Seguridad de WordPress: cómo proteger su sitio web de los piratas informáticos

Ya sea que lance un sitio de negocios, una tienda en línea o un blog de pasatiempos, WordPress proporciona flexibilidad, facilidad de uso y funcionalidad avanzada que contribuirá a un éxito sorprendente. Pero antes de estar listo para lanzar en vivo, pase unos minutos pensando en la seguridad. Proteja su sitio tanto como sea posible para protegerlo de los piratas informáticos y trabajar en cualquier momento para los fanáticos y clientes. ¿Por qué es importante la seguridad de WordPress? Su sitio web le dice a sus visitantes quién es usted, qué tipo de contenido y servicios ofrece y lo que se puede esperar de su marca es un lugar para causar una gran primera impresión y generar confianza y lealtad con los fanáticos existentes.
Por lo tanto, es muy importante asegurarse de que su sitio web sea funcional en cualquier momento. Si de repente incluye enlaces al malware, comience a funcionar muy lentamente después de un hack o está completamente fuera de línea, afectará su reputación. Si su sitio está pirateado, puede perder dinero debido a la disminución de las vistas, las ventas o la visualización de anuncios. Puede haber costos involucrados en la restauración en buenas condiciones de trabajo. También puede perder la clasificación en los motores de búsqueda, a veces definitivos. Entonces, para ahorrar dinero (¡y ahorrarle la cara!) Asegúrese de que su sitio esté bloqueado y asegurado.
¿Cómo se piratean los sitios de WordPress? Google ha lanzado recientemente una lista de las principales formas en que los piratas informáticos acceden a los sitios web. Veamos algunos de estos en detalle: las contraseñas comprometidas Los ataques brutos son una de las formas más comunes en que los piratas informáticos se deslizan en un sitio. Utilizo robots para probar diferentes nombres de usuario y contraseñas, miles de combinaciones por segundo, hasta que encuentre la correcta. Complementos y temas inseguros Las vulnerabilidades que se encuentran en los complementos y los temas son una manera relativamente fácil para que los malos actores ingresen. Los desarrolladores de temas de alta calidad lanzan correcciones para esas vulnerabilidades en actualizaciones regulares, pero no todos los usuarios de WordPress están actualizando su sitio web. Y las versiones gratuitas y canceladas de los complementos y los temas premium a menudo tienen puertas traseras incorporadas en su código: puntos de acceso para que los hackers se conecten de forma remota a su sitio y hagan todo lo que quieran. Palos seguridad, como dar acceso al sitio web de las personas que No lo necesite ni permita contraseñas inciertas, facilite el acceso de los usuarios a su sitio web. ¿Por qué alguien piratearía un sitio web?
Quieren robar dinero. Es posible que desee recopilar información de la tarjeta de crédito del cliente o dirigir a los visitantes a sitios web maliciosos diseñados para engañar a las personas.
Quieren capturar información. Podrían vender datos personales a terceros o mantener información a cambio de dinero.
Quieren quitarle su sitio. Esto generalmente tiene una razón personal y rara vez es una amenaza para el sitio web habitual.
Quieren vandalizar su sitio. De nuevo, esto suele ser personal. El hacker podría dañar el sitio web de alguien con el que no estoy de acuerdo para hacer una declaración.
Quieren atacar a alguien más. Los attacles pueden usar su sitio web para difundir malware o ransomware en Internet o usar su servidor web para atacar a otra persona.
Quieren aprender. Los piratas informáticos tienen que practicar de alguna manera, ¿verdad? Pueden usar su sitio web como campo de capacitación para objetivos más grandes y más rentables en el futuro.
Cómo asegurar su sitio web de WordPress de Hackers 1. Elija un host de calidad que su empresa de alojamiento sea su socio de seguridad y es importante elegir uno con una buena reputación. Recibe lo que paga y muchos anfitriones con descuentos no implementan prácticas de seguridad sólidas.
Pero, ¿cómo sabes cuál elegir? Aquí hay algunas indicaciones de un proveedor de alojamiento seguro:
Las copias de seguridad regulares incluidas en su plan o por una tarifa.
Certificados SSL, que protegen los datos de los visitantes de su sitio.
Asistencia 24/7 si su sitio es pirateado.
Un firewall incorporado que protege los archivos y la base de datos en su servidor.
Escaneos de seguridad que lo alertarán sobre códigos y actividades sospechosas en su sitio.
Una buena reputación. Las revisiones y recomendaciones son a menudo la mejor manera de determinar la calidad de un anfitrión.
