Cómo mejorar la seguridad en WordPress

WordPress es el sistema de gestión de contenidos (CMS) más popular, utilizado para todo tipo de sitios, desde blogs personales hasta tiendas de comercio electrónico.

Por desgracia, su popularidad también atrae a los hackers para explotar las vulnerabilidades de la plataforma. Sucuri confirmó esta afirmación con un estudio. El 94% de los más de 60.000 sitios web de WordPress estudiados en 2019 experimentaron problemas de seguridad.

Antes de que corras a buscar otro CMS, ten en cuenta que esto no significa que WordPress tenga un sistema de seguridad deficiente. En su mayoría, las brechas de seguridad de WordPress ocurren debido a la falta de conocimiento sobre seguridad de los usuarios.

Por eso, entender e implementar múltiples medidas de seguridad es esencial para mantener tu sitio web a salvo de los distintos ataques. Para ayudarte en este proceso, en este artículo se enumeran las mejores prácticas y consejos para hacer que tu sitio de WordPress sea seguro.

¿Por qué es importante la seguridad en WordPress?

Las consecuencias de ser hackeado no son nada agradables. Un sitio web vulnerado puede sufrir importantes pérdidas de datos, recursos y credibilidad. Además, si tu sitio web gestiona información de clientes, el incidente puede poner en peligro sus datos personales e información de facturación.

Se prevé que para 2025 el coste de los daños causados por los delitos informáticos puede alcanzar los 10,5 billones de dólares al año. Sin duda, no querrás formar parte de esa estadística.

Según la base de datos de vulnerabilidades de WPScan, estos son algunos de los tipos más comunes de vulnerabilidades de seguridad de WordPress:

• Falsificación de solicitudes en sitios cruzados (CSRF): obliga al usuario a ejecutar acciones no deseadas en una aplicación web de confianza.
• Ataque de denegación de servicio distribuido (DDoS): incapacita los servicios en línea llenándolos de conexiones no deseadas, lo que hace que un sitio sea inaccesible.
• Bypass de autenticación: permite a los hackers acceder a los recursos de tu sitio web sin tener que verificar su autenticidad.
• Inyección SQL (SQLi): obliga al sistema a ejecutar consultas SQL maliciosas y manipula los datos de la base de datos.
• Cross-site scripting (XSS): inyecta código malicioso que convierte el sitio en un transportador de malware.
• Inclusión de archivos locales (LFI): obliga al sitio a procesar archivos maliciosos colocados en el servidor.

Cómo mejorar la seguridad en WordPress

Mejorar la seguridad de WordPress no siempre requiere conocimientos técnicos avanzados e inversiones de alto riesgo. Hay pasos sencillos que cualquiera puede hacer, como actualizar el software de WordPress y eliminar los temas que no se utilizan, que ayudan a reforzar la seguridad de un sitio.

Dicho esto, implementar una o dos medidas de seguridad de WordPress no será suficiente para que tu sitio web sea completamente seguro. Por ello, veamos los siguientes consejos para mejorar la seguridad de tu WordPress.

1. Mantener tu WordPress actualizado

Este el primer y más importante consejo. Si quieres tener un sitio web limpio y libre de malware, es imprescindible mantener WordPress actualizado. Aunque puede parecer un consejo elemental, solo el 22% de todas las instalaciones de WordPress ejecutan la última versión.

WordPress implementó la característica de actualización automática en la versión 3.7, sin embargo, solo funciona para actualizaciones de seguridad menores. Por lo tanto, las actualizaciones principales deben hacerse manualmente.

2. Usar credenciales de inicio de sesión seguras

¿Estás usando admin como tu nombre de usuario de administrador de WordPress? Si tu respuesta es afirmativa, estás facilitando las cosas para que los hackers intenten irrumpir en tu escritorio. Se recomienda bastante cambiar el nombre de usuario de admin a otra cosa o crea una nueva cuenta de administrador con un nombre de usuario diferente y elimina la anterior. Sigue estos pasos si prefieres la segunda manera:

1. Accede al escritorio de WordPress.
2. Navega a la sección de Usuarios y presiona Añadir nuevo.
3. Crea un nuevo usuario y asígnale la función de administrador.
4. Vuelve a iniciar sesión en WordPress con tu nuevo nombre de usuario.
5. Dirígete otra vez a la sección Usuarios y elimina el usuario “admin”.

