Limpiar un sitio de WordPress pirateado no es divertido. En el mejor de los casos, es un proceso complicado y lento que la mayoría de nosotros preferiríamos evitar. En este artículo, le contaré varias cosas que puede hacer hoy para que su sitio web de WordPress sea más seguro. Dedicar un poco de tiempo y esfuerzo ahora puede evitar que ocurra un ataque y mantener sus datos seguros.
Los métodos que vamos a cubrir para evitar un sitio de WordPress pirateado son pasos que puede seguir para garantizar la seguridad de su instalación de WordPress. Pero además de asegurarse de que está haciendo todo bien, también debe asegurarse de que está utilizando un alojamiento de WordPress que se toma en serio la seguridad de WordPress, y la seguridad en general.
¿Qué tan grave es el problema de la piratería?
Cada día se piratean más de 125.000 sitios web . Eso es más de un sitio cada segundo. 45 millones al año, en realidad. Con 235 millones de sitios web activos , es probable que casi 1 de cada 5 se vea comprometido este año.
Si bien hay más de mil quinientos millones de nombres de dominio registrados, la mayoría de esos dominios están «estacionados». Es por eso que el número de sitios activos es mucho menor.
Esas son probabilidades bastante malas contra nosotros. Cualquier paso que podamos tomar para fortalecer nuestros sitios web contra ataques vale la pena.
Prevenir un sitio web de WordPress pirateado
Los siguientes consejos no se presentan en orden de importancia porque todos son igualmente importantes. Como con cualquier medida de seguridad, cada acción adicional que realice aumenta su protección general.
Si te propones implementar todo lo que hablamos aquí, crearás el mejor entorno seguro para tu sitio web de WordPress.
1. Actualice, renueve y revitalice su contraseña de WordPress
Comencemos con algo que no es necesariamente específico de WordPress: las contraseñas. Puede que no sea una exageración decir que la mayor parte de nuestras vidas giran en torno a las contraseñas. Pero hacer un seguimiento de docenas de contraseñas puede ser una molestia, por lo que es fácil volverse complaciente.
Hacemos que las contraseñas sean más débiles para que sean más fáciles de recordar, las reutilizamos y, en general, ignoramos las «reglas» de seguridad de las contraseñas.
Pero aquí está la cuestión: hay muchas formas de piratear una instalación de WordPress, pero el segundo método más utilizado es de la misma manera que lo haces tú: con tu nombre de usuario y contraseña.
La forma en que los piratas informáticos obtienen sus credenciales de inicio de sesión varía, pero un método se denomina ataque de «fuerza bruta». Eso significa intentar iniciar sesión utilizando programas automatizados que intentan decenas de inicios de sesión cada segundo.
Entonces, si bien puede ser tentador volverse laxo con nuestras contraseñas, recuerde que hay fuerzas que trabajan las 24 horas para aprovechar las prácticas de contraseñas débiles.
Uso de administradores de contraseñas
La buena noticia es que crear y mantener contraseñas prácticamente imposibles de descifrar es más fácil de lo que piensa. Un administrador de contraseñas no solo puede almacenar las credenciales de inicio de sesión para usted, sino que la mayoría de ellos también pueden generar contraseñas seguras. Esto es además de iniciar sesión automáticamente en los sitios web.
Si bien puede parecer extraño la primera vez que ingresa al sitio web de su banco e inicia sesión automáticamente, los administradores de contraseñas pueden facilitarle mucho la vida.
Y mucho más seguro.
Hay muchas opciones cuando se trata de administradores de contraseñas . Uso LastPass, que tiene un nivel gratuito muy útil y una plataforma de pago «premium» razonable. No estaría sin él ahora, pero todos los administradores de contraseñas sirven principalmente para el mismo propósito. Simplemente lo hacen de diferentes maneras.
Uso de frases de contraseña
Si no le gusta la idea de almacenar todas sus contraseñas en una aplicación, podría considerar la transición a frases de contraseña. Una frase de contraseña es exactamente lo que parece, una frase corta que usa palabras que puede recordar fácilmente, pero que un ataque de contraseña de fuerza bruta tardaría años (o incluso siglos) en descifrar.
Parece contradictorio a primera vista, pero la frase de contraseña «realmente odio las contraseñas» es más segura que «dU~a[Tz3(?jX7j». Es decir, según un verificador de seguridad de contraseñas .
En teoría, ambos tardarían miles de millones de años en descifrarse. Dejando de lado la precisión de los verificadores de contraseñas, ambas son contraseñas excelentes y, en el mundo en el que vivimos actualmente, son prácticamente indescifrables.
