1. Utilizar siempre la última versión de WordPress, plugins y temas
Los piratas informáticos saben cómo acceder a tu web a través de ciertas vulnerabilidades o fallas que pueden darse en WordPress y en los distintos plugins. Se aprovechan de estos fallos para inyectar código o atacar de alguna manera esa página con el objetivo de robar información y comprometer el buen funcionamiento. De hecho, los sitios web se rompen mayormente debido a errores en versiones antiguas de WordPress.
En cuanto WordPress detecta estas vulnerabilidades, añade parches y actualiza su versión. Por eso es tan importante mantener una versión de WordPress actualizada.
Con los plugins ocurre lo mismo, a través de un plugin hackeado pueden llegar a acceder a tu base de datos y arruinarte la web. Por eso es importante mantener los plugins actualizados a su última versión y además estar al día de los plugins que han sido hacketados para actualizarlos o sustituirlos por otros similares.
Hay muchos recursos que te ayudarán a estar al tanto de las últimas actualizaciones de seguridad y vulnerabilidades de WordPress. Mira algunos de ellos incluidos a continuación:
• Bloggers de Seguridad WP: Un impresionante recurso agregado de más de 20 fuentes de seguridad.
• Base de datos de vulnerabilidad de WPScan: Cataloga más de 10.000 vulnerabilidades del núcleo de WordPress, plugins y temas.
• ThreatPress: Base de datos actualizada diariamente de plugins, temas y vulnerabilidades principales de WordPress.
• Archivo oficial de seguridad de WordPress
2. Contraseñas fuertes y no usar «Admin» como nombre de acceso
Contraseñas fuertes:
Algo fundamental para proteger cualquier cosa en Internet es disponer siempre de claves que sean fuertes y complejas. Lo ideal es que esa contraseña sea totalmente aleatoria, suficientemente larga y que tenga letras (mayúsculas y minúsculas), números y otros símbolos. Si no hacemos hincapié en este punto podríamos tener problemas con acceso no autorizados en nuestro sitio WordPress.
No usar Admin:
A la hora de instalar WordPress y de crear el nombre de usuario para acceder a la administración debemos evitar poner el típico Admin. Esto es así ya que los piratas informáticos, cuando vayan a realizar un intento de ataque, es lo primero que van a probar.
Por tanto, no recomendamos utilizar nombres como Admin, Root y similares. Mejor poner cualquier otra cosa para dificultar así los intentos de acceder a la gestión de tu sitio web por parte de posibles intrusos.
3. Bloquear el acceso a WordPress
De forma predeterminada, la URL de inicio de sesión de tu sitio de WordPress es domain.com/wp-admin. Uno de los problemas de esto es que todos los bots, hackers y scripts de ahí fuera también
lo saben.
Cambiando la URL puedes hacerte menos visible y protegerte mejor contra los ataques de fuerza bruta. Esta no es una solución para todo, es simplemente un pequeño truco que puede ayudar a protegerte.
Para cambiar la URL de inicio de sesión de WordPress recomendamos utilizar el plugin de inicio de sesión gratuito WPS Hide.
4. Limitar los intentos de acceso
¿Cómo limitar los intentos de acceso? Aunque la solución anterior de cambiar la URL de inicio de sesión del administrador puede ayudar a disminuir la mayoría de los intentos de login malintencionados, poner un límite también puede ser muy
eficaz.
El plugin gratuito Cerber Limit Login Attempts es una buena manera de configurar fácilmente la duración de los bloqueos, los intentos de acceso y las listas blancas y negras de IP.
5. Aprovechar la autenticación de dos factores (2FA)
La autenticación de dos factores implica un proceso de dos pasos en el que se necesita la contraseña y un segundo método para iniciar la sesión.
En la mayoría de los casos, esto es 100% efectivo en la prevención de ataques de fuerza bruta a los sitios de WordPress de tus clientes.
