Lista de verificación de seguridad de WordPress (2023): cómo mantener seguro su sitio web

Mientras lees esto, hay más de 60.000 complementos disponibles en el repositorio de WordPress.

¡Esa es la belleza de WordPress!

Pero también, potencialmente, la peor pesadilla de todo propietario de un sitio. De hecho, un enorme 56% de las vulnerabilidades de WordPress están asociadas con complementos y el complemento de seguridad WordFence bloqueó más de 86 mil millones de ataques a contraseñas solo en 2021.

Ya sea que haya sido pirateado o simplemente quiera protegerse contra intenciones maliciosas, esta lista de verificación de seguridad lo ayudará a defenderse de cualquier ataque cibernético.

Por qué la seguridad de WordPress es importante para su negocio en línea

Con una participación de mercado del 64,2%, es seguro decir que la seguridad de WordPress es esencial para 810 millones de sitios web en todo el mundo, sin importar la industria, el tamaño y la reputación. Este es el por qué.

• Protección de datos: su sitio web contiene datos confidenciales, incluida información del cliente, detalles de pago y contenido relacionado con el negocio. Garantizar su seguridad es crucial para evitar filtraciones de datos y proteger su reputación.
• Mantener la confianza del cliente: un sitio web seguro fomenta la confianza entre sus visitantes y clientes. Cuando las personas saben que sus datos están seguros, es más probable que interactúen con su sitio y realicen compras.
• Prevención del tiempo de inactividad: las infracciones de seguridad, los ataques o las infecciones de malware pueden provocar un tiempo de inactividad del sitio web. Esto no sólo interrumpe sus operaciones comerciales, sino que también daña su presencia en línea y sus resultados.
• Evitar consecuencias legales: las violaciones de datos y los problemas de seguridad pueden generar responsabilidades legales, incluidas multas y demandas, especialmente si los datos de los clientes se ven comprometidos.
• Mejora del SEO: los motores de búsqueda como Google dan prioridad a los sitios web seguros en sus clasificaciones. Un sitio seguro con un certificado SSL y medidas de seguridad sólidas puede mejorar la visibilidad de su motor de búsqueda.

¿Cuáles son algunos problemas comunes de seguridad de WordPress?

Aunque la plataforma WordPress se considera generalmente segura, su tecnología de código abierto puede introducir varias vulnerabilidades a través de complementos y temas, SQL, CSRF, vulnerabilidades de archivos, alojamiento inseguro y más.

Algunas preocupaciones de seguridad populares de WordPress incluyen:

• Software obsoleto: no actualizar el núcleo, los temas y los complementos de WordPress con regularidad puede dejar su sitio vulnerable a vulnerabilidades de seguridad conocidas.
• Contraseñas débiles: el uso de contraseñas débiles o fáciles de adivinar facilita que los atacantes obtengan acceso no autorizado a su sitio.
• Vulnerabilidades de complementos: elegir agregar complementos inseguros a su pila tecnológica presenta a atacantes maliciosos oportunidades para piratear su sitio web.
• Ataques de fuerza bruta: los atacantes intentan obtener acceso probando repetidamente diferentes combinaciones de nombre de usuario y contraseña hasta que encuentran la correcta.
• Inyección SQL: esto ocurre cuando un atacante inserta código SQL malicioso en los campos de entrada de su sitio, obteniendo potencialmente acceso a su base de datos e información confidencial.
• Cross-Site Scripting (XSS): los atacantes inyectan scripts maliciosos en páginas web vistas por otros usuarios, lo que puede provocar el robo de datos o la destrucción del sitio.
• Falsificación de solicitudes entre sitios (CSRF): consiste en engañar a los usuarios autenticados para que ejecuten acciones maliciosas sin su conocimiento.
• Explotaciones de inclusión de archivos: los atacantes aprovechan las entradas de usuario mal desinfectadas para incluir archivos maliciosos en su servidor.
• Spam y malware: no protegerse contra comentarios spam y malware puede llevar a un sitio comprometido.
• Phishing: los atacantes pueden utilizar páginas de inicio de sesión o correos electrónicos falsos para engañar a los usuarios para que revelen sus credenciales de inicio de sesión u otra información confidencial.
• Fugas de datos: los sitios mal configurados o los servicios de terceros pueden provocar violaciones de datos o fugas de información del usuario.
• Ataques DDoS: los ataques distribuidos de denegación de servicio pueden alterar la disponibilidad del sitio al abrumarlo con tráfico.

