Guía completa de seguridad en WordPress (para principiantes)

¿Estás buscando la mejor guía de seguridad en WordPress?

Mantener tu sitio web de WordPress seguro es importante, La seguridad en WordPress se hace esencial para mantener los intrusos fuera de tu web, y tener tu reputación online intacta (por no hablar de las posibles pérdidas económicas que puede ocasionar los fallos de seguridad=

Deseas tomar todas las precauciones necesarias para proteger tu sitio de hackers maliciosos, spammers e intrusos.

Proteger tu sitio web puede parecer una tarea complicada, especialmente para principiantes, pero en realidad no lo es.

En este artículo, compartiremos mi guía de seguridad definitiva de WordPress (enfocada a personas con pocos conocimientos de seguridad) para que puedas proteger fácilmente tu web.

Como este artículo es largo, aquí hay una tabla de contenidos para ayudarte a navegar los pasos que veremos:

¿Está tu WordPress en riesgo?

Si ejecutas un sitio web de una pequeña empresa o deseas iniciar un blog personal de WordPress , puedes pensar que tu web no está en riesgo.

Pero sí. Todos los sitios web corren el riesgo de ser pirateados, desde sitios web de comercio electrónico gigantes hasta pequeños sitios web personales.

También podrías pensar que, dado que WordPress es la plataforma más popular para crear sitios web, tu sitio es totalmente seguro.

Pero eso tampoco es completamente cierto. Si bien el software principal de WordPress es muy seguro, todavía hay otros pasos que debes seguir para proteger aún más tu sitio web.

Además, la gran popularidad de WordPress es en parte lo que atrae a estos cibercriminales a tu web.

Solo echa un vistazo a estas estadísticas de WordPress:

• El 83% de todos los sitios web basados ​​en CMS que fueron pirateados en 2017 ejecutaban WordPress, lo cual tiene sentido ya que WordPress posee el 60% de la participación de mercado de CMS.
• Los hackers atacan sitios de WordPress tanto grandes como pequeños, con más de 90.978 ataques por minuto.
• Las cuatro infecciones de malware de WordPress más comunes son Backdoors, descargas automáticas, piratas farmacéuticos y redireccionamientos maliciosos.
• Google pone en la lista negra alrededor de 20.000 sitios web para malware y alrededor de 50.000 para phishing, todas las semanas.
• Wordfence bloqueó 3.236.017.356 ataques en sitios de WordPress en los últimos 30 días.

Como puedes ver en estas estadísticas, cualquier persona con un sitio de WordPress está en riesgo de sufrir un ataque, por lo que es extremadamente importante reforzar la seguridad en WordPress.

Un sitio web pirateado puede costarte mucho dinero y dañar la reputación de tu negocio.

Si vendes productos online o recolectas pagos en línea e información confidencial de tus clientes, proteger tu sitio web debe ser una prioridad. Los hackers pueden robar la información privada, las contraseñas, la información de la tarjeta de crédito y más de tus clientes.

Tampoco tienes que preocuparse por el robo de información confidencial. Los piratas informáticos también suelen hacerse cargo de tu sitio web y su contenido para instalar software malicioso e incluso pueden distribuir malware a tus usuarios también. Incluso podrían pedirte dinero de rescate para recuperar el acceso a tu propio sitio web.

Algunos hackers ni siquiera necesitan una razón para atacar tu sitio web, algunos lo hacen solo por «diversión».

Proteger tu sitio web de WordPress no es algo que quieras ignorar. Hay una serie de pasos sencillos que puedes seguir, incluso si no tienes conocimientos técnicos.

Profundicemos en el primer paso fácil en nuestra guía de seguridad de WordPress.

¿La forma más fácil de proteger tu sitio? Utiliza un buen plugin de seguridad en WordPress

La manera más fácil y efectiva de proteger tu sitio web de WordPress es instalar un plugin de seguridad de WordPress.

