Nuevas funciones de Duplicator: limpieza de copias de seguridad, borrado automático y actualización de versiones con un solo clic
Joella Dunn
Joella Dunn
John Turner
John Turner
¿Necesita mejorar la seguridad de su WordPress?
Si no proteges tu sitio WordPress, es vulnerable a los hackers. Podrían encontrar áreas débiles, cambiar su contenido, robar información de los usuarios o romper su sitio. Esto podría dañar seriamente tu negocio y tu reputación.
En esta entrada del blog, te daré una lista de comprobación completa de la seguridad de WordPress. Aprenderás las mejores prácticas de seguridad, para que tu sitio nunca sea hackeado.
Sí, WordPress es fundamentalmente seguro. Dicho esto, como cualquier otra plataforma online, no es inmune a los riesgos.
Con millones de sitios web en todo el mundo que confían en WordPress, puedes estar seguro de que la plataforma se toma la seguridad muy en serio. Lanzan actualizaciones periódicas para mantener el software seguro.
Pero como se trata de una plataforma de código abierto, cualquiera puede examinar el código fuente y encontrar vulnerabilidades que explotar.
Sin embargo, muchos hackers acceden a sitios WordPress por descuido del propietario del sitio. Si el software principal de WordPress está obsoleto o la contraseña es débil, el sitio puede resultar extremadamente vulnerable.
Esto nos dice que la seguridad de WordPress no es algo que deba tomarse a la ligera. WordPress tiene una base sólida, pero aún tendrás que realizar algunas tareas rutinarias de mantenimiento para reforzar tu seguridad.
Has estado trabajando sin descanso en tu blog o tienda de comercio electrónico. Todo va bien hasta que una mañana te levantas y ves que todo ha desaparecido.
Por eso es tan importante la seguridad en WordPress. Utilizando buenas medidas de seguridad, protegerá su sitio contra las amenazas. Esto reduce significativamente tus posibilidades de ser víctima de hackeos y violaciones de datos.
Además de mantener el contenido seguro, un sitio seguro también es más atractivo para los visitantes. Cuando los visitantes saben que están seguros, es más probable que se queden.
Además, los motores de búsqueda también tienden a favorecer los sitios seguros en las clasificaciones. Cuanto más asegure WordPress, más mejorará su SEO.
En definitiva, invertir en la seguridad de WordPress es como comprar una alarma para casa. Puede que te cueste un poco instalarla, pero al final merece la pena.
Como principiante, quizá piense: ¿por dónde empiezo?
Afortunadamente, ¡he creado una lista de comprobación de seguridad de WordPress para ti! Simplemente sigue cada paso y al final tendrás un sitio totalmente seguro.
Elegir un proveedor de alojamiento web es algo más que fijarse en el precio. Lo que necesitas es un host al que le apasione la seguridad.
Busque un alojamiento web que ofrezca lo último en protocolos de seguridad. Sus servidores deben estar mantenidos y actualizados. También es bueno que tenga un cortafuegos potente y ofrezca certificados SSL.
Por último, averigua si el proveedor ofrece copias de seguridad y restauraciones periódicas del sitio. Es de esperar que nunca necesite esta red de seguridad, pero es bueno tenerla, por si acaso.
Si actualmente tiene un plan de alojamiento compartido, puede que le interese cambiar a un alojamiento WordPress gestionado. Con un alojamiento compartido, compartirá recursos con otros sitios. Si alguien en su servidor tiene una brecha de seguridad, podría afectar a su sitio web también.
Sin embargo, los alojamientos compartidos de buena reputación como Bluehost, Hostinger y Siteground le protegerán de muchos problemas básicos de seguridad.
Una vez que hayas encontrado un host de WordPress que sea seguro, a continuación te explicamos cómo migrar tu sitio al nuevo servidor.
Cuando empiece a crear su sitio web, probablemente le entusiasmará la idea de escribir nuevas entradas en su blog o vender productos. Sin embargo, también tendrás que hacer copias de seguridad periódicas.
Las copias de seguridad son un seguro para sus contenidos digitales. Le permiten restaurar su sitio a su estado original si algo sale mal.
Duplicator es un plugin de copia de seguridad que facilita la creación de copias de tu sitio. Admite copias de seguridad automáticas y almacenamiento en la nube, por lo que nunca perderás datos.
