¿Cómo asegurar WordPress? 12 medidas de seguridad básicas.

¿Cómo asegurar WordPress? Esa es la pregunta.

La seguridad en WordPress es un asunto serio, especialmente para las empresas digitales que no pueden permitirse brechas de seguridad e interrupciones en el servicio.

Si recién estás empezando con WordPress, la cantidad de información sobre ciberseguridad puede ser abrumadora. Este artículo resumirá por qué necesitás asegurar tu sitio web y las 12 cosas que podés hacer hoy para protegerlo.

¿Qué tan seguro es WordPress?

WordPress es el CMS más popular del mundo, potenciando alrededor del 43% de todos los sitios web. Con una cuota de mercado y una comunidad tan grande, no es sorprendente que los sitios de WordPress sean a menudo el objetivo de ciberataques.

Los tres elementos principales de la seguridad en WordPress son la instalación principal, los plugins y los temas. El núcleo de WordPress es desarrollado por profesionales que incluyen expertos en ciberseguridad de clase mundial. Como resultado, el núcleo es muy seguro.

Los estándares de seguridad de los plugins y temas varían según los desarrolladores detrás de ellos. Aquellos desarrollados con la seguridad en mente son seguros y frecuentemente corrigen vulnerabilidades. Por otro lado, algunos plugins y temas son menos seguros por varias razones (tiempo y recursos dedicados a la seguridad, la naturaleza del plugin, con qué frecuencia se actualizan, etc.).

¿Por qué es importante asegurar WordPress?

El cibercrimen es un negocio muy rentable. El Foro Económico Mundial estima que en 2021 los costos globales por cibercrimen alcanzaron los 6 billones de dólares, los cuales podrían aumentar a 10 billones anuales en 2025.

La seguridad en WordPress es importante porque:

• Las brechas de seguridad son costosas y pueden afectar el estado financiero de una empresa.
• La falta generalizada de ciberseguridad afecta a los usuarios emocional y financieramente al exponer sus datos y hacerlos vulnerables al robo de identidad, pérdida de información de tarjetas de crédito y más.
• Las brechas de seguridad afectan la reputación de una empresa.
• Los usuarios esperan que los sitios web y sistemas informáticos sean seguros.
• Los sitios no asegurados pueden enfrentar problemas legales, dependiendo de la jurisdicción.
• Los sitios web seguros reciben un impulso de SEO en los motores de búsqueda.

12 maneras de asegurar WordPress

Ahora que tenemos un mejor contexto sobre el entorno de seguridad de WordPress, exploremos las 12 medidas básicas de seguridad que cada sitio web debería implementar.

Actualizá WordPress, PHP, plugins y temas.

El panorama de la ciberseguridad cambia constantemente. Lo que fue seguro hace unos años puede que ya no lo sea, y lo que es la seguridad más avanzada ahora puede quedar obsoleto en una década.

Los desarrolladores de los archivos centrales de WordPress, versiones de PHP, plugins, y temas siempre revisan su código para detectar vulnerabilidades que los atacantes pueden explotar para inyectar código malicioso. Cuando encuentran vulnerabilidades, lanzan parches de seguridad para corregirlas. Si la versión instalada en tu sitio no está actualizada, te estás exponiendo a ataques.

Mantener estos elementos actualizados ayuda a que tu sitio web funcione más rápido y sea más seguro.

Instalá un plugin de seguridad.

Los plugins de seguridad de WordPress son suites de software que protegen tu sitio web de vulnerabilidades y amenazas conocidas. Te permiten proteger información confidencial, evitar ser bloqueado/a de tu sitio y detener ataques cibernéticos.

Sus características más comunes incluyen:

• Monitoreo y escaneo de tu sitio en busca de malware.
• Filtrado de spam.
• Verificación de certificados SSL.
• Protección contra ataques de día cero.
• Reparación y restauración de sitios hackeados.
• Fortalecimiento de tu sitio.
• Seguridad en el proceso de autenticación.
• Aplicación de firewalls.

Algunos de los plugins de seguridad más populares incluyen Sucuri, Jetpack, Wordfence, iThemes Security, y All In One WP Security.

Usá un firewall de aplicación web (WAF)

Los WAF son una evolución de los firewalls tradicionales que controlan el flujo de datos en los niveles de dirección IP y protocolo de transporte. Un WAF puede filtrar ataques realizados a nivel de aplicación, donde las aplicaciones ejecutan código y desempeñan funcionalidades en el servidor web.

