Nuevas funciones de Duplicator: limpieza de copias de seguridad, borrado automático y actualización de versiones con un solo clic
Joella Dunn
Joella Dunn
John Turner
John Turner
Cada día, los piratas informáticos lanzan miles de ataques contra sitios de WordPress en todo el mundo.
Su sitio podría ser el siguiente. No porque sea un objetivo específico, sino porque los robots automatizados rastrean constantemente Internet en busca de sitios web vulnerables.
Cuando encuentran uno, atacan sin dudarlo.
Un sitio web comprometido no es sólo un inconveniente. Significa pérdida de ingresos, reputación dañada e incontables horas dedicadas a la recuperación. Para los propietarios de pequeñas empresas, puede ser devastador.
¿La buena noticia? La mayoría de los ataques con éxito aprovechan vulnerabilidades conocidas que son sorprendentemente fáciles de solucionar. Con el enfoque adecuado, puede reforzar su sitio de WordPress y hacer que los hackers busquen objetivos más fáciles.
Le guiaré a través de estrategias probadas para proteger su sitio WordPress de las ciberamenazas. Sin jerga técnica ni procedimientos complicados, solo pasos prácticos que cualquier propietario de un sitio puede poner en práctica hoy mismo.
La seguridad de su sitio web empieza ahora
La mejor forma de proteger tu sitio web de los hackers es configurar copias de seguridad automáticas. Con un complemento de copia de seguridad como Duplicator, tus datos se guardarán constantemente en la nube. Asegúrate de establecer un punto de recuperación de desastres para poder recuperar todo tu sitio web, incluso si se corrompe.
También tendrás que realizar tareas de mantenimiento periódicas para reforzar tu seguridad. Las actualizaciones, los análisis de malware y las limpiezas de bases de datos suelen mantener a los hackers alejados de tu sitio web.
Antes de empezar a proteger su sitio web, tendrá que comprender las tácticas del enemigo. Los sitios web suelen ser pirateados debido a software obsoleto, contraseñas débiles, vulnerabilidades sin parches y malas prácticas de seguridad.
Cualquier sitio web puede ser vulnerable a un ciberataque. WordPress es el sistema de gestión de contenidos (CMS) más popular, lo que lo convierte en un objetivo habitual de actividades maliciosas.
Estas son las razones más comunes para que los hackers accedan a su sitio web:
Si no soluciona estas vulnerabilidades de seguridad, podría ser víctima de ataques de fuerza bruta, inyecciones SQL, ingeniería social, secuencias de comandos en sitios cruzados (XSS), ransomware y otros intentos de pirateo. Como resultado, podría tener problemas de seguridad como malware, código malicioso y fugas de datos que filtren información confidencial.
No hay forma de garantizar que su sitio web nunca será pirateado. Sin embargo, puedes abordar muchas vulnerabilidades y reducir significativamente el riesgo de que un ciberataque tenga éxito.
Utilizando buenas prácticas de seguridad, puede minimizar la posibilidad de una brecha y mejorar la seguridad general de su sitio web. Harás de tu sitio web un objetivo increíblemente difícil para los hackers.
Como propietario de un sitio web, querrá protegerlo de los piratas informáticos. Sin embargo, es posible que no sepa cómo hacerlo. Para evitar que se filtren sus datos confidenciales, hemos reunido algunos consejos útiles sobre seguridad.
Una de las mejores formas de proteger su sitio web de los piratas informáticos es realizar copias de seguridad periódicas. Esto implica guardar una copia funcional de tus archivos y base de datos de WordPress.
Si realiza copias de seguridad de su sitio web con frecuencia, podrá restaurar sus datos tras un ciberataque. No tendrás que preocuparte por eliminar el malware, ya que tu sitio volverá a estar como antes del hackeo.
Para empezar, te recomendamos que instales un plugin de copia de seguridad para WordPress. Una herramienta como Duplicator te permite crear fácilmente copias de seguridad de todo tu sitio y restaurarlas siempre que lo necesites.
Todo lo que tienes que hacer es crear una nueva copia de seguridad. Dale un nombre único y asegúrate de incluir todos tus archivos y tablas de bases de datos.
A continuación, puedes descargar la copia de seguridad. Guárdala en un lugar seguro para tener siempre a mano los archivos de copia de seguridad.
Si no quieres preocuparte por las copias de seguridad manuales, puedes configurar copias de seguridad automáticas. Al crear una nueva programación, te asegurarás de que se realice una copia de seguridad de tu sitio web cada hora, día, semana o mes.
