Cómo se hackean los sitios web de WordPress
Debido a su amplia popularidad como CMS, WordPress también es un objetivo popular para los hackers.
Los ataques de hacking son en su mayoría oportunistas más que sobre el objetivo (aunque los sitios web de grandes marcas pueden ser un objetivo específico). La mayoría de los ataques son automatizados, con bots que buscan por toda la red puntos débiles de seguridad para explotarlos.
Los ataques suelen realizarse a través de:
- Albergue de sitios web inseguro
- Detalles de inicio de sesión – por ejemplo, intentando múltiples combinaciones aleatorias de nombre de usuario y contraseña
- Deficiencias de seguridad en el software de CMS, plugins o temas – generalmente cuando no se ha actualizado
Los hackers tienen una amplia variedad de motivos diferentes, pero a menudo se trata de beneficios. Hackear sitios para distribuir malware, obtener datos de los usuarios, enviar correos electrónicos de spam o redirigir a los visitantes del sitio web puede ser extremadamente lucrativo.
Estas violaciones de la seguridad pueden tener un impacto enormemente negativo en su sitio web y en su negocio, ya que socavan la confianza de los usuarios, provocan infracciones legales y pueden costar miles de libras. Así que es vital proteger su sitio web de WordPress contra la piratería informática.
¿Es mi sitio de WordPress vulnerable a la piratería informática?
Los principiantes de WordPress y los propietarios de sitios pequeños a menudo piensan que no necesitan preocuparse por la seguridad. Asumen que su sitio será demasiado pequeño e insignificante para interesar a los hackers.
Esta suposición es errónea.
Los sitios de WordPress de todos los tamaños son hackeados. Los hackers utilizan bots automatizados para escanear Internet en busca de sitios con debilidades de seguridad y hackearán siempre que haya una oportunidad.
Otra cosa clave que hay que tener en cuenta es que es posible que ni siquiera se dé cuenta de que los hackers están intentando entrar en su sitio. A menos que reciba regularmente notificaciones de seguridad sobre los intentos de piratería, probablemente sólo se enterará cuando un pirata tenga éxito y algo en su sitio web vaya mal.
El mensaje para llevar es que todos los sitios son vulnerables a la piratería – y la prevención es mejor que la cura. Asegúrese de instalar un plugin de seguridad y tomar otras medidas de seguridad preventivas para mantener su sitio seguro.
Cómo vencer a los hackers de WordPress
Ahora compartimos las 10 mejores maneras de mantener su sitio web de WordPress seguro y evitar que sea hackeado.
1) Elija un proveedor de alojamiento seguro
Todos los buenos proveedores de alojamiento incluirán protección de seguridad para garantizar que la información de su sitio web se mantiene segura en sus servidores.
Cuando elija un proveedor de alojamiento, asegúrese de comprobar qué medidas de seguridad tienen (como cortafuegos y FTP seguro), cómo supervisan su red de servidores y cómo responden a cualquier fallo de seguridad.
Su sitio de WordPress puede ser particularmente vulnerable a la piratería si tiene un plan de alojamiento compartido, ya que los hackers pueden utilizar potencialmente otros sitios en el mismo servidor para acceder al suyo.
La opción de alojamiento más segura – pero también la más costosa – es un servidor dedicado. Merece la pena considerarlo si tienes niveles de tráfico particularmente altos o tienes datos sensibles en tu sitio.
2) Consigue un plugin de seguridad
Tener un plugin de seguridad de alta calidad es imprescindible para evitar que tu sitio de WordPress sea hackeado.
Los plugins de seguridad generalmente incluyen:
- un firewall para bloquear el tráfico sospechoso
- protección de fuerza bruta contra múltiples intentos de inicio de sesión al azar
- un escáner que comprueba sus archivos, temas y plugins para los problemas de seguridad
- notificaciones de seguridad regulares
Recomendamos Wordfence – un excelente plugin de seguridad gratuito. Una vez instalado, ‘Wordfence’ aparecerá en el menú de la izquierda de tu panel de control de WordPress. Puedes hacer clic aquí en cualquier momento para escanear tu sitio, ver las últimas notificaciones y obtener recomendaciones para mejorar la seguridad del sitio.
