Es WordPress seguro?

Depende. WordPress en sí mismo es muy seguro siempre que se sigan las recomendaciones de seguridad que establece.

Siguiendo unas pocas prácticas simples de seguridad de WordPress, se puede reducir considerablemente su vulnerabilidad a los ataques.

Aquí te cuento cómo.

WordPress, objetivo de los hackers

Una media de 30.000 nuevas páginas web son hackeadas cada día.

Los sitios web de WordPress pueden ser un blanco fácil para los ataques debido a:

  • vulnerabilidades de los complementos,
  • contraseñas débiles y
  • software obsoleto.

Gracias a una comunidad activa y al desarrollo de código abierto, WordPress continúa siendo una excelente opción para una amplia variedad de sitios web debido a su facilidad de uso, flexibilidad y desarrollo continuo.

Sí, WordPress es objetivo de los hackers.

WordPress actualmente alimenta más del 31% de todos los sitios web activos en Internet, por lo que se ha convertido en un objetivo para hackers con intenciones maliciosas.

¿Por qué?

Si un pirata informático puede encontrar una forma de acceder a uno de los 75 millones de sitios web de WordPress en la web, puede buscar otros sitios web que tengan configuraciones similares inseguras y piratearlos también.

Por desgracia, las vulnerabilidades son inevitables porque no todos los propietarios y usuarios de sitios web son cuidadosos, exhaustivos o conscientes de su seguridad en línea.

Las infecciones de WordPress aumentaron del 74% en 2016 al 83% en 2017, por lo que es aún más importante mantenerse alerta en sus esfuerzos de seguridad.

Vulnerabilidades de WordPress

Según un informe reciente, WordPress tiene cerca de 4.000 vulnerabilidades de seguridad conocidas.

Esas vulnerabilidades se dividen en:

  • El 52% son de plugins de WordPress
  • El 37% se refieren al núcleo de WordPress
  • El 11% son de los temas (diseño) de WordPress

Las vulnerabilidades de seguridad se revelan al público poco después de que se descubren y solo después de que se haya publicado una solución para resolver el problema. Sin embargo, algunos sitios web continúan ejecutando versiones inseguras de complementos, temas y núcleo de WordPress a pesar del riesgo.

Los 5 principales problemas de seguridad de WordPress

Dentro de los principales problemas de seguridad a los que se enfrenta WordPress, debemos destacar:

1. Ataques de fuerza bruta

Los ataques de fuerza bruta de WordPress se refieren al método de prueba y error de introducir múltiples combinaciones de nombre de usuario y contraseña una y otra vez hasta que se descubre una combinación exitosa.

El método de ataque de fuerza bruta explota la forma más sencilla de acceder a su sitio web: la pantalla de inicio de sesión de WordPress.

2. Explotaciones de inclusión de archivos

Las vulnerabilidades de inclusión de archivos se producen cuando se usa un código vulnerable para cargar archivos remotos que permiten a los atacantes obtener acceso al archivo wpconfig.php de su sitio web de WordPress, uno de los archivos más importantes en su instalación de WordPress.

3. Inyecciones SQL

El sitio web de WordPress utiliza una base de datos MySQL para operar. Las inyecciones de SQL se producen cuando un atacante obtiene acceso a tu base de datos de WordPress y a todos los datos de tu web.

Las inyecciones de SQL también se pueden usar para insertar nuevos datos en tu base de datos, incluidos los enlaces a sitios web maliciosos o no deseados.

4. Scripting entre sitios

Las vulnerabilidades de secuencias de comandos entre sitios son la vulnerabilidad más común que se encuentra en los complementos de WordPress. El mecanismo básico funciona de esta manera: un atacante encuentra una forma de hacer que una víctima cargue páginas web con scripts de JavaScript inseguros.

5. Malware

Malware, abreviatura de software malicioso, es un código que se utiliza para obtener acceso no autorizado a un sitio web para recopilar datos confidenciales.

Un sitio web de WordPress pirateado generalmente significa que se ha inyectado malware en los archivos de su sitio web.

Tipos de malware

Existen varias familias de malware de sitios web:

  • Puerta trasera: archivos utilizados para reinfectar y retener el acceso a un sitio web.
  • Spam SEO: Un compromiso que apunta al SEO de un sitio web.
  • Herramienta de hackeo: Programas que pueden ser utilizados por hackers para atacar sistemas informáticos y redes.
  • Remitente: Herramientas generadoras de spam diseñadas para abusar de los recursos del servidor.
  • Phising: Intentos de engañar a los usuarios para que compartan información confidencial (inicios de sesión, datos de tarjetas de crédito, etc.).

Guía de seguridad en WordPress

Después de ver las vulnerabilidades y sistemas de ataque que puede sufrir WordPress, te dejo los consejos para configurar la seguridad en el uso de esta herramienta.

 

 

Cuando se ejecuta un sitio web de WordPress, su alojamiento importa

No todos los servidores web son iguales, y elegir uno solo por el precio puede costarte mucho más a largo plazo.

Puesto que el servidor donde reside tu sitio web también es un objetivo para los atacantes, el uso de un alojamiento compartido de baja calidad puede hacer que el sitio sea más vulnerable a ser comprometido. El alojamiento compartido también puede ser una preocupación porque varios sitios web se almacenan en un solo servidor. Si un sitio web es hackeado, los atacantes también pueden obtener acceso a otros sitios web y sus datos.