Por si alguna vez te piratean, te conviene tener un plan de recuperación ante desastres. Antes de que ocurra un incidente, puedes establecer una copia de seguridad reciente como punto de recuperación ante desastres.
En el registro de copias de seguridad de Duplicator, haga clic en el icono azul de recuperación de desastres.
A continuación, establece la recuperación ante desastres.
Una vez hecho esto, puede recuperar una copia de seguridad de dos maneras diferentes. Una opción es copiar y guardar el enlace de recuperación de desastres. Al pegarlo en una ventana del navegador, se iniciará inmediatamente el asistente de recuperación.
También puedes descargar el lanzador de recuperación. Guarda este archivo HTML y ábrelo siempre que necesites recuperar tu sitio.
La recuperación de desastres puede ser una buena opción para resolver hackeos, especialmente si estás bloqueado en tu panel de WordPress. Solo tienes que pegar el enlace de recuperación o utilizar el lanzador de recuperación para recuperar el acceso inmediatamente.
Si todavía puedes iniciar sesión en WordPress, puedes restaurar tu sitio original con un solo clic. Ve a la página Copias de seguridad, busca una copia de seguridad limpia y pulsa Restaurar.
Al restaurar una copia de seguridad, eliminarás automáticamente cualquier actividad maliciosa que se haya producido después de crear la copia. No obstante, sigue leyendo esta guía para reforzar tu seguridad y evitar futuros intentos de pirateo.
Actualizar el software de su sitio web -incluidos temas, plugins y el núcleo de WordPress- es una parte importante de la seguridad del sitio web. Los hackers suelen aprovecharse de vulnerabilidades conocidas en software obsoleto.
Al mantener todo al día, elimina posibles puntos de entrada de ciberataques. Las actualizaciones de software suelen incluir parches de seguridad, que añadirán protección adicional a tu sitio web.
Puedes gestionar tus actualizaciones de software en la página Actualizaciones de tu panel de control de WordPress. Verás las nuevas versiones del núcleo, los plugins y los temas de WordPress.
Además de mantener el software actualizado, es importante eliminar los plugins y temas que no utilices de forma activa.
Las vulnerabilidades en plugins obsoletos pueden ser explotadas para comprometer la seguridad de su sitio web. Esto podría dar lugar a filtraciones de datos, accesos no autorizados e incluso distribución de malware.
Al eliminar los plugins que no se utilizan, se minimizan los posibles riesgos de seguridad y se crea una mejor defensa contra las amenazas de ciberseguridad.
Su primera línea de defensa contra los piratas informáticos es una contraseña segura. Puede que tengas la tentación de elegir una contraseña simple y corta porque es fácil de recordar, pero esto puede dejar tu sitio vulnerable.
WordPress facilita el uso de una contraseña de administrador segura. Al cambiar la contraseña, WordPress generará automáticamente una con una combinación única de letras, números y caracteres especiales.
Te recomendamos que utilices un gestor de contraseñas para almacenarlas de forma segura. Para asegurarte de que nadie más conoce tus credenciales de administrador, también deberías dar a los miembros de tu equipo sus propios roles y permisos de usuario.
Tenga en cuenta que también necesitará contraseñas seguras para el panel de control de su alojamiento, la cuenta FTP y la dirección de correo electrónico. De esta forma, los hackers no podrán entrar y explotar ninguna de tus cuentas.
WordPress solía asignar automáticamente "admin" como nombre de usuario por defecto. Afortunadamente, ahora te permite elegir un nombre de usuario personalizado.
Si su sitio existe desde hace tiempo, es posible que siga iniciando sesión con "admin" como nombre de usuario. Esto puede facilitar a los piratas informáticos la explotación de su sitio web, ya que "admin" será una de sus primeras suposiciones.
También es posible que tenga un nombre de usuario "admin" si ha utilizado la función de instalación con un solo clic de su proveedor de alojamiento web. En este caso, deberás cambiar tu nombre de usuario de WordPress para proteger tu sitio web.
Su proveedor de alojamiento web puede hacer o deshacer su sitio web. Si elige mal, es posible que no tenga suficientes medidas de seguridad para proteger su sitio web de los hackers.
Estas son algunas de las características de seguridad esenciales que debe proporcionar su plan de alojamiento de WordPress:
Si acaba de abrir un pequeño blog, es posible que haya elegido un plan de alojamiento compartido por su asequibilidad. Sin embargo, compartirá recursos con muchos otros sitios web. Esto significa que si otro sitio de tu servidor es pirateado, tus datos podrían estar en peligro.