Si puede agregar un carácter o un número a una frase de contraseña, se vuelve aún más fuerte. El simple hecho de poner en mayúscula las palabras de su frase de contraseña hace que sea exponencialmente más difícil de descifrar. Por ejemplo, “IreallyhatePasswords” = 16 mil millones de años a diferencia de “IReallyHatePasswords” = 17 cuatrillones de años.
Independientemente de la herramienta o el enfoque que utilice para administrar sus contraseñas, las cosas clave que debe recordar son:
-
-
- Fortalezca sus contraseñas
- No use contraseñas para más de un sitio
- No reutilices contraseñas antiguas
-
Bien, vamos a los consejos de WordPress.
2. Actualizar complementos y temas
Sabemos que las contraseñas débiles son la segunda forma más común de hackear un sitio de WordPress. Sin embargo, los complementos son, de lejos, la forma número uno en que se piratean los sitios de WordPress . Asegúrese de que todos sus temas y complementos de WordPress estén actualizados. Eso es todo lo que tiene que hacer para disminuir sus posibilidades de un complemento o pirateo relacionado con el tema.
Por supuesto, es más fácil decirlo que hacerlo.
Actualizaciones manuales
Si publica material nuevo en su sitio web de WordPress con frecuencia, mantener actualizados manualmente los complementos y temas es relativamente fácil. Cada vez que inicie sesión en su panel de administración de WordPress, verá un aviso si un complemento o tema tiene una actualización pendiente.
Acostúmbrese a aplicar las actualizaciones antes de hacer cualquier otra cosa y siempre estará a la vanguardia del juego.
Actualizaciones automáticas
Si no inicia sesión en su sitio de WordPress con mucha frecuencia, debe usar la actualización automática. Hay un par de formas de implementar actualizaciones automáticas.
Si instalaste WordPress usando Softaculous, estás de suerte. Softaculous tiene opciones para mantener actualizados los complementos y los temas. Tenemos un artículo que le muestra cómo configurar actualizaciones automáticas de complementos . El artículo también detalla varias opciones que no son de Softaculous, por lo que, independientemente de cómo haya instalado WordPress, lo tenemos cubierto.
3. Actualizar WordPress mismo
Mantenerse al tanto de las actualizaciones de complementos y temas es crucial, pero también es esencial mantener su versión de WordPress actualizada.
Si desconfía de las actualizaciones de WordPress porque una versión principal una vez convirtió su sitio en un revoltijo caótico, siento su dolor. Si el desarrollador de su tema no se mantiene al día con los cambios de WordPress, la actualización puede parecer como tirar los dados y esperar lo mejor.
Sin embargo, dejar que las actualizaciones de WordPress se retrasen es aún más peligroso que usar complementos o temas obsoletos . Entonces, si solo vas a seguir un consejo de este artículo, que sea este. Mantén WordPress actualizado.
Si tiene reservas acerca de una actualización, considere primero probar la actualización en un entorno de desarrollo . De esa manera, si algo se rompe, puede descubrir cómo solucionarlo sin desmantelar su sitio principal.
Al igual que con los complementos y los temas, las actualizaciones de WordPress se pueden realizar de forma manual o automática. Si instalaste WordPress usando Softaculous, aquí hay un artículo que explica cómo configurar las actualizaciones automáticas de WordPress .
Si no usó Softaculous para instalar WordPress, aún puede configurar actualizaciones automáticas para lanzamientos de versiones principales.
4. Eliminar, Eliminar, Eliminar
En la sección «Actualizar complementos y temas», hablamos sobre cómo mantenerse actualizado con complementos y temas. Pero a veces estos elementos son abandonados por los desarrolladores y ya no se actualizan.
Verifique sus complementos de vez en cuando y busque alguno que no se haya actualizado recientemente. También tiene la opción de eliminar su instalación de WordPress por completo y comenzar de nuevo.
Para verificar la última vez que se actualizaron, inicie sesión en su panel de administración de WordPress y vaya a «Complementos instalados» y haga clic en el enlace «Ver detalles» para un complemento. En la ventana que se abre, puede ver la fecha de «Última actualización».
Si un complemento no se ha actualizado en el último año, es posible que desee buscar otra herramienta que tenga el mismo propósito pero que esté más activa actualmente.
Además, busque complementos o temas que no esté usando y elimínelos. No solo los desactive, elimine estos complementos por completo. El objetivo es tener solo los temas y complementos que usa y solo la última versión de cada uno.
Si usa un tema secundario, y debería hacerlo, tenga cuidado de no eliminar los archivos principales. No estará activo, pero necesita ser instalado y actualizado.