Un plugin de seguridad de WordPress protegerá tu sitio de daños y te tranquilizará saber que tu sitio está a prueba de piratería, sin necesidad de entrar en nada técnico.

Los mejores plugins de seguridad de WordPress deben venir con las siguientes características:

• Escaner : un buen plugin de seguridad escaneará tu sitio web regularmente para encontrar malware y otras amenazas potenciales.
• Cortafuegos : los cortafuegos (o Firewall), controlan todo el tráfico a tu sitio y evitan los bots vulnerables que intentan llegar al servidor de tu web.
• Eliminación y correcciones : tu plugin de seguridad debe garantizar la eliminación de malware y correcciones en tu sitio en caso de que lo ataquen.

Como hay tantos plugins de seguridad de WordPress disponibles, es difícil determinar cuál de ellos ofrecerá a tu sitio web la mayor protección.

Para ayudarte a elegir el mejor plugin de seguridad para tu WordPress, aquí hay algunas sugerencias:

1. Sucuri

Sucuri es una buena elección como plugin de seguridad en WordPress.

Sucuri es una solución completa de seguridad de sitios web basada en la nube que protegerá tu sitio contra malware, ataques de fuerza bruta y cualquier otra amenaza potencial.

Cuando usas Sucuri, todo el tráfico de tu sitio web pasa a través de sus servidores CloudProxy y cada solicitud se escanea para filtrar las solicitudes maliciosas. Esto no solo protege tu sitio web, sino que también reduce la carga del servidor y mejora el rendimiento y la velocidad de tu sitio.

Sucuri también informa posibles amenazas de seguridad al equipo central de WordPress y a los cplugins de terceros, cuenta con un paquete antivirus que monitorea tu sitio cada 4 horas en busca de amenazas, realiza un seguimiento de todo lo que sucede en tu sitio web y más.

2. Sitelock

SiteLock es otro increíble plugin de seguridad de WordPress.

Viene con todas las características que necesitas para proteger tu sitio, incluidos los análisis de malware, el firewall de aplicaciones web administradas, la prevención de DDoS y más.
Su tecnología basada en la nube despliega y protege tu sitio en minutos, por lo que funciona súper rápido para encontrar, reparar y prevenir vulnerabilidades.

Todos los días, SiteLock analiza tus plantillas , plugins y archivos de WordPress en busca de posibles vulnerabilidades que podrían hacer que tu sitio aparezca en la lista negra.
Además, cuando SiteLock encuentra y corrige automáticamente cualquier vulnerabilidad, te proporciona un informe fácil de entender para que puedas obtener más información sobre la seguridad.

3. Wordfence

Wordfence es otro poderoso plugin de seguridad de WordPress que ofrece todo lo que necesitas para proteger tu sitio web.

Wordfence ofrece un plugin gratuito que incluye características importantes como firewall de aplicaciones web, escáner de malware y protección contra ataques de fuerza bruta. Lo cual es perfecto si recién estás comenzando y necesitas una solución de protección rentable.

Con Wordfence Premium obtienes acceso a funciones aún más potentes como listas negras de IP en tiempo real, actualizaciones de firmas de malware y reglas de firewall en tiempo real, autenticación de 2 factores, bloqueo de país y más.

El único inconveniente de Wordfence es que se ejecuta en su propio servidor, en lugar de estar basado en la nube como los otros plugins de seguridad.

4. iThemes Security Pro

Otra opción bastante potente que te dará seguridad en WordPress. Y aunque su versión gratuita no está mal, aquí vale la pena su opción Pro, con más de 20 medidas de seguridad para wordpress.

Ofrece protección contra fuerza bruta, detección de cambios de archivos, y un sinfín de medidas adicionales. 

Va por módulos y activarlos es muy simple. Con pocos clicks tendrás tu sitio bastante seguro

Elige un alojamiento seguro de WordPress

Elegir un hosting seguro de WordPress es otro paso importante para garantizar la seguridad de tu sitio web.

