Si alguna vez su sitio web ha sido atacado por bots, piratas informáticos u otros elementos deshonestos, sabrá que volver a configurarlo correctamente puede convertirse en una pesadilla. Con WordPress ganando popularidad, se ha convertido en un objetivo más para los piratas informáticos, ya que los beneficios pueden ser mayores. Si bien no existe la seguridad infalible, hay muchas cosas pequeñas y grandes que podemos hacer para evitar algunos errores de seguridad comunes de WordPress y dificultar que los bots ingresen a nuestros sitios web y causen estragos.
En esta publicación, veamos los errores de seguridad comunes en los sitios web de WordPress. También descubriremos qué podemos hacer para minimizar nuestra vulnerabilidad a las amenazas de seguridad.
Error n. ° 1: no actualizar WordPress
WordPress tiene una gran comunidad que está alerta a los problemas de seguridad, y el equipo de WordPress emite actualizaciones con regularidad para corregir las amenazas de seguridad. Pero depende de nosotros llevar a cabo estas actualizaciones en nuestra instalación de WordPress y reparar cualquier agujero de seguridad. Las actualizaciones importantes del núcleo de WordPress se realizan automáticamente, pero para actualizaciones menores y para actualizaciones de temas y complementos, debe prestar atención a las notificaciones que aparecen en su panel de control.
La actualización de WordPress es a menudo un proceso sencillo, que requiere solo un clic, pero a veces puede haber problemas de incompatibilidad que rompan su sitio web. Hay más información sobre cómo actualizar WordPress en esta Guía rápida para actualizar WordPress.
Error n. ° 2: no comprar temas y complementos de calidad
Los temas y complementos mal codificados son un peligro para la seguridad de su sitio web. No solo pueden ralentizar su sitio web, sino que pueden ser incompatibles con la versión de WordPress que está utilizando o entre sí. Además, pueden servir como un punto de entrada para software malicioso.
La precaución obvia a adoptar aquí es comprar temas y complementos solo de fuentes de calidad. Hay muchos buenos temas y complementos disponibles de forma gratuita en WordPress. Si elige un tema o complemento premium, busque Themeforest o CodeCanyon y otras casas temáticas de renombre como Themelocal.
Selecciona las que estén mejor valoradas y disfrutes de un mayor número de descargas. Lea las reseñas de los temas y complementos y compruebe lo que otros usuarios genuinos a largo plazo dicen sobre ellos. Revise el registro de cambios para ver si hay actualizaciones periódicas. Escriba a los autores para comprender si ese tema o complemento es adecuado para usted antes de realizar una compra. Y para dejar de lado cualquier inquietud práctica, puede ejecutarlo en un sitio de prueba, si es posible.
Error n. ° 3: no actualizar temas y complementos
Al igual que WordPress, sus temas y complementos deben tener actualizaciones periódicas para corregir errores y parches de seguridad. Es su trabajo probar estas actualizaciones y luego instalarlas para mantener su sitio web de WordPress seguro.
Nota: Una de las razones más comunes por las que las personas dejan que sus temas pasen de moda es debido al código personalizado. Por eso es importante utilizar temas secundarios. Si planea realizar cambios en los archivos de su tema, recuerde usar un tema hijo para que pueda actualizar de manera segura su tema principal en el futuro.
Error n. ° 4: falta de seguridad en la página de inicio de sesión
La página de inicio de sesión es el lugar desde donde los usuarios autorizados ingresan al sitio web. Pero muchos usuarios deshonestos no deseados también pueden acceder inteligentemente a nuestros sitios web desde la página de inicio de sesión e incluso pueden adquirir privilegios de nivel de administrador. Para evitar esto, necesitamos mejorar la seguridad en la página de inicio de sesión. Realmente, no es difícil hacer esto y hay muchos ajustes fáciles que puede realizar para detener las travesuras en la puerta de su casa.
Puede cambiar el nombre de usuario del ‘Administrador’ de uso común y hacer cumplir contraseñas seguras. O bien, limite la cantidad de intentos de inicio de sesión; esto será particularmente efectivo para detener los ataques de fuerza bruta. Otro método de protección que es fácil de adoptar es la autenticación de dos factores. Y con Google impulsa el uso de SSL, es posible que desee ir un paso adelante y aplicarlo a su sitio web más temprano que tarde. Entonces, como ve, la página de inicio de sesión es un buen lugar para comenzar a mejorar la seguridad en su sitio web.
Error n. ° 5: uso inadecuado de los roles de usuario
WordPress tiene muchos roles de usuario: administrador, editor, autor, colaborador y suscriptor. No todos necesitan tener los mismos privilegios en su sitio web. Cuando agregue usuarios a su sitio, tenga cuidado con los privilegios que les otorga en el backend. Permita solo los privilegios que sean necesarios para que cumplan sus funciones en el sitio web.
Otorgar acceso sin restricciones a todos los usuarios puede facilitar la entrada de piratas informáticos.
Realmente no hay necesidad de darles a los suscriptores acceso al backend cuando todo lo que necesitan hacer es leer contenido. El acceso de nivel de editor debe otorgarse solo a usuarios de confianza, y el acceso de nivel de administrador se puede otorgar, si es que lo es, con mucha moderación. Permitir privilegios limitados a los usuarios y obligarlos a usar contraseñas seguras puede controlar el acceso al backend en gran medida.
