Los continuos y crecientes ataques informáticos están obligando a los propietarios de los sitios web a corregir los errores más comunes que afectan a la seguridad de WordPress.
WordPress es la plataforma de blogs más popular del mundo, con alrededor del 60% de la cuota de mercado. Originalmente fue diseñado para blogs, pero hoy en día se usa para mucho más que eso.
También se usa para sitios web comerciales, sitios de comercio electrónico e incluso sitios web a gran escala como Wikipedia.
Esta amplia gama de uso ha dado lugar a una variedad de diferentes amenazas de seguridad que deben tenerse en cuenta al utilizar WordPress.
Por ejemplo, instalar archivos infectados, no actualizar WordPress de manera adecuada, no poner barreras a los ataques de fuerza bruta, utilizar themes procedentes de fuentes de poca reputación, son algunos de los principales errores de seguridad en WordPress.
No tomar medidas para corregirlos podría suponer un error fatal para tu negocio.
🧐 ¿Es seguro WordPress?
En términos generales, sí, es seguro. Sin embargo, existen algunos riesgos de seguridad que debes tener en cuenta con tu instalación de WordPress.
Con la facilidad de uso y accesibilidad del CMS, los piratas informáticos buscan vulnerabilidades y utilizan herramientas de piratería automatizadas que funcionan a una velocidad imposible para los humanos.
Esto deja a los usuarios de WordPress con dos opciones, o toman medidas para reducir los riesgos o se exponen a problemas de seguridad que afectarán a su negocio.
Sí, WordPress no es la plataforma más segura que existe, pero tampoco es la peor. En este artículo veremos los 7 errores más comunes que afectan la seguridad de WordPress, y que pueden solucionarse sin necesidad de ser un lince de la programación.
👎🏻 Tener un hosting de mala calidad
La oferta de servicios de hosting es amplísima. Hay servidores para todos los gustos, y de precios dispares, por supuesto.
En este caso, una vez más, lo barato sale caro.
Aunque la mayoría de servidores del mercado son seguros, también los hay que no. Por ejemplo, podría pasar que no hayan separado bien las cuentas de los usuarios, en estos casos, basta con que una de ellas se vea afectada para que contagie al resto.
Por ello, a la hora de contratar un buen servidor para tu web, no pongas foco en los más baratos, sino en otros aspectos que sean importantes para que tu sitio web funcione de manera óptima.
Por ejemplo, fíjate en los sistemas de seguridad que ofrecen o en que estén especializados en WordPress.
Mi recomendación es que elijas un hosting que tenga cierta autoridad en el sector, como Raiola Networks. ¿Por qué lo recomiendo? Por la seguridad que ofrece, por su excelente soporte y por su precio competitivo.
❌ No tener una copia de seguridad propia
Un hosting de calidad incluye copias de seguridad periódicas, que se generan automáticamente. Por ejemplo, podría ser una copia al día y tienes acceso a los 30 días anteriores.
Eso está muy bien, pero ¿y si hay un incendio en sus instalaciones y se queman los servidores? ¿Y si sufre un ataque de ransomware? No sería la primera vez que ocurre. Eso u otro incidente imprevisto.
No tener una copia de seguridad propia de tu sitio web es uno de los errores más comunes de los webmaster.
Lo ideal, para evitar sustos mayores, es tener una copia de seguridad reciente alojada fuera del servidor del hosting.
Para ello, te recomiendo que tengas un backup secundario, por ejemplo, yo con mi servicio de mantenimiento web hago una copia diaria de los sitios de mis clientes, y la conservo por si algún día tuviera que reparar un fallo del sistema.
De este modo, si tu sitio web sufre algún percance, podrás restaurarlo de manera sencilla.
⛔ No limitar el acceso de inicios de sesión fallidos
Una de las partes más vulnerables de WordPress es el inicio de sesión.
Por defecto, WordPress no permite limitar el número de intentos fallidos al iniciar la sesión, lo que supone una oportunidad para los piratas informáticos.
Como no hay límite de intentos, pueden probar combinaciones de usuarios y contraseñas hasta que acierten y encuentren la buena.
Por tanto, te conviene limitar a 3 o 5 veces los intentos fallidos, y reducirás la posibilidad de que un hacker acceda a tu sitio web.
Esto puede hacerse con muchos plugins de seguridad de WordPress.
🆕 No actualizar la versión de WordPress, del theme y la de los plugins
No actualizar la última versión del CMS, del theme, o los plugins que tienes instalados es uno de los errores más comunes de seguridad de WordPress.
Tener activos un theme o plugin vulnerables es una oportunidad para los piratas informáticos.
¿Por qué crees que salen las actualizaciones? Además de incluir mejoras, corregir errores, añadir funcionalidades, también se utilizan para poner parches de seguridad críticos.