Y no olvide que una empresa con buen conocimiento y una fuerte seguridad merece costos adicionales. Aquí hay una lista de hosts de WordPress recomendados para comenzar.
2. Mantenga el software actualizado El modo número uno para mantener su sitio seguro es actualizar su software regularmente: WordPress, temas y complementos. Las nuevas versiones a menudo corrigen vulnerabilidades de seguridad, por lo que cuanto más se actualicen, mejor. También puede minimizar los riesgos de seguridad de WordPress eligiendo complementos de confianza que sean estables y satisfagan más necesidades simultáneamente. Por ejemplo, JetPack Security ofrece un conjunto completo de herramientas de seguridad de WordPress incorporadas en el único complemento JetPack. Por lo tanto, también puede beneficiarse de características adicionales sin instalar docenas de complementos y aumentar el riesgo de un ataque en su sitio3. Cree el nombre de usuario y las contraseñas seguras mantengan a los piratas informáticos eligiendo un nombre de usuario único y una contraseña segura. Use al menos 20 caracteres, una letra grande, una letra pequeña, un número y un símbolo. Si crea un sitio con usuarios adicionales, asegúrese de establecer los permisos correctos para cada uno. Es posible que no desee que su nuevo aprendiz tenga acceso a archivos básicos u otros datos importantes, por ejemplo. Aquí hay un gran artículo sobre el permiso de los usuarios de WooCommerce, pero una gran parte se aplica a cualquier tipo de sitio. Y si crea una cuenta para un tercero, como un desarrollador, una agencia de marketing o una persona de asistencia, asegúrese de eliminar el acceso después de completar su actividad.
4. Configure los niños de repuesto fuera de la ubicación Las copias de seguridad son esenciales para proteger su contenido, trabajo duro y datos o visitantes de clientes. Independientemente del problema con su sitio, tener una copia de seguridad completa a mano significa que pueda reiniciar rápidamente nuevamente. Pero es importante elegir el tipo correcto de hijos de repuesto. Por ejemplo, asegúrese de que las copias de repuesto se almacenen fuera del sitio, más bien en la nube que en el servidor. Esto significa que incluso si pierde acceso a su sitio o su servidor está comprometido, aún puede restaurar una versión limpia. Jetpack Backup brilla. No solo almacena todas las copias de seguridad en los mismos servidores seguros que usan para su propio sitio, sino que conserva más copias de seguridad encriptadas para un nivel adicional de protección.
Además, puede elegir entre dos opciones: en tiempo real y diariamente. Las copias de seguridad en tiempo real son la mejor opción para tiendas en línea, foros de membresía o sitios web que se actualizan regularmente. Jetpack guarda una copia de su sitio cada vez que cambia algo: se realiza una venta, se actualiza una página o se agrega un comentario. Esto significa que no perderá una sola venta o una información sin importar lo que suceda.
La copia de seguridad diaria es adecuada para sitios estáticos que no se actualizan con frecuencia. Jetpack guarda sus archivos y base de datos una vez al día en lugar de que se realicen cambios. ¿La mejor parte? Es muy fácil de configurar: no se requiere una configuración de servidor complicada. Simplemente realice algunos pasos simples y comuníquese con el equipo de asistencia al cliente inigualable de Jetpack si necesita ayuda. Puede usar el mejor complemento de copia de seguridad de WordPress como una herramienta autónoma o como parte de la suite de seguridad completa. 5. Agregue protección contra los ataques de la fuerza bruta Los ataques de la fuerza bruta aparecen cuando los piratas informáticos usan robots para adivinar miles de nombres de usuario/contraseña por segundo hasta que finalmente obtenga acceso a su sitio. Endangule la información de su sitio, pero también puedo reducir la velocidad de las cosas. sobrecarga del servidor. Si bien la información de conexión segura definitivamente ayudará, la mejor prevención es un instrumento que los detendrá en el camino. ¡La característica gratuita de proteger contra los ataques de jetpack bruto bloquea las direcciones IP sospechosas justo antes de que lleguen a su sitio!
La configuración no podría ser más fácil, todo lo que tiene que hacer es activar la función, y puede ver el número de ataques bloqueados desde el tablero. Sugerencia: ¡el promedio es 5.193! 6. Escanee en busca de malware si un hacker logra ingresar, desea saber de inmediato, para que pueda solucionar problemas. Después de todo, cuanto más tiempo su sitio esté abajo o incierto, mayor será el deterioro de su reputación y datos.