A menudo es mejor almacenar las copias de seguridad en un servidor en la nube independiente para mayor seguridad. De este modo, las copias de seguridad no se perderán si se produce un problema en el servidor.
Con Duplicator, puedes hacer copias de seguridad de tu sitio en la nube. Solo tienes que conectar el servicio de almacenamiento en la nube que prefieras y seleccionarlo al crear una copia de seguridad.
Podrás personalizar qué datos se guardan en la copia de seguridad. Así, podrás hacer una copia de seguridad sin esfuerzo solo de la base de datos, la biblioteca multimedia u otros datos si lo necesitas.
Su sitio web se actualiza constantemente con nuevos contenidos, por lo que necesitará realizar copias de seguridad con regularidad. Afortunadamente, Duplicator te permite automatizar las copias de seguridad.
Configurando horarios, ¡nunca tendrá que preocuparse por las copias de seguridad manuales! Su sitio estará siempre a salvo de cualquier problema, ya que podrá volver atrás cuando se produzcan.
Junto con Duplicator, hay muchos otros plugins de copia de seguridad que puede utilizar. UpdraftPlus, Jetpack y BlogVault son algunas opciones populares.
Las actualizaciones de software desempeñan un papel crucial en la seguridad de WordPress. No solo añaden funciones adicionales, sino que también parchean posibles vulnerabilidades.
WordPress instalará automáticamente las actualizaciones menores. Pero, tendrás que instalar manualmente cualquier versión mayor.
Busca la página Actualizaciones y realiza las actualizaciones de tu software principal, plugins y temas.
Las actualizaciones de seguridad se producen constantemente, así que tendrás que estar pendiente de ellas. Para tu comodidad, también puedes automatizarlas.
Sin embargo, yo recomendaría probar las nuevas versiones de WordPress, plugins y temas en un sitio de ensayo en primer lugar. Así evitarás los conflictos de software que a veces se producen tras una mala actualización.
Limpiar tu sitio web puede darle un buen empujón de seguridad. Es una buena idea deshacerse de los temas y plugins de WordPress que no utilices de forma activa.
Esto se debe a que los hackers pueden utilizar plugins y temas obsoletos para acceder a su sitio web. Si eliminas el software inactivo, reforzarás la seguridad de WordPress.
¿Necesitas una regla general? Si no la has utilizado en los últimos seis meses, despídete. Es una forma sencilla de optimizar tu sitio WordPress y mejorar su seguridad.
Una buena contraseña debe ser única, impredecible y conocida sólo por ti. Te recomendamos que utilices una combinación de letras mayúsculas y minúsculas, números y símbolos.
Recuerda, "Contraseña123" es un error de novato. Es como dejar la llave de tu casa debajo del felpudo: prácticamente invitas a las ciberamenazas potenciales a que te visiten.
En los ataques de fuerza bruta, los hackers o bots intentarán adivinar tu contraseña. Probarán opciones populares hasta que consigan entrar. Por eso, cuanto más compleja sea tu contraseña, mejor.
Aparte de eso, evita utilizar cualquier información identificable relacionada contigo. No uses tu nombre, tu cumpleaños ni el nombre de tu mascota (por muy adorable que sea).
Intenta no utilizar la misma contraseña para todos tus sitios y usuarios. Igual que no usarías la misma llave para tu casa, tu coche y tu oficina, mantén tus claves digitales variadas para evitar una brecha de seguridad.
Por último, considera la posibilidad de utilizar un gestor de contraseñas como LastPass para almacenar tus contraseñas de forma segura. Puede generar automáticamente opciones seguras y simplificar el proceso de inicio de sesión.
Cuando se trata de la seguridad de WordPress, la actualización de su acceso de administrador es una necesidad. Este paso hace que tu sitio sea menos vulnerable a intrusiones o hackeos no deseados.
En primer lugar, limita el número de usuarios con rol de "administrador". Tener varios usuarios administradores puede ser un riesgo para la seguridad. Asegúrate de tener solo unos pocos administradores de confianza.
A continuación, compruebe periódicamente su lista de usuarios y elimine las cuentas que ya no utilice. Así se reduce el riesgo de que los piratas informáticos se aprovechen de cuentas inactivas.