He visto blogs y webs caer como moscas por estar alojadas en alojamientos poco o nada seguros, y no me refiero solamente a cortes de tráfico.

Una buena solución de hosting compartido siempre tomará las medidas necesarias para proteger sus servidores de las amenazas.

Los proveedores de alojamiento compartido como LucusHost y Raiola siempre están monitoreando su red en busca de actividad sospechosa, por lo que es una cosa menos de la que debes preocuparte.

Los proveedores de hosting como estos también mantendrán actualizado el software y el hardware de su servidor, contarán con herramientas para prevenir ataques DDoS y contarán con planes para proteger sus datos en caso de que ocurra un incidente en la seguridad en WordPress.

De hecho, en el caso de LucusHost, tienen la plataforma monitoreada 24/7, y todos sus planes de hosting tienen CageFS para mantener totalmente aisladas las cuentas del servidor e Imunify360, el mejor software de seguridad web, que comprende todas las amenazas de seguridad y utiliza la tecnología IA para para prevenir ataques maliciosos. 

Otra característica de seguridad clave que debería venir con el alojamiento de WordPress es un certificado SSL.

Un certificado SSL ayuda a asegurar la conexión entre tu sitio web y tus visitantes, lo que ayuda a mantener segura la información personal, las transacciones de comercio electrónico y otros datos confidenciales.

Recomiendo usar LucusHost para alojar tu sitio de WordPress. (Además, tengo un 20% de descuento para ti)

Usa contraseñas seguras y únicas

Otra forma súper fácil de proteger mejor tu sitio web, y por tanto mejorar la seguridad en WordPress, es mediante el uso de contraseñas seguras y únicas.

El 8% de las infracciones de seguridad en WordPress ocurren como resultado de una contraseña débil.

Elegir una contraseña segura es un cambio simple que puedes hacer para proteger su sitio web de intrusos.

Si tienes una contraseña como «tequieropaula» o incluso el temido «12345678», cámbiala ahora mismo.

Echa un vistazo a los siguientes consejos sobre cómo elegir una contraseña segura:

• Hazlo más largo : un programa de descifrado de códigos solo tarda 15 minutos en descubrir una contraseña de 8 caracteres. Haz su contraseña de al menos 10 caracteres de longitud.
• Hazlo único : no elijas frases comunes o una palabra elegida directamente del diccionario, haz que tu contraseña sea única.
• Combínalo : agrega caracteres especiales, números y una combinación de letras mayúsculas y minúsculas.
• No uses datos personales : evita usar datos personales en tu contraseña como tu fecha de nacimiento, número de Seguro Social, dirección o nombre del perro.

Si no quieres crear una contraseña segura por tu cuenta, puedes probar ésta herramienta gratuita de generación de contraseñas seguras.

Elige un nombre de usuario seguro para el administrador de WordPress

Si bien estamos en el tema de crear una contraseña segura, también debes elegir un nombre de usuario seguro para tu administrador de WordPress.

Es uno de los aspectos más importantes de la seguridad en WordPress.

Un nombre de usuario seguro es tan importante como elegir una contraseña segura. Porque, por supuesto, si un hacker está intentando ingresar a tu sitio web, necesita descifrar tu contraseña y nombre de usuario.

Un nombre de usuario común que los usuarios de WordPress eligen es «admin» o su nombre. Y… Adivina qué nombre de usuario va a probar primero un Hacker…

Si tienes un nombre de usuario simple, estás haciendo que sea mucho más fácil para los hackers obtener acceso a tu sitio. Por lo tanto, debes crear un nombre de usuario más seguro.

Elige un nombre de usuario que no esté relacionado con el contenido de tu sitio web, no incluya información personal o detalles, y conviértelo en algo que sea único para ti y que sea difícil de adivinar para otras personas.

También puedes ocultar tu nombre de usuario para que no se muestre en tu sitio web para que los hackers no puedan verlo.