Vulnerabilidades del complemento LiteSpeed ​​Cache y la importancia de los complementos seguros de WordPress

Una reciente vulnerabilidad de secuencias de comandos en el popular complemento LiteSpeed ​​Cache afectó a más de 4 millones de sitios web.

Permitió a los actores de amenazas con permisos de nivel de colaborador o superior inyectar scripts web maliciosos en páginas utilizando el código corto del complemento. Afortunadamente, el equipo de WordFence detectó la infracción y la informó de manera oportuna.

Esto es lo que debe hacer para garantizar que su pila tecnológica no dañe su sitio web:

• Verifique el historial y la reputación del complemento: una gran cantidad de instalaciones activas y críticas positivas lo ayudarán a evaluar la confiabilidad del complemento.
• Analice la frecuencia de actualización: asegúrese de que el complemento se actualice periódicamente y que la última actualización no tenga más de unos pocos meses.

• Revise las respuestas de soporte del desarrollador: consulte los foros de soporte del complemento para ver qué tan receptivos y útiles son los desarrolladores. Un buen soporte puede ser indicativo de una dedicación a la calidad y seguridad del complemento.
• Verifique la compatibilidad con su versión de WordPress: los complementos incompatibles pueden introducir vulnerabilidades de seguridad o causar problemas de funcionalidad.
• Evalúe las funciones y permisos del complemento: tenga cuidado con los complementos que requieren permisos innecesarios u ofrecen un conjunto de funciones inflado que no es necesario. Más código puede significar más oportunidades para vulnerabilidades de seguridad.
• Realice controles de seguridad: utilice herramientas como WPScan para identificar cualquier vulnerabilidad conocida de un complemento. Busque avisos de seguridad o discusiones relacionadas con el complemento.

• Comience con un entorno de prueba: antes de instalar un nuevo complemento en su sitio en vivo, pruébelo en un sitio de prueba para monitorear su comportamiento y asegurarse de que no introduzca vulnerabilidades.
• Busque respaldos o certificaciones de seguridad: algunos complementos pueden tener auditorías de seguridad o certificaciones de empresas externas acreditadas, lo que puede aumentar su credibilidad.
• Tenga cuidado con los complementos gratuitos: si bien muchos complementos gratuitos son seguros y están bien mantenidos, siempre actúe con la debida diligencia, ya que es posible que los complementos gratuitos no siempre ofrezcan soporte y actualizaciones continuas.
• Haga una copia de seguridad de su sitio con regularidad: incluso con todas las precauciones, es esencial tener copias de seguridad periódicas de su sitio. Esto no evita problemas, pero garantiza que puedas recuperarte rápidamente si algo sale mal.

Optimice su velocidad y rendimiento con un complemento que mantiene su sitio web seguro. Comience con NitroPack →

¿Cómo comprobar si su sitio de WordPress es seguro?

En caso de duda, puede comenzar ejecutando su sitio web a través de un escáner de seguridad de sitios web en línea como Qualys, SiteLock o VirusTotal. Estas herramientas pueden buscar malware, vulnerabilidades y otros problemas de seguridad.

Además, puede elegir entre varios complementos de seguridad de WordPress de buena reputación, como Wordfence Security, Sucuri Security, iThemes Security, NinjaScanner y WPScan. Vaya directamente a los mejores complementos de seguridad de WordPress para obtener más detalles y funciones para elegir su sitio web.

Conceptos básicos de seguridad de WordPress

El primer paso para proteger su sitio web es realizar una auditoría de seguridad completa de WordPress. Siga los pasos a continuación:

1. Actualice su núcleo, temas y complementos de WordPress

Mantener su software actualizado es una de las medidas de seguridad más efectivas. Simplemente visite su administrador de WP y verifique las actualizaciones disponibles. WordPress proporciona una manera fácil de actualizar sus complementos de forma masiva. Solo asegúrese de hacer una copia de seguridad y auditar su sitio web una vez que esté actualizado.

