Protegiendo WordPress de los Ciberdelincuentes
La ciberseguridad es un campo de batalla que cambia rápidamente y requiere conciencia, vigilancia continua y una respuesta consolidada de todos los involucrados. La tecnología superior, las ventajas de la información y los aliados adecuados son claves importantes para el éxito de la misma.
Otro punto importante es lo emocionante y abrumador que resulta crear nuestro propio sitio en WordPress, hay muchas cosas que debe hacer para configurar todo, desde elegir un tema, etc. Sin embargo, el único factor que muchas personas descuidan es la seguridad.
Pero… ¿Qué es WordPress?
Con su código limpio, interfaz fácil de usar y soporte para complementos intercambiables, WordPress es el sistema de administración de contenido (CMS) preferido por millones de webmasters experimentados; Con la plataforma, puede construir rápidamente un sitio web completamente funcional sin meterse con el complicado código HTML y CSS.
Sin embargo, al igual que otras plataformas CMS, WordPress no es inmune a los ciberataques. Si un pirata informático obtiene acceso de administrador a su sitio, tendrá el control total de su sitio incluso pudiese llegar a controlar el sistema operativo donde se encuentra hospedado o enviar malware a los visitantes.
Sabías que…
Hay muchas cosas que puedes hacer para asegurar tu sitio y evitar que los ciber delincuentes te afecten.
Lo último que quieres que suceda, es despertar una mañana para descubrir el sitio en ruinas. Por eso, hoy vamos a compartir algunos consejos, estrategias y técnicas para que puedas utilizar y mejorar la seguridad de WordPress y mantenerlo protegido.
19 consejos importantes de seguridad de WordPress
1. Invierta en alojamiento seguro de WordPress: El refuerzo del servidor es la clave para mantener un entorno de WordPress completamente seguro. Se necesitan varias capas de medidas de seguridad en cuanto a hardware y software con el fin de garantizar que la infraestructura de TI que aloja los sitios de WordPress sea capaz de defenderse de amenazas sofisticadas, tanto físicas como virtuales.
Por esta razón, los servidores que alojan WordPress deben permanecer actualizados, así como realizar continuas evaluaciones de seguridad en busca de vulnerabilidades y malware.
2. Utilice la última versión de PHP: PHP es la columna vertebral de su sitio de WordPress, por lo que utilizar la última versión en su servidor es muy importante.
3. Utilice nombres de usuario y contraseñas inteligentes: Evite usar el clásico usuario «Admin» y elija un nombre poco tradicional. Además de usar frases en lugar de contraseñas «complejas».
Ejemplo: «El mejor día de mi vida.»
4. Aproveche la autenticación de dos factores: La autenticación de dos factores (2FA) reduce significativamente el riesgo de que los ciber delincuentes accedan a las cuentas en línea, bloqueando el 96% de los ataques de phishing masivo.
5. Utilice HTTPS para conexiones cifradas: certificado SSL: Una de las formas que más se pasa por alto para reforzar la seguridad de WordPress es instalar un certificado SSL y ejecutar su sitio a través de HTTPS. HTTPS (Protocolo seguro de transferencia de hipertexto) es un mecanismo que permite que su navegador o aplicación web se conecte de forma segura con un sitio web.
6. Agregue los últimos encabezados de seguridad HTTP: Otro paso que puede tomar para fortalecer la seguridad de WordPress es aprovechar los encabezados de seguridad HTTP. Por lo general, se configuran en el nivel del servidor web y le indican al navegador cómo debe comportarse al manejar el contenido de su sitio. Hay muchos encabezados de seguridad HTTP diferentes, pero a continuación se encuentran los más importantes:
- Política de seguridad de contenido
- Protección X-XSS
- Seguridad de transporte estricta
- Opciones de X-Frame
- Pines de clave pública
- X-Content-Type
7. Utilice siempre la última versión de WordPress, plugins y temas: Otra forma muy importante de reforzar la seguridad de WordPress es mantenerlo siempre actualizado. Esto incluye el núcleo, los complementos y los temas de WordPress (tanto los del repositorio de WordPress como los premium). Estos se actualizan por una razón y muchas veces incluyen mejoras de seguridad y correcciones de errores.
8. Escanee su sitio en busca de malware: Adoptar un enfoque proactivo hacia la supervisión de la seguridad es fundamental. Eso significa escanear su sitio de vez en cuando en busca de virus y malware. Existe una amplia gama de complementos dedicados, así como escáneres de terceros. La lista incluye:
- Sucuri
- WPSec
- ScanWP
Al escanear el sitio web, podrá detectar el riesgo de violaciones de seguridad en lugar de tener que lidiar con los ataques reales a medida que ocurren.
9. Deshabilite la ejecución de PHP cuando no sea necesario: Si bien WordPress realiza automáticamente la ejecución de archivos PHP para todos los directorios del sitio web, es mejor que lo desactive para directorios como /wp-content /uploads /.