Si bien todos los proveedores de hosting toman precauciones para proteger sus servidores, no todos están atentos o implementan las últimas medidas de seguridad para proteger los sitios web a nivel de servidor.

Los complementos y temas que instales importan

Instala solo los complementos y temas de WordPress de fuentes confiables.

¿Por qué?

Las versiones no verificadas pueden contener código malicioso.

Instala solo temas y complementos de:

  • WordPress.org
  • repositorios comerciales conocidos o
  • directamente de desarrolladores acreditados.

No importa cuánto protegas tu sitio web de WordPress si eres tú el que está instalando malware.

Si encuentras un tema o complemento de WordPress premium que no se está distribuyendo en el sitio web del desarrollador o en un mercado de buena reputación, investigua antes de descargarlo.

Comunícate con los desarrolladores para ver si están afiliados de alguna manera con el sitio web que ofrece su producto a un precio gratuito o con descuento.

Las actualizaciones importan mucho

Cuando tu sitio de WordPress ejecuta versiones obsoletas de complementos, temas o WordPress, corres el riesgo de tener vulnerabilidades conocidas en su sitio web.

WordPress se ejecuta en código fuente abierto y tiene un equipo dedicado específicamente a encontrar, identificar y solucionar los problemas de seguridad que surgen en el código principal. A medida que se revelan las vulnerabilidades de seguridad, las correcciones se eliminan de inmediato para solucionar cualquier nuevo problema de seguridad descubierto.

Es por eso que mantener WordPress y todos sus temas y complementos actualizados a la última versión es un componente vital de una estrategia de seguridad exitosa.

La calidad de tu contraseña importa

El inicio de sesión de WordPress es la vulnerabilidad más atacada porque proporciona el acceso más fácil a la página de administración de su sitio web.

Los ataques de fuerza bruta son el método más común para explotar su inicio de sesión de WordPress. Con ellos los hackers y bots consiguen descubrir combinaciones de nombre de usuario y contraseña para poder acceder a un sitio web.

Los ataques de fuerza bruta pueden ser efectivos porque WordPress no limita la cantidad de intentos de inicio de sesión fallidos que alguien puede hacer. Entonces, ten en cuenta el uso de una contraseña sólida y compleja para el inicio de sesión de administrador de WordPress.

Ten siempre un plan de respaldo

De forma predeterminada, WordPress no tiene un sistema de copia de seguridad incorporado.

¿Qué estás haciendo para hacer una copia de seguridad de tu sitio web?

Si sucede lo peor y tu sitio web es hackeado, ¿cómo lo recuperas?

¿Cómo volver a una versión limpia de tu sitio web?

Deberás tener una copia de seguridad, o una copia completa de tu sitio web para restaurarlo.

Las copias de seguridad de WordPress son fundamentales para una estrategia de seguridad general.

Asegúrate de que tu solución de copia de seguridad maneja la copia de seguridad de la base de datos y todos los archivos de tu sitio web y proporciona una manera de restaurarla.

Aplica medidas de seguridad para proteger tu web y evitar riesgos

Buenas noticias!

La mayoría de los problemas de seguridad de WordPress se pueden evitar si los propietarios del sitio simplemente siguen las mejores prácticas de seguridad.

Al igual que cerrar las puertas de tu casa, invertir en un sistema de alarma y pagar por el seguro, tu web debe tener implementadas medidas de seguridad. Se puede lograr una mejor seguridad de WordPress en unos pocos pasos simples.

  • Elige un alojamiento de calidad.
  • Asegura tu inicio de sesión de WordPress con una contraseña segura y autenticación de dos factores.
  • Manten tus plugins, temas y software de WordPress actualizados.
  • Desinstala y elimina por completo los complementos y temas no utilizados y abandonados.
  • Utiliza únicamente distribuidores de software de confianza para complementos y temas.
  • Ten un plan de copia de seguridad de WordPress.
  • Agrega SSL a tu sitio web.

Introduce autenticación de dos factores a su inicio de sesión de administrador de WordPress

Una de las mejores maneras de proteger su sitio de WordPress es con la autenticación de dos factores.

La autenticación de dos factores agrega una capa adicional de protección al inicio de sesión de WordPress. Además de su contraseña, se requiere un código adicional sensible al tiempo de otro dispositivo, como su teléfono inteligente, para iniciar sesión correctamente.

Es una de las mejores maneras de bloquear su inicio de sesión de WordPress y minimiza casi por completo el potencial de los ataques exitosos de fuerza bruta.

Si bien WordPress no ofrece una forma integrada de agregar autenticación de dos factores, puede usar un complemento como iThemes Security para agregar la funcionalidad.

Un plugin de seguridad de WordPress puede ayudar

Instala un complemento de seguridad de WordPress como iThemes Security Pro para agregar aún más protección a tu web.

Themes Security Pro trabaja para:

  • bloquear WordPress,
  • corregir agujeros comunes,
  • detener ataques automatizados y
  • fortalecer las credenciales de los usuarios.

Con un equipo de expertos en seguridad de WordPress a tus espaldas, puedes tener más tranquilidad de que tu web es seguro.

Guía para configurar la seguridad en WordPress
4.6 (92%) 5 votos