En tu panel de WordPress, ves a Usuarios , luego a Tu perfil . Ves al campo «Mostrar nombre públicamente»  y elige la opción para mostrar un apodo en lugar de tu nombre de usuario.

Sigue las mejores prácticas de plugins y temas de WordPress

Una de las ventajas de usar WordPress es tener acceso a miles de plugins y temas gratuitos. Pero algunos de estos pluginsy plantillas en realidad pueden amenazar la seguridad de tu sitio web.

De hecho, casi el 50% de los sitios de WordPress se ven afectados por una vulnerabilidad de seguridad causada por un plugin o tema de WordPress desactualizado o mal codificado.

Por este motivo, debes tener cuidado con los temas y plugins que elijas descargar e instalar, otro tema esencial de la seguridad en WordPress.

En general, la mejor manera de elegir plugins y temas seguros de WordPress es elegir los plugins más populares del Directorio de complementos oficiales de WordPress.

Hay seguridad en los números. Si mucha gente está usando un complemento o un tema y tiene muchas críticas excelentes, lo más probable es que sea un excelente plugin que se actualice comunmente y no te abra a ninguna vulnerabilidad.

Si una plantilla o tema rara vez se actualiza, tiene muchas críticas negativas de los clientes o carece de soporte, probablemente no sea un plugin o plantilla que debas usar.

Para saber fácilmente cuándo se actualizó por última vez un plugin, ves a la página del plugin en el Directorio oficial de WordPress. En la esquina superior derecha de la página, puedes ver cuándo se actualizó por última vez.

Nota: No descargues ningún plugin sin antes investigar. Asegúrate que plantillas y plugins sean confiables y seguros.

Mantén actualizado tu WordPress

El siguiente paso en esta guía de seguridad en WordPress es mantener actualizado tu WordPress.

Mantener actualizado WordPress es importante para protegerse contra las vulnerabilidades. De hecho, el 39% de los sitios web pirateados de WordPress estaban usando una versión desactualizada del software.

La razón por la que estos plugins y WordPress obtienen actualizaciones periódicas suele ser para agregar mejoras de seguridad y correcciones de errores, por lo que debes mantenerte actualizado.

Dado que WordPress es un software de código abierto, se mantiene y actualiza regularmente. Si bien WordPress instala automáticamente actualizaciones menores, para las actualizaciones principales debes iniciar manualmente la actualización. 

También debes mantener actualizados todos los plugins que has instalado junto con tu WordPress.

Afortunadamente, WordPress facilita mantener actualizado tu sitio.

En su panel de WordPress, verás una sección de Actualizaciones . Cada vez que se necesite una actualización, recibirás una notificación al respecto. Simplemente haz clic en Actualizaciones y verás qué complementos deben actualizarse. Puedes seleccionar cada complemento y hacer clic en el botón Actualizar complementos para actualizar al instante.

Instala un plugin de copia de seguridad de WordPress.

Una de las claves en tu seguridad en WordPress son las copias de seguridad y epicentro de los primeros esfuerzos.

En el caso de que tu sitio web se infecte con virus o malware o tu sitio se vea comprometido por un hacker, es importante que tu sitio esté respaldado. Idealmente, querrás una copia de seguridad completa de todo tu sitio web, incluida su base de datos y todos sus archivos de WordPress. Esto puede parecer un proyecto complicado y que requiere mucho tiempo, pero afortunadamente, hay una serie de increíbles plugins de respaldo de WordPress que harán todo el trabajo por ti.

Estas son algunas de mis sugerencias para los mejores plugins para proteger y hacer una copia de seguridad de WordPress:

1. UpdraftPlus

Con más de 1 millón de instalaciones activas, UpdraftPlus es uno de los plugins de respaldo más populares que existen.