Por último, asigne los menores privilegios necesarios para un rol de usuario. No todo el mundo necesita acceso de administrador.
Un usuario debe tener suficientes derechos para hacer su trabajo, pero no más. Así se minimiza la posibilidad de daños si esa cuenta es pirateada.
Si no está seguro de qué usuarios deberían tener determinados accesos, lea esta guía sobre roles y permisos de usuario en WordPress.
Todos los días, utiliza la página de inicio de sesión para iniciar sesión en su sitio de WordPress. Todos los sitios de WordPress tienen páginas de inicio de sesión que terminan con wp-admin o wp-login. Por lo tanto, usuarios malintencionados podrían acceder a la tuya y abusar de ella.
Ocultar la página de inicio de sesión de WordPress puede proteger su sitio de intentos de pirateo. Cuando los hackers no pueden encontrar la página de inicio de sesión, no pueden intentar ataques de fuerza bruta para abrir su panel de administración.
Algunos plugins pueden ayudarte a conseguirlo fácilmente, como WPS Hide Login. Simplemente puedes personalizar tu URL de inicio de sesión para que solo tú sepas dónde está.
Cuando tu sitio tiene muchos usuarios, uno puede ser hackeado o compartir las credenciales de acceso con la persona equivocada. Si la cuenta de usuario tiene acceso de administrador, tus temas, plugins o configuraciones podrían ser alterados.
Para identificar la brecha de seguridad, puedes monitorizar la actividad de los usuarios. Identificarás qué usuario realizó el cambio no deseado y lo eliminarás rápidamente de tu sitio.
Estos son algunos plugins que pueden ayudarle a realizar un seguimiento de sus usuarios de WordPress:
Estas herramientas pueden ser especialmente útiles si gestionas un multisitio de WordPress. Es posible que tengas un montón de propietarios de sitios web, autores, editores y otros usuarios diferentes. Es importante saber exactamente qué usuario causó una vulnerabilidad.
Los plugins de seguridad hacen exactamente lo que usted espera: añadir seguridad adicional a su sitio. Están diseñados para identificar y solucionar posibles vulnerabilidades. Por ejemplo, ofrecen análisis de seguridad periódicos, protección de cortafuegos y filtrado de spam.
Uno de los mejores plugins de seguridad para WordPress es Sucuri Security. Esta herramienta ofrece escaneado remoto de malware, notificaciones de seguridad y soluciones post-hack.
Usando Sucuri, puedes reforzar fácilmente tu seguridad. En los ajustes de endurecimiento, puedes habilitar un cortafuegos, deshabilitar editores de plugins y temas, ocultar tu versión de WordPress y mucho más.
Se trata de una forma sencilla de mejorar la seguridad de WordPress. Además, ¡hay una versión gratuita en WordPress.org!
Un cortafuegos de aplicaciones web (WAF) es una herramienta que supervisa y filtra el tráfico entrante a su sitio web. Ayuda a proteger tu sitio WordPress de amenazas como la inyección SQL y el cross-site scripting (XSS).
Un cortafuegos puede disuadir de muchas ciberamenazas comunes. Actúa como una barrera protectora entre su sitio y todo el tráfico entrante, bloqueando las solicitudes maliciosas.
He aquí los distintos tipos de cortafuegos:
Sucuri ofrece la forma más fácil de configurar un cortafuegos en tu sitio web WordPress. Es una herramienta tan eficaz que ayudó a WPBeginner a bloquear 450.000 ciberataques en solo 3 meses.
Con Sucuri, evitará el malware, los ataques DDoS, los ataques de fuerza bruta y otros problemas de seguridad.
Escanear regularmente su sitio web en busca de malware es una parte crucial del mantenimiento de la seguridad de WordPress. Plugins populares como Wordfence y Sucuri pueden ayudarte con esta tarea.
Estas herramientas de seguridad están diseñadas específicamente para encontrar y eliminar cualquier amenaza potencial en su sitio web. Supervisan activamente su sitio web, alertándole rápidamente de cualquier actividad sospechosa, y ofrecen soluciones para su eliminación.
Sucuri también tiene un comprobador de malware gratuito. Introduciendo la URL de tu sitio web, descubrirás si hay algún virus.