Una buena contraseña juega un papel importante en lo que respecta a la seguridad WordPress. Es mucho más difícil realizar un ataque de fuerza bruta a una contraseña que contiene números, letras mayúsculas y minúsculas y caracteres especiales. Herramientas como LastPass y 1Password pueden ayudarte a crear y administrar contraseñas complejas. Además, si alguna vez necesitas iniciar sesión en el panel de control de WordPress mientras estás conectado a una red no segura (por ejemplo, en cafeterías, bibliotecas públicas, etc.), no olvides usar una VPN segura que proteja tu información de registro.

3. Habilitar la autenticación de 2 pasos

La verificación en dos pasos le agrega un nivel adicional de seguridad a tu página de inicio de sesión. Como su nombre lo sugiere, agrega otro paso que tienes que completar para iniciar sesión. Lo más probable es que ya lo estés utilizando para acceder al correo electrónico, al banco en línea o a cualquier otra cuenta que contenga información confidencial. ¿Por qué no usarlo en WordPress?

Aunque puede parecer complicado, es muy fácil habilitar la verificación de 2 pasos en el blog de WordPress. Todo lo que necesitas es instalar la aplicación de autenticación de 2 factores y configurar tu WordPress.

4. Habilitar la función de bloqueo

Habilitar el bloqueo de URL protege el acceso a tu página de login de direcciones IP no autorizadas y ataques. Para ello, necesitas un servicio de firewall de aplicaciones web (WAF) como Cloudflare o Sucuri.

Con Cloudflare, es posible configurar una regla de bloqueo de zona. Esta regla especifica las URLs que quieres bloquear y el rango de IPs que pueden acceder a estas URLs. Cualquier persona fuera del rango de IP especificado no podrá acceder a ellas.

Sucuri tiene una característica similar llamada lista negra de rutas de URL. Básicamente, puedes añadir la URL de la página de inicio de sesión a la lista negra para que nadie pueda acceder a ella. Luego, incluyes en la lista blanca las direcciones IP autorizadas para acceder a la página de login.

5. Deshabilitar los informes de errores de PHP

Los informes de errores de PHP pueden ser útiles si estás desarrollando tu sitio web y quieres asegurarte de que todo funcione correctamente. Sin embargo, mostrarle los errores a todo el mundo es una grave falla de seguridad en WordPress.

Debes arreglar esto lo antes posible. No tengas miedo, no tienes que ser un programador para deshabilitar los informes de errores de PHP para WordPress. Muchos proveedores de hosting tienen la opción de desactivar los informes de errores dentro del panel de control. Si no hay ninguno, simplemente agrega las siguientes líneas a tu archivo wp-config.php. Puedes usar el cliente FTP o el Administrador de archivos para editar el archivo wp-config.php.

error_reporting(0);
@ini_set(‘display_errors’, 0);

Eso es todo. El informe de errores ahora está desactivado.

6. Usar temas de WordPress de confianza

Los temas de WordPress anulados son versiones no autorizadas de los temas premium originales. En la mayoría de los casos, estos temas se venden a un precio inferior para atraer a los usuarios. Sin embargo, suelen tener un montón de fallas de seguridad.

A menudo, los proveedores de temas anulados suelen ser hackers que modifican el tema premium original e insertan código malicioso, como malware y enlaces de spam. Además, estos temas pueden contener puertas traseras para otros exploits que pongan en peligro tu sitio de WordPress.

Dado que los temas anulados se distribuyen de forma ilegal, sus usuarios no reciben ningún tipo de soporte por parte de los desarrolladores. Por lo que, si causan algún problema en el sitio, tendrás que ingeniártelas para solucionarlo y asegurar tu sitio de WordPress por tu cuenta.