Los principales beneficios de los WAF son:

• Filtrar, monitorear y bloquear tráfico HTTPS malicioso que intenta ingresar a las aplicaciones web.
• Prevenir que datos no autorizados salgan de la aplicación.
• Crear un perfil de aplicación para entender patrones de datos, solicitudes típicas, URLs, y valores y tipos de datos permitidos. Los perfiles de aplicación facilitan el reconocimiento de solicitudes ilegales, anormales y maliciosas.
• Proveer redes de entrega de contenido (CDNs). Las CDNs mejoran los tiempos de carga del sitio web, un aspecto esencial para la experiencia del usuario y las métricas de SEO.
• Protección de ataques de cross-site scripting e inyecciones SQL, que son dos de las amenazas de seguridad más comunes.
• Pueden desplegarse desde la nube o como una instalación local de hardware/softwaren.

Algunos de los plugins WAF más populares de WordPress incluyen Sucuri, WebARX, Wordfence, MalCare, y Cloudflare.

Limitá los intentos de inicio de sesión

Esta medida es esencial para prevenir ataques de fuerza bruta. 

WordPress permite intentos de inicio de sesión fallidos infinitos en tu sitio; un hacker teóricamente puede seguir intentando descifrar tus contraseñas hasta tener éxito. Explorá plugins que prevengan temporalmente direcciones IP de intentar acceder a tu panel de administración si fallan cierta cantidad de veces seguidas (por ejemplo, 3, 5 o 10 veces).

Los intentos limitados y el tiempo de espera reducirán las chances de un ataque de fuerza bruta exitoso.

El plugin más popular que limita los intentos de inicio de sesión es Limit Login Attempts Reloaded.

Impulsá contraseñas únicas y fuertes.

Las contraseñas débiles y cortas son predecibles y fáciles de descifrar. Además, las personas suelen reutilizarlas en múltiples cuentas, lo que abre todas las cuentas a violaciones. Seguí estas directrices al crear contraseñas únicas para todos los miembros del equipo.

• Usá contraseñas largas (12-20 caracteres) y complejas que combinen letras mayúsculas y minúsculas, números y caracteres especiales, como “*” y “/.”
• Creá reglas para las palabras utilizadas en las contraseñas. Por ejemplo, podés exigir que las palabras se trunquen a mitad de camino o que se eliminen las vocales (“miel” se convierte en “mll”) para evitar combinaciones de letras predecibles.
• Evitá palabras comunes y patrones predecibles, como una palabra común seguida de cuatro números.
• No uses “a” o “1” como el primer carácter de la contraseña.
• Usá contraseñas únicas para todas las cuentas asociadas a tu sitio de WordPress.
• Considerá usar un administrador de contraseñas para gestionar todas estas contraseñas complejas y únicas.

Agregá autenticación de dos factores

La autenticación multifactor es una forma de control de acceso que permite el acceso solo después de que el usuario haya proporcionado dos o más pruebas de identidad. Generalmente, solo se requieren dos pruebas.

La primera prueba es la combinación de contraseña/usuario. La segunda prueba varía. Puede ser una segunda contraseña que cambie periódicamente, un código de verificación enviado a tu correo electrónico o cualquier otra forma de verificación. La idea es que, incluso si un atacante conociera la contraseña regular, aún necesitaría acceder al segundo factor de autenticación, que solo cada miembro del equipo conoce.

Uno de los plugins más populares que habilitan la autenticación de dos factores es Shield WordPress Security.

Hacé respaldos de tu sitio regularmente

Hacer un respaldo de tu sitio web es realizar una copia de todos los archivos que hacen posible tu web, incluyendo archivos de instalación críticos, plugins, temas y bases de datos.

Hacer un respaldo de tu sitio es como un seguro. Estás protegiendo sus contenidos y podés restaurarlos en cualquier momento si es necesario. También es una buena práctica realizar un respaldo antes de hacer cambios significativos como instalar o actualizar plugins y temas.

Puedes respaldar tu sitio manualmente, con un plugin o con tu proveedor de hosting (si ofrecen esa opción). Recomendamos siempre usar tu proveedor de hosting como la opción predeterminada y usar plugins solo si es necesario. Los respaldos manuales son los más fáciles de desordenar y los más lentos de restaurar, pero pueden tener su lugar a veces.

Para una guía completa sobre cómo hacer un respaldo de tu sitio, lee nuestro artículo sobre respaldos en WordPress.

Instalá un certificado SSL.

