Cuando inicié desarrollando sitios web, mi prioridad era que tuviera un diseño elegante y la seguridad de WordPress era mi última preocupación.

El día de hoy pienso diferente gracias a que me hackearon, la seguridad en WordPress es fundamental y pienso que todos los sitios que tengas en esta plataforma, debes blindarlos contra este tipo de ataques.

Tabla de Contenidos

¿Por qué un hacker estaría interesado en cualquier sitio web?

 

Antes de profundizar en la seguridad de WordPress, es importante comprender las razones detrás del hackeo de un sitio web.

Seguramente muchos pensamos algo así:

“¿Por qué un hacker estaría interesado en mi sitio? Solo es mi negocio local”

La mayoría de los hackeos son hechos por razones políticas, también podemos encontrar que los hackers usan los sitios como medio de distribución de malware.

En esencia, tu sitio web puede ser hackeado únicamente con fines criminales.

Existen diversas implicaciones negativas en un hackeo:

  • Tu sitio puede ser usado como proxy para SPAM
  • Un sitio hackeado daña la reputación de tu marca y te puede meter en líos con tus clientes e incluso con el mismo Google.
  • Los sitios hackeados regularmente le dan problemas a su proveedor de hosting, esto regularmente resulta en el cierre del sitio por parte de la empresa de hospedaje para evitar que contagie a los usuarios en el mismo servidor.
  • El costo de recuperación de un sitio hackeado puede variar mucho, ya que pudo ser algo pequeño que se soluciona reinstalando un respaldo del sitio, hasta una invasión total del sitio que implica la pérdida de toda tu información sin la opción de hacer la recuperación de tus archivos.

¿Crees que tu sitio es pequeño y nadie lo intentará hackear? Piénsalo nuevamente.

¿Cómo encuentra mi sitio un hacker?

 

Los hackers no hacen este trabajo manualmente, usan programas que tienen como propósito buscar sitios vulnerables.

Estos programas pueden rastrear miles de sitios por hora, verifican los aspectos generales de seguridad y una vez que encuentran un punto débil, tratan de hacer el hackeo por medio de ataques de fuerza bruta.

En WordPress y sus componentes se descubren continuamente vulnerabilidades y si no tienes un sitio seguro, lo único que va a ser seguro, será un hackeo.

[sta_anchor id=»alicia»]¿Cómo proteger tu sitio en WordPress? En la opinión de Alicia Rodríguez

 

Quisiera empezar con la opinión de un autor invitado, seguro conoces a Alicia Rodríguez.

Alicia es content strategist en SEMrush y es la responsable de la gestión de Twitter chats en SoMeChatES para empresas y profesionales.

El día de hoy nos da su mejor tip de seguridad en WordPress:


Garantizar la seguridad en tu blog o web de WordPress puede ser una tarea de titanes que no siempre se consigue.

Son muchos los aspectos que hemos de tener en cuenta en nuestros WordPress para no dejar puertas abiertas a aquellos que aprovechan cualquier resquicio en la seguridad de nuestros sitios para meternos en serios problemas.

Como Yoshio me ha pedido que te comparta el tip de seguridad que considero más importante, dejaré por el camino a algunos otros que considero imprescindibles como son la necesidad de controlar el spam o la recomendación de no instalar demasiados plugins.

A cambio, me centraré en un solo consejo que considero la primera decisión a tomar por el grado de importancia que tiene y porque es la llave que da paso al resto de consejos que os acabo de mencionar.

Me explico…

Si te pregunto cuál es la primera decisión importante a la que nos enfrentamos cuando arrancamos con nuestro blog o web, ¿qué me responderías?

No, no estoy pensando en el tema sobre el que escribir, voy a algo más técnico.

¡Piensa!

Eso es, ahora sí, efectivamente, me estoy refiriendo a la elección de hosting.

Elegir un buen hosting que nos de todas las coberturas que necesitamos es más que importante fundamental.

Y entre esas coberturas deberíamos “fijarnos” en que nos ofrezca el respaldo de un buen servicio técnico, que su servicio sea 24×7, que sea en nuestro idioma, que realice back ups periódicos o que cuente con reglas anti-hackeo.

Hasta que no tienes un problema “gordo” y pierdes contenidos o datos de importancia no eres capaz de calibrar todo lo que un buen hosting te puede ser de ayuda o por el contrario, te puede poner más difícil la no fácil situación por la que estás atravesando.

Hasta que no tienes una complicación fuera del horario de oficina normal y necesitas que te den una solución (independientemente de la hora que sea) no calibras lo fundamental que puede ser un servicio 24x7x365 (24 horas, 7 días a la semana, 365 días al año).

Hasta que no te enfrentas a un apuro técnico no valoras al 100% que un buen servicio ofrecido por tu hosting en este aspecto puede ser clave para que tu blog no esté caído durante más tiempo del necesario, dando una mala imagen ante tus lectores e influyendo incluso en la decisión de suscribirse de alguno de ellos.

Hasta que el conflicto con tu blog no se traduce en que has perdido los 150 artículos (por poner una cifra) que tenías escritos, maquetados y publicados; no caes en la cuenta de que los back ups periódicos que además de ti, realiza tu hosting son altamente importantes.

Hasta que no estás de lleno en una crisis no eres capaz de abarcar todo lo que se te puede venir encima y, si no has sido listo y has contratado un hosting que te cubra, seguirás arriesgándote a tener posibles futuros problemas de seguridad que podrías tener cubiertos.

Y ahora dime, en una escala de 0 a 10, ¿cuántos puntos le darías a la importancia de contratar un buen hosting que garantice tu seguridad WordPress? Me lo puedes contar en los comentarios de este post.