Consejo profesional : elimine completamente los complementos no utilizados de su pila tecnológica.

2. Asegúrese de que usted y los usuarios utilicen contraseñas únicas y seguras

Considere la posibilidad de utilizar un administrador de contraseñas de buena reputación como LastPass, Dashlane o 1Password. Estas herramientas pueden generar, almacenar y autocompletar contraseñas complejas por usted. Las contraseñas seguras tienen más de 10 caracteres, usan letras mayúsculas y minúsculas y no omiten símbolos especiales.

3. Habilite la autenticación de dos factores (2FA)

Agregue una capa adicional de protección configurando 2FA con un complemento como WP 2FA, que requiere que los usuarios proporcionen una segunda forma de verificación además de su contraseña. Otra medida adicional aquí es limitar los intentos de inicio de sesión y establecer un tiempo de espera para los usuarios que muestren un comportamiento sospechoso.

4. Haga una copia de seguridad de la base de datos y los archivos de su sitio web

Si tiene confianza en sus habilidades tecnológicas:

Acceda a los archivos de su sitio web a través de FTP (Protocolo de transferencia de archivos) o un administrador de archivos proporcionado por su proveedor de alojamiento. Descargue todos los archivos de su directorio raíz de WordPress (generalmente la carpeta public_html o www) a su computadora local. Luego, acceda a la base de datos de su sitio web usando phpMyAdmin , que suele estar disponible en su panel de control de alojamiento. Seleccione su base de datos de WordPress y exporte la base de datos completa. Guarde la base de datos exportada como un archivo SQL en su computadora local.

Alternativamente , use un complemento como Updraft Plus para configurar copias de seguridad automáticas en el intervalo deseado.

5. Utilice el firewall de aplicaciones web (WAF)

Un firewall de sitio web bloquea todo el tráfico malicioso incluso antes de que llegue a su sitio web. Hay dos métodos para hacer esto:

• Firewall de sitios web de nivel DNS: permite enviar tráfico genuino a su servidor web solo enrutando el tráfico a través de sus servidores proxy en la nube.
• Firewall a nivel de aplicación: analiza el tráfico una vez que llega a su servidor y antes de cargar la mayoría de los scripts de WordPress. Sin embargo, no es tan eficiente ya que tiende a aumentar la carga del servidor.

Consulte los mejores complementos de Firewall de WordPress.

6. Cambie a un proveedor de alojamiento de buena reputación

Un proveedor de alojamiento de WordPress de buena reputación debe ofrecer funciones de seguridad sólidas, monitoreo proactivo y soporte receptivo para mantener su sitio web seguro y protegido.

Las características a buscar incluyen (y no se limitan a):

• Fuerte seguridad de infraestructura
• Inclusión de certificado SSL
• Copias de seguridad periódicas
• Monitoreo de red 24 horas al día, 7 días a la semana
• Protección DDoS
• Escaneo y eliminación de malware
• Actualizaciones automáticas de WordPress
• Almacenamiento en caché a nivel de servidor configurado específicamente para WordPress
• Soporte para el Protocolo seguro de transferencia de archivos (SFTP)
• Aislamiento entre cuentas en alojamiento compartido

Consulte nuestra guía completa sobre cómo elegir el proveedor de alojamiento web adecuado para su sitio web.

Técnicas avanzadas para mejorar la seguridad de WordPress

Las técnicas siguientes requieren acceso de administrador a WordPress y un nivel suficiente de conocimientos técnicos. Antes de intentar seguir los pasos, siempre haga una copia de seguridad de su sitio web y tómese el tiempo para considerar contactar a un experto en seguridad de WordPress.

Mueva su sitio de WordPress a SSL/HTTPS

SSL (Secure Sockets Layer) cifra los datos transferidos entre el navegador del usuario y su servidor web, mejorando la seguridad de su sitio.

