11 razones principales por las que los sitios de WordPress son pirateados (y cómo prevenirlo)

Recientemente, uno de nuestros lectores nos preguntó por qué los sitios de WordPress son pirateados. Es frustrante descubrir que tu sitio de WordPress ha sido pirateado. En este artículo, compartiremos las razones principales por las que el sitio de WordPress es pirateado, para que usted pueda evitar estos errores y proteger su sitio.

¿Por qué es WordPress objetivo de los hackers?

Primero, no es sólo WordPress. Todos los sitios web en Internet son vulnerables a intentos de piratería informática.

La razón por la que los sitios de WordPress son un objetivo común es porque WordPress es el constructor de sitios web más popular del mundo. Controla más del 31% de todos los sitios web, lo que significa cientos de millones de sitios web en todo el mundo.

Esta inmensa popularidad le da a los hackers una manera fácil de encontrar sitios web que son menos seguros, para que puedan explotarlos.

Los hackers tienen diferentes tipos de motivos para piratear un sitio web. Algunos son principiantes que están aprendiendo a explotar sitios menos seguros.

Algunos hackers tienen intenciones maliciosas como distribuir malware, usar un sitio para atacar otros sitios web o enviar spam a Internet.

Dicho esto, echemos un vistazo a algunas de las causas principales de que los sitios de WordPress sean pirateados, y cómo evitar que su sitio web sea pirateado.

1. Alojamiento Web Inseguro

Como todos los sitios web, los sitios de WordPress están alojados en un servidor web. Algunas empresas de alojamiento no protegen adecuadamente su plataforma de alojamiento. Esto hace que todos los sitios web alojados en sus servidores sean vulnerables a intentos de piratería informática.

Esto puede evitarse fácilmente eligiendo el mejor proveedor de alojamiento de WordPress para su sitio web. Garantiza que su sitio esté alojado en una plataforma segura. Los servidores adecuadamente seguros pueden bloquear muchos de los ataques más comunes en los sitios de WordPress.

Si desea tomar precauciones adicionales, le recomendamos que utilice un proveedor de alojamiento de WordPress administrado.

2. Uso de contraseñas débiles

Las contraseñas son las claves de su sitio WordPress. Debe asegurarse de que está utilizando una contraseña única y segura para cada una de las siguientes cuentas, ya que todas ellas pueden proporcionar un acceso completo a su sitio web por parte de un hacker.

• Su cuenta de administrador de WordPress
• Cuenta del panel de control de alojamiento web
• Cuentas FTP
• Base de datos MySQL utilizada para su sitio WordPress
• Cuentas de correo electrónico utilizadas para la cuenta de administración o alojamiento de WordPress

Todas estas cuentas están protegidas por contraseñas. El uso de contraseñas débiles facilita a los hackers el descifrar las contraseñas utilizando algunas herramientas básicas de hacking.

Puede evitarlo fácilmente utilizando contraseñas únicas y sólidas para cada cuenta. Vea nuestra guía sobre la mejor manera de administrar contraseñas para que los principiantes de WordPress aprendan a administrar todas esas contraseñas seguras.

3. Acceso sin protección a WordPress Admin (wp-admin Directory)

El área de administración de WordPress da acceso a un usuario para realizar diferentes acciones en su sitio de WordPress. También es el área más comúnmente atacada de un sitio de WordPress.

Dejarlo desprotegido permite a los hackers probar diferentes enfoques para descifrar su sitio web. Puede dificultarles las cosas añadiendo capas de autenticación a su directorio de administración de WordPress.

Primero debes proteger con contraseña tu área de administración de WordPress. Esto añade una capa de seguridad adicional, y cualquiera que intente acceder al administrador de WordPress tendrá que proporcionar una contraseña adicional.

Si ejecuta un sitio WordPress de varios autores o usuarios, puede aplicar contraseñas seguras para todos los usuarios de su sitio. También puede añadir dos factores de autenticación para que sea aún más difícil para los hackers entrar en su área de administración de WordPress.

4. Permisos de archivo incorrectos

Los permisos de archivo son un conjunto de reglas utilizadas por su servidor web. Estos permisos ayudan a su servidor web a controlar el acceso a los archivos de su sitio. Los permisos de archivo incorrectos pueden dar acceso a un hacker para escribir y cambiar estos archivos.

Todos tus archivos de WordPress deberían tener un valor de 644 como permisos de archivo. Todas las carpetas de tu sitio de WordPress deberían tener 755 como su permiso de archivo.

Vea nuestra guía sobre cómo solucionar el problema de carga de imágenes en WordPress para aprender a aplicar estos permisos de archivo.

5. No actualizar WordPress

Algunos usuarios de WordPress tienen miedo de actualizar sus sitios de WordPress. Ellos temen que al hacerlo se rompería su sitio web.

Cada nueva versión de WordPress corrige errores y vulnerabilidades de seguridad. Si no estás actualizando WordPress, entonces estás dejando tu sitio vulnerable intencionalmente.

Si temes que una actualización rompa tu sitio web, entonces puedes crear una copia de seguridad completa de WordPress antes de ejecutar una actualización. De esta manera, si algo no funciona, puede volver fácilmente a la versión anterior.

