Imagina que eres un pirata informático en busca de formas de secuestrar sitios web de buena reputación y usarlos para canalizar el tráfico hacia una estafa de phishing nefasta.
¿Cómo atacarías para obtener el máximo impacto? Una opción sería localizar y apuntar a una única vulnerabilidad que afecte a cientos o miles de sitios web. Si tal cosa pudiera ser encontrada y explotada, provocarías una carnicería digital en muy poco tiempo.
¿Entiendes por qué es tan importante que tu sitio web de WordPress sea fuerte frente a cualquier vulnerabilidad? Como CMS más popular en el mundo web, WordPress es el objetivo principal para la mayoría de hackers informáticos de todas partes del mundo. Pero hay algo que puedes hacer al respecto y nosotros te vamos a ayudar. ¡Te traemos 5 pautas a seguir para fortalecer la seguridad de tu web de WordPress!
¿Por qué se hackean tan brutalmente los buenos sitios web?
Afortunadamente, el software principal de WordPress es bastante seguro. Los hackers rara vez pueden meterse debajo de la piel de tu sitio web yendo directamente al núcleo. Y de haber vulnerabilidades en el núcleo, se reparan de inmediato.
En lugar de ir tras el núcleo, que saben que es un hueso duro de roer, los hackers apuntan a aspectos como contraseñas elegidas sin pensar demasiado, plugins mal codificados, permisos de archivos poco estrictos y sitios que no se han actualizado en demasiado tiempo y, por lo tanto, son vulnerables.
Dado que los piratas informáticos tenderán a buscar el talón de Aquiles de tu sitio web, realmente no es tan complicado fortalecer WordPress y mantenerlo seguro. De hecho, puedes mantener tu sitio web de WordPress en el lado de las webs mejor protegidas siguiendo estos 5 pasos que te contamos a continuación.
5 pasos para asegurar y fortalecer tu sitio web de WordPress
- Actualiza todo
A veces WordPress te avisa de las actualizaciones de seguridad más críticas que no deberías pasar por alto, pero lo cierto es que es importante instalar todas las actualizaciones de WordPress lo más rápido posible, incluso aquellas que no avisen de su propia importancia.
Esto no solo se aplica al núcleo. La instalación de actualizaciones de plugins y temas es tan importante como la instalación de actualizaciones principales. Se lanzan muchas actualizaciones de temas, plugins y el núcleo de WordPress por un motivo, que suele ser abordar importantes vulnerabilidades de seguridad. Por eso, lo primero que debes hacer para mantener WordPress seguro es mantener todo actualizado.
- Usa un nombre de usuario único y una contraseña segura
¿Hay algo peor que usar “admin” como su nombre de usuario de administrador? ¿Y si además lo emparejamos con una contraseña tan evidente como “contraseña”?
La página de inicio de sesión de WordPress es un objetivo común para los bots de fuerza bruta automatizados que intentan iniciar sesión en otras webs para hackearlas. Pasarán el rato en /wp-login.php probando una combinación tras otra de nombres de usuario y contraseñas usuales con la esperanza de que hayas sido lo suficientemente perezoso como para dejar la puerta principal abierta.
La solución es utilizar un nombre de usuario y una contraseña únicos. Si bien nosotros tendemos a buscar nombres de usuario sin sentido como “s3r7as”, cualquier nombre de usuario único será una gran mejora con respecto a “admin”. Tu contraseña, por otro lado, debería ser igual de aleatoria para tratar de poner las cosas lo más difícil posible a los hackers.
Teniendo en cuenta que WordPress tiene un generador de contraseñas seguras aleatorias incorporado, no hay excusa para usar una contraseña fácil de adivinar. Entonces, si tu contraseña no es segura, ve a Usuarios > Tu perfil, y en la parte inferior de la página encontrarás “Generar contraseña”, donde podrás personalizarla si así lo deseas. Finalmente, pulsa el botón “Actualizar Perfil”.
- Deshabilita trackbacks y pingbacks
Si no usas trackbacks y pingbacks en tu sitio de WordPress, desactivalos. Puedes hacerlo con un plugin, como veremos en un momento, o puedes ir a Configuración > Comentarios y desmarcar las casillas junto a “Intentar avisar a cualquier blog enlazado desde la entrada” y “Permitir avisos de enlaces de otros blogs (pingbacks y trackbacks) en las nuevas entradas”.
Cambiar esta configuración aún podría permitir que se activen los trackbacks y pingbacks para publicaciones y páginas individuales. Por eso, una mejor opción es usar un plugin que bloquee completamente los pingbacks y trackbacks de una vez por todas.
Hay al menos dos buenas razones por las que deberías considerar deshabilitar trackbacks y pingbacks: pueden generar comentarios no deseados y pueden usarse en los ataques de fuerza bruta. Si los usas, al menos tómate un tiempo para hacer lo posible para proteger tu sitio contra el spam y los ataques de fuerza bruta. Sin embargo, a la mayoría de nosotros nos conviene deshabilitarlos por completo.
- Ocultar errores PHP
PHP tiene capacidades de depuración incorporadas y puede mostrar los mensajes de error generados por PHP en la interfaz de tu web, al agregarlos al archivo wp-config.php define( ‘WP_DEBUG’, true); de su sitio. Es una herramienta realmente útil para los desarrolladores de temas y plugins. Sin embargo, nunca debes mostrar errores de PHP en un sitio público.
En algunos casos, mostrar errores PHP puede proporcionar información a un hacker para comprometer tu sitio web. La solución simple es establecer el anterior archivo WP_DEBUG en “false” en vez de “true”. Puedes agregar ese código al archivo wp-config.php de tu sitio manualmente o usar un plugin para hacerlo sin riesgos.
- Escanea tu sitio web de WordPress con regularidad
La clave es mantener la seguridad de tu sitio web a largo plazo, y la única forma de hacerlo es escanear tu web periódicamente en busca de nuevas vulnerabilidades de seguridad.
Si bien puedes vigilar tu sitio manualmente, lo ideal es configurar escaneos automáticos utilizando plugins que te alertarán cuando algo ande mal.
¿Alguna vez te han pirateado un sitio de WordPress? ¿Cómo llegaron los hackers informáticos a tu web? Comparte tu historia en la sección de comentarios para que entre todos podamos aprender de los errores cometidos. Y si quieres que no te ocurra nunca más, deja en nuestras manos la protección de tu sitio web de WordPress y olvídate de los riesgos. ¡Pondremos a punto tu web para que no exista brecha por la que cruzar! Ponte en contacto con nosotros y te ayudaremos.