El hosting es solo una parte de que debes considerar en la seguridad de tu página web, sobre todo si pretendes que tu sitio sea un pilar que te ayude a ganar dinero.

Hay errores que impiden que un sitio web funcione bien, y peor aún, te hacen perder dinero.

¿Quieres saber cuáles son? Aquí te dejo un e-book GRATUITO.

 

Los 9 errores de tu sitio web que te están haciendo perder dinero

  • Cómo corregir en unos minutos los errores que te están costando dinero
  • Cómo evitar que Tu sitio web sea complejo y difícil de usar
  • Cómo hacer crecer tu cartera de clientes en internet

¿Cómo proteger tu sitio en WordPress? En la opinión de María Melchor

 

María Melchor también nos da sus mejores tips de seguridad en WordPress.

María es consultora estratégica de negocios especializada en marketing y ventas at Amitzy. Hoy nos comparte sus conocimientos:


Ninguna web, por desconocida y poco transitada que pensemos que sea, está a salvo del ataque de un hacker, así que vale la pena protegerla y el desconocimiento técnico no es excusa para no hacerlo. Sigue estos consejos fundamentales para proteger tu web:

1) Protege los accesos a las áreas privadas de tu web renombrando la cuenta de usuario «admin» que se crea por defecto durante la instalación de WordPress e instalando algún plugin que controle y limite los accesos a las mismas, de modo que no te puedan atacar con la técnica de «fuerza bruta» (probar múltiples combinaciones de usuarios y contraseñas hasta que alguna exista).

2) Cambia regularmente las contraseñas, utilizando cadenas alfanuméricas ininteligibles de al menos doce caracteres, incluyendo mayúsculas, minúsculas, números y caracteres especiales.

3) Mantenlo todo actualizado, tanto tus plugins y temas, como el propio WordPress. La mayoría de actualizaciones incorporan mejoras de seguridad que cierran las puertas a un posible ataque.

4) Realiza copias de seguridad con regularidad, tan a menudo como cambios incorpores. Existen muchísimos plugins que permiten programar copias de seguridad desasistidas. A la hora de escoger uno, procura que te permita guardar las copias en un servidor diferente a donde tienes alojada tu web y que copie también la base de datos.

Checklist de Seguridad de 32 Pasos

 

Quiero asegurarme de que estés bien preparado con todo el conocimiento para proteger por completo tu sitio en WordPress.

A continuación te muestro una lista de todo lo que debes hacer para proteger tus sitios.

Esta lista se divide en dos partes: la primera parte incluye medidas que TODOS deben implementar, la mayoría son básicas, como tener contraseñas fuertes. La segunda parte trata medidas más avanzadas de seguridad en WordPress para los que son un poco más cuidadosos con este tema.

Parte 1: Los pasos que TODOS deben seguir para proteger su sitio en WordPress

#1: Mantén tu sitio actualizado con la última versión de WordPress

 

Muchas veces he escuchado que las personas no quieren actualizar WordPress porque “la actualización puede afectar alguno de los plugins”.

Este razonamiento no es tan bueno. Si tuvieras que decidir entre tu sitio hackeado y un plugin afectado temporalmente. ¿Qué elegirías?

Los plugins que sean incompatibles con la última versión de WordPress, no funcionaran correctamente por poco tiempo. Pero un sitio hackeado es un problema mucho más grande.

Cada actualización del núcleo resuelve nuevos problemas de seguridad. Si el núcleo de tu WordPress no está actualizado, tu sitio web será vulnerable.

Si quieres actualizar el núcleo de tu WordPress de manera automática, puedes hacerlo a través del archivo wpconfig.php. Agrega el siguiente texto a tu archivo:

https://gist.github.com/raewrites/e6414aed587d9d138bdcbfa4ea1617c9

El problema es que ésto también permitirá actualizaciones nocturnas que probablemente no quieras. Así que debes agregar el siguiente texto a tu archivo functions.php para obtener sólo las versiones principales:

https://gist.github.com/raewrites/48593149797e756e1eff09e9c17fee9c

 

#2: No modifiques el núcleo de WordPress

 

¿Qué es lo que podrías hacer si necesitas cambiar la funcionalidad de WordPress?

A través de plugins podrás hacer cualquier modificación sin alterar el núcleo de WordPress.

Y claro, lo mismo aplica para plugins y temas. Si realizas algún ajuste al núcleo, ya no podrás actualizarlos a la última versión. Dejando a tu sitio listo para ser hackeado.

Existen otras formas de obtener la funcionalidad que necesites sin tocar el núcleo. Así que si tu programador te sugiere hacerle algún cambio, sal corriendo.

#3: Asegurate de que todos tus plugins estén actualizados

 

Los puntos débiles de seguridad se encuentran frecuentemente en los plugin de terceros. Hay un alto porcentaje de hackeos debido a algunos plugins populares que son vulnerables.

No vamos a exponerlos en éste momento. La mayoría de los software son vulnerables en algún momento de su existencia.

En cuanto se descubre un problema en un plugin, los desarrolladores lo arreglen lo antes posible y lanzan su actualización. En ese momento, es tu responsabilidad actualizarlo o quedarte a expensas de un ataque.

Ya sea que lo hagas manualmente o en automático, siempre mantén tus plugins actualizados.

Puedes habilitar actualizaciones automáticas de fondo para los plugins de WordPress.org cambiando el siguiente texto en tu archivo de functions.php.

https://gist.github.com/raewrites/f3bc81335177aef8d09cbb02e550b311

Reitero que esto solo funciona para los plugins que se descargan desde WordPress.org, cualquier actualización para plugins comerciales se debe actualizar mediante su propio mecanismo.

Te recomiendo que no descuides ést