No existe una manera infalible de hacer que tu sitio sea completamente seguro; pero si hay algunos pasos simples que puedes seguir para aumentar la seguridad y dar una buena batalla ante los intentos de hackeo.
Tabla de Contenidos
¿Por qué piratean los sitios?
Para ayudarte a entender como mantener tu sitio seguro; es importante entender por qué los hackers atacan sitios web. Especialmente si solo manejas un blog personal o una tienda pequeña de e-commerce; nadie debería de molestarte con eso; ¿Cierto?
Los hackers intentan ingresar en los sitios web por 3 razones principales:
- Ellos quieren utilizar tu sitio para enviar correos no deseados.
- Quieren robar tu información, tu lista de correos, la información de las tarjetas de crédito, etc.
- También quieren que tu sitio descargue malware o los sitios de tus usuarios.
Malware o software malicioso; puede ser instalado en una forma que sea difícil de saber que está ahí. Bueno para los hackers pero no para tu sitio. Los hackers intentarán utilizar tu sitio para atacar a grandes escalas; como un ataque de denegación de servicio.
¿Por qué los hackers tienen a WordPress como objetivo específico?
La respuesta corta es; porque es popular.
Ponte en la mente de un hacker por un segundo. Si quieres tomar el control de muchos sitios web para tu propio propósito; perderías todo tu tiempo tratando de encontrar vulnerabilidades en plataformas que han sido utilizadas por 500 sitios web; o intentarías hackear plataformas con millones de sitios. Porque WordPress es ampliamente usado; es increíblemente popular para los objetivos de los hackers.
El núcleo de WordPress es muy seguro; lo que hace que sea difícil de hackear. Pero como cualquiera puede escribir herramientas adicionales para WordPress; como temas y plugins; es posible que no todas las extensiones cumplan con los mismos estándares de revisión de código que el núcleo de WordPress. Es posible que un plugin muy popular tenga fallas de seguridad que pueden afectar a miles de sitios de WordPress a la vez.
Sin embargo; no te preocupes la naturaleza de código abierto del código también es lo que lo hace fuerte. Es lo que permite a los desarrolladores ayudar a mejorar la seguridad a lo largo del tiempo y a terceros a crear soluciones de seguridad aún más sólidas que se pueden instalar directamente sobre WordPress.
La conclusión es que tu sitio WordPress puede ser hackeado en cualquier momento (eso es real para cualquier sitio). Pero hay varias cosas que puedes hacer para aumentar la seguridad de tu sitio y ponerle las cosas más difíciles a los hackers.
Aquí tienes una lista de esas formas que puedes utilizar para ponerle ese extra de seguridad a tu sitio; empezando con el más básico y esencial.
1. Utiliza nombres de usuario y contraseñas inteligentes
Parece obvio; pero muchos usuarios de WordPress pasan por alto esta medida de seguridad. Tu nombre de usuario y contraseña es para WordPress lo que seria cerrar la puerta de entrada para la seguridad de tu hogar.; y no importa que tanto bueno sea tu sistema de seguridad si dejas la puerta abierta para que cualquiera pueda entrar.
En cuanto al nombre de usuario; evita elegir algo típico como «admin» o el nombre de tu sitio. Esos van a ser los primeros en los que el hacker va a pensar. La misma regla se aplica para la contraseña; no utilices nada que sea obvio. Si tu contraseña de WordPress es realmente corta, fácil de leer, la usas en varios sitios, debes de cambiarla por algo que sea más complicada. Si tienes problemas recordando una contraseña complicada puedes utilizar Lastpass o 1Password.
Si tienes en tu sitio de WordPress a varios usuarios puedes agregar el plugin Force Strong Password para que todos los usuarios tengan una contraseña fuerte.
2. Mantener los temas, plugins y WordPress actualizados
Tratar de mantener las actualizaciones puede ser un poco molesto; especialmente si tienes muchos plugins instalados en tu sitio de WordPress, pero es importante que trates de mantener todo actualizado. Los temas y plugins ocasionalmente pueden tener vulnerabilidades de seguridad; que son solucionadas por los desarrolladores tan pronto lo descubren.
Cuando instalas nuevos plugins; asegúrate de revisar si tienen algún problema que no ha sido solucionado. No tienes que decepcionarte al querer utilizar un plugin que ha tenido un historial de vulnerabilidades; muchos de los mejores plugins han mostrado alguno; pero es algo que definitivamente debes de notar al comparar opciones.
Aparte de actualizar tus temas y plugins regularmente; mantenerte al tanto de las actualizaciones de WordPress es crucial. De hecho, WordPress.org lo recomienda para protección de seguridad. Si hay alguna actualización lista; vas a ver una notificación en el panel de WordPress.
3. Desinstala temas y plugins inactivos
Incluso temas y plugins desactivados pueden tener vulnerabilidades; y por esa razón, todavía pueden ocupar los recursos de tu servidor. Es mejor simplemente desinstalar plugins o temas que no están consecuentemente activos.
Si esta idea te estresa; solo recuerda que siempre puedes reinstalar temas y plugins más adelante si los necesitas.