Para evitarlo, te recomendamos que elijas un tema de WordPress de su directorio oficial o de desarrolladores de confianza. Busca opciones en mercados de temas oficiales como ThemeForest si quieres comprar un tema premium.

7. Escanear WordPress para detectar malware

Los hackers a menudo usan “vacíos” o loopholes en temas o plugins para infectar WordPress con malware. Por lo tanto, es crucial escanear tu blog con frecuencia. Hay muchos plugins bien codificados para este propósito pero WordFence se destaca entre la multitud. Ofrece opciones de escaneo manuales y automáticas junto con numerosas configuraciones diferentes. Incluso puede restaurar archivos modificados/infectados con solo un par de clics. Es gratis y de código abierto. Estos factores deberían ser suficientes para que instales este plugin ahora mismo.

Otros plugins de seguridad populares de WordPress:

• BulletProof Security: a diferencia de WordFence, que hemos descrito anteriormente, BulletProof no escaneará tus archivos, pero te proporcionará un firewall, seguridad de base de datos y más. Una de las mejores cosas es que se puede configurar e instalar con solo unos pocos clics.
• Sucuri Security: este plugin te protegerá de los ataques DOS, mantendrá una lista negra, escaneará tu sitio web en busca de malware y administrará tu firewall. Si detecta algo, te lo notificará por correo electrónico. Google, Norton, McAfee: todos estos motores de listas negras se incluyen en este plugin.

No dudes en probarlos todos. Puedes encontrar una guía completa sobre cómo instalar plugins de WordPress aquí.

8. Migrar el sitio web de WordPress a un hosting más seguro

Puede sonar como un consejo extraño, pero las estadísticas muestran que más del 40% de los sitios web de WordPress fueron hackeados debido a vacíos de seguridad en las cuentas de hosting. Este número por sí mismo debería obligarte a reconsiderar tu elección de hosting actual y migrar WordPress a un hosting más seguro. Algunos factores clave a tener en cuenta al buscar un nuevo hosting:

• Si se trata de hosting compartido, asegúrate de que tu cuenta esté aislada de otros usuarios y no haya riesgo de que un sitio web infecte a todos los demás en el servidor.
• Tiene la función de copias de seguridad automáticas.
• Debe tener una herramienta de escaneo de virus y de firewall por parte del servidor.

9. Instalar un certificado SSL

Secure Sockets Layer (SSL) es un protocolo de transferencia de datos que encripta los datos intercambiados entre el sitio web y los usuarios, lo que hace que sea mucho más difícil para los atacantes robar información importante.

Además, los certificados SSL aumentan la optimización del sitio web para los motores de búsqueda (SEO), lo que te ayuda a ganar visitantes y a aumentar el tráfico del sitio web.

Los sitios web con un certificado SSL instalado utilizarán HTTPS en lugar de HTTP, por lo que es fácil identificarlos.

Hostinger incluye un certificado SSL gratuito de Let’s Encrypt en todos los planes de alojamiento web. Además, también ofrecemos la opción de actualizar a un certificado Comodo PositiveSSL.

Una vez que tengas un certificado SSL instalado en tu cuenta de hosting, tienes que activarlo en tu sitio web de WordPress.

Plugins como Really Simple SSL o SSL Insecure Content Fixer se encargan de los aspectos técnicos y de la activación del SSL en unos pocos clics. La versión premium de Really Simple SSL también tiene una opción para activar headers HSTS (HTTP Strict Transport Security) que fuerzan el uso de HTTPS cuando se accede al sitio.

Una vez hecho esto, el último paso es cambiar la URL de tu sitio de HTTP a HTTPS. Para eso, ve a Ajustes -> Generales y busca el campo Dirección del sitio (URL) para cambiar su URL.

10. Hacer copias de seguridad con la mayor frecuencia posible

Incluso los sitios web más grandes son hackeados todos los días a pesar del hecho de que sus propietarios gastan miles para reforzar la seguridad de WordPress.