Abra un editor de código y pegue el siguiente código:
<Archivos * .php>
Deny all
</Files>
Guarde el documento en formato .htaccess dentro del directorio que desea proteger.
10. Cree copias de seguridad de sitios web: Gracias a realizar copias de seguridad su sitio web con regularidad, podrá restaurar el sitio web después de una brecha de seguridad.
11. Crea un prefijo de base de datos único: Es una forma sencilla de proteger un sitio web de las inyecciones de SQL. En lugar de un prefijo wp- predeterminado, cree uno personalizado – namewp- wpentry-, y así sucesivamente.
12. Personaliza la página de inicio de sesión: La mayoría de los usuarios saben que escribir /wp-login o /wp-admin junto al sitio web alojado en WordPress es una forma de acceder a la pestaña de inicio de sesión. Naturalmente, esas son también las combinaciones más famosas probadas por los piratas ciber delincuentes.
Personalizar la URL de una página de inicio de sesión es el primer paso para reducir la posibilidad de que el sitio web sea pirateado. Al crear una nueva dirección como «salida» o «guarida», reducirá el riesgo de que un ataque de fuerza bruta tenga éxito.
13. Verifique los permisos de archivos y servidores: Los permisos de archivo tanto en la instalación como en el servidor web son cruciales para reforzar la seguridad de WordPress. Si los permisos son demasiado flojos, alguien podría acceder fácilmente a su sitio y causar estragos. Por otro lado, si sus permisos son demasiado estrictos, esto podría interrumpir la funcionalidad de su sitio. Por eso es importante tener los permisos correctos establecidos en todos los ámbitos.
Permisos de archivos:
- Los permisos de lectura se asignan si el usuario tiene derechos para leer el archivo.
- Los permisos de escritura se asignan si el usuario tiene derechos para escribir o modificar el archivo.
- Los permisos de ejecución se asignan si el usuario tiene los derechos para ejecutar el archivo y / o ejecutarlo como un script.
Permisos de directorio:
- Los permisos de lectura se asignan si el usuario tiene los derechos para acceder al contenido de la carpeta / directorio identificado.
- Los permisos de escritura se asignan si el usuario tiene los derechos para agregar o eliminar archivos que se encuentran dentro de la carpeta / directorio.
- Los permisos de ejecución se asignan si el usuario tiene los derechos para acceder al directorio real y realizar funciones y comandos, incluida la capacidad de eliminar los datos dentro de la carpeta / directorio.
14. Protección DDoS: DDoS es un tipo de ataque DOS en el que se utilizan varios sistemas para atacar un solo sistema y provocar un ataque de denegación de servicio (DoS).
¿Qué puedes hacer para protegerte? Una de las mejores recomendaciones es utilizar un servicio de seguridad de terceros de buena reputación como Cloudflare o Sucuri. Incluso de ser posible si el sitio es muy concurrido combinarlos con una arquitectura de alta disponibilidad con balanceadores de carga y un CDN o Content Delivery Network.
15. Limitar el número de intentos de inicio de sesión: Puede limitar la cantidad de intentos de inicio de sesión permitidos por su sitio instalando plugins como WP Limit Login Attempts. Si alguien intenta iniciar sesión en su sitio web con la combinación incorrecta de nombre de usuario y contraseña cinco o más veces consecutivas, el Plugins lo bloqueará durante 10 minutos.
16. Reduzca la cantidad de plugins a utilizar al mínimo necesario: La mayoría de los fallos de seguridad se deben a vulnerabilidades en los plugins; a mayor número de plugins utilizado mayor es el riesgo de ser víctima de un ciberataque.
17. Renombre o elimine los archivos readme de los plugins: Esto reducirá y frustrará ampliamente el proceso de reconocimiento por parte del atacante dejándolo casi a ciegas.
18. Oculte la versión del wordpress: Al igual que el punto anterior reducirá la visión del atacante, limitando con esto la superficie de ataque.
19. Incorpore una solución WAF: Los Web Application Firewalls son una solución a una gran cantidad de ataques web más comunes como los indicados por la OWASP por lo que nunca debe faltar. Uno de los muchos que existen es el WordFence.
Existen muchas más medidas de seguridad a utilizar sin embargo hemos mencionamos las que consideramos a nuestro criterio más importantes para reducir el riesgo de un ciberataque.
Comparación de infecciones de Sistemas de Gestión de Contenidos (2018/2019)
Resumen
Como podemos ver, existen numerosas formas de reforzar la seguridad de su sitio web. Para muchos de ustedes, su sitio en WordPress es su imagen y la de su negocio, por lo que es importante tomarse un tiempo e implementar algunas de las mejores prácticas de seguridad mencionadas anteriormente, más temprano que tarde.
Si quieres conocer más de este maravilloso CMS puedes visitar su sitio web. wordpress.org