Un Secure Sockets Layer (SSL) es un protocolo que hace que los intercambios de información por internet sean seguros al encriptar el contenido de los mensajes. Un certificado SSL es un archivo digital que contiene la información de un dominio de internet. El archivo se instala en el servidor que contiene el dominio para asegurar el tráfico.

Los beneficios de los certificados SSL incluyen:

• Proteger la información de inicio de sesión.
• Validación de dominios, organizaciones y validaciones extendidas. Una Autoridad Certificadora (una organización que gestiona certificados SSL) valida que tu sitio web sea administrado por las personas que dice ser administrado.
• Impulso en la clasificación SEO.

Los certificados SSL más autorizativos y validados cuestan dinero, pero se pueden obtener certificados menos autorizativos de manera gratuita. Algunos de los plugins populares que ofrecen certificados SSL gratis incluyen WP LetsEncrypt, Really Simple SSL, y WP Force SSL.

Monitoreá la actividad de los usuarios y cerrá sesión de usuarios inactivos.

Monitorear la actividad de los usuarios implica crear un registro automatizado de su actividad (qué páginas abrieron, qué archivos descargaron, etc.). Eso puede sonar intrusivo, pero es necesario para determinar cuáles usuarios son legítimos y cuáles son bots o cuentas comprometidas.

Además de registrar la actividad de los usuarios, deberías cerrar sesión de los usuarios que hayan estado inactivos o inactivos por un cierto período. Es una buena práctica de seguridad porque minimiza la chance de que alguien más tome el control de su cuenta y cause problemas.

Para registrar la actividad de los usuarios, los plugins más populares son Sucuri, WP Audit Log, Simple History, y ActivityLog. Para cerrar sesión de usuarios inactivos, instalá Inactive Logout.

Realizá análisis de malware

Malicious software (malware) es software creado para explotar vulnerabilidades de seguridad, controlar remotamente sistemas informáticos, secuestrar un sitio web para exigir rescates y muchos otros usos. Es una de las amenazas de seguridad más comunes en el entorno de WordPress, con ataques como el cross-site scripting (XSS) y las inyecciones SQL siendo generalizados.

Los escáneres de malware exploran los archivos de tu sitio web para:

• Identificar y eliminar malware.
• Prevenir que el malware se propague a las computadoras de los usuarios y robe sus datos.
• Proteger bases de datos de ataques de inyección.

Algunos de los escáneres de malware más populares de WordPress son Sucuri, Wordfence, y iThemes Security.

Modificá los permisos de archivos

Los permisos de un archivo son la lista de usuarios que pueden leer, escribir y ejecutar el archivo. “Leer” significa ver el archivo, “escribir” significa editar el archivo, y “ejecutar” significa poder ejecutar el archivo, como lo harías al ejecutar un script.

Los permisos de archivos son importantes porque determinan qué miembros del equipo pueden ver y modificar archivos de instalación principales, plugins y temas, una parte esencial de gestionar un sitio de WordPress. Ser demasiado estricto interfiere con el rendimiento del sitio, tema y plugins, pero ser demasiado permisivo te abre a amenazas de seguridad.

Tendrás que encontrar el equilibrio entre estricto y permisivo que funcione mejor para tu flujo de trabajo. 

Puedes modificar los permisos de archivos usando un cliente FTP como FileZilla y haciendo clic derecho en archivos y carpetas. Obtendrás una lista de permisos para cada tipo de usuario, que podés modificar.

Obtené un proveedor de hosting seguro.

Los servicios ofrecidos por tu proveedor de hosting juegan un papel importante en la seguridad del sitio web. Al elegir o cambiar proveedores, considerá si ofrecen los siguientes servicios:

• Asegurar y restringir el acceso a información confidencial.
• Respaldar y restaurar tu sitio web fácilmente.
• Escanear en busca de malware.
• Prevenir ataques de denegación de servicio.
• Ofrecer el máximo tiempo de actividad.

Elegí el proveedor de hosting que ofrezca el mejor equilibrio de medidas de seguridad.

Asegurar WordPress te ahorra tiempo y dinero.

Como podés ver, hay bastantes medidas que tomar para asegurar tu sitio de WordPress. Al principio puede parecer abrumador o exagerado. Sin embargo, a medida que aprendás más sobre ciberseguridad, te darás cuenta de que todas son necesarias.

Ahora que sabés lo básico para asegurar tu sitio, estás en una mejor posición para evitar la pérdida de tiempo y recursos que pueden acarrear las brechas de seguridad, especialmente en sitios web más grandes.

Si encontraste útil este artículo, leé nuestro blog para más ideas, guías y trucos de WordPress.