Es WordPress seguro?

Depende. WordPress en sí mismo es muy seguro siempre que se sigan las recomendaciones de seguridad que establece.

Siguiendo unas pocas prácticas simples de seguridad de WordPress, se puede reducir considerablemente su vulnerabilidad a los ataques.

Aquí te cuento cómo.

WordPress, objetivo de los hackers

Una media de 30.000 nuevas páginas web son hackeadas cada día.

Los sitios web de WordPress pueden ser un blanco fácil para los ataques debido a:

  • vulnerabilidades de los complementos,
  • contraseñas débiles y
  • software obsoleto.

Gracias a una comunidad activa y al desarrollo de código abierto, WordPress continúa siendo una excelente opción para una amplia variedad de sitios web debido a su facilidad de uso, flexibilidad y desarrollo continuo.

Sí, WordPress es objetivo de los hackers.

WordPress actualmente alimenta más del 31% de todos los sitios web activos en Internet, por lo que se ha convertido en un objetivo para hackers con intenciones maliciosas.

¿Por qué?

Si un pirata informático puede encontrar una forma de acceder a uno de los 75 millones de sitios web de WordPress en la web, puede buscar otros sitios web que tengan configuraciones similares inseguras y piratearlos también.

Por desgracia, las vulnerabilidades son inevitables porque no todos los propietarios y usuarios de sitios web son cuidadosos, exhaustivos o conscientes de su seguridad en línea.

Las infecciones de WordPress aumentaron del 74% en 2016 al 83% en 2017, por lo que es aún más importante mantenerse alerta en sus esfuerzos de seguridad.

Vulnerabilidades de WordPress

Según un informe reciente, WordPress tiene cerca de 4.000 vulnerabilidades de seguridad conocidas.

Esas vulnerabilidades se dividen en:

  • El 52% son de plugins de WordPress
  • El 37% se refieren al núcleo de WordPress
  • El 11% son de los temas (diseño) de WordPress

Las vulnerabilidades de seguridad se revelan al público poco después de que se descubren y solo después de que se haya publicado una solución para resolver el problema. Sin embargo, algunos sitios web continúan ejecutando versiones inseguras de complementos, temas y núcleo de WordPress a pesar del riesgo.

Los 5 principales problemas de seguridad de WordPress

Dentro de los principales problemas de seguridad a los que se enfrenta WordPress, debemos destacar:

1. Ataques de fuerza bruta

Los ataques de fuerza bruta de WordPress se refieren al método de prueba y error de introducir múltiples combinaciones de nombre de usuario y contraseña una y otra vez hasta que se descubre una combinación exitosa.

El método de ataque de fuerza bruta explota la forma más sencilla de acceder a su sitio web: la pantalla de inicio de sesión de WordPress.

2. Explotaciones de inclusión de archivos

Las vulnerabilidades de inclusión de archivos se producen cuando se usa un código vulnerable para cargar archivos remotos que permiten a los atacantes obtener acceso al archivo wpconfig.php de su sitio web de WordPress, uno de los archivos más importantes en su instalación de WordPress.

3. Inyecciones SQL

El sitio web de WordPress utiliza una base de datos MySQL para operar. Las inyecciones de SQL se producen cuando un atacante obtiene acceso a tu base de datos de WordPress y a todos los datos de tu web.

Las inyecciones de SQL también se pueden usar para insertar nuevos datos en tu base de datos, incluidos los enlaces a sitios web maliciosos o no deseados.

4. Scripting entre sitios

Las vulnerabilidades de secuencias de comandos entre sitios son la vulnerabilidad más común que se encuentra en los complementos de WordPress. El mecanismo básico funciona de esta manera: un atacante encuentra una forma de hacer que una víctima cargue páginas web con scripts de JavaScript inseguros.

5. Malware

Malware, abreviatura de software malicioso, es un código que se utiliza para obtener acceso no autorizado a un sitio web para recopilar datos confidenciales.

Un sitio web de WordPress pirateado generalmente significa que se ha inyectado malware en los archivos de su sitio web.

