9 Errores Comunes de Seguridad en WordPress

Recientemente tuve la oportunidad de escuchar un webinar dado por el equipo de seguridad de Wordfence sobre los errores más comunes que cometen los usuarios WordPress.

Yo creo que un sitio de WordPress no estan exempto de ser hackeado sin embargo WordPress es muy seguro y hay errores de seguridad que cometen los usuario que le facilitan la tarea a los hackers.

Table of Contents

Mi Receta de Seguridad

Mi receta de seguridad es sencilla:

Estas tres funciones importantes implementadas desde el panel de Cloudways

  1. Bloquear el acceso a la base de datos con excepción de mi IP
  2. Bloquear el acceso a FTP con excepción de mi dirección IP
  3. Respaldos externos guardados por cuatro semanas.

Estas son funciones implementadas gracias a CloudFlare

  1. Bloqueo de todos los archivos PHP de mi sitio
  2. Bloqueo de Bots
  3. Protección de la carpeta plugins.
  4. Rechaza de solicitudes maliciosas.

La protección a nivel de aplicación con Jetpack

  1. Registro de actividad para determinar actividad de actores malicioso

La protección a nivel de aplicación gracias a mi sentido común

  1. Usar buenas contraseñas
  2. No usar plugins nulos o de dudosa procedencia

Los 9 Errores de Seguridad más Comunes en WordPress

Estos son los errores de seguridad más comunes que cometen los usuarios de WordPress por su falta de experiencia.

#1 Esconder la Página de Acceso

Esconder la página de acceso de tu sitio de wordpress es seguridad con oscuridad ya que hay métodos que los hackers pueden usar para encontrar las paginas de acceso aunque estas hayan sido cambiadas de dirección.

Un enfoque de seguridad mucho más efectivo es:

  • Usar autenticación de dos factores.
  • Usar una contraseña que sea super robusta.

Si escondes tu página de acceso, asegurate que eso sea un complemento y no la única medida para proteger tu sitio.

#2 No Usar un Certificado de Seguridad

Si una persona esta conectada a la misma red y el sitio donde estás ingresando tus credenciales no tiene un certificado de seguridad, otras personas podrían capturar esa información confidencial como los credenciales de acceso.

Los proveedores de hosting decentes tienen la opción de crear e implementar un certificado de Let’s Encrypt.

Si un proveedor de hosting no puede proveer algo tan básico como un certificado de Let’s Encrypt ¿Qué Garantías Hay?

#3 Usar Admin como Nombre de Usuario

Si usas Admin, muy probablemente usas una contraseña relativamente sencilla.

Asegúrate de remover el usuario Admin de tu sitio y usa un nombre de usuario más complejo.

#4 Usar Contraseñas Descifrables

Mi recomendación es usar contraseñas super robustas. Si tienes problemas para recordarlas.

Debes usar un gestor de contraseñas como LastPass o DashLane

Usa una contraseña que sea una combinación de mayúsculas, minúsculas, números y otros caracteres.

Usa esta pagina de Kaspersky para determinar cuan fácil o compleja es tu contraseña.

#5 No Usar un CortaFuegos

Como lo mencione en mi receta de seguridad, debes de usar un cortafuego, mi recomendación es usar un CDN gratuito que se encargue de detener los intentos antes que estos afecten el servidor.

Una opción gratuita es CloudFlare y una opción bastante económica es el uso de Bunny CDN

Este es un reporte que genera CloudFlare sobre el numero de ataques registrados en un mes.

#6 Usar un Pésimo Proveedor de Hosting

Uno de los grandes problemas con los proveedores de hosting compartido es que estos agregan cientos de sitios en un solo servidor sin tomar medidas de seguridad por lo que una vez que tu sitio es hackeado, es posible que los demás sitios sean vulnerados.

Estos proveedores de hosting en ocasiones no cuenta con respaldos de los sitios por lo que son el platillo predilecto para los hackers.

#7 Usar Plugins Nulos

Hay personas que prueban plugins nulos en sus sitios de producción por lo que con el tiempo terminan hackeados.

Los plugins nulos por lo general contienen malware o scripts que crean puertas traseras para que los hacker entren cuando quieran a tu sitio.

No hay plugin de seguridad que pueda ser efectivo si cometes errores tan básicos como instalar plugins de dudosa procedencia.

#8 Reciclar Contraseñas

Otros de los graves problemas de seguridad es reciclar las contraseñas por lo que una vez que hackean algunos de los servicios que usas, es posible que hackeen el resto.

Si deseas sabes si hay una de tus contraseñas filtradas en la web, puedes revisarlo por medio del sitio:

Have I been Pwned?

#9 No Actualizar WordPress, Plugins y Temas

Una de las razones por las cuales los sitios son hackeados con frecuencia es debido al uso de un plugin vulnerable.

En ocasiones los creadores del plugin y tema hacen una actualización para detener el potencial riesgo pero al no ser los plugins actualizados, ese parche de seguridad jamás llegará a tu sitio.