Si no actualizas estás dejando puertas abiertas a tu sitio web, y los hackers las aprovechan para entrar, precisamente porque saben que muchas personas no actualizan sus plugins de WordPress.
¿Cómo saben ellos cuáles son esas vulnerabilidades? Porque son públicas. Saben qué versiones de qué plugins están desactualizadas y no tienen los parches que las protegen.
Si no actualizas se lo pones muy fácil.
Además, asegúrate de instalar themes o plugins desde las páginas oficiales, ya que si lo haces desde otras plataformas que no conoces podrían contener código malicioso oculto que han instalado los piratas informáticos.
Por último, es muy habitual dejar activados o instalados themes o plugins que no se utilizan.
Recuerda que un fragmento de código es un potencial problema de seguridad, si no vas a utilizarlos, ¿para qué mantenerlos?
Mi recomendación es que borres todo lo que no vayas a usar.
☠️ Usar una contraseña de acceso débil
Una contraseña débil es una de las razones más comunes para que un sitio web sea pirateado.
¿Qué es una contraseña débil?
Aquella que es sencilla de averiguar, por ejemplo, una que reutilizas en todas partes. Esa que, siempre o casi siempre, usas en diferentes plataformas.
Esto es un peligro, imagina que piratean una de esas plataformas en las que tienes tus datos habituales de acceso (usuario + contraseña). Una vez tengan los datos, pueden entrar a tu sitio web en un abrir y cerrar de ojos.
Por otro lado, no escribas contraseñas sencillas, como nombres, años de nacimiento, ni nada similar.
¿Sabes lo que es un ataque de fuerza bruta?
De manera resumida, son bots maliciosos (software o programas) que están diseñados para buscar los inicios de sesión de las páginas web de WordPress y atacarlas.
Hay un ataque de fuerza bruta que se llama «ataque de diccionario», y consiste en intentar acceder a WordPress con contraseñas de uso común que hay en algunas bases de datos públicas.
Por eso es importante tener contraseñas seguras, es decir, largas y arbitrarias, mezclando texto, números y símbolos.
Además, añade una capa más de seguridad, haciendo uso de la autentificación en dos pasos y limitando el número de intentos en el inicio de sesión de WordPress.
📌 No cifrar las comunicaciones con un certificado SSL
Seguro que habrás oído o leído lo del certificado SSL, pero quizá no sepas muy bien qué es.
El certificado SSL es emitido por una autoridad de certificación (CA) reconocida, y vincula matemáticamente la clave pública de tu servidor con el nombre de dominio de tu sitio web, de modo que todos los datos entre el servidor y los navegadores están encriptados
Lo explico de una manera más sencilla. 😅
Es un sistema que protege los datos que se comparten en Internet, por ejemplo, cuando haces una compra online y pones los datos de tu tarjeta de crédito.
No cifrar las comunicaciones que haces en tu página web es un potencial problema de seguridad, ya que un hacker podría interceptar todos los datos de pago de tus clientes.
Imagina lo que supondría para tu negocio si ocurre algo así.
Esto es fácil de solucionar, habla con tu proveedor de hosting para que te proporcione un certificado SSL gratuito.
🔍 No supervisar de manera correcta y periódica la seguridad de tu WordPress
Hay que llevar un control riguroso del estado, malware y demás vulnerabilidades que permitan mantener tu sitio web WordPress limpio y protegido.
No supervisarlo o hacerlo de manera incorrecta conlleva no detectar el problema de seguridad a tiempo, y la solución se complica.
Monitorear WordPress de manera periódica ayuda a identificar y detener ataques informáticos, detectar posibles problemas de seguridad y poner solución a tiempo cuando sucedan.
Esta es una de las tareas que incluyo en mi servicio de mantenimiento de WordPress, para mejorar la seguridad de los sitios web de mis clientes.
✅ Conclusión
Internet es un mar de oportunidades para tu negocio, pero también conlleva riesgos de seguridad a los que te expones sólo por tener un sitio web con WordPress.
Hemos visto 7 errores comunes que afectan a la seguridad de tu WordPress:
- Tener un hosting de mala calidad.
- No hacer una copia de seguridad en tu ordenador.
- No limitar el acceso de inicios de sesión fallidos.
- No actualizar la versión de WordPress, el tema y los plugins.
- Usar una contraseña de acceso débil.
- No cifrar las comunicaciones con un certificado SSL.
- No supervisar de manera correcta y periódica la seguridad de tu WordPress.
La buena noticia es que este tipo de problemas de seguridad se pueden evitar de manera sencilla, tomando las acciones adecuadas para reducir los riesgos a la mínima expresión.