Instrucciones:

• Compre un certificado SSL de su proveedor de alojamiento o utilice uno gratuito
• Instale y active el certificado a través de su cuenta de hosting
• Actualice su URL de WordPress yendo a Configuración > General y actualizando su Dirección de WordPress (URL) y Dirección del sitio (URL) de http:// a https://
• Fuerce SSL agregando el siguiente código a su archivo .htaccess:

Reescribir motor encendido
ReescrituraCond %{SERVER_PORT} 80
Reescribir regla ^(.*)$ https://www.tudominio.com/$1 [R,L]

Cambiar la URL de la página de inicio de sesión de WordPress

De forma predeterminada, se puede acceder fácilmente a las páginas de inicio de sesión de WordPress a través de wp-login.php o wp-admin. Cambiar esto puede ayudar a proteger contra intentos de inicio de sesión no autorizados.

Instrucciones:

• Edite el archivo .htaccess en su directorio raíz de WordPress y agregue:

RewriteRule ^mylogin$ https://%{SERVER_NAME}/wp-login.php?key=123&redirect_to=https://%{SERVER_NAME}/wp-admin [L]

• Reemplace mylogin con la nueva URL de inicio de sesión y 123 con una cadena aleatoria.

Cambiar el nombre de usuario predeterminado "admin"

El nombre de usuario predeterminado "admin" es un objetivo para los piratas informáticos, por lo que es mejor cambiarlo.

Instrucciones:

• Cree un nuevo usuario en WordPress yendo a Usuarios > Agregar nuevo.
• Asigne al nuevo usuario el rol de Administrador.
• Cierre sesión e inicie sesión con la nueva cuenta de Administrador.
• Elimine el antiguo usuario "admin" y atribuya todo el contenido al nuevo usuario.

Deshabilitar la edición de archivos

WordPress permite a los administradores editar archivos PHP de complementos y temas. Deshabilitar esta característica mejora la seguridad.

Instrucciones:

• Agregue la siguiente línea a su archivo wp-config.php:

define('DISALLOW_FILE_EDIT', verdadero);

Deshabilite la ejecución de archivos PHP en ciertos directorios de WordPress

Evitar la ejecución de PHP en directorios como wp-content/uploads puede ayudar a evitar la ejecución de scripts maliciosos.

Instrucciones:

• Cree un archivo .htaccess en el directorio que desea proteger y agregue:

Negar todo

Cambiar el prefijo predeterminado de la base de datos de WordPress

El prefijo de base de datos wp_ predeterminado es bien conocido, por lo que cambiarlo puede ayudar a proteger su base de datos de ataques de inyección SQL.

Instrucciones:

• Haga una copia de seguridad de su base de datos.
• Vaya a phpMyAdmin, seleccione su base de datos y elija la pestaña "Operaciones".
• En "Prefijo de tabla", cambie wp_ por su nuevo prefijo (por ejemplo, wpnew_) y haga clic en "Ir".

Deshabilitar la indexación y navegación de directorios

Esto evita que los piratas informáticos vean los archivos de sus directorios.

Instrucciones:

• Agregue la siguiente línea a su archivo .htaccess:

Opciones -Índices

Deshabilitar XML-RPC en WordPress

XML-RPC se puede explotar para ataques de fuerza bruta. Deshabilitarlo puede mejorar la seguridad.

Instrucciones:

• Agregue el siguiente código a su archivo .htaccess:

# Bloquear solicitudes xmlrpc.php de WordPress

orden denegar, permitir
Negar todo

Cerrar sesión automáticamente en usuarios inactivos en WordPress:

Esto puede evitar el uso no autorizado de sesiones inactivas.

Instrucciones:

• Agregue este código al archivo funciones.php de su tema:

add_action('wp_enqueue_scripts', 'idle_logout');
función idle_logout() {
si (is_user_logged_in()) {
wp_enqueue_script('idle_logout', '/ruta-a-su-script/idle-logout.js', array('jquery'), '1.0.0', verdadero);
}
}

• Luego, cree un archivo idle-logout.js con JavaScript para realizar un seguimiento del tiempo de inactividad y cerrar sesión de los usuarios.

Ocultar la versión de WordPress

Revelar la versión de WordPress puede proporcionar a los piratas informáticos información valiosa para buscar lagunas de seguridad.

Instrucciones:

• Agregue la siguiente línea al archivo funciones.php de su tema:

remove_action('wp_head', 'wp_generator');

Bloquear enlaces directos

Hotlinking puede robar ancho de banda al vincular directamente a los archivos de su sitio desde otros sitios web.

