15 mejores prácticas de seguridad para WordPress

WordPress es el CMS más popular del mundo principalmente debido a su facilidad de uso. Si bien eso resulta conveniente para los usuarios, también brinda muchos objetivos a los hackers que intentan obtener acceso no autorizado, robar información de los usuarios y sabotear sitios web. Es aquí cuando las mejores prácticas de seguridad en WordPress son esenciales para proteger tu sitio.

Asegurar un sitio de WordPress requiere tomar una serie de medidas de seguridad que cierran los huecos comunes de seguridad que los atacantes explotan para infiltrarse en los sistemas informáticos.

Este artículo explorará 15 mejores prácticas de seguridad de WordPress que todo propietario debería aplicar en su sitio para mantenerlo seguro.

¿Por qué es necesario asegurar WordPress?

El cibercrimen es un gran negocio para los hackers. El Foro Económico Mundial estima que en 2021 los costos globales por cibercrimen alcanzaron los 6 billones de dólares, pudiendo aumentar a 10 billones anualmente en 2025.

La seguridad en WordPress es importante porque:

• Las brechas de seguridad son costosas y pueden afectar la situación financiera de una empresa.
• La falta de ciberseguridad perjudica emocional y financieramente a los usuarios al exponer sus datos y hacerlos vulnerables al robo de identidad, pérdida de información de tarjetas de crédito, entre otros.
• Las brechas de seguridad afectan la reputación de una empresa, lo cual eventualmente lleva a problemas financieros.
• Los usuarios esperan que los sitios web y sistemas informáticos sean seguros.
• Los sitios web desprotegidos pueden tener problemas legales, dependiendo de la jurisdicción.
• Los sitios web seguros reciben un impulso en SEO en los motores de búsqueda.

Con ese contexto en mente, avancemos a las mejores prácticas de seguridad que te ayudarán a evitar amenazas y vulnerabilidades comunes.

15 mejores prácticas de seguridad de WordPress

Las siguientes son las acciones mínimas que deberías realizar para incrementar la seguridad de tu sitio WordPress, divididas en categorías.

Instalaciones y actualizaciones

Actualizá constantemente tu núcleo de WordPress

Las actualizaciones son la más esencial de las mejores prácticas de seguridad en WordPress. Esto se debe a que las amenazas de seguridad, las vulnerabilidades y las soluciones cambian constantemente. Lo que funciona hoy puede no funcionar dentro de unos años, y los desarrolladores de WordPress lo saben. Por eso revisan regularmente su código en búsqueda de vulnerabilidades de seguridad.

Actualizar tu núcleo mejora la seguridad, corrige errores conocidos y mejora el rendimiento de todo tu sitio. Siempre hacé una copia de seguridad de tu sitio antes de actualizar sus componentes, incluidos tus archivos centrales.

Actualizá constantemente tu versión de PHP

Al igual que el archivo central de WordPress, deberías mantener actualizada tu versión de PHP. Las versiones de PHP generalmente duran de dos a tres años antes de ser actualizadas. Después de eso, la siguiente versión más reciente recibirá actualizaciones de seguridad durante aproximadamente dos años más y luego dejará de ser compatible.

Usar versiones desactualizadas de PHP es un riesgo de seguridad significativo y un problema de rendimiento para tu sitio.

Instalá solo temas y plugins de WordPress seguros

Un plugin o tema no puede mantenerse 100% seguro para siempre. Los hackers siempre están explorando código y experimentando con nuevos ataques, por lo que los desarrolladores necesitan ofrecer soporte continuo.

En el caso de los plugins, visitá la Base de Datos de Vulnerabilidades de WPScan. Esta lista muestra las vulnerabilidades de seguridad conocidas en plugins. Si ves que el plugin que planeas instalar forma parte de la lista, verificá si ha sido actualizado desde que se hizo pública la vulnerabilidad. Si no, quizá sea mejor prescindir de él.

Para temas, revisá si:

• Recibe actualizaciones constantes.
• Los desarrolladores ofrecen soporte directo.
• Los desarrolladores son transparentes sobre quiénes están involucrados en el proceso.
• Podés encontrar reseñas imparciales en su sitio web oficial.
• Es popular y conocido.

Estos puntos se aplican también a los plugins. 

Por último, descargá solo plugins y temas de fuentes confiables, como el repositorio oficial de plugins de WordPress. 

Contraseñas e inicio de sesión

Usá contraseñas fuertes y únicas en todas las cuentas relacionadas con WordPress

Evitá contraseñas cortas con palabras comunes y reutilizar contraseñas para múltiples cuentas. Seguí estas pautas al crear contraseñas únicas para todos los miembros de tu equipo.