UpdraftPlus ofrece una versión gratuita y de pago, y con ambos, puedes configurar fácilmente copias de seguridad completas, manuales o programadas de todos los archivos de tu sitio web. Eso incluye su base de datos, plugins y temas.
Puede realizar una copia de seguridad en la nube directamente en Dropbox, Google Drive, Amazon S3 y más servicios. Además, puedes restaurar sus archivos con 1 clic, sin necesidad de ser un genio informático.

2. BackupBuddy

BackupBuddy ha estado protegiendo medio millón de sitios web desde 2010, por lo que es otra opción popular en plugins de respaldo.

Con solo unos pocos clics, BackupBuddy hará una copia de seguridad de todo tu sitio web de WordPress directamente desde su panel de WordPress.

Una vez que hagas una copia de seguridad de las páginas, publicaciones, temas, plugins, cargas de la biblioteca multimedia y demás, BackupBuddy te proporcionará un archivo zip descargable de todo tu sitio de WordPress. Entonces, si alguna vez te piratean, todo tu trabajo duro se guardará. Este punto es clave en tu seguridad en WordPress.

Limitar los intentos de inicio de sesión

Protege a los piratas informáticos de ingresar a tu WordPress limitando los intentos de inicio de sesión.

Por defecto, WordPress permite a los usuarios intentar iniciar sesión tantas veces como lo deseen. Esto no es ideal si deseas evitar que los hackers intenten descifrar tu contraseña e ingresar a tu sitio web. Por lo tanto, limita los intentos de inicio de sesión para evitar el descubrimiento de contraseña con la técnica de fuerza bruta.

Si estás utilizando un plugin de seguridad con un firewall de aplicación web como lo recomendé anteriormente, tu plugin de seguridad lo cubre. Pero si no, querrás descargar un plugin como Login LockDown.

Login LockDown registra la dirección IP y la marca de tiempo de cada intento fallido de inicio de sesión. Si se detectan más de un cierto número de intentos en un corto período de tiempo desde el mismo rango de IP, la función de inicio de sesión se desactiva para todas las solicitudes de ese rango de IP.

Cerrar sesión a usuarios inactivos automáticamente

¿Sabías que cuando los usuarios dejan sus pantallas desatendidas (como dejar tu sitio web abierto y alejarse de tu ordenador) en realidad es un riesgo de seguridad para tu web?

Cuando un usuario se aleja de su pantalla, los intrusos pueden hacerse cargo de su sesión, cambiar tu contraseña o cambiar otra información confidencial de la cuenta. Para evitar que esto suceda, instala un complemento como Inactive Logout .

Señales de que tu WordPress ha sido pirateado

Si eres nuevo en esto, creas sitios web y te preocupa la seguridad en WordPress, es posible que te preguntes cómo puedes saber si tu WordPress ha sido pirateado.

Es importante reconocer que tu sitio ha sido pirateado lo antes posible. Debido a que cuanto más tiempo tengan acceso los piratas informáticos a tu sitio sin que se den cuenta, más daño pueden causar.

Por lo tanto, consulta esta lista de signos de que tu sitio de WordPress ha sido pirateado:

