 & x). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (% 0 |% A |% B |% C |% D |% E |% F | 127 \ .0). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (Globals | encode | localhost | loopback). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (Solicitud | seleccionar | insertar | unión | declarar). * [NC]
RewriteCond% {HTTP_COOKIE}! ^. * WordPress_logged_in _. * $
RewriteRule ^ (. *) $ - [F, L]
</IfModule>Como puede ver, el código "desinfecta" los datos que van a los campos de entrada. Además, todas estas entradas se tratan como una cadena en lugar de una declaración de consulta SQL.
SUGERENCIA # 9: Denegar el acceso a archivos confidenciales en WordPress
Una instalación de WordPress contiene varios archivos confidenciales, como los archivos wp-config.php , install.php y readme.html . Estos archivos deben mantenerse ocultos a todo acceso externo.
Una vez más, .htaccess es tu mejor amigo. Puede agregar las siguientes líneas al archivo para evitar que se borren archivos importantes. El siguiente fragmento de código también evita el acceso a las listas de directorios de usuarios y oculta el servidor sensible y los archivos de WordPress del acceso no autorizado.
Opciones de todos los índices <archivos .htaccess> Orden permitir, negar Negar todo </files> <archivos readme.html> Orden permitir, negar Negar todo </files> <archivos license.txt> Orden permitir, negar Negar todo </files> <archivos install.php> Orden permitir, negar Negar todo </files> <archivos wp-config.php> Orden permitir, negar Negar todo </files> <archivos error_log> Orden permitir, negar Negar todo </files> <archivos fantastico_fileslist.txt> Orden permitir, negar Negar todo </files> <archivos fantversion.php> Orden permitir, negar Negar todo </files>
Si desea profundizar en el uso del archivo .htaccess para optimizar su WordPress, aquí hay una descripción detallada del archivo .htaccess de WordPress.
SUGERENCIA # 10: Cambiar el prefijo predeterminado para la base de datos
Ocultar la versión de WordPress : de forma predeterminada, WordPress agrega automáticamente el número de versión actual a la sección principal de temas. Un gran consejo de seguridad es NUNCA mostrar públicamente la versión de WordPress, simplemente por el hecho de que los atacantes pueden lanzar ataques contra todas las vulnerabilidades conocidas de la versión mencionada en el encabezado.
La siguiente línea simple de código debe incluirse en el archivo functions.php de su tema para ocultar las versiones de WordPress.
remove_action ('wp_head', 'wp_generator');Cambiar el prefijo predeterminado de WordPress para la base de datos : Todas las tablas de una base de datos de WordPress tienen nombres que comienzan con el prefijo Si bien esto parece ser una gran característica, para los piratas informáticos de WordPress, esto simplifica enormemente las cosas al eliminar algunas de las conjeturas.
Un usuario puede limitar esta previsibilidad cambiando el prefijo predeterminado de WordPress de las tablas de la base de datos del usuario mientras instala WordPress. Esto también se puede hacer para sitios web ya activos manipulando las bases de datos de los usuarios en varios lugares. Recomiendo usar uno de los mejores complementos de seguridad de WordPress que implemente una variedad de defensas para el sitio web de WordPress.
Cloudways ayuda a proteger los sitios de WordPress
Después de esta guía detallada para proteger los sitios web de WordPress, vale la pena mencionar que WordPress no se puede proteger de forma aislada. Los usuarios de WordPress también deben optar por un entorno de alojamiento seguro que ofrezca un entorno seguro para el sitio web.
Así es como Cloudways proporciona un entorno de alojamiento de WordPress seguro.
- Infraestructura de nube de primera clase : Cloudways se ha asociado con proveedores de infraestructura de nube de primer nivel que tienen la seguridad como su principal preocupación. Alojar un sitio de WordPress en la nube garantiza un alto nivel de seguridad.
- Cortafuegos : todos los servidores lanzados a través de Cloudways vienen con un cortafuegos preinstalado que actúa como la primera línea de defensa del sitio web.
- Supervisión del servidor : la supervisión de un servidor ayuda a identificar picos de tráfico elevados inesperados que pueden hacer que el sitio web caiga.
- Bot Protection: Bot Protection tiene como objetivo identificar y bloquear el tráfico malicioso, protegerse de ataques como ataques de diccionario, raspado web y ataques de fuerza bruta. También ayuda a reducir el uso de recursos del servidor para las aplicaciones de WordPress. Estos ataques están dirigidos a obtener acceso no autorizado a su sitio web o abrumarlo, pero Bot Protection monitorea todas estas actividades y bloquea proactivamente cuando se detectan.