6. No actualizar plugins o temas

Al igual que el software central de WordPress, actualizar tu tema y los plugins es igualmente importante. El uso de un plugin o tema obsoleto puede hacer que su sitio sea vulnerable.

Los defectos y errores de seguridad se descubren a menudo en los plugins y temas de WordPress. Por lo general, los autores de los temas y los plugins los arreglan rápidamente. Sin embargo, si un usuario no actualiza su tema o plugin, entonces no hay nada que pueda hacer al respecto.

Asegúrate de mantener el tema y los plugins de WordPress actualizados.

7. Uso de FTP simple en lugar de SFTP/SSH

Las cuentas FTP se utilizan para subir archivos a su servidor web utilizando un cliente FTP. La mayoría de los proveedores de hosting soportan conexiones FTP utilizando diferentes protocolos. Puede conectarse utilizando FTP simple, SFTP o SSH.

Cuando usted se conecta a su sitio usando FTP simple, su contraseña es enviada al servidor sin encriptar. Puede ser espiado y robado fácilmente. En lugar de usar FTP, siempre debe usar SFTP o SSH.

No es necesario que cambie su cliente FTP. La mayoría de los clientes FTP pueden conectarse a su sitio web tanto en SFTP como en SSH. Sólo tiene que cambiar el protocolo aSFTP - SSH cuando se conecte a su sitio web.

8. Uso de Admin como nombre de usuario de WordPress

No se recomienda usaradmin como nombre de usuario de WordPress. Si su nombre de usuario de administrador es admin, deberá cambiarlo inmediatamente por otro nombre de usuario.

Para instrucciones detalladas, consulta nuestro tutorial sobre cómo cambiar tu nombre de usuario de WordPress.

9. Temas y plugins anulados

Hay muchos sitios web en Internet que distribuyen gratuitamente plugins y temas de WordPress de pago. A veces es fácil caer en la tentación de usar esos plugins y temas nulos en tu sitio.

Descargar temas y plugins de WordPress de fuentes poco fiables es muy peligroso. No sólo pueden comprometer la seguridad de su sitio web, sino que también pueden utilizarse para robar información confidencial.

Siempre debe descargar los plugins y temas de WordPress de fuentes confiables como el sitio web de desarrolladores de plugins/temas o los repositorios oficiales de WordPress.

Si no puede o no quiere comprar un plugin o tema premium, siempre hay alternativas gratuitas disponibles para esos productos. Estos plugins gratuitos pueden no ser tan buenos como sus contrapartes pagadas, pero harán el trabajo y, lo más importante, mantendrán su sitio web seguro.

También puede encontrar descuentos para muchos de los productos populares de WordPress en la sección de ofertas en nuestro sitio web.

10. No asegurar la configuración de WordPress Archivo wp-config.php

El archivo de configuración de WordPress wp-config.php contiene sus credenciales de acceso a la base de datos de WordPress. Si está comprometida, entonces revelará información que podría darle a un hacker acceso completo a su sitio web.

Puede añadir una capa extra de protección negando el acceso al archivo wp-config usando .htaccess. Simplemente agrega este pequeño código a tu archivo.htaccess.

1234order allow,denydeny from all

11. No cambiar el prefijo de la tabla de WordPress

Muchos expertos recomiendan que cambie el prefijo predeterminado de la tabla de WordPress. Por defecto, WordPress usa wp_ como prefijo para las tablas que crea en su base de datos. Tiene la opción de cambiarla durante la instalación.

Se recomienda utilizar un prefijo que sea un poco más complicado. Esto hará más difícil para los hackers adivinar los nombres de las tablas de la base de datos.

Para instrucciones detalladas, vea nuestra guía sobre cómo cambiar el prefijo de la base de datos de WordPress para mejorar la seguridad.

Limpieza de un sitio de WordPress pirateado

Limpiar un sitio de WordPress pirateado puede ser muy doloroso. Sin embargo, se puede hacer.

Aquí hay algunos recursos para empezar a limpiar un sitio de WordPress pirateado:

• Guía para principiantes para arreglar su sitio WordPress pirateado
• Cómo analizar su sitio de WordPress en busca de código potencialmente malicioso
• cómo encontrar una puerta trasera en un sitio WordPress pirateado y arreglarlo
• Qué hacer si está bloqueado en WordPress admin (wp-admin)
• Guía para principiantes: cómo restaurar WordPress desde una copia de seguridad

Consejo de bonificación

Para una seguridad sólida como una roca, usamos Sucuri en todos nuestros sitios de WordPress. Sucuri proporciona servicios de detección y eliminación de malware, así como un cortafuegos que protegerá su sitio web contra las amenazas más comunes.

Vea cómo Sucuri nos ayudó a bloquear 450.000 ataques de WordPress en 3 meses

Esperamos que este artículo le haya ayudado a conocer las razones principales por las que el sitio de WordPress es pirateado. También puede que quieras ver nuestra guía de seguridad de WordPress para proteger tu sitio de WordPress.

Si te ha gustado este artículo, suscríbete a nuestros tutoriales de vídeo de YouTube Channel for WordPress. También puede encontrarnos en Twitter y Facebook.