Evita un Hackeo en WordPress Contestando estas Preguntas

Estas son una serie de preguntas que debes hacerte.

#1 Hosting

Estas son las preguntas que debes hacerte sobre el hospedaje web que usas.

  1. ¿Cual es la reputación de tu hospedaje web en cuanto a temas de seguridad?
  2. ¿Qué medidas de seguridad implementa tu proveedor de hosting?
  3. ¿Provee tu hosting respaldos automáticos?
  4. ¿Está tu sitio en hospedaje web compartido?
  5. ¿Qué hará tu hosting ante la presencia de Malware en uno de tus sitios?
  6. ¿Puede tu hosting prevenir la contaminación cruzada entre sitios?
  7. ¿Tiene tu hospedaje web bloqueo por IP para la base de datos y la instalación de WordPress?
  8. ¿Que version de PHP usa tu sitio?
  9. ¿Cual es la versión de tu base de datos?

#2 Tema de WordPress

Estas son unas preguntas que debes hacerte sobre el tema de wordpress que usas.

  1. ¿Cuándo fue la última vez que fue tu tema actualizado?
  2. ¿Tienes un tema de WordPress nulo?
  3. ¿Tienes un tema de sin licencia comprado de una página que no es la página oficial del tema?
  4. ¿Tu tema de WordPress te lo pasó un desconocido?
  5. ¿Tienes temas de dudosa procedencia en una Ecommerce?
  6. ¿El diseñador de tu sitio uso temas nulos o de dudosa procedencia en tu sitio?
  7. ¿Tienes temas sin usar en tu sitio de WordPress?
  8. ¿Están todos los temas de tu sitio actualizados?

#3 Plugins

Estas son algunas preguntas sobre los plugins de tu sitio

  1. ¿Cuantos plugins tienes en tu sitio?
  2. ¿Son todos los plugins que tienes en WordPress indispensables?
  3. ¿Tienes plugins nulos?
  4. ¿Tienes plugins de dudosa procedencia?
  5. ¿Compraste tu plugin en páginas no ventas de plugin?
  6. ¿El diseñador de tu sitio uso plugins nulos o de dudosa procedencia en tu sitio?
  7. ¿Cómo te das cuenta de vulnerabilidades del dia cero en tus plugins?
  8. ¿Están todos los plugins de tus sitios actualizados?

#4 WordPress

Según Malcare, una de las compañías famosas en temas de seguridad de WordPress. 44% de los sitios hackeados estaban usando una versión desactualizada de WordPress.

Hay actualizaciones de WordPress que son actualizaciones de seguridad.

Estas son algunas preguntas generales sobre tu sitio

  1. ¿Usas la versión maś actualizada de WordPress?
  2. ¿Tienes un usuario difícil de descifrar?
  3. ¿Es tu contraseña robusto?
  4. ¿Usas un plugin de seguridad?
  5. ¿Estas usando el archivo XMLRPC.PHP?
  6. ¿Cómo detienes los ataques de fuerza bruta?
  7. ¿Usas un Corta Fuegos (Firewall o WAF)?
  8. ¿Descuidas la Seguridad de tu Sitio por usar un WAF?
  9. ¿Son los permisos de los archivos los sugeridos en temas de seguridad?
  10. ¿Pueden bots y hackers husmear en tu sitio libremente?
  11. ¿Tienes un plugin para detectar cambios en las modificación de archivos de WordPress?

#5 Tu Sistema Local

Tambien debes hacer un análisis de los dispositivos que administran tus sitios.

  1. ¿Usas un antivirus en tu computadora?
  2. ¿Tienes software pirata instalado en alguno de tus dispositivos?

Más sobre la Seguridad de WordPress

Estos son algunos artículos de seguridad de WordPress

  1. Remover Backdoors de tu Sitio WordPress
  2. Hacker con Acceso Remoto a tu Sitio
  3. Plugins y Temas GPL: ¿Puedo Usarlos?
  4. Analizar tu Sitio con WPScan
  5. Desactivar el Rest API de WordPress
  6. Desactivar el Editor de Temas y Plugins
  7. Esconder la Versión de WordPress: ¿Sirve de Algo?
  8. Cómo Proteger la Página de Acceso en WordPress
  9. Reglas de Firewall de CloudFlare
  10. Sucuri: Plugin de Seguridad para WordPress
JM-

Sobre Jose manuel

Mi nombre es José Manuel y soy coleccionista de pensamientos sobre todo lo que nace, crece, se reproduce y muere en linea.

Suscríbete al Boletín

Recibir notificaciones de las nuevas publicaciones por correo

Boletín semanal
TicoLibre.com

TicoLibre.com es mi coleccion de pensamientos sobre Anime, Cine, Series, Música y muchas otras cosas

Categorias
Anime
Cine
Series
Categorias
Libros
Pensamientos
Costa Rica
Contacto
Puedes contactarme por medio de los siguientes canales
Linktree