Mar. 31, 2019

WordPress: 10 consejos para asegurar tu sitio web

Mantén a los hackers fuera del sistema de gestión de contenido más popular del mundo

Mucha gente usa WordPress para administrar su sitio web, por lo tanto, no es sorprendente que me pidan que eche un vistazo a la seguridad de su sitio. Como hacker ético, me encuentro con WordPress en diferentes formas, tamaños y estados. Algunos de ellos están realmente mal protegidos contra hacks. Evita que tu sitio sea hackeado usando estos 10 consejos prácticos.

1) Actualizar WordPress (y plugins + temas)

La mayoría de los hackeos de WordPress son el resultado de una política de actualizaciones deficiente. Los hackers usan bots automatizados para encontrar versiones de software obsoletas que contienen problemas de seguridad conocidos. Una vez que han descubierto que tu sitio web es vulnerable, hackearlo suele ser pan comido.

Hoy en día, la actualización de WordPress se puede hacer automáticamente, por lo que no tendrás que hacerlo tú mismo. Consulta las instrucciones sobre cómo actualizar WordPress.

2) Plugins y Temas

La mala reputación de seguridad que se ha ganado WordPress se debe principalmente a las partes extensibles de la plataforma, específicamente los plugins y los temas. Estos son los principales vectores de ataque que explotan los ciberdelincuentes para hackear y abusar de tu sitio web de WordPress. Sus vulnerabilidades de seguridad suelen ser el resultado de errores y descuidos durante el desarrollo.

Sé muy reacio y cauteloso al instalar plugins en tu sitio web de WordPress. Debes comprobar quién es el desarrollador del plugin o tema, determinar si tiene una buena reputación en cuanto a la escritura de código seguro. Los plugins y temas con muchas descargas a menudo se mantienen activamente, un buen indicador de seguridad. Actualiza todos los plugins y temas y mantén un ojo en el historial de seguridad utilizando un sitio web como wpvulndb.com.

3) Usar cifrado (TLS/SSL)

Los sitios web de WordPress sin cifrado TLS/SSL representan un riesgo de seguridad porque cada vez que inicias sesión para administrar el sitio web, tu contraseña se envía en texto plano. Esto significa que cualquiera que esté escuchando tu tráfico de red puede obtener fácilmente tu contraseña. Con una contraseña válida, los hackers pueden simplemente iniciar sesión, no querrás ponérselo tan fácil, ¿verdad?

Usa TLS/SSL para cifrar toda la comunicación entre el servidor web y tu navegador. Eso significa que nadie puede descifrar lo que escribes en el campo de la contraseña mirando el tráfico de la red. Los certificados TLS/SSL que necesitas para habilitar el cifrado HTTPS son muy baratos en estos días, solicita a tu proveedor de hosting que obtenga uno para tu sitio.

4) Usar contraseñas seguras

No importa si sigues todos los demás consejos para asegurar tu sitio web, las contraseñas débiles son otra fuente común de violaciones de seguridad de WordPress. Debido a que la mayoría de las instalaciones de WordPress tienen un usuario "admin", los hackers pueden usar diccionarios de contraseñas para adivinar automáticamente tu contraseña.

Piensa en una contraseña segura como algo que nadie haya usado antes. Esto generalmente significa más larga, con más caracteres diferentes, que no incluya palabras o frases conocidas. Puedes usar un generador de contraseñas para obtener algo realmente difícil de adivinar (y fácil de olvidar...). Evita usar la misma contraseña en varios sitios y considera habilitar la autenticación de dos pasos para un control de acceso máximo.

5) Usar una computadora y una red confiables

Al igual que no debes hacer alarde de tu dinero y dispositivos en calles sombrías, debes tener cuidado dónde (y cuándo) inicias sesión en tu sitio web. Una computadora con spyware, malware o un virus puede registrar las pulsaciones de teclas (y tu contraseña) y enviárselas a los delincuentes. O incluso de una manera no digital: un adversario puede literalmente mirar por encima de tu hombro (en el autobús, tren o cafetería) mientras ingresas tu contraseña.

Ten cuidado dónde y cuándo trabajas en tu sitio web. No trabajes en una computadora compartida o pública cuando no sea necesario. Si trabajas con un punto de acceso WiFi público, debes usar cifrado para evitar que alguien se cuele. Puedes hacerlo usando TLS/SSL o usando una VPN (como buffered.com). Asegúrate de que tu computadora, tableta o teléfono inteligente esté actualizado.