5. Encuentra y elimina instalaciones de WordPress abandonadas
WordPress es fácil de instalar, y esa facilidad significa que hay muchas instalaciones de prueba sin usar. El malware a menudo se inyecta en sitios de WordPress antiguos y sin usar que han estado desactualizados durante meses o incluso años. La infección se puede propagar a sus visitantes y otros sitios web.
Es posible que tenga instalaciones de WordPress que ni siquiera recuerde haber configurado, por lo que es importante verificarlas.
Si usa cPanel , puede consultar Softaculous y le mostrará todas sus instalaciones de WordPress. Borra cualquiera que no estés usando.
Si no usa cPanel o Softaculous, envíe un FTP a su sitio web y busque directorios que puedan ser instalaciones antiguas de WordPress sin usar y elimínelos.
Una instalación de prueba de WordPress también tendrá una base de datos en alguna parte, así que recuerda eliminarla también.
Es una buena idea mantener actualizados todos los archivos de su sitio web, no solo WordPress. Es fácil acumular versiones antiguas de archivos. Si no los necesita, ¡bórrelos! Si eliminar archivos del servidor no le resulta cómodo, descargue una copia de sus archivos antiguos y guárdelos localmente, luego elimínelos del servidor.
6. Eliminar el usuario administrador predeterminado
Si instaló WordPress hace algún tiempo, es posible que haya creado un usuario llamado «admin» por defecto. La mayoría de los intentos de pirateo de WordPress por fuerza bruta comienzan con el nombre de usuario «admin». Si no está allí, le dificultas el trabajo al atacante.
Para ver si tiene un usuario llamado admin, vaya a su página de Usuarios de WordPress (/wp-admin/users.php) y vea si aparece «admin».
Si tiene un usuario llamado administrador, cree otro o asigne a una cuenta existente la función de administrador y elimine el perfil de administrador predeterminado.
7. Obtenga ayuda de expertos
No me refiero a contratar a un experto en seguridad para que se pare detrás de usted y vigile por encima de su hombro (aunque si hace eso, hágame saber cómo es). Estoy hablando de ayuda experta en forma de complemento.
Lo sé, hemos estado hablando de que los complementos son una fuente de problemas de seguridad , pero algunos son soluciones de seguridad .
El uso de complementos de seguridad como Wordfence puede ayudar a reducir en gran medida las posibilidades de ser pirateado. Y como este complemento en particular es gratuito, no arriesga nada al agregarlo a WordPress.
Wordfence y otros complementos de seguridad pueden ayudar a proteger su sitio de todas las cosas de las que hemos estado hablando. Esto se suma a muchas otras cosas que no se verifican tan fácilmente. Incluso enviará informes por correo electrónico de sus hallazgos.
8. Haz una copia de seguridad
Despertar en un sitio de WordPress pirateado puede significar un largo día para poner todo en orden. Pero si tiene una copia de seguridad actual o reciente de su sitio web y base de datos, el trabajo se puede hacer en una fracción del tiempo.
Hay muchas maneras de hacer una copia de seguridad de su instalación de WordPress . Tienes acceso a métodos manuales y automatizados. También existen servicios comerciales de respaldo que se conectarán a su sitio y base de datos y los descargarán automáticamente todos los días.
Además de brindarle tranquilidad en caso de un ataque, mantener buenas copias de seguridad también lo ayuda a protegerse contra usted mismo.
He estado construyendo sitios web desde 1994, y tengo que admitir que a veces, incluso después de todos estos años de experiencia, los rompo. Gravemente. Y la copia de seguridad de ayer me ha salvado más veces de las que puedo recordar.
Una copia de seguridad no evitará un pirateo o una catástrofe en el sitio web. Sin embargo, puede hacer su vida mucho más fácil si alguna vez es víctima de los malos o de su propio descuido o error.
La seguridad es un tema amplio y espinoso
Es fácil atascarse en detalles y protocolos cuando se habla de la seguridad del sitio web. Pero si usa WordPress, puede implementar lo siguiente:
-
-
- Refrescando tu contraseña
- Actualización de complementos y temas
- Actualización de WordPress
- Eliminación de complementos y temas no utilizados
- Eliminar instalaciones de WordPress no utilizadas
- Eliminar el usuario llamado «admin»
- Instalación de un complemento de seguridad
- Copia de seguridad de los archivos y bases de datos de su sitio web
-
No es tan difícil agregar métodos de seguridad a su sitio web. Solo necesita ser consciente de lo que puede representar una amenaza y cómo puede tapar los agujeros.