SSL (Secure Sockets Layer) es un protocolo que cifra los datos entre el navegador de un usuario y su servidor. Dificulta a los ciberatacantes la interceptación y el robo de datos.
Cuando activas SSL, la URL de tu sitio utiliza HTTPS (Hypertext Transfer Protocol Secure). Esto se muestra con un icono de candado junto a su dominio en una ventana del navegador.
Para pasar a HTTPS, deberá adquirir e instalar un certificado SSL en su servidor. Muchos proveedores de alojamiento ofrecen un certificado SSL gratuito a través de Let's Encrypt. Después, asegúrate de que tu sitio WordPress utiliza HTTPS en sus ajustes y URL.
Si aún no dispone de un certificado SSL, aquí le explicamos cómo crearlo.
Usar "admin" como nombre de usuario es una práctica común, pero es uno de los graves errores de seguridad de WordPress que debes evitar. Da la mitad de tus datos de acceso a los atacantes.
Para ayudar a proteger su sitio web, considere la posibilidad de cambiar su nombre de usuario por algo menos predecible y más exclusivo.
Dirígete a tu panel de WordPress y crea un nuevo usuario con privilegios de administrador. Una vez hecho esto, cierra la sesión y vuelve a iniciarla como nuevo administrador.
A continuación, elimine el antiguo usuario "admin". Asegúrate de transferir todo el contenido del usuario eliminado al nuevo. Así de sencillo.
Los permisos de archivo regulan quién puede leer, escribir y ejecutar sus archivos. Unos permisos mal configurados podrían ofrecer una puerta abierta a los intrusos.
Éstos son los ajustes que recomendamos utilizar:
Ten en cuenta que arreglar los permisos de archivos y carpetas puede ser complejo sin experiencia técnica. Si no está seguro, siempre es mejor consultar con su proveedor de alojamiento o con un desarrollador experto.
El panel de control de WordPress permite a los administradores cambiar los archivos PHP de plugins y temas. Puede ser útil, pero también peligroso.
Si un hacker entra en tu panel de control, puede utilizar indebidamente el editor de archivos para introducir código dañino en tus archivos de WordPress. Para evitar esta amenaza de seguridad, debes desactivar la edición de archivos ajustando tu archivo wp-config.php.
Aunque suene técnico, en realidad es un proceso sencillo. Acceda a su instalación de WordPress a través de FTP y localice el archivo wp-config.php. Abre este archivo y añade el siguiente fragmento de código:
define( 'DISALLOW_FILE_EDIT', true );
Una vez guardado el archivo, los ajustes actualizados empiezan a funcionar de inmediato para proteger contra el código dañino.
Hazlo sólo si estás de acuerdo en cambiar los archivos de tu sitio web. Si no estás seguro, pide ayuda a un experto.
Deshabilitar la ejecución de archivos PHP en ciertos directorios de WordPress es un paso clave para proteger su sitio. Si no se hace, se abre una puerta de entrada a ataques maliciosos.
Los hackers pueden aprovecharse de esta laguna legal desplegando archivos php en la carpeta uploads u otros directorios. Estos archivos pueden ejecutar código malicioso, comprometiendo su sitio web.
Para solucionar este problema, puede desactivar la ejecución de archivos PHP en los directorios que no lo necesiten (como /wp-content/uploads/).
Abre un editor de texto y pega esta codificación:
<Files *.php>
deny from all
</Files>Nombre el archivo.htaccess y añádalo a la carpeta uploads.
Como he mencionado antes, los bots podrían intentar acceder a tu sitio intentando iniciar sesión una y otra vez. Para mantener su sitio seguro, establezca un límite en el número de intentos de inicio de sesión que pueden provenir de una sola dirección IP.
Limitando los intentos de inicio de sesión, reducirás las probabilidades de éxito de un ataque de fuerza bruta. Aunque WordPress permite inicios de sesión ilimitados, puedes establecer un límite con un plugin como Limit Login Attempts Reloaded.
Limitar Intentos de Inicio de Sesión Reloaded bloqueará una dirección IP después de un cierto número de intentos fallidos de inicio de sesión. Puedes crear un tiempo de bloqueo personalizado y recibir automáticamente correos electrónicos sobre nuevos bloqueos.