Tipos de malware

Existen varias familias de malware de sitios web:

  • Puerta trasera: archivos utilizados para reinfectar y retener el acceso a un sitio web.
  • Spam SEO: Un compromiso que apunta al SEO de un sitio web.
  • Herramienta de hackeo: Programas que pueden ser utilizados por hackers para atacar sistemas informáticos y redes.
  • Remitente: Herramientas generadoras de spam diseñadas para abusar de los recursos del servidor.
  • Phising: Intentos de engañar a los usuarios para que compartan información confidencial (inicios de sesión, datos de tarjetas de crédito, etc.).

Guía de seguridad en WordPress

Después de ver las vulnerabilidades y sistemas de ataque que puede sufrir WordPress, te dejo los consejos para configurar la seguridad en el uso de esta herramienta.

 

 

Cuando se ejecuta un sitio web de WordPress, su alojamiento importa

No todos los servidores web son iguales, y elegir uno solo por el precio puede costarte mucho más a largo plazo.

Puesto que el servidor donde reside tu sitio web también es un objetivo para los atacantes, el uso de un alojamiento compartido de baja calidad puede hacer que el sitio sea más vulnerable a ser comprometido. El alojamiento compartido también puede ser una preocupación porque varios sitios web se almacenan en un solo servidor. Si un sitio web es hackeado, los atacantes también pueden obtener acceso a otros sitios web y sus datos.

Si bien todos los proveedores de hosting toman precauciones para proteger sus servidores, no todos están atentos o implementan las últimas medidas de seguridad para proteger los sitios web a nivel de servidor.

Los complementos y temas que instales importan

Instala solo los complementos y temas de WordPress de fuentes confiables.

¿Por qué?

Las versiones no verificadas pueden contener código malicioso.

Instala solo temas y complementos de:

  • WordPress.org
  • repositorios comerciales conocidos o
  • directamente de desarrolladores acreditados.

No importa cuánto protegas tu sitio web de WordPress si eres tú el que está instalando malware.

Si encuentras un tema o complemento de WordPress premium que no se está distribuyendo en el sitio web del desarrollador o en un mercado de buena reputación, investigua antes de descargarlo.

Comunícate con los desarrolladores para ver si están afiliados de alguna manera con el sitio web que ofrece su producto a un precio gratuito o con descuento.

Las actualizaciones importan mucho

Cuando tu sitio de WordPress ejecuta versiones obsoletas de complementos, temas o WordPress, corres el riesgo de tener vulnerabilidades conocidas en su sitio web.

WordPress se ejecuta en código fuente abierto y tiene un equipo dedicado específicamente a encontrar, identificar y solucionar los problemas de seguridad que surgen en el código principal. A medida que se revelan las vulnerabilidades de seguridad, las correcciones se eliminan de inmediato para solucionar cualquier nuevo problema de seguridad descubierto.

Es por eso que mantener WordPress y todos sus temas y complementos actualizados a la última versión es un componente vital de una estrategia de seguridad exitosa.

La calidad de tu contraseña importa

El inicio de sesión de WordPress es la vulnerabilidad más atacada porque proporciona el acceso más fácil a la página de administración de su sitio web.

Los ataques de fuerza bruta son el método más común para explotar su inicio de sesión de WordPress. Con ellos los hackers y bots consiguen descubrir combinaciones de nombre de usuario y contraseña para poder acceder a un sitio web.

Los ataques de fuerza bruta pueden ser efectivos porque WordPress no limita la cantidad de intentos de inicio de sesión fallidos que alguien puede hacer. Entonces, ten en cuenta el uso de una contraseña sólida y compleja para el inicio de sesión de administrador de WordPress.

Ten siempre un plan de respaldo

De forma predeterminada, WordPress no tiene un sistema de copia de seguridad incorporado.

¿Qué estás haciendo para hacer una copia de seguridad de tu sitio web?

Si sucede lo peor y tu sitio web es hackeado, ¿cómo lo recuperas?