Instrucciones:

• Agregue el siguiente código a su archivo .htaccess:

Reescribir motor en
ReescribirCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tudominio.com [NC]
Reescribir regla \.(jpg|jpeg|png|gif)$ – [NC,F,L]

Verifique las funciones de los usuarios y establezca permisos de archivos

Limite el acceso a áreas sensibles solo a aquellos que lo necesiten y establezca permisos de archivos apropiados para directorios y archivos en su servidor. Restrinja el acceso a archivos y carpetas críticos.

Los archivos y directorios de WordPress utilizan un código numérico de tres dígitos para representar los permisos. Cada dígito corresponde a un nivel de permiso específico:

4: Leer (r)
2: Escribe (w)
1: Ejecutar (x)

Los permisos recomendados para varios archivos y directorios de WordPress son los siguientes:

• Archivos (p. ej., .php, .html): 644 (el propietario puede leer y escribir; otros pueden leer)
• Directorios: 755 (el propietario puede leer, escribir y ejecutar; otros pueden leer y ejecutar)
• wp-config.php (archivo de configuración importante): 600 (el propietario puede leer y escribir; otros no tienen acceso)
• .htaccess (configuración del servidor): 644 (el propietario puede leer y escribir; otros pueden leer)
• Directorio de cargas (p. ej., wp-content/uploads): 755 (el propietario puede leer, escribir y ejecutar; otros pueden leer y ejecutar)

Los 5 mejores complementos de seguridad de WordPress

Hay varios complementos de seguridad de WordPress disponibles que pueden ayudar a verificar y proteger su sitio web:

1. Seguridad de Wordfence

Wordfence es un complemento de seguridad integral para WordPress. Incluye funciones como protección de firewall, escaneo de malware, monitoreo de intentos de inicio de sesión y más. La versión gratuita ofrece valiosos controles de seguridad, mientras que la versión premium ofrece funciones avanzadas.

Número de instalaciones: más de 4 millones
Calificación: 4.7/5

2. Seguridad Sucuri

Sucuri es una plataforma de seguridad web que ofrece una herramienta gratuita de escaneo de sitios web. Comprueba su sitio web en busca de malware, problemas de seguridad y vulnerabilidades. También ofrecen un servicio de seguridad pago para protección y monitoreo en tiempo real.

Número de instalaciones: 900.000+
Calificación: 4.2/5

3. Seguridad sólida

Solid Security es un complemento de seguridad de WordPress de última generación diseñado para fortalecer su sitio web. Equipado con funciones esenciales como protección de firewall en tiempo real, escaneo de malware y mecanismos de inicio de sesión seguros, ofrece una solución todo en uno para proteger su presencia en línea. Con su interfaz intuitiva y controles de seguridad automatizados, Solid Security garantiza tranquilidad al proteger su sitio contra las últimas amenazas.

Número de instalaciones: 900.000+
Calificación: 4.6/5

4. Ninja de la seguridad

Security Ninja es un complemento de seguridad integral diseñado para sitios web de WordPress. Con su sólido conjunto de herramientas, que incluyen escáner central, detección de malware y reparación automática, garantiza la integridad y resiliencia de su sitio. Las comprobaciones de seguridad proactivas del complemento y las correcciones con un solo clic permiten a los propietarios de sitios web proteger sus sitios web. Ya sea que sea un novato o un experto en tecnología, Security Ninja es una gran herramienta contra las amenazas cibernéticas.

Número de instalaciones: 10.000+
Calificación: 4.8/5

5. Protección Jetpack

Jetpack Protect se especializa en proteger los sitios de WordPress contra intrusiones no deseadas. Cuenta con una sólida protección contra ataques de fuerza bruta y monitoreo del tiempo de inactividad para mantener su sitio seguro y operativo. Con su configuración optimizada, Jetpack Protect integra perfectamente copias de seguridad en tiempo real y defensa contra spam, lo que garantiza que los datos de su sitio permanezcan intactos y que sus interacciones sean genuinas.

Número de instalaciones: 100.000+
Calificación: 4.8/5

Qué hacer si su sitio web de WordPress es pirateado

Descubrir que su sitio web de WordPress ha sido pirateado puede ser una experiencia angustiosa, pero es importante actuar rápidamente para mitigar el daño y restaurar la seguridad de su sitio.