La autenticación de dos factores (2FA) añade una capa adicional de protección a tu sitio de WordPress. Además de tu contraseña, necesitas un código de verificación que suele enviarse a tu teléfono móvil.
Este sistema de doble verificación refuerza la seguridad, dificultando la intrusión de los piratas informáticos. Aunque descifren tu contraseña, seguirán necesitando el código de verificación.
WP 2FA es un plugin que configura rápidamente la autenticación de dos factores en tu sitio WordPress. Generará códigos de inicio de sesión para aplicaciones de autenticación como Google Authenticator o Authy. Los usuarios introducen un código junto con su contraseña.
Con esta función, los hackers o bots no pueden entrar en tu sitio aunque consigan tu contraseña. Hay un paso extra para los inicios de sesión, a los que no se puede acceder fácilmente.
WordPress asigna un prefijo a las tablas de su base de datos. El prefijo por defecto es wp_.
Si se deja por defecto, los hackers pueden adivinar fácilmente los nombres de las tablas. Por lo tanto, es una buena práctica cambiarlo.
Sin embargo, esto no es muy fácil para los principiantes. Y, podrías terminar rompiendo tu sitio. Si estás seguro de que quieres seguir adelante, sigue esta guía sobre cómo cambiar correctamente el prefijo de la base de datos de WordPress.
Otra forma de proteger tus páginas de inicio de sesión de WordPress es añadir protección por contraseña a tu directorio de administración. Cada vez que alguien intente acceder al área de administración, tendrá que introducir una contraseña antes de ver una página de inicio de sesión.
Para habilitar la protección de contraseña de administrador, puede utilizar la privacidad de directorio de cPanel. Esto le permitirá proteger su directorio de administración sin utilizar ningún código.
La exploración de directorios puede ser un punto débil en la seguridad de su sitio web. Si esta función está activada, cualquiera puede ver el contenido de los directorios de su sitio web. Los hackers podrían aprovecharse de esto si ven algún archivo con vulnerabilidades.
Para resolver este problema, añada una simple línea de código al final de su archivo.htaccess.
Options -Indexes
Esto impide que la gente busque en las carpetas de su sitio y protege los archivos ocultos.
Desde WordPress 3.5, XML-RPC es una API básica de WordPress. Permite a los desarrolladores utilizar aplicaciones remotas para actualizar WordPress.
XML-RPC le permite utilizar aplicaciones móviles para publicar entradas de blog. También hace posible conectar tu sitio con servicios de terceros como Zapier.
Esta función de WordPress permite que otras aplicaciones se comuniquen con tu sitio web. Pero también crea una brecha de seguridad que los hackers pueden aprovechar.
Si alguien intenta piratear su página de inicio de sesión, realiza varios intentos de inicio de sesión. Con XML-RPC, los hackers podrían utilizar una función system.multicall para adivinar miles de opciones de contraseña en solo unas 20-50 peticiones.
Por lo tanto, desactivar XML-RPC puede ayudarle a evitar posibles ciberamenazas.
Los inicios de sesión desatendidos pueden convertirse en una puerta de entrada para accesos no autorizados. Su sesión podría ser secuestrada. Esta es la razón por la que su sitio web bancario le cierra la sesión después de cierto tiempo.
Lo mejor es hacer que su sitio de WordPress auto-log out usuarios cuando están inactivos. Esto puede reducir en gran medida las posibilidades de cualquier problema.
Puedes usar plugins como Inactive Logout para automatizar este proceso. Con este plugin gratuito, establecerás periodos de inactividad.
También te permitirá personalizar los mensajes de cierre de sesión. Permitirá a los usuarios saber cuándo se les cierra la sesión por inactividad.
Las preguntas de seguridad añaden más seguridad a tu página de inicio de sesión. Elija una pregunta que sólo usted pueda responder y que sea difícil de adivinar para los demás. Esto refuerza la seguridad de tu inicio de sesión en WordPress, evitando accesos no deseados.
Con el plugin de autenticación de dos factores, puede crear preguntas de seguridad personalizadas.
La versión gratuita le permite guardar sus respuestas a dos preguntas seleccionadas. También puedes añadir tu propia pregunta y respuesta.