Aún si estás siguiendo las mejores prácticas y cumples con otros consejos de este artículo, sigue siendo crucial hacer una copia de seguridad de tu sitio web de WordPress con regularidad.

Hay bastantes formas de crear copias de seguridad. Por ejemplo, puedes descargar manualmente archivos de WordPress y exportar la base de datos o usar la herramienta de copias de seguridad de tu proveedor de hosting. Otra forma es usar plugins de WordPress. Los plugins de copia de seguridad de WordPress más populares son:

• VaultPress
• BackUpWordPress
• BackupGuard

Incluso puedes automatizar el proceso de copias de seguridad y almacenar copias de seguridad de WordPress en Dropbox.

11. Desactivar la edición de archivos

Como sabrás, WordPress tiene un editor de archivos incorporado que permite editar archivos PHP. Si bien esta característica es muy útil, también puede hacer mucho daño. Si el atacante obtiene acceso a tu panel de administrador, lo primero que buscará es el Editor de archivos. Algunos usuarios de WordPress prefieren deshabilitar completamente esta función. Se puede desactivar editando el archivo wp-config.php e incluyendo la siguiente línea de código:

define( 'DISALLOW_FILE_EDIT', true );

Eso es todo lo que tienes que hacer para deshabilitar la edición de archivos en WordPress.

12. Eliminar temas y plugins no utilizados

Haz una limpieza de tu sitio de WordPress y elimina todos los plugins y temas no utilizados. Los hackers suelen buscar temas y plugins deshabilitados y desactualizados (incluso los plugins oficiales de WordPress) y utilizarlos para obtener acceso a tu escritorio o cargar archivos maliciosos en tu servidor. Al eliminar plugins y temas que dejaste de utilizar (y probablemente olvidaste actualizar) hace mucho tiempo, reduces el riesgo y haces que el sitio de WordPress sea un poco más seguro.

13. Usar .htaccess para mayor seguridad

Se requiere un archivo .htaccess para que los enlaces de WordPress funcionen correctamente. Sin las reglas correctas en el archivo .htaccess, obtendrías muchos errores 404.

No muchos usuarios saben que .htaccess se puede usar para mejorar la seguridad de WordPress. Por ejemplo, con .htaccess puedes bloquear el acceso o deshabilitar la ejecución de PHP en carpetas específicas. Los ejemplos a continuación muestran cómo se puede usar .htaccess para reforzar la seguridad de WordPress.

No permitir el acceso al área de administrador de WordPress

El siguiente código permitirá el acceso al área de administrador de WordPress solo desde direcciones IP específicas.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>

Ten en cuenta que debes cambiar XX.XX.XX.XXX por tu dirección IP. Puedes usar este sitio web para verificar tu IP actual. Si usas más de una conexión para administrar tu sitio de WordPress, asegúrate de incluir también todas las otras direcciones IP (no dudes en agregar todas las líneas de permiso que necesites). No se recomienda utilizar este código si tienes una dirección IP dinámica.

Deshabilitar la ejecución de PHP en carpetas específicas

A los atacantes les gusta cargar scripts de puerta trasera a la carpeta de carga de WordPress. De manera predeterminada, esta carpeta se usa para cargar solo archivos multimedia. Por lo tanto, no debería contener ningún archivo PHP. Puedes desactivar fácilmente la ejecución de PHP creando un nuevo archivo .htaccess en /wp-content/uploads/ con estas reglas:

<Files *.php>
deny from all
</Files>

Proteger el archivo wp-config.php

El archivo wp-config.php contiene la configuración del núcleo de WordPress y los detalles de la base de datos MySQL. Por lo tanto, es el archivo de WordPress más importante. Es por eso que es el objetivo principal de los hackers de WordPress. Sin embargo, puedes proteger fácilmente este archivo utilizando las reglas .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

14. Cambiar el prefijo predeterminado de la base de datos de WordPress

La base de datos de WordPress guarda y almacena toda la información crucial requerida para que tu sitio funcione. Como resultado, se convierte en un objetivo atractivo para hackers y spammers que ejecutan código automatizado para realizar inyecciones de SQL. Al instalar WordPress, la mayoría de las personas ni siquiera se molestan en cambiar el prefijo de base de datos predeterminado wp_. Según WordFence “1 de cada 5 casos de hackeo de WordPress ocurren debido a las inyecciones de SQL”. Como **wp** es la configuración predeterminada, los hackers intentarán atacar ese valor primero. En este paso, ofreceremos una breve descripción de cómo puedes proteger tu sitio de WordPress contra dichos ataques.

