![\"Una](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-to-secure-WordPress_-12-basic-security-measures.-I-1-1024x743.jpg\")
<\/figure>\n\n\n\nWordPress es el CMS m\u00e1s popular del mundo, potenciando alrededor del 43% de todos los sitios web. Con una cuota de mercado y una comunidad tan grande, no es sorprendente que los sitios de WordPress sean a menudo el objetivo de ciberataques.<\/p>\n\n\n\n
Los tres elementos principales de la seguridad en WordPress son la instalaci\u00f3n principal, los plugins y los temas. El n\u00facleo de WordPress es desarrollado por profesionales que incluyen expertos en ciberseguridad de clase mundial. Como resultado, el n\u00facleo es muy seguro.<\/p>\n\n\n\n
Los est\u00e1ndares de seguridad de los plugins y temas var\u00edan seg\u00fan los desarrolladores detr\u00e1s de ellos. Aquellos desarrollados con la seguridad en mente son seguros y frecuentemente corrigen vulnerabilidades. Por otro lado, algunos plugins y temas son menos seguros por varias razones (tiempo y recursos dedicados a la seguridad, la naturaleza del plugin, con qu\u00e9 frecuencia se actualizan, etc.).<\/p>\n\n\n\n
\u00bfPor qu\u00e9 es importante asegurar WordPress?<\/h2>\n\n\n\n
El cibercrimen es un negocio muy rentable. El Foro Econ\u00f3mico Mundial estima que en 2021 los costos globales por cibercrimen alcanzaron los 6 billones de d\u00f3lares, los cuales podr\u00edan aumentar a 10 billones anuales en 2025.<\/p>\n\n\n\n
La seguridad en WordPress es importante porque:<\/p>\n\n\n\n
- \n
- Las brechas de seguridad son costosas y pueden afectar el estado financiero de una empresa.<\/li>\n\n\n\n
- La falta generalizada de ciberseguridad afecta a los usuarios emocional y financieramente al exponer sus datos y hacerlos vulnerables al robo de identidad, p\u00e9rdida de informaci\u00f3n de tarjetas de cr\u00e9dito y m\u00e1s.<\/li>\n\n\n\n
- Las brechas de seguridad afectan la reputaci\u00f3n de una empresa.<\/li>\n\n\n\n
- Los usuarios esperan que los sitios web y sistemas inform\u00e1ticos sean seguros.<\/li>\n\n\n\n
- Los sitios no asegurados pueden enfrentar problemas legales, dependiendo de la jurisdicci\u00f3n.<\/li>\n\n\n\n
- Los sitios web seguros reciben un impulso de SEO en los motores de b\u00fasqueda.<\/li>\n<\/ul>\n\n\n\n
12 maneras de asegurar WordPress<\/h2>\n\n\n\n
Ahora que tenemos un mejor contexto sobre el entorno de seguridad de WordPress, exploremos las 12 medidas b\u00e1sicas de seguridad que cada sitio web deber\u00eda implementar.<\/p>\n\n\n\n
Actualiz\u00e1 WordPress, PHP, plugins y temas.<\/h3>\n\n\n\n
![\"Una](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-to-secure-WordPress_-12-basic-security-measures.-II-1-1024x743.jpg\")
<\/figure>\n\n\n\nEl panorama de la ciberseguridad cambia constantemente. Lo que fue seguro hace unos a\u00f1os puede que ya no lo sea, y lo que es la seguridad m\u00e1s avanzada ahora puede quedar obsoleto en una d\u00e9cada.<\/p>\n\n\n\n
Los desarrolladores de los archivos centrales de WordPress, versiones de PHP, plugins, y temas siempre revisan su c\u00f3digo para detectar vulnerabilidades que los atacantes pueden explotar para inyectar c\u00f3digo malicioso. Cuando encuentran vulnerabilidades, lanzan parches de seguridad para corregirlas. Si la versi\u00f3n instalada en tu sitio no est\u00e1 actualizada, te est\u00e1s exponiendo a ataques.<\/p>\n\n\n\n
Mantener estos elementos actualizados ayuda a que tu sitio web funcione m\u00e1s r\u00e1pido y sea m\u00e1s seguro.<\/p>\n\n\n\n
Instal\u00e1 un plugin de seguridad.<\/h3>\n\n\n\n
Los plugins de seguridad de WordPress son suites de software que protegen tu sitio web de vulnerabilidades y amenazas conocidas. Te permiten proteger informaci\u00f3n confidencial, evitar ser bloqueado\/a de tu sitio y detener ataques cibern\u00e9ticos.<\/p>\n\n\n\n