4. Agrega captcha para que tu sitio sea más seguro
Hay varias variantes de captcha que puedes utilizar; pero la idea es la misma entre plugins y métodos; puedes forzar a cualquier visitante a tu sitio que intenta rellenar algún formulario que compruebe que es humano. Mientras que alguna vez fue una opción problemática e inconveniente; captcha ha mejorado mucho en años recientes. Además protege todas las formas en tu sitio; hace doble función ayudando a detener a los hackers y el correo no deseado.
5. Limita la cantidad de intentos de inicio de sesión
Una de las tácticas utilizada por muchos hackers es continuamente seguir intentando adivinar cuál es tu nombre de usuario y contraseña para entrar por la puerta principal de tu sitio; conocido también como ataques de fuerza bruta. Hay muchos plugins que te pueden ayudar a prevenir esto bloqueando la dirección de internet después de ciertos intentos de inicio de sesión. Este es un método altamente efectivo contra los ataques de fuerza bruta y casi imposible de lograrlo.
6. Agrega un certificado SSL
SSL es un protocolo utilizado para asegurar y cifrar la comunicación entre computadoras. En otras palabras; ayuda a mantener la información confidencial en tu sitio increíblemente segura. Esto incluye cosas como las contraseñas, información de tarjetas de crédito, credenciales bancarias; básicamente cualquier información que se guarda en tu sitio; que tú y tus usuarios quieren mantener segura. Esta indicado visualmente por el pequeño candado verde en la barra de direcciones de tu navegador.
Aunque esto no es técnicamente necesario para todos los sitios; es increíblemente beneficioso y esencialmente requerido por cualquier sitio de WordPress que colecta información confidencial de los usuarios. Aunque ese no sea el caso; un certificado SSL te ayuda a proteger la transmisión de tu sitio y genera confianza con tus usuarios.
Otra buena razón para agregar un certificado SSL a tu sitio de WordPress es el SEO. Google ha anunciado que marcaran los sitios que guardan contraseñas y la información de tarjetas de crédito sin un certificado SSL como sitios inseguros; como parte de un plan a largo plazo para marcar todos los sitios; si recopilan información o no; como inseguro. En otras palabras; si tu sitio no tiene un certificado SSL instalado; puede afectar seriamente tu tráfico y conversiones.
7. Agrega autenticación de dos factores para un WordPress con mayor seguridad
Otra forma de prevenir los intentos de inicio de sesión de fuerza bruta es configurando la autenticación de dos factores. Este método requiere dos verificaciones; una contraseña y un código de autorización que es enviado a tu móvil o correo electrónico para poder iniciar sesión.
Mientras que en las personas en que confías tardan un poco más en iniciar sesión; también hace que sea un poco más difícil para las personas en las que no confías obtener acceso a tu sitio. También puedes agregar la autenticación de dos factores para iniciar sesión en tu sitio de WordPress.
Toma un poco de tiempo acostumbrarse a utilizar la autenticación de dos factores; pero definitivamente vale la pena a largo tiempo.
8. Mueve la pantalla de inicio de sesión de WordPress
Muchos hackers de WordPress provienen de bots maliciosos que están programados para rastrear la web en busca de sitios de WordPress. Una vez que encuentran uno; agregan «/wp-admin» al final de la URL del sitio para acceder a la pantalla de inicio de sesión e intentan forzar su entrada.
El plugin wp-login.php te permite cambiar la ubicación de tu pantalla de inicio de sesión de «/wp-admin» por el que tú quieras. Puedes usar algo como «/inicio de sesión de mi sitio» o cualquier cosa que tú desees. Lo que decidas; cualquier usuario que intente utilizar el viejo enlace de «/wp-admin» se le va a mostrar un mensaje de error; lo que ayudara a detener a los bots y hackers en sus intentos.
Al mover la pantalla de inicio de sesión de tu WordPress; significará que vas a tener que compartir la nueva URL de inicio de sesión con cualquiera que tenga que iniciar sesión en tu sitio; de lo contrario no van a poder tener acceso al área de administración.
9. Utiliza Cloudflare
Esta es una opción más avanzada; y ciertamente no es la que cualquiera necesita; pero Cloudflare es un servicio externo que actúa como una especie de filtro entre tus servidores y tus usuarios. Cloudflare ofrece muchas opciones de seguridad y rendimiento; muchas de las cuales están disponibles en su plan gratuito.
Mientras que la mayoría de los sitios no necesitan preocuparse acerca de ataques DDOS; Cloudflare es excelente para prevenir esos; ya que la dirección IP de tu servidor estará efectivamente enmascarada. Cloudflare también ofrece una variedad de otras opciones de seguridad; incluyendo el bloqueo de direcciones IP o regiones específicas.
10. Haz una copia de seguridad de tu sitio con regularidad
Hacer una copia de seguridad de tu sitio de forma rutinaria; es una precaución segura que te facilitara la vida si los hackers llegan a tu sitio; al tener una copia reciente de tu sitio; podrás restaurar fácilmente tu contenido antes de que se vea comprometido y no te quedaras atrapado en una posición donde tengas que averiguar que es lo que debes de hacer.
Otro plugin que te va a ayudar con la seguridad de tu WordPress es ithemes security; tiene una versión gratuita que es suficiente para lo que puedes necesitar.