• Usá contraseñas largas (12-20 caracteres) y complejas que combinen letras mayúsculas y minúsculas, números y caracteres especiales, como “*” y “/.”
• Considerá crear reglas para las palabras en las contraseñas. Por ejemplo, podés exigir que las palabras se trunquen a la mitad o que se eliminen las vocales (“miel” se convierte en “mll”) para evitar combinaciones de letras predecibles.
• Evitá palabras comunes y patrones predecibles, como una palabra común seguida de cuatro números.
• No uses “a” o “1” como primer carácter de la contraseña.
• Usá contraseñas únicas para todas las cuentas asociadas a tu sitio de WordPress.
• Considerá usar un gestor de contraseñas para gestionar todas estas contraseñas complejas y únicas.

Usá plugins para limitar la cantidad de intentos fallidos de inicio de sesión

WordPress permite intentos de inicio de sesión fallidos infinitos en tu sitio por defecto. Un hacker puede seguir intentando descifrar tus contraseñas hasta que lo logre.

Explorá plugins que temporalmente impidan a direcciones IP intentar acceder a tu panel de administrador si fallan una cierta cantidad de veces consecutivas (como 3, 5 o 10 veces). El plugin más popular que limita los intentos de inicio de sesión es Limit Login Attempts Reloaded.

Habilitá la autenticación multifactor en todas las cuentas posibles

La autenticación multifactor es una forma de control de acceso que permite el acceso solo después de que el usuario ha proporcionado dos o más pruebas de identidad. A menudo, solo se requieren dos pruebas: autenticación de dos factores.

Algunos plugins populares que habilitan la autenticación de dos factores incluyen Shield WordPress Security, Google Authenticator – Two Factor Authentication (2FA), y Duo Two-Factor Authentication.

Explorá maneras de agregar autenticación de dos factores a otras cuentas asociadas con tu sitio de WordPress, como tu cPanel y direcciones de correo electrónico, utilizando el dominio de tu sitio web.

Restringí los permisos de usuario solo a lo necesario según sus roles

Restringir los permisos de usuario es esencial porque si un hacker lograra descifrar las credenciales de una cuenta, el daño que pueden hacer se limita a lo que esa cuenta tiene permiso para hacer. Establecer estrictamente los permisos de usuario minimiza los posibles puntos de entrada.

Puedes modificar los permisos de archivo usando un cliente FTP como FileZilla y haciendo clic derecho en los archivos y carpetas. Obtendrás una lista de permisos para cada tipo de usuario, que podrás modificar.

Creá registros para grabar cada acción que los usuarios realicen mientras están conectados

Monitorear la actividad de los usuarios significa crear un registro automático (qué páginas abrieron, qué archivos descargaron, etc.). Es necesario determinar qué usuarios son legítimos y cuáles son bots o cuentas comprometidas.

Plugins como Sucuri, WP Security Audit Log, Simple History y ActivityLog crean registros de actividad de usuarios.

Cambiá la URL de inicio de sesión predeterminada

La URL de inicio de sesión de tu sitio es “www.tusitio123.com/wp-admin/” por defecto. Esto es conveniente para los administradores pero también para los atacantes que intentan forzar su entrada a tu panel de control.

Deberías cambiar tu URL de inicio de sesión a una ubicación menos predecible. Al ocultarla de los usuarios fuera del círculo de administración, das un paso significativo hacia la seguridad de tu sitio. Leé nuestra guía sobre cómo usar el plugin WPS Hide Login para cambiar la ubicación de tu URL de inicio de sesión.

Escaneos, limpiezas y seguridad general del sitio

Alojá tu sitio web con un proveedor de hosting seguro

Los servicios que ofrece tu proveedor de hosting juegan un papel en la seguridad del sitio web. Al elegir o cambiar de host, considerá si ofrecen los siguientes servicios:

• Seguridad y restricción de acceso a información confidencial.
• Copia de seguridad y restauración fácil de tu sitio web.
• Escaneo de malware.
• Prevención de ataques de denegación de servicio.
• Oferta de máxima disponibilidad.

Elegí el proveedor de hosting que ofrezca el mejor equilibrio de medidas de seguridad.

Instalá un plugin que realice escaneos regulares de malware

Los escáneres de malware exploran los archivos de tu sitio web para:

• Identificar y eliminar malware.
• Prevenir que el malware se propague a las computadoras de los usuarios y robe sus datos.
• Proteger bases de datos de ataques de inyección.

Algunos de los escáneres de malware más populares de WordPress son Sucuri, Wordfence y iThemes security.

Habilitá SSL/HTTPS para que los visitantes puedan conectarse de manera segura a tu sitio

Los certificados SSL son una necesidad para una navegación web segura. Sus beneficios incluyen:

• Protección de la información de inicio de sesión.
• Validaciones de dominio, organización y extendidas. Una Autoridad de Certificación (una organización que gestiona certificados SSL) valida que tu sitio web es gestionado por las personas que afirma ser gestionado.
• Impulso en la clasificación de SEO.

Los certificados SSL más autoritativos y validados cuestan dinero. Sin embargo, los certificados menos autoritativos pueden obtenerse de forma gratuita, proporcionando igualmente una conexión segura a los visitantes. Algunos plugins populares que ofrecen certificados SSL gratuitos incluyen WP LetsEncrypt, Really Simple SSL, y WP Force SSL.

