- dhuerta
- noviembre 2022
- Cloud hosting
Si bien WordPress es una de las herramientas más utilizadas para crear un sitio web sin la necesidad de saber sobre desarrollo, también es una de las plataformas más vulnerables debido a su naturaleza de código abierto (Todos conocen su código y pueden modificarlo), pero el principal factor viene del bajo mantenimiento a mediano y largo plazo que damos a nuestro sitio.
¿Cuáles son los riesgos de una vulnerabilidad en WordPress? (y cualquier sitio web)
- Filtración de información de tus usuarios
- Publicación de URL’s de sitios maliciosos
- Publicación de Malware
- Envío de Correos masivos
- Publicar sitios de phishing (Ej de un banco pidiendo Tarjeas de crédito)
Tan sólo en la mitad de 2021 hubo más de 86 Billones de intentos de robo de contraseña bloqueados y se estima que 30,000 sitios son hackeados día a día.
En WhataHosting estamos preparados para hacer nuestro trabajo y aplicar medidas de seguridad en nuestros servidores, pero queremos compartirte estos 15 puntos para que puedas hacer tu sitio aún más seguro.
1 . Implemente un certificado de seguridad SSL
Los certificados de seguridad SSL (Secure Socket Layer) son hoy un estándar en la industria y son tomados en cuenta muy en serio para el posicionamiento del SEO.
El principal objetivo del certificado SSL es hacer que el tráfico del navegador de tus visitantes no pueda ser leído camino al servidor, previniendo la exposición de contraseñas, usuarios, tarjetas de crédito e información sensible
Podría interesante el artículo de Porqué es importante el SSL o HTTPS en mi web
No olvide forzar el SSL en su configuración de wordpress
2. Incrementa la fortaleza de las contraseñas
Una de las formas más sencillas de obtener acceso a una cuenta vía internet es adivinando la contraseña del usuario, es entendible que buscamos contraseñas que no olvidemos pero utilizar contraseñas que a otro se le puedan ocurrir o que muchas personas utilicen hace que fácilmente los hackers las encuentren.
Una de las formas en las que los hackers obtienen estas contraseñas es mediante archivos con millones de contraseñas y “probando” una por una de forma automatizada.
Las 10 contraseñas más usadas son:
123456, 123456789,12345,qwerty,password,12345678,111111,123123,1234567890,1234567
Una contraseña segura debe contener los siguientes puntos:
- No debe contener el usuario
- Debe incluir mayúsculas y minúsculas
- Debe contener letras, y números
- Los números no deben ser consecutivos
- La longitud debe ser de 12 o más caracteres
- Incluir caracteres especiales $ # ¡ . %
¿Quieres saber que tan segura es tu contraseña? Visita https://www.security.org/how-secure-is-my-password/
3. Installe Plugins de seguridad
Los plugins de seguridad de WordPress son una manera rápida y sencilla de agregar una capa extra de seguridad y hay algunos que realmente pueden hacer una diferencia.
A continuación una lista de algunos plugins recomendados
- Wordfence Security – Firewall & Malware Scan
- All In One WP Security & Firewall
- iThemes Security
- Jetpack – WP Security, Backup, Speed, & Growth
4. Mantenga WordPress Actualizado
Mantener su Worpress siempre actualizado es lo más básico que podemos hacer, ya que las actualizaciones contienen cambios en el código que corrigen puntos de vulnerabilidad que se van detectando y que son utilizados por los hackers.
Si no mantiene su WordPress y plugins actualizados corre el riesgo de estar dejando una puerta abierta a los hackers.
En el 2021 había un estimado de 1.3Billones de sitios web, de los cuales 455millones eran de WordPress, por lo que ésta es una de las plataformas favoritas de los hackers.
No olvide Activar la actualización automática y estar pendiente de los mensajes en el escritorio de WordPress.
5. Ponga atención a los temas y plugins
Si bien una de las razones por las que WP es una de las plataformas favoritas, es la facilidad de agregar características por medio de Plugins y temas fácilmente instalables, sin embargo, es esta una de sus vulnerabilidades mas usadas, ya que cualquier puede crear un Plugin y publicarlo, así como cualquier puede ver el código de estos plugins y aprovecharlo a su favor.
Los desarrolladores de Plugins y temas conocen bien esto, por lo que dentro de sus actualizaciones suelen agregar correcciones de seguridad.
NO OLVIDES ACTUALIZARLOS CONSTANTEMENTE
En el caso de los temas te recomendamos no usar temas descargados de forma gratuita, ya que la mayoría de estos son usados para agregar todo tipo de códigos y herramientas que pueden ser aprovechadas de muchas formas como envío de correos, malware o hasta generar criptomonedas.
6. Haga respaldos frecuentemente
No hay nada mejor que mantener siempre un respaldo de tu página, así en caso de ser afectado por un acceso no autorizado puedes regresar a la versión anterior y empezar a aumentar la seguridad sobre lo último que teníamos.