3) Elige un tema seguro
Elegir el tema adecuado para tu sitio es crucial. Por supuesto, tiene que tener el aspecto y las características adecuadas para su organización. Pero también tiene que ser robusto y seguro.
Un tema seguro:
- Se actualiza y parchea con regularidad
- Sigue unos buenos estándares de codificación
- No está asociado a bugs o errores de compatibilidad
Con más de 7.000 temas de WordPress disponibles, puede ser complicado saber por dónde empezar.
La mejor manera de elegir un tema seguro es buscando en WordPress.org. Allí puede consultar las reseñas de los temas, comprobar cuántas instalaciones ha tenido un tema y ver cuándo se actualizó por última vez, todos ellos buenos indicios de seguridad.
También puede pedir a su agencia de WordPress que le recomiende un tema que satisfaga las necesidades particulares de su sitio web y de su organización.
4) Mantenga WordPress actualizado
Mantener WordPress actualizado es otra medida de seguridad importante. Las actualizaciones del software de WordPress se realizan con regularidad para optimizar el rendimiento y parchear cualquier problema de seguridad a medida que se descubren.
Es posible aplicar actualizaciones automáticas para la mayoría de las versiones del núcleo de WordPress, de modo que su sitio se actualiza en segundo plano sin que usted tenga que hacer nada. Sin embargo, todavía tiene que actuar manualmente en las versiones más grandes – ¡asegúrese de hacer una copia de seguridad de su sitio primero!
Los mensajes de actualización aparecerán en su panel de control de WordPress tan pronto como estén disponibles. Simplemente haga clic en ellos para actuar. También es una buena idea actualizar los plugins y los temas con regularidad.
5) Utiliza datos de acceso seguros
Como se mencionó anteriormente, una de las principales formas en que los hackers pueden acceder a tu sitio de WordPress es a través de intentos de inicio de sesión automatizados «adivinados». Cuanto más obvio sea su nombre de usuario y contraseña, más probable será que estos intentos tengan éxito.
Para evitar el hackeo, asegúrese de elegir un nombre de usuario atípico. Esto significa básicamente no utilizar «admin», que es tan común que suele ser el primer nombre de usuario que intentan los hackers.
En segundo lugar, elige una contraseña segura que incluya una mezcla de letras, símbolos y números. Para obtener la máxima seguridad, debe tener al menos 12 caracteres y no incluir ninguna palabra del diccionario.
Además de asegurar el inicio de sesión en el panel de control de WordPress, asegúrate de elegir nombres de usuario y contraseñas seguros para tus otras cuentas relacionadas con el sitio web, como tu dirección de correo electrónico personalizada. De lo contrario, estos también podrían ser utilizados para hackear su sitio.
6) Agregue la autenticación de dos factores
Puede fortalecer su inicio de sesión de WordPress aún más mediante la habilitación de la autenticación de dos factores. Esto es particularmente útil si tiene varios usuarios que inician sesión en el back-end de su sitio.
Con la autenticación de dos factores, los usuarios inician sesión en dos etapas. Primero, introducen su nombre de usuario y contraseña. Luego, tienen que introducir un código de acceso de una sola vez para verificar su identidad.
Con el plugin de seguridad Wordfence que recomendamos anteriormente, la autenticación de dos factores es fácil de activar. Utiliza una aplicación de autentificación para generar códigos de acceso para los usuarios.
Para configurar las cosas, vaya a Wordfence >Seguridad de inicio de sesión en su tablero de WordPress, y copie la clave dada. A continuación, descargue Google Authenticator (u otra aplicación de autenticación), e introduzca esta clave.