¿Cómo volver a una versión limpia de tu sitio web?

Deberás tener una copia de seguridad, o una copia completa de tu sitio web para restaurarlo.

Las copias de seguridad de WordPress son fundamentales para una estrategia de seguridad general.

Asegúrate de que tu solución de copia de seguridad maneja la copia de seguridad de la base de datos y todos los archivos de tu sitio web y proporciona una manera de restaurarla.

Aplica medidas de seguridad para proteger tu web y evitar riesgos

Buenas noticias!

La mayoría de los problemas de seguridad de WordPress se pueden evitar si los propietarios del sitio simplemente siguen las mejores prácticas de seguridad.

Al igual que cerrar las puertas de tu casa, invertir en un sistema de alarma y pagar por el seguro, tu web debe tener implementadas medidas de seguridad. Se puede lograr una mejor seguridad de WordPress en unos pocos pasos simples.

  • Elige un alojamiento de calidad.
  • Asegura tu inicio de sesión de WordPress con una contraseña segura y autenticación de dos factores.
  • Manten tus plugins, temas y software de WordPress actualizados.
  • Desinstala y elimina por completo los complementos y temas no utilizados y abandonados.
  • Utiliza únicamente distribuidores de software de confianza para complementos y temas.
  • Ten un plan de copia de seguridad de WordPress.
  • Agrega SSL a tu sitio web.

Introduce autenticación de dos factores a su inicio de sesión de administrador de WordPress

Una de las mejores maneras de proteger su sitio de WordPress es con la autenticación de dos factores.

La autenticación de dos factores agrega una capa adicional de protección al inicio de sesión de WordPress. Además de su contraseña, se requiere un código adicional sensible al tiempo de otro dispositivo, como su teléfono inteligente, para iniciar sesión correctamente.

Es una de las mejores maneras de bloquear su inicio de sesión de WordPress y minimiza casi por completo el potencial de los ataques exitosos de fuerza bruta.

Si bien WordPress no ofrece una forma integrada de agregar autenticación de dos factores, puede usar un complemento como iThemes Security para agregar la funcionalidad.

Un plugin de seguridad de WordPress puede ayudar

Instala un complemento de seguridad de WordPress como iThemes Security Pro para agregar aún más protección a tu web.

Themes Security Pro trabaja para:

  • bloquear WordPress,
  • corregir agujeros comunes,
  • detener ataques automatizados y
  • fortalecer las credenciales de los usuarios.

Con un equipo de expertos en seguridad de WordPress a tus espaldas, puedes tener más tranquilidad de que tu web es segura.

RGPD en WordPress

En el caso de que en tu página web o tienda online creada con WordPress uses formularios de suscripción, de registro, de contacto o de comentarios, o recoges datos de los usuarios a través de cookies, estás obligado a cumplir el RGPD.

WordPress introduce distintas funcionalidades para cumplir con esta normativa entre las que están:

  • Opción de guardar o no en una cookie la información de usuarios anónimos que publican comentarios
  • Herramientas para poder crear una página de política de privacidad
  • Opciones para que los responsables de las páginas web puedan suprimir o portar los datos de un usuario que lo solicite.

Plugins para configurar el RGPD

Existen varios plugins para cumplir el RGPD en WordPress y cada vez aparecen más versiones y actualizaciones de los mismos.

La finalidad es que tu web o ecommerce cumpla la normativa de Protección de datos y así evites denuncias y sanciones. Esta adaptación puedes hacerla manualmente o usando cualquiera de los plugins existentes para ello.

Voy a hablarte de los principales plugins que puedes instalar para adaptar tu web al RGPD.

WooCommerce

WooCommerce es una herramienta de WordPress que sirve para crear tiendas online. Esta herramienta sacó, unos días antes de la entrada en vigor del RGPD, una actualización en la que se añade su propia página de ajustes de privacidad.

En esa página puedes gestionar la supresión de los datos de los usuarios y personalizar las casillas de aceptación.