Usá verificaciones de integridad de archivos para detectar brechas y posibles puertas traseras

También conocidos como escaneo y monitoreo de cambios en archivos, los verificadores de integridad de archivos escanean la llamada “huella digital” de un archivo, un hash criptográfico que actúa como un identificador del historial de cambios de un archivo. Si el contenido del archivo cambia, como cuando reescribís código o modificás un archivo de texto, el hash también cambia.

Los verificadores de integridad de archivos notifican a los administradores cuando cambia el hash de un archivo. Estos cambios pueden ser benignos y deseados, pero también pueden indicar una acción maliciosa. Por ejemplo, un atacante puede modificar un archivo .php para crear una puerta trasera a tu sitio, un punto de entrada no autorizado.

Website File Changes Monitor es el verificador de integridad más popular en WordPress.

Usá un firewall de aplicaciones web para bloquear el acceso y filtrar actividad maliciosa

Los firewalls de aplicaciones web (WAFs) actúan en el nivel de aplicación, donde los usuarios interactúan con aplicaciones como sitios web. Los WAFs ofrecen los siguientes beneficios:

• Filtrar, monitorear y bloquear tráfico HTTPS malicioso que intenta ingresar a las aplicaciones web.
• Prevenir que datos no autorizados salgan de la aplicación.
• Crear un perfil de aplicación para entender patrones de datos, solicitudes típicas, URLs y valores y tipos de datos permitidos. Los perfiles de aplicaciones facilitan el reconocimiento de solicitudes ilegales, anormales y maliciosas.
• Proveer redes de entrega de contenido (CDNs). Los CDNs mejoran los tiempos de carga del sitio web, la experiencia del usuario y las métricas de SEO.
• Protección contra scripting de sitios cruzados y ataques de inyección SQL, que son dos de las amenazas de seguridad más comunes.
• Flexibilidad y fácil despliegue desde la nube o como una instalación local de software/hardware.

Los plugins WAF más populares de WordPress incluyen Sucuri, WebARX, Wordfence, MalCare y Cloudflare.

Copias de seguridad

Hacé copias de seguridad de tu sitio web regularmente en ubicaciones externas (no solo en el servidor en el que está alojado)

Hacer una copia de seguridad de tu sitio web consiste en crear una copia de todos los archivos que hacen posible tu sitio de WordPress, incluidos los archivos de instalación, plugins, temas y bases de datos.

Podés hacer copias de seguridad manualmente, con un plugin o con tu proveedor de hosting. Usar tu proveedor de hosting es la opción más conveniente, pero recordá mantener múltiples copias de seguridad en múltiples ubicaciones.

Si todas tus copias de seguridad están en el mismo servidor que tu sitio web, cualquier fallo crítico que derribe tu sitio también podría derribar tus copias de seguridad, borrándolas junto con tu sitio en vivo. Para una guía completa sobre cómo hacer una copia de seguridad de tu sitio, leé nuestro artículo sobre copias de seguridad de WordPress.

Vulnerabilidades y amenazas comunes

Los atacantes están constantemente investigando el entorno de WordPress para explotar puntos débiles. Estos son los tipos más comunes de amenazas de seguridad en WordPress:

• Puertas traseras: software que elude los mecanismos de inicio de sesión para obtener acceso no autorizado a un sitio.
• Hacktools (herramientas de hacking): programas creados para descifrar o romper sistemas de seguridad.
• Spam SEO: una vez que tu sitio ha sido vulnerado, los spammers SEO llenan tu sitio web con enlaces a sitios externos. Generalmente, es una forma en que un tercero malicioso infla sus rankings de SEO al construir un catálogo de enlaces de retroceso (involuntarios).
• Phishing: a través de correos electrónicos u otros mensajes, los hackers se hacen pasar por marcas y empresas legítimas para que las víctimas compartan datos personales como números de tarjeta de crédito.
• Defacements: una vez que un sitio ha sido vulnerado, los hackers reemplazan el sitio web original por uno nuevo, a veces con la intención de pedir un rescate a cambio de restaurar el sitio web original.
• Mailers: correos electrónicos que contienen archivos maliciosos que, al ser descargados, lanzan un ataque en el dispositivo.
• Droppers: malware diseñado para instalar virus, puertas traseras, etc., en los dispositivos que interactúan con él.

Las mejores prácticas de seguridad de WordPress, como las que hemos explorado en este artículo, están diseñadas para bloquear los intentos de brecha comunes usando métodos como estos.

Conclusión

Aplicar estas mejores prácticas de seguridad de WordPress te ayudará a evitar de manera proactiva amenazas de seguridad generalizadas como el spam SEO, las puertas traseras, y el scripting de sitios cruzados.

Cuidar la seguridad de WordPress es un asunto serio que puede llevar tiempo dominar, pero una vez que lo hagas, reforzarla te ahorrará tiempo, recursos y muchos dolores de cabeza.

Si encontraste útil este artículo, leé nuestro blog para obtener más información, guías y trucos sobre WordPress.