Previamente vimos cómo los atacantes dañan la seguridad de un sitio web. Tras esa parte aterradora, ahora analicemos lo que puedes hacer para reducir tu vulnerabilidad y la posibilidad de sufrir un ciberataque en tu sitio web deWordPress.
Para obtener seguridad del sitio web debes seguir las mejores prácticas. Algunos pasos se pueden aplicar a sitios web en general, pero otros son específicos de WordPress.
Si quieres buscar la mayor seguridad para tu sitio web, te recomendamos seguir la mayoría de estos pasos a detalle. Primero, iremos con lo básico, después tenemos pasos adicionales en caso de que la falla en la seguridad de tu sitio web sea mayor o constante.
Es un paso fundamental para brindar seguridad a tu sitio web. Debes mantener tus cuentas a salvo de intentos externos de inicio de sesión. Contempla esto:
Para elegir un alojamiento web debes tener muchos factores en cuenta, pero la seguridad debe estar encima de todo.
Considera aquellos servicios que toman medidas minuciosas para para proteger tu información y recuperarla en caso de un ataque.
Instala en períodos regulares las actualizaciones disponibles de WordPress para eliminar todas las vulnerabilidades que irrumpieron en las versiones anteriores.
WordPress notifica la actualización de PHP desde tu tablero. Te pide que vayas a tu cuenta de alojamiento para seguir los pasos.
En caso de no tener acceso, debes contactar con tu desarrollador web para actualizarte.
Instala uno o más complementos de seguridad en tu sitio web y asegúrate que tengan buena reputación. Estos complementos pueden hacer todo el trabajo por ti, desde un escaneo en busca de:
Si usas la administración de contenido en HubSpot, te proporciona escaneo de malware y detección de amenazas. No importan los complementos que elijas, mientras sean legítimos.
Procura no usar cualquier tema sólo porque luzca bien. Debes elegir un tema de WordPress que cumpla con los estándares de la plataforma:
La seguridad de tu sitio web en WordPress implica que habilites un SSL (Secure Sockets Layer). Esto asegura que no haya intercepciones maliciosas en el tráfico de tu sitio web.
Hay alojamientos web que tienen certificados de SSL gratuito e integrado. En WordPress puedes optar por manejarlo de forma manual o como un complemento SSL dedicado.
También esto impulsa tu SEO y da una buena primera impresión a los usuarios. Google Chrome advierte a los usuarios cuando un sitio web no sigue este protocolo y, en consecuencia, causa una reducción del tráfico.
La URL de tu sitio debe comenzar con "https://" y no sólo "http://".
Este recurso evita que haya tráfico no autorizado en tu red y actúan para detener toda actividad maliciosa fuera de tu sitio, ya que elimina la conexión directa entre tu red y otras redes.
Necesitas un buen complemento de Firewall de aplicaciones web (WAF). Sin embargo, es importante analizar el complemento firewall que funciona mejor para la seguridad de tu sitio web.
Ocurrió lo peor y has sido hackeado, ahora evita perder toda tu información.
Antes de ello, asegúrate de respaldar todo de tu sitio web desde WordPress y tu host, evita la pérdida de datos. Puedes optar por una copia de seguridad automática, algo que se puede habilitar con un complemento.
Haz revisiones de rutina en tu sitio, por lo menos una vez al mes.
También hay múltiples complementos que pueden escanear tu sitio y ayudarte a hacer este paso más llevadero y rápido.
Si tienes formularios de pago, formularios de contacto o incluso secciones de comentarios, puedes ser vulnerable a que tus atacantes ingresen un código malicioso en alguno de estos campos de texto e interrumpir el backend de tu página.
Para resolver el problema, filtra caracteres especiales de la entrada del usuario antes de que tu sitio los procese y los almacene en una base de datos.
Usa complementos para detectar un código malicioso.
Da determinados permisos a cada usuario para limitarlo a lo que necesitan para trabajar en el sitio web. Puedes elegir seis roles para cada usuario.
Al limitar los permisos de administrador, reduces la posibilidad de que un atacante dañe una cuenta de administrador, tendría una de seis posibilidades.
Implementa un sistema de monitores para beneficiar a la seguridad de tu sitio web. Este te alertará de cualquier actividad sospechosa.
En un mundo ideal, las otras medidas habrán detenido las actividades maliciosas, pero es mejor confirmarlo. Usa un complemento de monitoreo de WordPress para registrar infracciones y fallas.
Puedes crear un registro que verifique y busque actividades sospechosas. Podrás ver si un usuario trata de cambiar contraseñas, altera temas o complementos, o instala /desactiva complementos sin permiso. Un registro también te muestra el recuento de los daños después de un ataque.
Estas actividades no señalan signos de hackeo por sí mimso. Sirve cuando empleas a colaboradores externos y tienen permisos de acceso. Es mejor vigilar antes de que sea demasiado tarde.
Hay varios complementos de registro en WordPress como WP Activity Log.
Es muy fácil encontrar la URL predeterminada de cualquier sitio web. Existen complementos como WPS Hide Login para cambiar esta URL a algo más complicado de descifrar.
WordPress permite a los administradores editar el código de sus archivos. Cuando obtienen acceso a tu cuenta, lo atacantes pueden alterar estos archivos con mucha facilidad.
Deshabilita esta función con un complemento o con un poco de codificación ligera.
Por default, los archivos de tu base de datos comienza con "wp_". Hay piratas informáticos que aprovechan esto para ubicar tus archivos por nombre e inyectar SQL.
Basta con cambiar el prefijo. Puedes configurar desde la instalación de WordPress. Si no es el caso, siempre puedes usar un complemento, ya que una mínima configuración mala puede dañar todo el sitio web. Cambia los prefijos entre las características de tu complemento de seguridad.
XML-RPC es un protocolo de comunicación para que el CMS interactúe con aplicaciones web y móviles externas. Ha caído en desuso desde la incorporación de la API REST.
Algunos lo usan para atacar la seguridad de los sitios web, ya que permite enviar solicitudes con comandos que facilitan los ataques. También es más riesgoso porque sus solicitudes contienen credenciales de autenticación que pueden traspasarse con facilidad.
Deshabilita el archivo xmlrpc.php después de verificar que no lo estás usando con un validador XML-RPC. La forma más fácil de deshabilitarlo es con un complemento como Disable XML-RPC-API. Un buen complemento de seguridad puede hacerlo también.
Oculta la versión de tu WordPress para que los piratas informáticos no identifiquen la falta de seguridad en tu sitio web.
Por otra parte, siempre deberías actualizar tu versión de WordPress, pero si no has podido hacerlo, es fácil ocultar esta vulnerabilidad potencial.
Los ciberdelincuentes siempre están desarrollando nuevas formas de aprovechar la presencia en línea de las empresas.
Por su parte, los ingenieros de seguridad siempre están desarrollando métodos para detener estos ataques.
La seguridad en Internet es un ciclo constante que cambia en un instante. No hay tal cosa como una seguridad perfecta, pero siempre podemos implementar estos pasos para asegurar que los ataques sean menos frecuentes y menos graves. Considera la seguridad de tus visitantes, ellos te lo agradecerán.
Sigue leyendo en Web Geeks sobre temas relacionados con la seguridad en tu sitio web y WordPress: