Asegurar su sitio de WordPress no es un trato de una sola vez. No importa cuánto confíe en su complemento de seguridad o cuán minucioso haya sido con el fortalecimiento del sitio web, un sitio web seguro hoy no lo convierte en un sitio web seguro mañana. Para mantener a raya a los piratas informáticos, debe realizar auditorías de seguridad de WordPress con regularidad y completar los agujeros de seguridad que encuentre.
Las tácticas de piratería de sitios web siempre están progresando, y con ellas también lo están las medidas preventivas para mantener su sitio seguro. Piense en ello como un ciclo. Cuanto más seguro es un sitio web, más creativos tienen que ser los piratas informáticos para acceder a él, lo que significa que su sitio web tiene que volverse aún más seguro, y así sucesivamente.
Intente realizar una auditoría de seguridad de WordPress cada tres meses como mínimo. Cada mes es mejor, y cada semana (o incluso diariamente, según la sensibilidad de su sitio) es mejor. Y, por supuesto, si cree que hay algún problema con su sitio, realice una auditoría de seguridad de inmediato. Cualquiera de los siguientes debería levantar una bandera roja:
- Su sitio web es lento y lento de repente.
- Hay una gran caída en el tráfico del sitio web sin razón aparente.
- Hay nuevas cuentas, intentos de inicio de sesión o solicitudes de «contraseña olvidada».
- Los enlaces nuevos que no agregó están en su sitio.
Los siguientes pasos son imprescindibles para mantener su sitio en óptimas condiciones, desde el punto de vista de la seguridad. Con una lista de verificación a mano, hará que sus auditorías sean más eficientes en lugar de abrumadoras.
En un momento u otro, casi todos los sitios web de WordPress encontrarán algún tipo de problema de seguridad. Uno común es un complemento o tema que se ve afectado por una vulnerabilidad, lo que permite que los piratas informáticos ingresen directamente a su sitio. Una vez que su sitio es pirateado, pueden suceder muchas cosas:
- Datos personales de los clientes robados
- Anuncios y contenido ilegales mostrados
- Tráfico desviado a otra parte
- Datos de WordPress encriptados, eliminados o vendidos
Esto es mucho más que un dolor de cabeza o un sitio caído durante unas horas. Los piratas informáticos pueden retener sus datos a cambio de un rescate. La información de su sitio se puede vender en la Dark Web. Google puede incluir su sitio en la lista negra por mostrar spam en las páginas web. Los clientes pueden demandarlo si les roban la información de su tarjeta de crédito. Otros sitios web pueden infectarse una vez que los piratas informáticos hayan obtenido acceso al suyo.
Las auditorías de seguridad de WordPress identifican estas vulnerabilidades para que pueda parchearlas de inmediato, antes de que un pirata informático encuentre su camino. necesitan más protección.
Evalúe el complemento de seguridad que está utilizando
Su complemento de seguridad de WordPress es una de las herramientas más importantes para proteger su sitio. Asegúrese de que su complemento de seguridad siga funcionando de las siguientes maneras:
- Registro de actividad: rastrea a los usuarios de su sitio, incluido quién inició sesión y cuándo, intentos fallidos de inicio de sesión y cambios en el sitio. Hay una gran cantidad de excelentes complementos de registro de actividad de WordPress que puede usar para monitorear la actividad en su sitio web de WordPress.
- Cortafuegos: esto bloqueará los bots, los piratas informáticos y las direcciones IP que intentan ingresar a su sitio.
- Intentos de inicio de sesión: los complementos de seguridad de calidad exigirán contraseñas seguras, requerirán autenticación de dos factores y limitarán los intentos de inicio de sesión.
- Protección de inicio de sesión: esto bloquea los ataques de fuerza bruta, que es cuando los piratas informáticos prueban diferentes combinaciones de nombre de usuario y contraseña para iniciar sesión.
- Escaneos y limpiezas de malware: esto debería ejecutarse diariamente, escaneando en profundidad la base de datos, los archivos y las carpetas de su sitio en busca de malware y limpiando todo lo que encuentre.
- Alertas en tiempo real: el complemento debería notificarle de inmediato si hay algo sospechoso en su sitio web.
¿Aún no tienes un plugin de seguridad? Considere obtener uno como su paso preliminar en su auditoría de seguridad de WordPress. Hemos reunido los 6 mejores complementos de seguridad de WordPress para elegir.
Pruebe la solución de copia de seguridad de su sitio web
Si algo sale mal en su sitio que es imposible o demasiado complejo de arreglar, tener una copia de seguridad de WordPress significa que puede restaurar su sitio a su estado anterior antes de que ocurriera el problema. Sin embargo, si su copia de seguridad falla, entonces no tiene nada que restaurar, lo que significa que podría quedarse con un sitio infectado o que no funciona correctamente. Idealmente, usará una solución de copia de seguridad (ya sea proporcionada por su host o un complemento que use) que le permita probar sus copias de seguridad, como BlogVault . También puede leer nuestro artículo con los 6 mejores complementos de copia de seguridad de WordPress .