• No se puede iniciar sesión en el administrador de WordPress : si no puedes iniciar sesión en tu administrador de WordPress y sabes que no es porque olvidaste tu contraseña, es una señal de que un intruso ha obtenido acceso a tu sitio y ha cambiado tus datos de inicio de sesión.
• Sitio web lento o que no responde: Si tu web tarda más de lo normal en cargarse o no responde, es una buena posibilidad que tu sitio web haya sido pirateado. Esto puede suceder cuando un pirata informático agrega un fragmento de código a tu web o un ataque conocido como Denegación de servicio (DoS – Denial of Service, en inglés).
• Página de inicio borrada: Si la página de inicio de tu web cambia de aspecto o muestra un mensaje del hacker, es una clara señal de que has sido pirateado.
• Caída repentina del tráfico: los piratas informáticos pueden redirigir el tráfico fuera de tu sitio web, por lo que si ves una caída repentina y drástica en el tráfico de tu sitio web, es posible que hayas sido pirateado.
• Ventanas emergentes o anuncios no deseados: si ves ventanas emergentes o anuncios no deseados en tu sitio web que no has colocado allí, has sido pirateado por intrusos que intentan enviar el tráfico de tu web a un sitio web no deseado o ilegal.
• Cuentas de usuario sospechosas: ver cuentas de usuario sospechosas en WordPress es otra señal de que has sido pirateado. Si tu sitio tiene registro abierto y no tienes protección contra correo no deseado, se pueden crear muchas cuentas de correo no deseado, lo cual no es gran cosa. Pero si no tienes un registro abierto y encuentra cuentas de usuario sospechosas con privilegios de administrador, es una señal de que has sido pirateado.
• Actividad inusual en los registros del servidor: los registros del servidor son archivos de texto simples que mantienen un registro de las diversas actividades que se realizan en tu sitio web. Puedes verificar estos registros en tus paneles de WordPress en Estadísticas . Si encuentra actividad inusual en tus registros, podría ser porque has sido pirateado.

Si no tienes un plugin de seguridad que vigile las actividades sospechosas para ti, debes estar atento a los signos de piratería. Cuanto antes atrapes a un intruso, antes podrás hacer que tu sitio web sea seguro nuevamente.

Qué hacer si tu sitio ha sido pirateado

Si ves alguno de los signos anteriores en tu sitio web de WordPress, probablemente comenzarás a entrar en pánico.

Si tu sitio web nunca ha sido pirateado antes, es difícil saber cuál es el siguiente paso que debes seguir. Pero no te preocupe,s puede recuperar tu sitio web.

El primer paso para arreglar un sitio web pirateado es identificar el área del problema. Usa los criterios de la sección anterior para averiguar de dónde viene el hack. Por ejemplo, ¿no puede iniciar sesión en el administrador de WordPress? ¿O está tu sitio redirigiendo a los usuarios a un sitio web diferente? Necesitarás saber cuál es el problema para solucionarlo.

Luego, contacta con tu empresa de hosting. La mayoría de las empresas de hosting serias tienen experiencia en este tipo de situaciones y se preocupan por la seguridad en WordPress, por lo que deberían poder ayudarte a solucionar el problema.

Incluso pueden brindarle información adicional sobre cómo el hacker obtuvo acceso a tu sitio para que puedas evitar que vuelva a suceder en el futuro. Tu empresa de hosting también debería poder ayudarte a resolver el problema por completo, pero si no, también tienes otros lugares a los que puedes recurrir.

Ahora, si tu empresa de alojamiento puede arreglar tu sitio web pirateado, eso no significa que estés completamente solo. Puedes recurrir a un servicio que ofrezca reparar sitios web pirateados como Sucuri o Revoluziona.

Revoluziona no solo protege tu sitio web de posibles ataques, sino que si tu sitio es pirateado, también pueden solucionarlo.

Con Sucuri puedes elegir su plan de precios según la rapidez con que deseas que sea su tiempo de respuesta, el tiempo de respuesta garantizado es de 4 horas. Una vez que tu sitio web esté arreglado, recibirás un informe completo.

Si deseas evitar que todo esto ocurra, Revoluziona tiene un plan de mantenimiento y seguridad, llamado Mantys, que realiza mensualmente todas las tareas que hemos mencionado aquí, y además:

• Recibes mensualmente un informe de todo lo realizado.
• Recibirás en tu email consejos de seguridad y sugerencias de ciberseguridad.
• Trato muy personalizado
• Seguridad en WordPress a un precio increíble, al alcance de cualquiera.

Espero que esta guía de seguridad en WordPress, te haya ayudado a aprender cómo proteger tu sitio web de todo tipo de atacantes e intrusos.

La seguridad en WordPress no tiene que ser difícil, solo implementa estos consejos y tu sitio estará seguro.