Algunas formas de respaldo
- Respaldos hechos desde cPanel que contienen Correos, bases de datos y el sitio web.
- Respaldos en Softaculous: Instala, respalda, actualiza y administra wordpress fácilmente desde ésta herramienta incluída en todos los planes de Whatahosting
- Plugins de respaldos.
7. Nunca use “admin” como su usuario principal
Como “admin” es un usuario muy común éste es fácil de ser adivinado y utilizado para adivinar la contraseña y obtener acceso.
Nunca use “admin” como su usuario (Y mucho menos como contraseña)
Este usuario hace que los ataques de fuerza bruta y de ingeniería social sean realizados fácilmente.
Así como tener una contraseña difícil, tener un usuario diferente es una gran idea para no hacerla tan fácil para los hackers.
8. Esconde la página para iniciar sesión WP-Admin
Por defecto la mayoría de los sitios con wordpress pueden sr accedidos por /wp-login.php o /wp-admin al final de su url.
Esto facilita a los hackers el uso de herramientas para adivinar las contraseñas y usuarios con fuerza bruta para acceder a su plataforma y tener el control total.
Esconder esta URL es altamente recomendado
Puedes editar el código para forzar esto o utilizar un plugin como WPS Hide Login
9. Deshabilite XML-RPC
WordPress usa una implementación del protocolo XML-RPC para extender funcionalidades.
Esta función es para la integración de servicios externos por medio de XMLs como servicios de actualización de precios para envío o actualización de entradas o muchas cosas más, sin embargo, la mayoría de los sitios no lo utilizan pero los hackers pueden usarlo para tomar control de la plataforma.
Si bien lo puedes bloquear con un Firewall de Aplicación (WAF) o mod Security, también puedes hacerlo fácilmente con el plugin Wordfence Security plugin fácilmente.
10. Endurezca su configuración del archivo wp-config.php
El archivo de configuración de WordPress contiene información sensible como los accesos a la base de datos o las llaves de ofuscamiento de las contraseñas, que es exactamente por lo que no queremos que nadie pueda accederlo.
Puede proteger su archivo wp-config.php mediante el archivo .htaccess agregando algo como esto:
<files wp-config.php>
order allow,deny
deny from all
</files>
11. Corra una herramienta de escaneo de vulnerabilidades
Algunas veces su wordpress podría tener vulnerabilidades que usted no conocía, utilizar una herramienta que esté pendientes por nosotros de forma periódica y no notifique de posibles cambios nos ayuda a actuar rápidamente.
Para ello nosotros recomendamos el plugin WPScan que le alertará vía correo cuando encuentre un plugin por actualizar o una vulnerabilidad para que pueda actuar lo antes posible.
Si tu empresa gasta más en café que en seguridad TI, serás hackeado. Es más, merecerás ser hackeado. – Eric S. Raymond
12. Use la versión más actualizada de PHP
Así como actualizar Worpress es imprescindible para la seguridad, mantenerse con las últimas versiones de PHP es una acción que fácilmente podemos realizar que sumará un punto más para protegernos.
En el caso de Whatahosting lo puedes hacer fácilmente en cPanel en la sección “Seleccionar versión de PHP” o contáctanos y con gusto te ayudamos.
13. Instale en una instancia aislada
El hospedaje más usado para nuestros sitios web al iniciar suele ser en un plan compartido, en ése el mismo servidor es usado por más usuarios que podrían tener sus propias vulnerbilidades.
Es trabajo de Whatahosting o su proveedor de hospedaje el mantener seguros a todos, en el caso de nosotros contamos con herramientas que mantienen aislados a los clientes, sin embargo, la forma mas segura y de mayor velocidad de mantener un sitio con un tráfico alto es mantenerlo en un servicio de Cloud o VPS.
14. Instale un Firewall de Aplicación WAF
Como último punto una de las recomendaciones para mantenernos un poco mas seguros es la utilización de un Firewall de Aplicación, éste va a leer y bloquear o permitir ciertas acciones por parte de nuestros visitantes como lo son acceso a ciertas url’s, limitar las inyecciones de código, limitar el acceso de trafico malicioso y bloquear los ataques DDOS.
Aunque existen plugins de WP que realizan esta acción nuestra recomendación es la utilización del servicio de Cloudflare, el cual desde sus planes gratuitos cuenta con una buena protección.
Si eres cliente Whatahosting contáctanos y con guste te asesoramos en la implementación de CloudFlare. Si aún no eres cliente Whatahosting ¿Qué esperas para cambiarte con nosotros?
¿Quieres Más Información?
Conoce nuestros planes de hospedaje con dominio y Certificado SSL incluido o contáctenos para ayudarte
Ing. Daniel Huerta
Apasionado de la tecnología y emprendedor de corazón. Fundador Whatahosting.com