Las Mejores Prácticas
En lo que respecta a la Seguridad WordPress, hay muchas cosas que puedes hacer para proteger tu sitio y evitar que los piratas informáticos y las vulnerabilidades lo afecten. Lo último que uno quiere es despertarse una mañana para descubrir que nuestro sitio está en ruinas. Así que hoy vamos a compartir muchos consejos, estrategias y técnicas que puedes utilizar para mejorar la seguridad de tu WordPress y mantenerte protegido.
¿Es seguro WordPress?
La primera pregunta que muchos usuarios se hacen es ¿es seguro WordPress? La respuesta para la gran mayoría es sí. Sin embargo, WordPress generalmente tiene la mala reputación por ser propenso a vulnerabilidades de seguridad y, que no es una plataforma segura para usar en una empresa. La mayoría de las veces, esto se debe al hecho de que los propietarios no se preocupan del sitio y no aplican las mejores prácticas de seguridad en la industria.
El uso de software de WordPress no actualizado, plugins anulados, administración deficiente, mala gestión de credenciales y falta de conocimientos web y de seguridad son la causa de ataques exitosos. Este entorno de usuarios WordPress que no son expertos en tecnología mantienen a los piratas informáticos en la cima de su juego de delitos cibernéticos. Incluso líderes de la industria no siempre utilizan las mejores prácticas. Por ejemplo, Reuters fue pirateado porque estaban usando una versión desactualizada de WordPress.
WordPress es el CMS con más sitios web en Internet. Por lo mismo es razonable que tenga las estadísticas de hackeo más altas. Pero esto no es porque WordPress sea malo en términos de seguridad, ya que NO hay sistema seguro. Todo sistema necesita estar permanentemente actualizado y con mecanismos de seguridad aplicados y vigilados.
Vulnerabilidades de WordPress
Algunos de los diferentes tipos de vulnerabilidades de seguridad de WordPress son:
- Puertas traseras o back doors.
- Pharma Hacking: introducen código malicioso que afecta las búsquedas en Google.
- Intentos de inicio de sesión de fuerza bruta.
- Redirecciones maliciosas.
- Secuencias de comandos entre sitios (XSS).
- Negación de servicio (DoS).
¿Qué es la Seguridad?
Básicamente, la seguridad no se trata de sistemas perfectamente seguros. Tal cosa bien podría ser impráctica o imposible de encontrar y/o mantener. Sin embargo, la seguridad es la reducción de riesgos, no la eliminación de riesgos. Se trata de emplear todos los controles apropiados disponibles, dentro de lo razonable, que te permitan mejorar tu posición general reduciendo las probabilidades de convertirte en un objetivo y, posteriormente, ser hackeado.
Ten en cuenta algunas ideas generales a considerar para la seguridad WordPress de tu plataforma:
Limitar el acceso
Tomar decisiones inteligentes que reduzcan los posibles puntos de entrada disponibles para una persona malintencionada.
Contención
Configurar tu sistema para minimizar la cantidad de daño que se pueda hacer en caso de que se vea comprometido.
Preparación y conocimiento
Mantener copias de seguridad y conocer el estado de tu instalación de WordPress a intervalos regulares. Tener un plan para hacer una copia de seguridad y recuperar su instalación en caso de una catástrofe, puede ayudarte a volver a estar disponible con tu sitio más rápido en caso de un problema.
Fuentes confiables
Evitar instalar plugins y temas de fuentes que no sean de confianza. Limítate al repositorio de WordPress.org o empresas conocidas. Intentar obtener plugins o temas de fuentes no oficiales, puede generarte grandes problemas.
Hosting de sitio web
A menudo, un buen lugar para comenzar cuando se trata de seguridad de sitios web es su entorno de alojamiento. Hoy en día, hay muchas opciones disponibles y, si bien los hosting ofrecen seguridad hasta cierto nivel, es importante comprender dónde termina su responsabilidad y dónde comienza la tuya. Un servidor seguro protege la privacidad, integridad y disponibilidad de los recursos bajo el control del administrador del servidor.
¿Cómo se piratean los sitios web?
Para entender mejor como proteger un sitio web es importante entender los mecanismos de pirateo. Durante décadas de historia web, vemos que los hackeos casi siempre se dividen en tres categorías:
- Control de acceso.
- Vulnerabilidades de software.
- Integraciones de terceros.
No importa si eres una gran corporación o un almacén de barrio, la forma en que los piratas informáticos se acercan a un objetivo es muy similar. Lo que puede variar es cómo un negocio dejó condiciones de vulnerabilidad explotables por un ciberdelincuente.
Para las organizaciones grandes, a menudo se escuchan cosas tales algo como: "Pensé que alguien más lo estaba manejando". Hay una niebla que puede desarrollarse naturalmente en organizaciones complejas.
Para las pymes, a menudo se reduce a: "No entiendo por qué alguien querría atacarme, si mi negocio es tan pequeño". Es fácil perder de vista cuánta información privada se puede extraer incluso de un sitio muy simple.
En ambos casos, los piratas informáticos tienen las herramientas y los incentivos para actuar en áreas donde la vigilancia no es alta.
Recomendaciones de Seguridad WordPress
Entre las recomendaciones más importante podemos mencionar las siguientes:
- Hosting seguro de WordPress
- Utilizar la última versión de PHP
- Nombres de usuario y contraseñas inteligentes
- Últimas Versiones de todo (WP/Temas/Plugins)
- Bloquear el administrador de WordPress
- Autenticación de dos factores
- HTTPS - Certificado SSL
- Hardening del archivo wp-config.php
- Hardening del archivo .htaccess
- Deshabilitar XML-RPC
- Ocultar la versión de WordPress
- Encabezados de seguridad HTTP
- Plugins de seguridad de WordPress
- Seguridad de la base de datos
- Conexiones seguras
- Permisos de archivos y servidores
- Deshabilitar la edición en el panel
- Evitar Hotlinking
- Realizar siempre copias de seguridad de WordPress
- Protección DDoS
Si necesitas mantener tu sitio web seguro y actualizado, no dudes en contactarnos, en Neuroclick ofrecemos distintos planes de mantención que incluyen soporte WordPress para tu sitio web, y que se adaptan a las necesidades de tu empresa. Confía el mantenimiento de tu página web a nuestros expertos.