Pero Jetpack Scan busca automáticamente su sitio de malware, malos actores y actividades sospechosas, alegando de inmediato si encuentra algo.Incluso puede remediar la mayoría de los hacks conocidos con un solo clic, ahorrándole tiempo y dinero. Y no tendrá que pasar tiempo descifrando un lenguaje técnico complicado: el tablero de jetpack Scan explica todo en términos simples y lo guía a través de cada paso necesitas hacer.Puede configurarlo y olvidarlo, sabiendo en silencio que su sitio está monitoreado las 24 horas, los 7 días de la semana.Obtenga más información sobre nuestra herramienta de escaneo de WordPress de malware.7. Implemente el monitoreo del tiempo no funcional si es el resultado de un mal ataque intencional o un simple error, si su sitio web colapsa, debe tomar medidas inmediatas.¡Pero no tiene tiempo para recargar su sitio todo el día para asegurarse de que funcione!
La herramienta de monitoreo no funcional de WordPack WordPack sigue su sitio web las 24 horas del día, los 7 días de la semana y le permite si ya no responde.Luego puede usar el diario de actividad para determinar exactamente qué salió mal y cuándo, para que pueda responder correctamente y volver a la operación en unos minutos, no horas o días.8. Elimine complementos y temas no utilizados, ya que ha instalado más temas y complementos en su sitio, más oportunidades para que un hacker se aproveche de ellos.Aunque los complementos son una excelente manera de agregar características adicionales, realice un poco de mantenimiento y elimine las que no usa.Y, aparte de un tema implícito, puede recurrir a la solución de problemas del sitio, no necesita almacenar temas adicionales.Bonificación: ¡eliminarlos también puede mejorar la velocidad del sitio!
9. Active la autenticación con dos factores para los administradores Dos factores La autenticación es una forma extremadamente efectiva de proteger su página de autenticación, ya que requiere que un hacker tenga la contraseña y un elemento físico, una combinación poco probable. Cuando un administrador se conecta a su sitio, deberá ingresar un código desechable que se envía a su teléfono. Jetpack ofrece esta función de forma gratuita, por lo que es una manera fácil de caminar un paso más allá de las contraseñas seguras. ¿Tienes más usuarios? Se requiere fácilmente autenticación con dos factores para todos. 10. Configure un firewall WordPress A Firewall WordPress monitorea todo el tráfico que llega a su sitio, actuando como un barricado contra los piratas informáticos. Si bien un buen plan de alojamiento incluye un firewall que protege su servidor, también querrá instalar un WordPress especial. Un buen complemento para el firewall tiene una base de datos con información sobre las malas direcciones IP sospechosas de actores, robots maliciosos y tráfico que solo parece “discapacitado”, y los bloquea antes de que pueda atacar su sitio. Puede ver algunas de las opciones más populares en el almacén de complementos de WordPress. 11. Mire la actividad en su sitio Cuando tenga un diario con todo lo que sucede en su sitio web, puede viajar e identificar fácilmente cualquier sospechoso. Y si su sitio está pirateado, puede identificar el momento en que se llevó a cabo, puede averiguar qué acciones se han tomado y puede descubrir mucho más fáciles qué cuentas se han comprometido.

