5 sencillos pasos para mejorar la seguridad WordPress

Los piratas informáticos atacan de promedio sitios web cada 39 segundos, según muestra un estudio de la Escuela Clark de la Universidad de Maryland. Dado que más del 40% de la web usa WordPress, es uno de los objetivos populares en peligro de ataques de piratas informáticos. Además, como software de código abierto, al que todos los desarrolladores pueden contribuir, puede haber algunas vulnerabilidades potenciales en el código. Los ciberdelincuentes aprovechan las vulnerabilidades y otros problemas de seguridad de WordPress que se pueden evitar fácilmente, como nombres de usuario comunes, contraseñas débiles, complementos obsoletos y otros.

Afortunadamente, hay cuatro cosas fáciles que todo propietario de una web puede hacer, generalmente sin la ayuda de un desarrollador, para hacer que su sitio web sea más seguro.

Problemas de seguridad y vulnerabilidades más comunes de WordPress

Primero, echemos un vistazo a algunas de las vulnerabilidades y problemas más comunes de WordPress que los ciberdelincuentes tienden a explotar cuando atacan un sitio web:

• Núcleo de WordPress desactualizado

Tener WordPress desactualizado es una de las cosas que los piratas informáticos buscan en un sitio web. Es por eso que debes estar atento cuando sale una actualización para un programa o biblioteca.

• Temas y plugins obsoletos

Asegúrate de que todos tus temas y plugins estén actualizados, de modo que cualquier error existente se solucione con la versión más reciente.

• Ataques de fuerza bruta

Puedes detener los ataques de fuerza bruta de varias maneras, como usar un complemento de seguridad o tener mitigación de fuerza bruta con tu proveedor de alojamiento web.

• Malware

Evita la inyección de software malicioso en tu sitio web por diferentes medios, como escáneres de malware y servicios de limpieza de forma regular.

• Ataques DoS o DDoS

Una forma de evitar este tipo de ataques es tener un sistema de almacenamiento en caché o un sistema de mitigación DDoS integrado en la infraestructura de tu proveedor de alojamiento web.

• Entorno de alojamiento deficiente

Cuando busques un proveedor de alojamiento web, asegúrate de que tenga una buena reputación, un conocimiento profundo de WordPress y, sobre todo, que sea confiable.

Mejora la seguridad de tu WordPress en cinco sencillos pasos

¿Estás listo para abordar estas vulnerabilidades por tu cuenta? Para quitarte la carga de encima, tengo cinco sencillos pasos para hacer que tu sitio web de WordPress sea más seguro con solo unos pocos clics:

1. Cambia el nombre de usuario del administrador

Esto es muy obvio. Si todavía usas admin, administrador o algo que sea realmente fácil de adivinar, ¡PARA! Fijate, para acceder a tu web, un atacante necesita dos cosas, un nombre de usuario y una contraseña. Si usas un nombre de usuario de administrador predeterminado, entonces les has dado la mitad de lo que necesitan. Hagámoslo un poco más difícil, ¿de acuerdo?

Para cambiar el nombre de administrador, puedes hacerlo manualmente o puedes instalar un plugin. Dado que los plugins ralentizan tu web y solo lo necesitarías para hacer esto, mejor hagámoslo manualmente.

• Inicia sesión con tu cuenta de administrador existente.
• En “Usuarios”, haz clic en “Añadir nuevo”.
• Crea un nuevo usuario y asignale un rol de de administrador. Pon el nombre de usuario sea el que desees, EXCEPTO Administrador, admin o tu nombre. (Sí, los atacantes probablemente lo sepan, dado que la cuenta de Facebook de tu empresa está vinculada a tu página personal)
• Cierra sesión en WordPress y vuelve a iniciar sesión con tu nueva usuario administrador.
• Haz clic en “Usuarios” para enumerar los usuarios y, en tu cuenta de administrador original, haz clic en “Eliminar”. Asegúrate de seleccionar “Atribuir contenido a” y selecciona tu nueva cuenta de administrador para que no pierdas ningún contenido.

Si deseas deshabilitar los nombres de usuario comunes con un solo clic, instala el plugin SiteGround Security. Es una herramienta gratuita que brinda opciones fáciles para proteger tu sitio web y mejorará en gran medida la seguridad de tu WordPress. Úselo para deshabilitar la creación de nombres de usuario comunes y, si ya tienes uno o más usuarios con un nombre de usuario débil, te pedirá que proporciones uno nuevo. Además, cuando se alterna, aparecerá una ventana emergente en la que podrás elegir un nuevo nombre de usuario y reemplazar automáticamente los débiles existentes.