Para aumentar tu seguridad, te recomendamos que cambies de proveedor de alojamiento web. Opciones como Bluehost, SiteGround y Hostinger cuentan con funciones de seguridad de alta calidad para evitar hackeos y otros ciberataques.
También puedes considerar un proveedor de alojamiento gestionado como WP Engine. Esto a menudo proporciona una plataforma más segura con cortafuegos, certificados SSL, copias de seguridad automáticas y actualizaciones automáticas.
Además de un buen alojamiento web, necesitarás instalar un plugin de seguridad para WordPress. Estas herramientas de seguridad de sitios web pueden detectar y frustrar actividades maliciosas, proporcionar protección de firewall e incluso realizar análisis de malware.
Uno de los mejores plugins de seguridad disponibles en la actualidad es Sucuri Security. Hay una versión gratuita que ofrece escaneado de malware, monitorización de listas de bloqueo, refuerzo de seguridad y acciones para después de que tu sitio sea hackeado.
Después de instalar Sucuri, todo lo que necesitas hacer es abrir la configuración y encontrar la opción de endurecimiento. Aquí, puedes ir a través de la lista de características de seguridad y presionar Apply Hardening al lado de cada una.
Esto protegerá su sitio web contra las técnicas de piratería más comunes. Sin embargo, ten en cuenta que tendrás que actualizar a la versión premium para acceder al cortafuegos de aplicaciones web (WAF).
Un cortafuegos de aplicaciones web (WAF) es una potente herramienta de seguridad diseñada para proteger los sitios web de una amplia gama de ciberamenazas y ataques. Un cortafuegos filtra el tráfico entrante y saliente, bloqueando solicitudes maliciosas, intentos de acceso no autorizados y actividades sospechosas.
Como mencionamos anteriormente, Sucuri es un plugin de seguridad integral que viene con un firewall. Esta característica de seguridad es tan útil que ayudó a WPBeginner a bloquear 450.000 hacks en solo 3 meses.
Aumente hoy mismo la seguridad de su WordPress con el cortafuegos de Sucuri.
SSL (Secure Sockets Layer) es un tipo de cifrado que asegura la transferencia de datos entre su sitio web y un navegador. Garantiza que los datos intercambiados entre estos dos puntos permanezcan confidenciales y protegidos de partes no autorizadas, como hackers.
Para un sitio web WordPress, el cifrado SSL no es sólo un lujo; es una necesidad.
Esta medida de seguridad hace casi imposible que los piratas informáticos intercepten información confidencial como contraseñas, datos de tarjetas de crédito y datos personales. Es importante para los sitios web que gestionan registros de usuarios, credenciales de acceso o transacciones de comercio electrónico.
Una vez que active el cifrado SSL, su sitio web utilizará HTTPS en lugar de HTTP. También verá un candado junto a su dirección web, indicando a los visitantes que su sitio es seguro.
Los precios de los certificados SSL solían oscilar entre 80 y cientos de dólares al año. Sin embargo, una organización sin ánimo de lucro llamada Let's Encrypt empezó a ofrecer opciones gratuitas. Esto llevó a las empresas de alojamiento web a incluir certificados SSL en sus planes.
Si necesita empezar a utilizar SSL, compruebe si su host le ofrece uno gratis. Si no, puedes comprar uno en Domain.com.
Una vez que tengas instalado un plugin de seguridad, escaneará regularmente tu sitio web en busca de malware y te enviará una notificación si encuentra alguno. Sin embargo, es posible que notes una caída en el tráfico orgánico o en la clasificación SEO y quieras comprobar tú mismo si hay malware.
Tu plugin de seguridad normalmente te permitirá iniciar un nuevo escaneo de malware. También puedes utilizar un escáner de malware en línea.
Con una herramienta como el escáner de malware de Sucuri, puedes introducir la URL de tu sitio web. Entonces, te informará si ha detectado malware o si has sido incluido en la lista negra de los motores de búsqueda.
Esto le permite comprobar la seguridad de su WordPress de forma gratuita en cualquier momento. Si Sucuri detecta algún malware, puedes empezar a limpiar tu sitio o restaurar una copia de seguridad sin errores.
Otra cosa que puede hacer para proteger su sitio web de los hackers es limitar los intentos de inicio de sesión. Esta medida de seguridad evitará los ataques de fuerza bruta, una forma de pirateo en la que un bot adivina las contraseñas hasta que su sitio es violado.
Por defecto, WordPress permite un número ilimitado de intentos de inicio de sesión. Sin embargo, puedes establecer fácilmente un límite con el plugin Limit Login Attempts Reloaded. Esta herramienta gratuita bloqueará cualquier dirección IP que intente iniciar sesión en tu sitio web demasiadas veces.