El Jetpack Activity Journal para WordPress realiza un seguimiento de todos los cambios principales que tienen lugar, desde los intentos de conexión y las páginas publicadas hasta complementos eliminados, temas actualizados y configuraciones modificadas. Para cada evento, puede ver una marca de tiempo, el usuario que realizó un cambio y una descripción de lo que ha hecho. Luego puede usar esta información para solucionar problemas o restaurar una copia de seguridad inmediatamente antes de un problema. ¿Qué sucede si mi sitio de WordPress no está asegurado? La mayoría de los atacantes no se dirigen específicamente a usted, sino que solo buscan el sitio más fácil para acceder. Entonces, si su sitio de WordPress no está asegurado adecuadamente, es más probable que sea víctima de un truco. Finalmente, esto podría conducir a: una reputación dañada. Si su sitio tiene advertencias de seguridad, es defectuoso o redirige a un sitio sospechoso, no se verá bien para los visitantes del sitio. Pueden perder confianza en su blog o negocio, perdiendo sus ventas o ingresos.

Datos sobre clientes robados. Si un hacker accede a su tienda de comercio electrónico, es posible recopilar información personal que pueda usar solo o vender a terceros.

Archivos del sitio web dañados. ¡Podría perder una parte o todo su sitio web, años potenciales de trabajo duro!

Eliminación de los resultados de búsqueda. Si su sitio está pirateado, Google puede bloquearlo y eliminarse por completo de los resultados de búsqueda.
Tráfico en el sitio perdido. Entre las posiciones más bajas (o inexistentes) de los motores de búsqueda y las personas que no querrán visitar un sitio con una advertencia de seguridad, el tráfico de su sitio puede disminuir significativamente. La publicidad reducida. Las redes publicitarias no quieren que sus anuncios de clientes se transmitan en sitios inseguros. Entonces, si su sitio es pirateado, podría eliminarse de las redes publicitarias y podría estar completamente prohibido, reduciendo o eliminando sus ingresos. Incluso si no se elimina, el bajo tráfico afectará negativamente los anuncios.

¿Cómo sé si mi sitio de WordPress ha sido pirateado? A veces puede ser difícil saber si su sitio web ha sido pirateado o si está experimentando otro tipo de problema. Sin embargo, aquí hay algunas pistas de un hack de sitio:
Su sitio web tiene una advertencia de seguridad al cargar la URL.
Su complemento de seguridad informa un problema.
Su anfitrión le envía un correo electrónico sobre un problema.
Su sitio web redirige por completo en otro lugar y no ha hecho esa redirección.
Vea las líneas de código extraña en las páginas de su sitio.
Su sitio está completamente detenido, aunque esto puede deberse a otras causas.
Los anuncios en su sitio redirigen a sitios web sospechosos.
Su sitio se carga repentinamente muy lentamente o se comporta de manera extraña de otras maneras.
¿Qué hago si mi sitio de WordPress está pirateado? Si su sitio web de WordPress está roto, hay algunos pasos que puede tomar para remediar el problema y recuperar sus archivos y base de datos:
Establece lo que pasó. Si está utilizando JetPack, eche un vistazo al diario de actividades para ver quién ha conectado, cuándo y qué han cambiado. Esto puede ayudarlo a identificar las cuentas comprometidas y descubrir qué archivos están afectados. Detenga un escaneo de malware. Use una herramienta como Jetpack Scan para buscar en los archivos de su malware u otras pistas de hack. Si usa la herramienta de escaneo de malware JetPack para WordPress, también puede solucionar la mayoría de los problemas con un solo clic.
Restaurar una copia de seguridad. Si hace niños de respaldo regulares de su sitio, restaure uno antes de que se produzca el hack. Si está utilizando la copia de seguridad de JetPack, sus archivos se almacenan por separado de su servidor, por lo que no deben comprometerse.
Restablecer todas las contraseñas y eliminar usuarios sospechosos. Restablezca todas las contraseñas para su sitio de WordPress y el proveedor de alojamiento. Si ve cuentas de usuario sospechosas que no ha creado, elimínelas.
Contrata a un experto en la seguridad del sitio web. Si no puede eliminar el malware por su cuenta o solo desea asegurarse de que su sitio esté seguro, considere contratar a un experto en seguridad de un servicio como Codable.
Actualice sus complementos, temas y la versión de WordPress. Esto ayudará a asegurar cualquier vulnerabilidad que el hacker podría haber aprovechado.
Retención de su sitio a Google. Si su sitio ha sido bloqueado, use la consola de búsqueda de Google para solicitar un examen y eliminarla de la lista.