Sus caracter\u00edsticas m\u00e1s comunes incluyen:<\/p>\n\n\n\n
- \n
- Monitoreo y escaneo de tu sitio en busca de malware.<\/li>\n\n\n\n
- Filtrado de spam.<\/li>\n\n\n\n
- Verificaci\u00f3n de certificados SSL.<\/li>\n\n\n\n
- Protecci\u00f3n contra ataques de d\u00eda cero.<\/li>\n\n\n\n
- Reparaci\u00f3n y restauraci\u00f3n de sitios hackeados.<\/li>\n\n\n\n
- Fortalecimiento de tu sitio.<\/li>\n\n\n\n
- Seguridad en el proceso de autenticaci\u00f3n.<\/li>\n\n\n\n
- Aplicaci\u00f3n de firewalls.<\/li>\n<\/ul>\n\n\n\n
Algunos de los plugins de seguridad m\u00e1s populares incluyen Sucuri<\/a>, Jetpack<\/a>, Wordfence<\/a>, iThemes Security<\/a>, y All In One WP Security<\/a>.<\/p>\n\n\n\n
Us\u00e1 un firewall de aplicaci\u00f3n web (WAF)<\/h3>\n\n\n\n
Los WAF son una evoluci\u00f3n de los firewalls tradicionales que controlan el flujo de datos en los niveles de direcci\u00f3n IP y protocolo de transporte. Un WAF puede filtrar ataques realizados a nivel de aplicaci\u00f3n, donde las aplicaciones ejecutan c\u00f3digo y desempe\u00f1an funcionalidades en el servidor web.<\/p>\n\n\n\n
Los principales beneficios de los WAF son:<\/p>\n\n\n\n
- \n
- Filtrar, monitorear y bloquear tr\u00e1fico HTTPS malicioso que intenta ingresar a las aplicaciones web.<\/li>\n\n\n\n
- Prevenir que datos no autorizados salgan de la aplicaci\u00f3n.<\/li>\n\n\n\n
- Crear un perfil de aplicaci\u00f3n para entender patrones de datos, solicitudes t\u00edpicas, URLs, y valores y tipos de datos permitidos. Los perfiles de aplicaci\u00f3n facilitan el reconocimiento de solicitudes ilegales, anormales y maliciosas.<\/li>\n\n\n\n
- Proveer redes de entrega de contenido (CDNs). Las CDNs mejoran los tiempos de carga del sitio web, un aspecto esencial para la experiencia del usuario y las m\u00e9tricas de SEO.<\/li>\n\n\n\n
- Protecci\u00f3n de ataques de cross-site scripting<\/a> e inyecciones SQL, que son dos de las amenazas de seguridad m\u00e1s comunes.<\/li>\n\n\n\n
- Pueden desplegarse desde la nube o como una instalaci\u00f3n local de hardware\/softwaren.<\/li>\n<\/ul>\n\n\n\n
Algunos de los plugins WAF m\u00e1s populares de WordPress incluyen Sucuri<\/a>, WebARX<\/a>, Wordfence<\/a>, MalCare<\/a>, y Cloudflare<\/a>.<\/p>\n\n\n\n
Limit\u00e1 los intentos de inicio de sesi\u00f3n<\/h3>\n\n\n\n
![\"Un](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-to-secure-WordPress_-12-basic-security-measures.-III-1-1024x743.jpg\")
<\/figure>\n\n\n\nEsta medida es esencial para prevenir ataques de fuerza bruta. <\/p>\n\n\n\n
WordPress permite intentos de inicio de sesi\u00f3n fallidos infinitos en tu sitio; un hacker te\u00f3ricamente puede seguir intentando descifrar tus contrase\u00f1as hasta tener \u00e9xito. Explor\u00e1 plugins que prevengan temporalmente direcciones IP de intentar acceder a tu panel de administraci\u00f3n si fallan cierta cantidad de veces seguidas (por ejemplo, 3, 5 o 10 veces).<\/p>\n\n\n\n
Los intentos limitados y el tiempo de espera reducir\u00e1n las chances de un ataque de fuerza bruta exitoso.<\/p>\n\n\n\n
El plugin m\u00e1s popular que limita los intentos de inicio de sesi\u00f3n es Limit Login Attempts Reloaded<\/a>.<\/p>\n\n\n\n
Impuls\u00e1 contrase\u00f1as \u00fanicas y fuertes.<\/h3>\n\n\n\n
Las contrase\u00f1as d\u00e9biles y cortas son predecibles y f\u00e1ciles de descifrar. Adem\u00e1s, las personas suelen reutilizarlas en m\u00faltiples cuentas, lo que abre todas las cuentas a violaciones. Segu\u00ed estas directrices al crear contrase\u00f1as \u00fanicas para todos los miembros del equipo.<\/p>\n\n\n\n
- \n
- Us\u00e1 contrase\u00f1as largas (12-20 caracteres) y complejas que combinen letras may\u00fasculas y min\u00fasculas, n\u00fameros y caracteres especiales, como \u201c*\u201d y \u201c\/.\u201d<\/li>\n\n\n\n