Actualmente se están desarrollando plugins para ofrecer Doble Factor De Autenticación En WordPress como:
- Two-Factor,
- Google Authenticator – WordPress Two Factor Authentication (2FA)
- Two Factor Authentication
Después de instalar y configurar uno de los plugins anteriores, normalmente tendrás un campo adicional en tu página de inicio de sesión de WordPress para introducir el código de seguridad.
Con el plugin Duo Two-Factor Authentication primero iniciarás la sesión con tus credenciales y luego se pedirá que elijas un método de autenticación, como Duo Push, llamada o código de acceso.
6. Crear copias de seguridad
Siempre debemos crear copias de seguridad de nuestros archivos en cualquier dispositivo o plataforma que utilicemos. Esto también hay que aplicarlo a WordPress, ya que así podremos estar protegidos en caso de sufrir algún tipo de pérdida de información. Siempre conviene tener a salvo toda la configuración y el contenido almacenado.
Si tienes tu web alojada en Interdominios, puedes contratar el servicio de Backupsy nosotros nos encargaremos de regresar su web a una copia anterior en el caso de verse afectada por algún ataque o sufrir algún percance.
7. Evitar ataques de fuerza bruta al limitar el acceso
Una de las técnicas más frecuentes que utilizan los ciberdelincuentes para robar contraseñas es la fuerza bruta. Básicamente consiste en probar infinidad de combinaciones de claves de acceso hasta encontrar con la solución.
Esto podría ser un problema, ya que existen programas informáticos que pueden probar y probar hasta dar con la adecuada. Sin embargo esto lo podemos evitar. Podemos configurar el acceso para que tenga un límite de pruebas. También podemos configurar un reCaptcha y así confirmar que hay un humano detrás de ese intento de inicio de sesión.
Incluir reCaptcha en los comentarios del blog evitará que entre mucho spam.
8. Invertir en un alojamiento seguro de WordPress
El fortalecimiento del servidor es la clave para mantener un entorno de WordPress completamente seguro. Requiere múltiples capas de medidas de seguridad a nivel de hardware y software para asegurar que la infraestructura de TI que alberga los sitios de WordPress sea capaz de defenderse contra amenazas sofisticadas, tanto físicas como virtuales.
Nuestros servicios de hosting y VPS son totalmente seguros. En Interdominios garantizamos un alojamiento de WordPress seguro para todos nuestros clientes. La seguridad está integrada en nuestra arquitectura desde el principio y es un método mucho más seguro que otros que están disponibles hoy en día.
Además ofrecemos servicio Antispam que puedes añadir a tus servicios contratados desde tu extranet de cliente.
9. Usar la última versión de PHP
PHP es la columna vertebral de cualquier sitio de WordPress, por lo que es muy importante que te asegures de que tu website está usando la última versión en tu servidor. Cada versión principal de PHP es típicamente soportada durante dos años después de su lanzamiento. Durante ese tiempo, se arreglan y parchean regularmente los errores y los problemas de seguridad.
Cualquiera que ejecute en la versión PHP 7.1 o inferior ya no tiene soporte de seguridad y está expuesto a vulnerabilidades de seguridad sin parches.
10. Fortalecer la seguridad de la base de datos
Hay un par de maneras de mejorar la seguridad de tu base de datos de WordPress.
1. Usar un nombre de base de datos inteligente. Cambiar el nombre de la base de datos a uno más complejo ayuda a proteger tu sitio, haciendo más difícil que los hackers identifiquen y accedan a los detalles de la base de datos.
2. Utilizar un prefijo diferente en la tabla de la base de datos. Cuando instalas WordPress, te pide un prefijo de tabla. De forma predeterminada, WordPress utiliza wp_. Cambiar esto a algo como 39xw_ puede ser mucho más seguro.
Por último, te recomendamos echar un vistazo a los 13 mejores plugins de seguridad de WordPress.
¿Te ha gustado el artículo? ¿Necesitas ayuda? ¡Déjanos tu comentario!