GDPR Check

Este plugin introduce una lista de verificación similar a la establecida por la herramienta de la AEPD Facilita RGPD. Realmente no sirve para cumplir ninguno de los requisitos del RGPD. Únicamente te pregunta el uso que haces de tu página web y, según las respuestas, te indica los documentos u opciones que tienes que crear.

Este plugin no se encuentra en español y tampoco proporciona documentos tipo.

WP GDPR Compliance

Este puede ser uno de los mejores plugins para facilitarnos la adaptación al RGPD. Dispone de herramientas para incorporar los textos de manera automática y sencilla y los checkbox para aceptar la política de privacidad. Y lo mejor es que está en español.

Puede incorporarse en los formularios de comentarios de WordPress, en formularios de contacto y en WooCommerce.

Se realizan actualizaciones del mismo casi a diario incorporando nuevas opciones.

También permite insertar la primera capa de información.

GDPR

Este sí es el más completo y el mejor plugin para ayudarnos a cumplir el RGPD. Entre las opciones que nos ofrece están:

  • Gestión de solicitudes de acceso, rectificación, supresión de datos o limitación del tratamiento y de reclamaciones. Nos da la posibilidad de añadir un botón desde donde realizar las solicitudes, de enviar correos de confirmación, avisos de administración y otras herramientas para tramitar adecuadamente estas solicitudes.
  • Buscar, revisar y exportar los datos de los usuarios.
  • Registro de auditoría para usuarios no registrados.
  • Gestión de incidentes de seguridad en los datos: el responsable de protección de datos, en caso de detectar alguna brecha de seguridad, puede enviar correos masivos a los usuarios informándoles sobre el tipo de datos afectados, los plazos legales y las medidas a adoptar para reducir sus efectos.
  • Telemetría: se puede identificar de forma automática el envío de datos por los plugins y por WordPress y se puede saber qué datos se envían a servidores externos.
  • Creación y completa gestión de cookies propias y de terceros: permite bloquearlas o aceptarlas de forma obligatoria u opcional.
  • Descubre automáticamente las modificaciones en la política de privacidad: también avisa a los usuarios de las modificaciones y les solicita su consentimiento para seguir navegando por la web.
  • Ayuda a crear consentimientos, botones, excluir o incluir códigos y cookies de consentimiento, etc.

WP Security Audit Log

Con esta herramienta podrás registrar toda la actividad realizada en tu web y detectar posibles brechas de seguridad. Con él podrás conocer en cualquier momento lo que ocurre en tu web, quién lo hace y puedes adoptar medidas cuando sea necesario.

Permite la configuración de ajustes generales de las alertas y de avisos o de qué se crean esas alertas. Puede integrarse con WooCommerce y Yoast SEO.

Activity Log

Este plugin también nos permite seguir y registrar la actividad de nuestra web. Es más fácil de configurar que el anterior pero no dispone de tantos avisos.

En este caso, a diferencia del anterior, los avisos automáticos son gratuitos y puedes configurarlos según reglas que tú establezcas.

iThemes Security

Con este plugin protegerás a tus usuarios y a tu web frente a ataques e incidentes de seguridad y privacidad de los datos.

Es un plugin sencillo de configurar y muy completo.

Es importante que actives los ajustes de privacidad más importantes como:

  • Detección de modificaciones en archivos
  • Ocultar escritorio
  • Protección contra fuerza bruta
  • Cambio de prefijo de tablas de base de datos
  • Reforzar la seguridad de la contraseña
  • Proteger archivos del sistema
  • Evitar ejecución de PHP en carpetas de WordPress

Italy Cookie Choices

Con este plugin puedes controlar las cookies y bloquearlas todas o bloquear una a una todas las aplicaciones o herramientas que usen cookies. También puedes personalizar aquellos scripts que quieres bloquear o indicar los que no deseas bloquear.

Y estos son los principales plugins que te ayudarán a adaptarte al RGPD.

Si has tenido algún incidente de seguridad en tu web WordPress o conoces algún otro plugin espero que me comentes tu experiencia.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.