- Cre\u00e1 reglas para las palabras utilizadas en las contrase\u00f1as. Por ejemplo, pod\u00e9s exigir que las palabras se trunquen a mitad de camino o que se eliminen las vocales (\u201cmiel\u201d se convierte en \u201cmll\u201d) para evitar combinaciones de letras predecibles.<\/li>\n\n\n\n
- Evit\u00e1 palabras comunes y patrones predecibles, como una palabra com\u00fan seguida de cuatro n\u00fameros.<\/li>\n\n\n\n
- No uses \u201ca\u201d o \u201c1\u201d como el primer car\u00e1cter de la contrase\u00f1a.<\/li>\n\n\n\n
- Us\u00e1 contrase\u00f1as \u00fanicas para todas las cuentas asociadas a tu sitio de WordPress.<\/li>\n\n\n\n
- Consider\u00e1 usar un administrador de contrase\u00f1as para gestionar todas estas contrase\u00f1as complejas y \u00fanicas.<\/li>\n<\/ul>\n\n\n\n
Agreg\u00e1 autenticaci\u00f3n de dos factores<\/h3>\n\n\n\n
La autenticaci\u00f3n multifactor es una forma de control de acceso que permite el acceso solo despu\u00e9s de que el usuario haya proporcionado dos o m\u00e1s pruebas de identidad. Generalmente, solo se requieren dos pruebas.<\/p>\n\n\n\n
La primera prueba es la combinaci\u00f3n de contrase\u00f1a\/usuario. La segunda prueba var\u00eda. Puede ser una segunda contrase\u00f1a que cambie peri\u00f3dicamente, un c\u00f3digo de verificaci\u00f3n enviado a tu correo electr\u00f3nico o cualquier otra forma de verificaci\u00f3n. La idea es que, incluso si un atacante conociera la contrase\u00f1a regular, a\u00fan necesitar\u00eda acceder al segundo factor de autenticaci\u00f3n, que solo cada miembro del equipo conoce.<\/p>\n\n\n\n
Uno de los plugins m\u00e1s populares que habilitan la autenticaci\u00f3n de dos factores es Shield WordPress Security<\/a>.<\/p>\n\n\n\n
Hac\u00e9 respaldos de tu sitio regularmente<\/h3>\n\n\n\n
![\"Diferentes](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-to-secure-WordPress_-12-basic-security-measures.-IV-1-1024x743.jpg\")
<\/figure>\n\n\n\nHacer un respaldo de tu sitio web es realizar una copia de todos los archivos que hacen posible tu web, incluyendo archivos de instalaci\u00f3n cr\u00edticos, plugins, temas y bases de datos.<\/p>\n\n\n\n
Hacer un respaldo de tu sitio es como un seguro. Est\u00e1s protegiendo sus contenidos y pod\u00e9s restaurarlos en cualquier momento si es necesario. Tambi\u00e9n es una buena pr\u00e1ctica realizar un respaldo antes de hacer cambios significativos como instalar o actualizar plugins y temas.<\/p>\n\n\n\n
Puedes respaldar tu sitio manualmente, con un plugin o con tu proveedor de hosting (si ofrecen esa opci\u00f3n). Recomendamos siempre usar tu proveedor de hosting como la opci\u00f3n predeterminada y usar plugins solo si es necesario. Los respaldos manuales son los m\u00e1s f\u00e1ciles de desordenar y los m\u00e1s lentos de restaurar, pero pueden tener su lugar a veces.<\/p>\n\n\n\n
Para una gu\u00eda completa sobre c\u00f3mo hacer un respaldo de tu sitio, lee nuestro art\u00edculo sobre respaldos en WordPress<\/a>.<\/p>\n\n\n\n
Instal\u00e1 un certificado SSL.<\/h3>\n\n\n\n
Un Secure Sockets Layer (SSL) es un protocolo que hace que los intercambios de informaci\u00f3n por internet sean seguros al encriptar el contenido de los mensajes. Un certificado SSL es un archivo digital que contiene la informaci\u00f3n de un dominio de internet. El archivo se instala en el servidor que contiene el dominio para asegurar el tr\u00e1fico.<\/p>\n\n\n\n
Los beneficios de los certificados SSL incluyen:<\/p>\n\n\n\n
- \n
- Proteger la informaci\u00f3n de inicio de sesi\u00f3n.<\/li>\n\n\n\n
- Validaci\u00f3n de dominios, organizaciones y validaciones extendidas. Una Autoridad Certificadora (una organizaci\u00f3n que gestiona certificados SSL) valida que tu sitio web sea administrado por las personas que dice ser administrado.<\/li>\n\n\n\n
- Impulso en la clasificaci\u00f3n SEO.<\/li>\n<\/ul>\n\n\n\n