En este punto, la aplicación proporcionará un código de seis dígitos. Simplemente introdúzcalo de nuevo en su panel de control de WordPress y haga clic en «Activar».
Ahora se activará la autenticación de dos factores. Esto significa que cada vez que intente iniciar sesión en WordPress, se le pedirá que vaya a su aplicación de autenticación y recoja un código de acceso.
7) Desactivar la edición de archivos
WordPress tiene un editor de código que le permite editar los archivos de su sitio a través de su tablero. Mientras que esto es obviamente una característica útil, también es una gran responsabilidad en términos de hacking. Por lo tanto, recomendamos desactivarlo.
Otra forma de evitar la edición de archivos es desactivando la ejecución de archivos PHP en sus carpetas /wp-content/uploads/. Para ello, abre el Bloc de notas -o un editor de texto similar- y pega lo siguiente:
<Archivos *.php>
deny from all
</Archivos>
Si guardas esto como .htaccess y subes el archivo a las carpetas /wp-content/uploads/ de tu sitio web, también evitará que los hackers realicen ataques de puerta trasera en tu ejecución de PHP.
8) Escanea tu sitio web y tu ordenador
Es importante escanear tu sitio web con regularidad para comprobar si hay malware, virus y código sospechoso. Si usas el plugin de Wordfence, esto se puede hacer yendo a Wordfence > Escanear y haciendo clic en ‘Iniciar nuevo escaneo’.
Si hay algún problema, Wordfence te sugerirá cómo solucionarlo y conseguir que tu sitio sea seguro de nuevo. Recomendamos realizar un escaneo al menos una vez al mes; si puede hacerlo con más frecuencia, mejor aún.
Sin embargo, no sirve de nada confiar en tener un sitio seguro si el ordenador desde el que se opera el sitio está pinchado o infectado. Por lo tanto, asegúrese de escanear su ordenador o dispositivo con regularidad.
Debería utilizar un buen software antivirus en su dispositivo, y asegurarse de actualizar su sistema regularmente. También te recomendamos que compruebes la configuración de privacidad de tu navegador para evitar ser hackeado mientras navegas por Internet.
9) Utiliza HTTPS
Tener un sitio HTTPS significa que las comunicaciones entre tu sitio web y los navegadores de los usuarios están cifradas. Por lo tanto, esta es otra forma clave de evitar el hackeo.
Si aún no tienes un sitio HTTPS, es muy sencillo de trasladar. Sólo tienes que conseguir un certificado SSL (Secure Sockets Layer), que está disponible para todos los sitios web, de forma gratuita, en Let’s Encrypt.
Si ya tienes un certificado SSL, entonces asegúrate de establecer un recordatorio en el calendario para renovarlo cada dos años. De lo contrario, es fácil olvidarse y dejar que el estado HTTPS de tu sitio – y las buenas credenciales de seguridad – caduquen.
10) Haz una copia de seguridad, haz una copia de seguridad, haz una copia de seguridad.
Si bien nuestro último consejo no previene realmente el hackeo, es probablemente el paso más importante a tomar en caso de que tu sitio sea hackeado alguna vez.
Al hacer copias de seguridad regulares del sitio, puedes restablecer tu sitio de nuevo rápidamente si alguna vez es necesario. Si no hace una copia de seguridad, podría perder todo lo que haya diseñado, publicado o escrito en su sitio.
La forma de hacer una copia de seguridad de su sitio de WordPress dependerá del tipo de alojamiento que tenga. Asegúrese de hablar con su proveedor de alojamiento; es posible que incluyan copias de seguridad como parte de su paquete de alojamiento.
Alternativamente, hable con su agencia de WordPress o instale un plugin de copia de seguridad. Sea cual sea la forma en que lo hagas, asegúrate de hacer una copia de seguridad de tu sitio de WordPress con regularidad y almacena tus archivos de copia de seguridad de forma segura para que sepas que están ahí si alguna vez los necesitas.