¿Desea buscar en todas las categorías o en esta categoría?
WordPress es el sistema de gestión de contenidos más conocido, pero por desgracia, su popularidad atrae a diversos tipos de hackers que se aprovechan de las vulnerabilidades de seguridad de la plataforma.
Esto no quiere decir que WordPress tenga un sistema de seguridad malo, sino que los fallos también pueden producirse porque los usuarios no le dan la importancia suficiente a la seguridad. Por lo tanto, es mejor aplicar medidas preventivas antes de que alguien intente hackear tu web.
Mejorar la seguridad de WordPress es esencial para proteger tu sitio web contra posibles ataques y vulnerabilidades. Aquí hay algunas medidas que puedes tomar para fortalecer la seguridad de tu sitio de WordPress:
Mantén WordPress y tus plugins actualizados: Mantener tu instalación de WordPress, temas y plugins actualizados es crucial. Las actualizaciones a menudo contienen parches de seguridad que corrigen vulnerabilidades conocidas.
Recuerda tomar los respaldos correspondientes antes de realizar modificaciones importantes.
Utiliza temas y plugins confiables: Descarga e instala temas y plugins solo desde fuentes confiables, como el Repositorio de WordPress o sitios web oficiales de desarrolladores de renombre.
Los plugins o temas de pago que puede encontrar de forma "gratuita" en internet, por lo general vienen modificados e incluyen código malicioso.
Contraseñas seguras: Utiliza contraseñas fuertes y únicas para tu sitio web, incluyendo combinaciones de letras, números y caracteres especiales. Evita usar contraseñas obvias o fáciles de adivinar.
Recomendamos las siguientes webs que le pueden ayudar a generar una contraseña segura: lastpass.com y clavesegura.org
Limita los intentos de inicio de sesión: Utiliza un plugin de seguridad para limitar los intentos de inicio de sesión fallidos y bloquear direcciones IP sospechosas.
Puede limitar los accesos fallidos con el plugin Limit Login Attempts Reloaded, es una buena forma de evitar los ataques de fuerza bruta, es decir, que averigüen sus datos de acceso con base en prueba y error.
Autenticación de dos factores (2FA): Habilita la autenticación de dos factores para agregar una capa adicional de seguridad al proceso de inicio de sesión.
Para este fin, recomendamos el plugin Wordfence Login Security para habilitar la autenticación en 2 pasos y como aplicación móvil para generar el código de autenticación Google Authenticator.
Cambiar el prefijo de la base de datos: Durante la instalación de WordPress, cambia el prefijo de la base de datos por defecto ("wp_") a algo único para dificultar los ataques.
Si realizó la instalación mediante Softaculous, por defecto se genera un prefijo aleatorio, pero en caso de necesitar ingresar uno personalizado, lo puede hacer desde las opciones avanzadas al momento de la instalación de WordPress:
Configura adecuadamente el archivo wp-config.php: Asegúrate de que el archivo wp-config.php tenga permisos adecuados y contenga la información de configuración correcta.
En general, los permisos de archivo correctos para WordPress deberían ser los siguientes:
Archivos: 644
Carpetas: 755
Copia de seguridad regular: Realiza copias de seguridad periódicas de tu sitio web y su base de datos. Si ocurre un problema, podrás restaurar tu sitio a un estado anterior.
En nuestro caso, realizamos copias de seguridad automáticas de su cuenta de cPanel de forma semanal, pero si requiere generarlas con más frecuencia o que sean solo de su instalación de WordPress, puede utilizar algún plugin de backups.
Firewall de aplicaciones web (WAF): Considera utilizar un WAF para filtrar y bloquear el tráfico malicioso antes de que llegue a tu sitio.
En nuestro caso, contamos con ModSecurity, puede verificar si está activo en su sitio, desde cPanel en el apartado de Seguridad.
Elimina o desactiva plugins y temas no utilizados: Los plugins y temas inactivos pueden representar vulnerabilidades potenciales, así que es mejor eliminarlos o desactivarlos.
Las actualizaciones del contenido por lo general corrigen los fallos de seguridad del mismo, mantenerlos sin actualizar, expone su sitio a ser vulnerado por esa vía.
Protege el acceso al directorio wp-admin: Utiliza un plugin de seguridad o configura tu servidor web para restringir el acceso al directorio wp-admin solo a direcciones IP autorizadas.
Puede limitar el acceso al administrador de WordPress, para que solo sea posible desde IP añadidas a su lista blanca, para ello, añada el siguiente código en su archivo .htaccess
<Files wp-login.php>
order deny,allow
Deny from all
# IP de administrador en lista blanca
allow from [IP que desea añadir a lista blanca]
</Files>
Importante: Si no dispone de una IP fija, no se recomienda realizar el proceso señalado anteriormente.
HTTPS: Habilita el certificado SSL en tu sitio para asegurar la transferencia de datos entre el navegador del usuario y el servidor.
Todos nuestros planes de Web Hosting cuentan con certificados SSL gratuitos, recomendamos ver la siguiente documentación al respecto: ¿Cómo instalar o renovar mis certificados SSL gratuitos desde cPanel?.
Monitorización y detección de malware: Utiliza herramientas de seguridad que monitoreen tu sitio en busca de actividad maliciosa y malware.
En nuestro caso, se escanean las cuentas de cPanel a diario y en caso de detectar algún archivo infectado, es notificado vía ticket. También puede aumentar la seguridad de su sitio con un plugin de seguridad dedicado a WordPress, como es el caso de WordFence.
Educación y capacitación: Mantente informado sobre las últimas amenazas de seguridad y educa a los usuarios autorizados sobre buenas prácticas de seguridad.
Recuerda que ninguna medida es completamente a prueba de fallos, pero al implementar una combinación de estas estrategias, puedes reducir significativamente el riesgo de un ataque exitoso en tu sitio de WordPress.
Si su sitio utiliza formularios de contacto, es importante que estos tengan algún método de validación, como por ejemplo un CAPTCHA, de esa forma evitará spam y abusos por esa vía.