Revise su administrador de WordPress y la configuración de FTP
Con WordPress, puede tener varias personas iniciando sesión para trabajar en varios proyectos, pero eso no significa que cada persona con un inicio de sesión deba tener acceso completo a su sitio web. Y cuando se trata de su cliente FTP , permitir que varias personas accedan significa que podrían hacer cambios en su sitio… bueno, todo.
Cuando agrega un nuevo usuario en WordPress, le asigna un rol (y también puede editar su perfil para cambiar su rol):
Diferentes roles tienen diferentes capacidades. Por ejemplo, un administrador puede acceder a todas las herramientas de administración del sitio (como cambiar el tema o instalar un complemento), pero un colaborador solo puede escribir y administrar sus propias publicaciones. Aquí hay un desglose completo de los diferentes roles y sus capacidades .
Para su auditoría de seguridad de WordPress, haga lo siguiente:
- Vea qué usuarios de WordPress tienen acceso de nivel de administrador.
- Decida si todos esos usuarios necesitan ese nivel de acceso (y si otros que tienen acceso limitado deben ser administradores).
- Reduzca los permisos y restrinja el acceso actualizando los roles de usuario para esas personas.
- Si no reconoce a los usuarios en el panel, elimínelos; podrían ser cuentas creadas por un hacker.
- ¿Hay algún nombre de usuario simplemente «admin»? Este es un nombre de usuario demasiado común y uno que los piratas informáticos a menudo intentan usar para acceder a su sitio. Cree una nueva cuenta de usuario para la persona y elimine la cuenta anterior.
- Elimine las cuentas de FTP para los usuarios que no necesitan un nivel de acceso tan alto.
Por último, si su sitio permite miembros, debe asegurarse de que realmente tengan que crear una cuenta al registrarse y que su rol predeterminado no permita el acceso de administrador. Vaya a Configuración > General . Desmarque la casilla junto a Cualquiera puede registrarse . Luego, seleccione la opción adecuada en Nuevo rol predeterminado de usuario .
Asegúrese de que WordPress esté actualizado
Puede hacer que esto se ejecute automáticamente, pero vale la pena verificar que WordPress esté actualizado a su versión más reciente. Las actualizaciones no solo solucionan los agujeros de seguridad, sino que también mejoran el rendimiento y agregan funciones. Vaya a Panel de control > Actualizaciones para ver si hay una lista.
Limpie sus complementos y temas
Los complementos pueden ampliar la capacidad de su sitio web, pero también son vulnerables a los ataques, especialmente si no se actualizan durante demasiado tiempo. Los desarrolladores confiables se mantendrán al tanto de las vulnerabilidades de sus complementos y lanzarán actualizaciones con parches. Durante su actualización de seguridad de WordPress, diríjase a su lista de complementos y haga lo siguiente:
- Desactive y desinstale cualquier complemento que ya no esté usando o que no reconozca.
- Actualice los complementos restantes que tengan actualizaciones listas.
- Si está utilizando un complemento que no ha recibido actualizaciones del desarrollador, considere usar otro que tenga la misma funcionalidad: un complemento que está desactualizado es demasiado vulnerable a los problemas de seguridad.
Incluso si está realizando su auditoría de seguridad de WordPress una vez al mes, es una buena idea revisar sus complementos con más frecuencia para actualizarlos según sea necesario. Además, elimine cualquier tema que no esté usando actualmente o que no espere necesitar. Al igual que con los complementos, los temas presentan el riesgo de vulnerabilidades de seguridad, por lo que es mejor mantener su sitio web tan libre de desorden como sea posible.
¡Mantente a salvo ahí fuera!
No deja de trabajar en otras partes de su negocio: crear nuevos productos o servicios, comercializarlos, venderlos, etc. La seguridad de su sitio web no debería ser diferente. Un pequeño problema puede conducir rápidamente a un ataque que amenaza el negocio si no lo detecta a tiempo, pero sin saber dónde están las áreas problemáticas, no sabrá qué soluciones implementar.
Mantener su sitio web seguro es un proceso continuo, y tener una lista de verificación de auditoría de seguridad de WordPress le ahorra la molestia de tratar de recordar qué hacer cada mes. Además, cuanto más pueda automatizar con un complemento de seguridad, mejor. Su lista de verificación de auditoría de seguridad de WordPress puede ser mucho más pequeña si la mayoría de lo que tiene que hacer es verificar dos veces que el complemento aún funciona correctamente. Tenemos resúmenes detallados de revisiones de dos complementos de seguridad líderes, Sucuri y Wordfence .