1. Aislar el sitio web: si tiene varios sitios web alojados en el mismo servidor, aísle el sitio web pirateado para evitar que la infección se propague a otros. Esto puede implicar desconectar temporalmente el sitio afectado.
2. Restaure la última copia de seguridad de su sitio web: para resolver rápidamente el problema, vuelva a una versión anterior de su sitio web. Si no ha realizado una copia de seguridad de su sitio web recientemente, considere desarrollar una estrategia de copia de seguridad después de terminar con los pasos a continuación.
3. Cambiar contraseñas: cambie las contraseñas de todas las cuentas de usuario en su sitio de WordPress, incluidos administradores, editores y colaboradores. Asegúrese de que se utilicen contraseñas seguras y únicas.
4. Escanear en busca de malware: utilice un complemento de seguridad o una herramienta de escaneo de malware de terceros para escanear su sitio web en busca de códigos maliciosos y malware. Si ya tienes uno activado, comunícate con los desarrolladores para resolver el problema con ayuda profesional.
5. Identifique y elimine archivos sospechosos: revise los archivos y directorios de su sitio web en busca de archivos desconocidos o sospechosos. Los piratas informáticos suelen inyectar código malicioso en archivos, temas o complementos principales. Elimine cualquier archivo que sospeche que está comprometido.
6. Limpiar la base de datos: verifique su base de datos de WordPress en busca de cambios no autorizados o contenido sospechoso. Restaure las tablas o entradas modificadas a su estado original.
7. Revisar cuentas de usuario: audite su lista de usuarios registrados y elimine cualquier cuenta desconocida o no autorizada. Asegúrese de que no haya administradores no autorizados.
8. Cambie las claves de seguridad y los salts: en su archivo wp-config.php , cambie sus claves de seguridad y salts. Este paso puede ayudar a invalidar cualquier credencial de inicio de sesión robada.
9. Notificar a los visitantes: si el hackeo potencialmente expuso datos confidenciales del usuario, cumpla con las leyes de notificación de violación de datos e informe a los usuarios afectados sobre la violación.

Preguntas frecuentes sobre cómo mejorar la seguridad de WordPress

¿Es WordPress lo suficientemente seguro?

WordPress es un sistema de gestión de contenidos (CMS) de buena reputación y, debido a que es tan popular, a menudo se convierte en un objetivo para los atacantes. Sin embargo, si WordPress es "lo suficientemente seguro" depende de varios factores, incluido cómo lo configura, lo mantiene y lo usa. Si sigue las mejores prácticas descritas en esta guía, podrá garantizar un entorno seguro para su negocio en línea.

¿Es WordPress el CMS más hackeado?

El informe anual de Sucuri de 2022 destacó a WordPress como el CMS más hackeado con un 96,2% de los ataques centrados en la plataforma. Debido a su uso generalizado, WordPress es un objetivo común y tiene una gran cantidad de ataques reportados, pero esto no significa necesariamente que sea menos seguro que otras plataformas CMS.

¿Cuál es la parte más vulnerable de un sitio web de WordPress?

Las partes más vulnerables suelen ser los temas y complementos, así como las contraseñas de administrador débiles.

¿Cómo puedo proteger mi sitio de WordPress de forma gratuita?

Implemente contraseñas seguras, mantenga WordPress actualizado y utilice complementos de seguridad gratuitos como Wordfence o Security Ninja para mejorar la seguridad de su sitio.

¿Las versiones anteriores de WordPress son más fáciles de hackear?

Sí, las versiones anteriores de WordPress son más fáciles de piratear ya que a menudo contienen vulnerabilidades de seguridad sin parches. Compruebe siempre las últimas actualizaciones para mantener su sitio web protegido.

¿Cómo evito el malware en WordPress?

Mantenga WordPress actualizado, utilice temas y complementos de buena reputación e instale complementos de seguridad que ofrezcan escaneo de malware y protección mediante firewall.

¿Realmente necesito un complemento de seguridad para WordPress?

Se recomienda encarecidamente un complemento de seguridad, ya que proporciona medidas de seguridad integrales y puede automatizar muchas de las tareas necesarias para mantener seguro un sitio de WordPress.