Error n. ° 6: no eliminar temas y complementos no utilizados
Con el tiempo, seguimos agregando complementos y temas a nuestro WordPress cuando surge la necesidad. Pero una vez que ya no tenemos ningún uso para ellos, nos olvidamos de eliminarlos de nuestro sitio. No es suficiente simplemente desactivar temas y complementos, debe eliminar aquellos que no tiene la intención de usar. Este simple paso puede reducir su exposición al malware. Los complementos inactivos no consumen RAM, ancho de banda o PHP, pero ocupan espacio en el servidor. Esto no solo puede ralentizar su sitio, sino que también se pueden utilizar para ejecutar código malicioso en su sitio web.
Antes de agregar un complemento a su sitio web, verifique si WordPress puede manejar de forma nativa la función en particular. O el tema que usa o su anfitrión puede cubrir las funciones que necesita. Entonces, si tiene algún complemento en su sitio web para estas mismas funciones, es posible que desee eliminarlo.
Ahora que está limpiando los complementos no utilizados, también puede hacer todo lo posible y limpiar la biblioteca de medios, la carpeta de cargas y la carpeta de inclusiones. Estos son puntos de entrada alternativos para el malware que ingresa a su sitio solo para ejecutarse más tarde. Al reducir estas carpetas, está reduciendo los puntos de acceso para malware y piratas informáticos.
Error n. ° 7: no elegir un host seguro
A menudo, los piratas informáticos no están apuntando a su sitio, pueden estar apuntando a otro sitio web que comparte espacio de servidor con usted. Eres solo una víctima incidental. En un escenario de alojamiento compartido, un sitio web comprometido puede derribar todos los sitios web en un servidor. Por lo tanto, es importante elegir su proveedor de alojamiento web con mucho cuidado. Como hemos dicho repetidamente en las páginas de nuestro blog, cuando se trata de hosting, solo obtienes lo que pagas. Las opciones de alojamiento baratas casi siempre comprometen la seguridad y sus servidores son más propensos a los ataques de seguridad. No solo eso, a menudo encontrará soporte menos que satisfactorio cuando su sitio web está siendo atacado.
Poner un buen dinero por un alojamiento de calidad realmente vale la pena la inversión. Le ahorrará un montón de dolores de cabeza en el futuro, especialmente si su negocio está fuertemente vinculado a su sitio web. ¿Necesitas ayuda para elegir un anfitrión? Dirígete a nuestra lista de opciones de alojamiento recomendadas.
Error n. ° 8: no buscar software malicioso
El malware puede ingresar a su sitio web sin que usted se dé cuenta. Puede permanecer oculto y hacer muchas cosas sin su conocimiento, como rastrear a sus visitantes, acceder a información confidencial como detalles de tarjetas de crédito o agregar vínculos de retroceso a otros sitios web. Cuando hay malware al acecho en su sitio web, Google comienza a rechazar los motores de búsqueda para evitar que otros sitios web se infecten. Esto puede provocar una caída en el tráfico de su sitio web.
Hay muchos complementos y servicios disponibles que pueden escanear su sitio web en busca de malware y eliminar muchos de ellos. Basta con visitar la web de servicios como Escáner Sucuri SiteCheck e ingrese la URL de su sitio web. Se generará un informe que muestra el malware detectado, así como las recomendaciones sobre cómo debe manejarlo. O bien, puede optar por agregar un complemento y ejecutar un escaneo. Si lo desea, puede eliminar el complemento después de su uso y reinstalarlo cuando desee ejecutar un escaneo nuevamente.
Error n. ° 9: no instalar un complemento de seguridad
Una de las formas más fáciles de reforzar la seguridad de su sitio web es agregar un complemento de seguridad. Estos complementos pueden manejar muchos problemas de seguridad, como hacer cumplir contraseñas seguras, configurar firewalls, protegerse contra ataques de fuerza bruta y más. Hay muchos complementos gratuitos como iThemes Security y muchos complementos de seguridad premium disponibles, y es mejor que instale y active uno lo antes posible. También hay muchos servicios de seguridad de sitios web como Sucuri que ofrecen administrar la seguridad en su sitio web de WordPress.
Error # 10: No mantener copias de seguridad del sitio web
Pensaría que ahora que ha hecho todo lo anterior, su sitio web está a salvo de los malos. Lamento decepcionar, pero los piratas informáticos están perfeccionando sus métodos y continuamente surgen nuevas amenazas. Por lo tanto, como red de seguridad, puede utilizar un complemento para realizar copias de seguridad y realizar una copia de seguridad segura de su sitio a intervalos regulares y mantenerlos en un lugar seguro.
No es suficiente realizar una copia de seguridad solo de la base de datos, es necesaria una copia de seguridad completa del sitio web. Eso incluye los temas, complementos, la carpeta wp-content, así como archivos de configuración importantes de WordPress como wp-config.php y archivos .htaccess. Utilice complementos de calidad como BackupBuddy o VaultPress y actualícelos periódicamente. Además, mantenga varias copias de seguridad a las que pueda recurrir en diferentes ubicaciones fuera del sitio y fuera de línea.
En breve
La seguridad del sitio web no siempre se trata de paredes y cercas altas, ni se trata de una solución única. Se trata más de adelantarse a los que hacen travesuras. Hay muchos pasos pequeños y sencillos que puede adoptar para mantener un sitio web seguro y protegido. Es importante revisar sus defensas para asegurarse de que estén en línea con las necesidades de su sitio web y desarrollar prácticas de seguridad que puedan mantenerlo seguro.