Después, cuando los usuarios inicien sesión, tendrán que responder a dos de las preguntas que has rellenado.
Por defecto, su código fuente mostrará la versión de WordPress de su sitio.
Exponer su última versión de WordPress puede parecer inofensivo, pero podría dejar su sitio en peligro. Los hackers utilizan esta información para explotar vulnerabilidades de seguridad conocidas en versiones específicas.
Hay muchas formas de ocultar la versión de WordPress, pero te recomendamos que utilices WPCode. Este plugin de fragmentos de código tiene un fragmento prefabricado para eliminar el número de versión de WordPress.
Todo lo que tienes que hacer es buscar el fragmento y utilizarlo.
A continuación, active el nuevo fragmento.
Aunque lo hagas todo bien, un hacker podría entrar en tu sitio web y causar daños. En caso de que esto ocurra alguna vez, tendrás que estar preparado.
Restaurar tu sitio WordPress después de un hackeo puede parecer desalentador. Pero es fácil con las herramientas adecuadas.
Duplicator Pro es un plugin de copia de seguridad de WordPress que restaura su sitio en cuestión de segundos. Después de un hackeo, busca la copia de seguridad más reciente sin errores y pulsa el botón Restaurar junto a ella.
Algunos hackers pueden bloquearte el acceso al panel de administración de WordPress. Para evitarlo, asegúrate de configurar la recuperación ante desastres de antemano.
Cree una copia de seguridad completa de su sitio. A continuación, haga clic en el icono azul de la casa que aparece junto a él.
Una vez que haya configurado la recuperación de desastres, Duplicator le proporcionará un enlace de recuperación y un archivo de inicio. Cualquiera de ellos restaurará inmediatamente tu sitio tras un ciberataque.
Personalmente, prefiero el enlace de recuperación. Basta con abrir una ventana del navegador y pegarlo. Esto abrirá el asistente de recuperación de Duplicator (sin necesidad de tu dashboard).
Para proteger tu sitio web, guarda el enlace de recuperación o el archivo de inicio en un lugar seguro. Tendrá que estar fuera del sitio, por si acaso tu sitio web se cae alguna vez.
Si quieres asegurarte de haber eliminado cualquier puerta trasera y otras vulnerabilidades de seguridad, lee este tutorial sobre cómo arreglar un sitio WordPress hackeado.
Para proteger tu sitio WordPress, utiliza un alojamiento web seguro, automatiza las copias de seguridad, mantén el software actualizado y controla el acceso de los usuarios. Para cuestiones de seguridad más complejas, no dudes en preguntar a un experto.
Un plugin de seguridad ayuda a proteger tu sitio de las amenazas más comunes. Se lo recomendamos a los principiantes porque podrá aumentar la seguridad sin tocar ningún código. Sucuri Security es una gran opción si acabas de empezar o quieres un enfoque sin intervención en la seguridad del sitio.
No hay un número exacto de sitios de WordPress que son hackeados cada año. Pero, Sucuri limpia regularmente sitios web y descubrió que el 96,2% de sus sitios explotados en 2022 funcionaban con WordPress. El 49,8% de ellos estaban desactualizados en el momento del ciberataque.
Sí, como cualquier otra plataforma, WordPress tiene sus vulnerabilidades. Estas pueden ir desde software obsoleto, contraseñas débiles o falta de actualizaciones de WordPress. Sin embargo, si se gestionan adecuadamente, estos riesgos pueden reducirse significativamente.
La seguridad de tu sitio WordPress puede estar en riesgo si no actualizas el sistema, los plugins y los temas con regularidad. Además, no establecer contraseñas seguras o autenticación de dos factores puede hacer que tu sitio sea vulnerable. Esto puede dar lugar a problemas graves como ataques SQL, secuencias de comandos entre sitios e inicios de sesión por fuerza bruta.
En este punto, su sitio está listo para combatir cualquier amenaza de seguridad.
Ya que estás aquí, creo que te gustarán estas guías adicionales sobre WordPress:
¿Quieres evitar la pérdida de datos por hackeos inesperados? ¡ Descarga Duplicator Pro para realizar copias de seguridad automáticas en la nube!
Divulgación: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, es posible que ganemos una comisión. Sólo recomendamos productos que creemos que aportarán valor a nuestros lectores.