Cambiar el prefijo de tabla para un sitio de WordPress existente

Parte 1 – Cambiar el prefijo en wp-config.php

Usando el cliente FTP o el Administrador de archivos, encuentra tu wp-config.php y busca el valor $table_prefix.

Puede agregar números, letras o guiones bajos. Después de eso, guarda los cambios y continúa con el próximo paso. En este tutorial, usaremos wp_1secure1_ como el nuevo prefijo de tabla.

Mientras estés en tu archivo wp-config.php, busca también el nombre de tu base de datos, para que sepas qué base de datos necesitas editar. Busca la sección define('DB_NAME'

Parte 2 – Actualizar todas las tablas de la base de datos

Ahora, necesitarás actualizar todas las entradas en tu base de datos de WordPress. Esto se puede hacer mediante phpMyAdmin.

Encuentra la base de datos que identificaste en la parte 1 y acceda a ella.

Una instalación predeterminada de WordPress tiene 12 tablas y cada una tiene que ser actualizada. Sin embargo, se puede hacer más rápido utilizando la sección SQL de phpMyadmin.

Cambiar cada tabla manualmente tomaría una cantidad de tiempo excesiva, por lo tanto, utilizaremos consultas SQL para acelerar las cosas. Usa la siguiente sintaxis para actualizar todas las tablas en tu base de datos.

RENAME table `wp_commentmeta` TO `wp_1secure1_commentmeta`;
RENAME table `wp_comments` TO `wp_1secure1_comments`;
RENAME table `wp_links` TO `wp_1secure1_links`;
RENAME table `wp_options` TO `wp_1secure1_options`;
RENAME table `wp_postmeta` TO `wp_1secure1_postmeta`;
RENAME table `wp_posts` TO `wp_1secure1_posts`;
RENAME table `wp_terms` TO `wp_1secure1_terms`;
RENAME table `wp_termmeta` TO `wp_1secure1_termmeta`;
RENAME table `wp_term_relationships` TO `wp_1secure1_term_relationships`;
RENAME table `wp_term_taxonomy` TO `wp_1secure1_term_taxonomy`;
RENAME table `wp_usermeta` TO `wp_1secure1_usermeta`;
RENAME table `wp_users` TO `wp_1secure1_users`;

Algunos temas o plugins de WordPress pueden crear tablas adicionales en la base de datos. En caso de que tengas más de 12 tablas en tu base de datos MySQL, agrega el resto de ellas manualmente a la lista de consultas SQL y ejecútalas.

Parte 3 – Verificar las tablas options y usermeta

Dependiendo de la cantidad de plugins que tengas instalados, algunos valores en tu base de datos deberán actualizarse manualmente. Eso se puede hacer ejecutando consultas SQL separadas en las tablas options y usermeta.

Para la tabla de options, deberías usar:

SELECT * FROM `wp_1secure1_options` WHERE `option_name` LIKE '%wp_%'

Para la tabla usermeta deberías usar:

SELECT * FROM `wp_1secure1_usermeta` WHERE `meta_key` LIKE '%wp_%'

Cuando obtengas los resultados de la consulta SQL, simplemente actualiza todos los valores de wp_ con tu prefijo recién configurado y listo. En la tabla usermeta necesitarás editar el campo meta_key, mientras que en options, el valor de option_name deberá ser cambiado.