6) Deshabilitar la API REST de WordPress

La API REST de WordPress proporciona acceso a todos los datos que están disponibles en tu sitio web en formato JSON legible por máquina. Se puede acceder fácilmente a publicaciones, páginas, categorías, etiquetas, comentarios, medios, usuarios, configuraciones y más. Por ejemplo, intenta agregar esta parte a la dirección de tu sitio web: /wp-json/wp/v2/users para obtener una lista de todos los nombres de usuario válidos de tu sitio web, ¿quieres compartir eso con los hackers?

Deshabilita la API REST para evitar el scraping de contenido (plagio) y para evitar la filtración de datos de usuario. Los datos de usuario son personales y no deben compartirse públicamente si valoras la privacidad y la seguridad; piensa en el RGPD. Puedes deshabilitar la API REST utilizando plugins como Disable REST API o REST API Toolbox. Consulta la publicación detallada del blog de Jeff Star para obtener más información sobre cómo proteger la API REST de WP.

7) Deshabilitar el acceso XML-RPC

El XML-RPC es una función de WordPress que permite el control remoto de tu sitio web mediante XML (RPC significa "llamada a procedimiento remoto"). Este mecanismo te permite administrar tu sitio web sin iniciar sesión en WP-Admin, por ejemplo, utilizando servicios o aplicaciones externas. Desafortunadamente, la función XML-RPC es una debilidad de seguridad, ya que básicamente es una puerta trasera que los hackers pueden intentar romper mediante fuerza bruta o comandos especiales.

Evita los problemas de xml-rpc.php deshabilitando esta función de WordPress por completo. Puedes hacerlo usando el plugin Disable XML-RPC o configurando manualmente el servidor web usando un archivo htaccess.

8) Ocultar o proteger la página de inicio de sesión (wp-admin)

Todo el mundo sabe que para iniciar sesión en WordPress, simplemente agrega '/wp-admin' a la dirección de tu sitio web. Cualquier hacker puede comenzar fácilmente con la fuerza bruta en tu sitio web debido a esto. Es mucho más difícil romper una cerradura si no puedes encontrarla.

Considera ocultar o reemplazar la página wp-admin. Los expertos llaman a esto "seguridad por oscuridad", confiando en el secreto para la seguridad. Puedes usar un plugin para esto o configurar el servidor web para limitar el acceso a wp-admin mediante el filtrado de direcciones IP. Consulta esta publicación del blog para ver formas de ocultar y proteger la página wp-admin. Sin embargo, ten en cuenta que confiar solo en el secreto no es suficiente; también debes implementar los demás consejos.

9) Hosting confiable

Incluso si implementas todos estos consejos de seguridad para proteger tu sitio web de WordPress, podría no ser suficiente si tu hosting es inseguro. El hosting es el servicio que permite que tu sitio web esté disponible en Internet. Esto se hace utilizando computadoras especiales llamadas servidores. Al igual que el sitio web en sí, el servidor web que lo publica también debe ser seguro. Piensa en un hosting como un barco, si se hunde, se llevará a todos los pasajeros (sitios web) con él...

Invierte en un hosting confiable seleccionando una empresa de hosting con buena reputación. Elige uno que se adapte bien a tu empresa, considera el hosting con un VPS dedicado (administrado). Ten en cuenta que las opciones de hosting baratas a menudo son baratas porque el servidor se comparte con (muchos) otros sitios web (posiblemente inseguros). Sigue leyendo para comprender las preocupaciones de seguridad en el hosting compartido.

10) Copia de seguridad y revisión

Aunque tu sitio web puede estar funcionando sin problemas ahora, las cosas pueden empeorar en el futuro. La seguridad nunca es algo absoluto, siempre es posible que te encuentres con mal tiempo. Prepárate para los problemas y no dejes que los problemas de seguridad pasen desapercibidos.

Revisa tu propio sitio web con regularidad, o contrata a alguien para que lo haga por ti. Con un plugin como WP Security Audit Log puedes detectar ataques y comportamientos sospechosos desde el principio. Haz copias de seguridad de tu sitio web, para que estés listo para recuperarte de un desastre cibernético. Los accidentes les ocurren a los mejores, haz una copia de seguridad de tu sitio web para evitar perder tu trabajo por completo. Consulta esta publicación del blog para aprender sobre las diferentes formas de hacer una copia de seguridad de tu sitio web de WordPress.

Conclusión

La seguridad de tu sitio web es como la seguridad de tu oficina o casa. Cuando te vas, cierras las ventanas y cierras las puertas, ¿verdad? No descuides la seguridad de tu sitio web, es tan importante como su diseño y contenido.

Si implementas estos consejos de seguridad, tu sitio web será mucho más difícil de hackear por los ciberdelincuentes. Hazlo tú mismo o pide ayuda a alguien.