Los certificados SSL m\u00e1s autorizativos y validados cuestan dinero, pero se pueden obtener certificados menos autorizativos de manera gratuita. Algunos de los plugins populares que ofrecen certificados SSL gratis incluyen WP LetsEncrypt<\/a>, Really Simple SSL<\/a>, y WP Force<\/a> <\/a>SSL<\/a>.<\/p>\n\n\n\n
Monitore\u00e1 la actividad de los usuarios y cerr\u00e1 sesi\u00f3n de usuarios inactivos.<\/h3>\n\n\n\n
Monitorear la actividad de los usuarios implica crear un registro automatizado de su actividad (qu\u00e9 p\u00e1ginas abrieron, qu\u00e9 archivos descargaron, etc.). Eso puede sonar intrusivo, pero es necesario para determinar cu\u00e1les usuarios son leg\u00edtimos y cu\u00e1les son bots o cuentas comprometidas.<\/p>\n\n\n\n
Adem\u00e1s de registrar la actividad de los usuarios, deber\u00edas cerrar sesi\u00f3n de los usuarios que hayan estado inactivos o inactivos por un cierto per\u00edodo. Es una buena pr\u00e1ctica de seguridad porque minimiza la chance de que alguien m\u00e1s tome el control de su cuenta y cause problemas.<\/p>\n\n\n\n
Para registrar la actividad de los usuarios, los plugins m\u00e1s populares son Sucuri<\/a>, WP Audit Log<\/a>, Simple History<\/a>, y ActivityLog<\/a>. Para cerrar sesi\u00f3n de usuarios inactivos, instal\u00e1 Inactive Logout<\/a>.<\/p>\n\n\n\n
Realiz\u00e1 an\u00e1lisis de malware<\/h3>\n\n\n\n
![\"Secci\u00f3n](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-to-secure-WordPress_-12-basic-security-measures.-V-1-1024x743.jpg\")
<\/figure>\n\n\n\nMal<\/strong>icious software<\/strong> (malware) es software creado para explotar vulnerabilidades de seguridad, controlar remotamente sistemas inform\u00e1ticos, secuestrar un sitio web para exigir rescates y muchos otros usos. Es una de las amenazas de seguridad m\u00e1s comunes en el entorno de WordPress, con ataques como el cross-site scripting (XSS) y las inyecciones SQL siendo generalizados.<\/p>\n\n\n\n
Los esc\u00e1neres de malware exploran los archivos de tu sitio web para:<\/p>\n\n\n\n
- \n
- Identificar y eliminar malware.<\/li>\n\n\n\n
- Prevenir que el malware se propague a las computadoras de los usuarios y robe sus datos.<\/li>\n\n\n\n
- Proteger bases de datos de ataques de inyecci\u00f3n.<\/li>\n<\/ul>\n\n\n\n
Algunos de los esc\u00e1neres de malware m\u00e1s populares de WordPress son Sucuri<\/a>, Wordfence<\/a>, y iThemes Security<\/a>.<\/p>\n\n\n\n
Modific\u00e1 los permisos de archivos<\/h3>\n\n\n\n
Los permisos de un archivo son la lista de usuarios que pueden leer, escribir y ejecutar el archivo. \u201cLeer\u201d significa ver el archivo, \u201cescribir\u201d significa editar el archivo, y \u201cejecutar\u201d significa poder ejecutar el archivo, como lo har\u00edas al ejecutar un script.<\/p>\n\n\n\n
Los permisos de archivos son importantes porque determinan qu\u00e9 miembros del equipo pueden ver y modificar archivos de instalaci\u00f3n principales, plugins y temas, una parte esencial de gestionar un sitio de WordPress. Ser demasiado estricto interfiere con el rendimiento del sitio, tema y plugins, pero ser demasiado permisivo te abre a amenazas de seguridad.<\/p>\n\n\n\n
Tendr\u00e1s que encontrar el equilibrio entre estricto y permisivo que funcione mejor para tu flujo de trabajo. <\/p>\n\n\n\n
Puedes modificar los permisos de archivos usando un cliente FTP como FileZilla<\/a> y haciendo clic derecho en archivos y carpetas. Obtendr\u00e1s una lista de permisos para cada tipo de usuario, que pod\u00e9s modificar.<\/p>\n\n\n\n
Obten\u00e9 un proveedor de hosting seguro.<\/h3>\n\n\n\n
Los servicios ofrecidos por tu proveedor de hosting juegan un papel importante en la seguridad del sitio web. Al elegir o cambiar proveedores, consider\u00e1 si ofrecen los siguientes servicios:<\/p>\n\n\n\n
- Pueden desplegarse desde la nube o como una instalaci\u00f3n local de hardware\/softwaren.<\/li>\n<\/ul>\n\n\n\n