Asegurar nuevas instalaciones de WordPress

Si planeas instalar nuevos sitios de WordPress, no será necesario realizar este proceso nuevamente. Simplemente podrás cambiar tu prefijo de tabla de WordPress durante la instalación:

15. Limitar los intentos de inicio de sesión

WordPress permite a sus usuarios realizar un número ilimitado de intentos de inicio de sesión en el sitio. Sin embargo, esto es una oportunidad perfecta para los hackers de forzar la entrada usando varias combinaciones de contraseñas hasta que encuentren la correcta.

Por eso, poner un límite a los intentos fallidos de inicio de sesión es importante para prevenir este tipo de ataques en el sitio web. Limitar los intentos fallidos también puede ayudar a controlar cualquier actividad sospechosa que se produzca en tu sitio.

La mayoría de los usuarios sólo necesitan un único intento o unos pocos intentos fallidos, por lo que deberías sospechar de cualquier dirección IP dudosa que alcance el límite de intentos.

Una forma de limitar los intentos de inicio de sesión para aumentar la seguridad de WordPress es utilizando un plugin. Hay muchas opciones disponibles, incluyendo:

• Limit Login Attempts Reloaded: configura el número de intentos fallidos para direcciones IP específicas, añade usuarios a la lista blanca o los bloquea por completo, e informa a los usuarios sobre el tiempo de bloqueo restante.
• Loginizer: ofrece funciones de seguridad de inicio de sesión como la autenticación de dos factores, reCAPTCHA y preguntas con desafío para el inicio de sesión.
• Limit Attempts by BestWebSoft: bloquea automáticamente las direcciones IP que superan el límite de intentos de inicio de sesión y las añade a una lista de rechazo.

Uno de los riesgos de implementar esta medida de seguridad es que un usuario confiable sea bloqueado en la administración de WordPress. Sin embargo, no deberías preocuparte por ello, ya que hay muchas formas de recuperar las cuentas de WordPress bloqueadas.

Además, para proteger tu sitio web todavía más de los ataques, puedes cambiar la URL de la página de inicio de sesión.

Todos los sitios web de WordPress tienen la misma URL de inicio de sesión por defecto: tudominio.com/wp-admin. El uso de la URL de login por defecto hace que sea fácil para los hackers apuntar a tu página de inicio de sesión.

Los plugins como WPS Hide Login y Change wp-admin Login permiten configurar una URL de inicio de sesión personalizada. Si utilizas el plugin WPS Hide Login, ve a Ajustes -> WPS Hide Login en tu panel de control de WordPress y completa el campo URL de acceso con tu URL personalizada.

Conclusión

Los ciberataques pueden presentarse de diferentes formas, desde la inyección de malware hasta los ataques de denegación de servicio distribuidos (DDoS). Los sitios web de WordPress, en particular, son objetivos comunes para los hackers debido a la popularidad del CMS.

Por lo tanto, es esencial que los dueños de sitios web sepan cómo hacer que su sitio de WordPress sea seguro. Para resumir, aquí tienes los métodos que incluimos en nuestro tutorial para hacer que tu sitio web de WordPress sea más seguro:

1. Mantener el sitio actualizado.
2. Utilizar credenciales de acceso de administrador seguras.
3. Habilitar la autenticación en dos factores.
4. Habilitar la función de bloqueo.
5. Desactivar la función de informe de errores de PHP.
6. Utilizar un tema de WordPress de confianza.
7. Escanear regularmente tu sitio en busca de malware.
8. Migrar a un alojamiento web más seguro.
9. Instalar un certificado SSL.
10. Crear copias de seguridad con frecuencia.
11. Desactivar la función de edición de archivos.
12. Eliminar los temas y plugins que no se utilicen.
13. Utilizar .htaccess para desactivar la ejecución de PHP y proteger el archivo wp-config.php.
14. Cambiar el prefijo de la base de datos de WordPress por defecto.
15. Limitar el número de intentos fallidos de inicio de sesión.

Esperamos que este artículo te haya ayudado a entender la importancia de las medidas de seguridad de WordPress y cómo implementarlas.

No dudes en dejar un comentario si tienes alguna pregunta o consejo sobre la seguridad de WordPress. ¡Buena suerte!