La autenticación de dos factores (2FA) añade una capa adicional de seguridad a los inicios de sesión en WordPress. Los usuarios deben proporcionar un segundo dato, como un código enviado a su teléfono, además de su contraseña.
La forma más sencilla de configurar 2FA es instalar un plugin como WP 2FA. Puedes utilizarlo para habilitar la autenticación de dos factores para cada usuario que intente acceder a tu sitio WordPress.
La mayoría de los sitios web de WordPress utilizan una URL de inicio de sesión que termina con wp-admin o wp-login. Dado que WordPress es el CMS más popular, los hackers sabrán cómo ver tu página de inicio de sesión y empezar a intentar entrar en tu sitio.
Para añadir una capa extra de seguridad, puedes ocultar tu página de inicio de sesión de WordPress. Esto implica utilizar una URL de inicio de sesión personalizada en lugar de las opciones predeterminadas.
Con el plugin WPS Hide Login, podrás actualizar fácilmente tu URL de inicio de sesión. Hace que tu página wp-login.php sea inaccesible y redirige a tu URL de inicio de sesión personalizada en su lugar.
En el panel de control de WordPress, verás editores de código integrados para editar los archivos de tu tema y plugin. Si un hacker accede a tu área de administración, podría utilizar estos editores para dañar tu sitio web.
Para evitar que esto suceda, considere desactivar esta función. Todo lo que tienes que hacer es añadir este código a tu archivo wp-config.php:
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );Si ha instalado Sucuri, también puede desactivar la edición de archivos en la configuración de seguridad. Esto evitará que usuarios no autorizados editen los archivos de tu sitio.
Una forma en que los hackers podrían explotar su sitio web es añadiendo un archivo a un directorio y ejecutando su PHP. Dado que WordPress permite escribir en algunos directorios, los usuarios malintencionados podrían abusar de esta función.
Afortunadamente, puede desactivar la ejecución de archivos PHP para cualquier directorio que no lo necesite. Esto evita que cualquier archivo PHP se ejecute en estos directorios específicos.
Para ello, abra un editor de texto y añada este código:
<Files *.php>
deny from all
</Files>Guarde este archivo como.htaccess y súbalo a su carpeta uploads.
Para una guía completa paso a paso sobre este proceso, puede que te guste este post sobre cómo deshabilitar la ejecución de PHP en ciertos directorios de WordPress.
En este post, hemos enumerado muchos consejos para mantener su sitio a salvo de ciberataques. Si ya has repasado esta lista, aquí tienes algunas medidas adicionales que podrías tomar:
Puede hacer que su sitio web sea más seguro creando copias de seguridad periódicas, realizando actualizaciones, utilizando contraseñas seguras e instalando plugins de seguridad. Esto aumentará significativamente la seguridad de su sitio web.
Sí, un sitio web hackeado se puede recuperar. Asegúrese de instalar un plugin de copia de seguridad como Duplicator Pro y cree copias de seguridad rutinarias de su sitio. Después de establecer la copia de seguridad sin errores más reciente como punto de recuperación, pegue la URL del punto de recuperación en una ventana del navegador. A continuación, puede utilizar el asistente de recuperación de Duplicator para hacer retroceder su sitio.
Consejo: Si no estableciste un punto de recuperación antes de ser hackeado, ¡no te preocupes! Busca los archivos de copia de seguridad más recientes que hayas descargado en tu ordenador o guardado en la nube. A continuación, utiliza un cliente FTP o un gestor de archivos para volver a cargar estos archivos en tu sitio web.
Tu sitio web puede haber sido pirateado si ves cambios inusuales o no autorizados, como páginas nuevas, código desconocido, redireccionamientos inesperados o anuncios no deseados. También puedes recibir alertas de tu proveedor de alojamiento, plugin de seguridad o Google.
Puede comprobar la seguridad de su sitio web realizando un análisis con un plugin de seguridad de WordPress. Alternativamente, un escáner de malware de terceros puede ayudarte a identificar cualquier amenaza de ciberseguridad.
A estas alturas, ya sabrá cómo proteger su sitio web de los piratas informáticos.
Ya que estás aquí, puede que te gusten estos tutoriales adicionales sobre WordPress:
¿Está preparado para proteger su sitio web contra futuros intentos de pirateo? Descargue Duplicator Pro para guardar copias de seguridad periódicas y volver a crear su sitio web fácilmente siempre que lo necesite.
Divulgación: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, es posible que ganemos una comisión. Sólo recomendamos productos que creemos que aportarán valor a nuestros lectores.