2. Utiliza contraseñas seguras

Sí, a todo el mundo le encanta usar su cumpleaños como contraseña. ¿Sabes a quién le gusta más? A los atacantes. Mira, las contraseñas débiles son fáciles de adivinar.

Si publicas en tus redes sociales: “¡Frozen II es mi PELÍCULA FAVORITA! ¡Iré a verla mañana por mi cumpleaños! “, le has dado a un atacante un dato fundamental. En este punto, comenzarán a probar contraseñas y nombres de usuario relacionados con la película.

Todo lo que hayas publicado en las redes sociales les brinda a los atacantes un poco más de información con la que trabajar. SUGERENCIA: Utilizar el l33tsp34k (Leet Speak) o reemplazar letras con números tampoco engaña a los atacantes. Ellos se dieron cuenta de eso antes que tú.

Entonces, ¿qué funciona? Contraseñas seguras. Las cadenas largas y aleatorias de letras y símbolos son geniales. El problema de esto es que, como son difíciles de recordar, tendemos a escribirlos. Si pierdes el folio (puede ser físico o electrónico) en el que apuntaste, entonces un hacker tiene las llaves del reino.

WordPress ahora tiene la funcionalidad para generar contraseñas seguras, pero no las requiere. Sin embargo, hay plugins que lo harán cumplir. No tengo la costumbre de recomendar plugins de seguridad de WordPress, pero si vas a wordpress.org/plugins y buscas por “Contraseñas seguras”, encontrarás varios para elegir.

Instala uno de estos plugins.

Si tienes usuarios habituales en tu web, así como administradores, autores, etc., es posible que solo quieras aplicar contraseñas seguras en tus cuentas de nivel superior para reducir la complejidad que tienen tus usuarios al registrarse e iniciar sesión en tu sitio web.

¡Ah! Y si te estás preguntando cómo lidiar con contraseñas seguras sin escribirlas, invierte en un administrador de contraseñas. La mayoría de los modernos funcionan tanto en ordenadores de mesa como en dispositivos móviles y sincronizarán tus datos en todos tus dispositivos.

>> Descarga gratis el ebook “22 pasos para mantener tu WordPress seguro” <<

3. Implementa la verificación en dos pasos (2FA)

La verificación en dos pasos (o 2FA) no es un nuevo concepto de seguridad. Durante décadas, las instituciones financieras han usado los “Fobs” (pequeños dispositivos que se pueden adjuntar a tu llavero que tienen una pantalla y generan un número que cambia constantemente) como un factor adicional para iniciar sesión.

El concepto general de seguridad es “Algo que sabes, algo que tienes, algo que eres”. En 2FA, elegimos dos de estos. Cuando inicia sesión en un sitio web sin 2FA, solo usa “algo que sabes”: el nombre de usuario y la contraseña. Independientemente de cuán fuertes creas que son, existe la posibilidad de que puedan verse comprometidos. 2FA agrega una capa encima de eso, el “algo que tienes”.

Actualmente, en lugar de tener que entregarle un llavero a cada usuario administrador, tenemos teléfonos inteligentes y software que pueden reemplazar a los llaveros. Si tienes un teléfono inteligente moderno (uno fabricado en los últimos 5 años), puedes ejecutar una aplicación que funciona como “algo que tienes”.

La aplicación más utilizada, aunque de ninguna manera la única, para 2FA es “Google Authenticator”. Es la más común porque es gratis. Antes de seguir el camino de 2FA, asegúrate de que Google Authenticator esté disponible para tu teléfono.

Si ya usas un plugin como SiteGround Security, tienes todo lo que necesitas para configurar 2FA. Solo necesitas habilitar esta opción desde el panel del plugin y se les pedirá a todos los usuarios administradores y editores que configuren su autenticación de dos factores en su próximo inicio de sesión.

Una vez que se implementa la 2FA y después de que el usuario haga clic en el botón de inicio de sesión, será llevado a una segunda pantalla de inicio de sesión que le pedirá su “token”. Si han configurado la aplicación correctamente, la abrirán, encontrarán tu sitio web en ella y escribirán el número en la pantalla. Este número cambia cada 30 segundos. El número se denomina “Contraseña de un solo uso basada en el tiempo” (TOTP). Tu teléfono y el plugin que usas saben cómo calcularlo, pero nadie más lo sabe. Cuando ingresan el token y pulsan el botón, el plugin calculará el TOTP apropiado y luego verificará que coincida con lo que el usuario escribió. En función de eso, permitirá o denegará el inicio de sesión.