- Acceso SSH y SFTP : muchos proveedores de alojamiento todavía utilizan FTP para acceder a los archivos. Sin embargo, con SFTP (Protocolo seguro de transferencia de archivos) de Cloudways, su conexión está encriptada y es segura. Si varios equipos están trabajando en un proyecto alojado en un servidor, se les puede asignar acceso a una aplicación en particular en lugar de a todo el servidor.
- Sistema operativo y aplicaciones actualizados : los expertos de Cloudways están atentos a las últimas versiones y garantizan su disponibilidad después de las pruebas de estabilidad y compatibilidad.
- Credenciales generadas aleatoriamente : todas las aplicaciones iniciadas a través de Cloudways tienen credenciales generadas aleatoriamente por defecto que son difíciles de adivinar.
- Copia de seguridad : en caso de desastre, la copia de seguridad del sitio es su mejor opción para una recuperación de desastres más rápida. Puede configurar la frecuencia de respaldo tan baja como una hora.
- Certificado SSL gratuito : Cloudways proporciona una instalación de certificado SSL con un solo clic con una función de renovación automática.
- Entorno de prueba gratuito: Cloudways ofrece un entorno de prueba gratuito de WordPress para asegurarse de que todo siga funcionando según lo previsto.
- Soporte de chat en vivo 24 horas al día, 7 días a la semana : ¿Todavía le preocupa la seguridad y el rendimiento del servidor? El soporte de Cloudways siempre está disponible las veinticuatro horas del día.
- Soporte telefónico: este es el complemento de soporte premium si necesita ayuda, también puede contactar y nuestro ingeniero senior responderá directamente en cualquier momento.
Preguntas frecuentes
P: ¿Cómo soluciono que WordPress no sea seguro?
R: Sigue esta guía y mira todos los puntos que he mencionado, espero que te ayude mucho.
P: ¿Debería utilizar un certificado SSL para proteger mi sitio web de WordPress?
R: Sí, debería, la mayoría de las empresas de alojamiento ofrecen un certificado SSL gratuito con un solo clic.
P: ¿WordPress tiene problemas de seguridad?
R: WordPress es el sistema de gestión de contenido (CMS) más favorecido que se utiliza en la actualidad. Con la ayuda de numerosos temas y complementos, uno puede personalizar fácilmente su sitio web de acuerdo con sus gustos y preferencias. Sin embargo, la seguridad de WordPress es uno de los principales problemas que preocupa a muchos.
Línea de fondo
Los consejos de seguridad de WordPress garantizan un sitio web eficaz y seguro. Sin embargo, muchas personas olvidan que defender un sitio web de WordPress es un proceso continuo que necesita atención continua ante las nuevas herramientas y trucos que surgen en el ciberespacio.
Sugiero encarecidamente a los usuarios de WordPress que mantengan un registro de lo que sucedió en WordPress mediante el uso de un complemento de auditoría de seguridad y el uso del complemento de seguridad preferido de WordPress que fortalece el entorno de WordPress contra las amenazas de seguridad.
Siéntase libre de agregar si cree que me he perdido algo. Lo agregaré a la lista lo antes posible. Si tiene alguna pregunta, publíquela en los comentarios a continuación.
P. ¿WordPress tiene problemas de seguridad?
Como todas las plataformas, WordPress tiene algunos problemas de seguridad. Sin embargo, los problemas de seguridad de WordPress se pueden evitar fácilmente si sigue las mejores prácticas de seguridad de WordPress.
P. ¿Por qué WordPress no es seguro?
Muchos de los problemas de seguridad de WordPress ocurren porque los administradores del sitio optan por ignorar las prácticas estándar sobre complementos y temas. En muchos casos, esto podría evitarse realizando una auditoría de seguridad y resolviendo las lagunas para que el sitio web permanezca seguro.
P. ¿Es fácil piratear WordPress?
No. Las versiones recientes de WordPress son bastante seguras. Esta seguridad básica se puede mejorar aún más instalando complementos de seguridad de WordPress, optando solo por temas y complementos de desarrolladores respetados y siguiendo las mejores prácticas de seguridad de WordPress.
P. ¿Cómo puedo mejorar mi seguridad de WordPress?
La seguridad de WordPress se puede mejorar siguiendo algunos consejos básicos:
1. Elija una solución de alojamiento segura.
2. Instale un certificado SSL (un requisito esencial para los sitios web comerciales)
3. Configure un complemento de seguridad de WordPress confiable
4. Instale la limitación de la tasa de inicio de sesión a través de un complemento
5.Asegúrate de que TFA esté activo