Ten en cuenta que algunos sistemas 2FA no se basan en aplicaciones sino en mensajes de texto enviados a tu teléfono con los tokens. Ten en cuenta que estos no son seguros, por lo que debes evitarlos.

4. Utiliza HTTPS

Sinceramente, este paso ya lo deberías estar haciendo. Desde hace ya un par de años Google sostiene que si tu sitio no se ejecuta a través HTTPS, lo posicionará por debajo de otros sitios que sí lo hacen. Sin embargo, aparte del SEO, https mantiene todo tu tráfico encriptado y alejado de miradas indiscretas.

Si no usas SiteGround, esto implica trabajar con tu proveedor de hosting para comprar e instalar un certificado seguro. Luego, deberás pedirle a WordPress que cambie tu URL a HTTPS.

Si SiteGround es tu proveedor de hosting, todo lo que necesitas hacer es usar el Gestor de SSL para obtener un certificado gratuito “Let’s Encrypt”. Una vez que el panel de control de SiteGround lo obtenga e instale el certificado por ti, todo lo que necesitas hacer es hacer clic en “Forzar HTTPS” y listo, todo tu sitio web estará encriptado.

5. Mantén tus plugins actualizados

No me refiero solo a los principales, me refiero a cada plugin que hayas instalado en tu sitio web, cada vez que haya una actualización. ¿Por qué es importante mantener los plugins actualizados?

La razón principal es, por supuesto, la seguridad de WordPress. Los buenos autores de plugins solucionan los problemas de seguridad de WordPress cuando se informan y lanzan parches tan pronto como pueden. Si tienes activada la actualización automática, ni siquiera tienes que hacer nada, obtendrás el nuevo código. Si no lo haces, tan pronto como inicies sesión y observas que hay actualizaciones, ve a Plugins, haz clic en los botones de actualización, observa cómo se actualizan y luego intenta recordar por qué inició sesión en primer lugar. 

Si eres cliente de SiteGround, puedes aprovechar la herramienta SiteGround WordPress AutoUpdate. Mantiene tus sitios de WordPress seguros y actualizados en todo momento. Entre otras cosas, también se encarga de tus plugins. En esta herramienta, puedes habilitar la opción de actualizaciones automáticas del plugin desde la configuración. Si habilitas esta opción, en cada actualización de WordPress realizada, SiteGround verificará si tus plugins también están actualizados y, de lo contrario, los actualizará para ti.

Si puedes medir el tiempo de inactividad en euros, entonces vale la pena asegurarse de tener siempre la última y mejor versión de todo y que los plugins importantes en tu sitio web tienen mantenimiento constantemente. Asegúrate de que las actualizaciones de seguridad de WordPress estén entre tus principales prioridades.

Un último paso

• Sí, es muy importante que mantengas WordPress actualizado.
• Sí, es muy importante que mantengas tus temas actualizados.
• Sí, es muy importante que mantenga actualizados tus plugins.

Pero hay otro paso. En algún momento dentro del mundo del código abierto, los autores se cansarán de dar soporte a un paquete y lo abandonarán. A veces son amables y le cuentan a la gente sus planes y hacen arreglos para que alguien se haga cargo. Si no es así, el código se queda sin actualizar. Debes asegurarte de que los plugins en los que confías estén en desarrollo activo.

La forma más sencilla de hacerlo es saber quién está detrás del plugin. Si hay una empresa o un equipo detrás de él, las posibilidad de que se abandone es mucho mejor que si hay un solo programador.

Conclusión

El secreto de la seguridad web es que no se trata de hacer una gran cosa, se trata de hacer muchas cosas pequeñas. Estos sencillos pasos  ayudarán a mejorar la seguridad de tu WordPress. Cada capa de seguridad que agregas a tu web hace que sea un poco más difícil el acceso para los atacantes. No tienes que tener un sitio web absolutamente seguro para estar seguro, sólo tienes que crear más trabajo para el hacker de lo que realmente vale hackear. Los hackers finalmente se cansan y pasan a objetivos más fáciles… esos sitios cuyos propietarios no han leído esta entrada de blog.