Guía de seguridad de WordPress 2022

guía de seguridad de WordPress

Seguridad de WordPress. Según las estadísticas en vivo de Internet, más de 100,000 sitios web son pirateados todos los días. Por eso es tan importante tomarse un tiempo y seguir las siguientes recomendaciones sobre cómo fortalecer mejor la seguridad de WordPress.

Invierta en hosting seguro de WordPress

Cuando se trata de la seguridad de WordPress, hay mucho más que simplemente bloquear su sitio, aunque a continuación le daremos las mejores recomendaciones sobre cómo hacerlo. También hay seguridad a nivel de servidor web de la que es responsable su proveedor de hosting. En SISBolivia nos tomamos la seguridad muy en serio y manejamos muchos de estos problemas para nuestros clientes.

Es muy importante que elija un proveedor de hosting en el que pueda confiar su negocio. O si está alojando WordPress en su propio VPS, entonces necesita tener el conocimiento técnico para hacer estas cosas usted mismo. Y para ser honesto, tratar de ser un administrador de sistemas para ahorrar $20 al mes es una mala idea.

El fortalecimiento del servidor es la clave para mantener un entorno de WordPress completamente seguro. Se necesitan varias capas de medidas de seguridad a nivel de hardware y software para garantizar que la infraestructura de Tecnología e Información que aloja los sitios de WordPress sea capaz de defenderse contra amenazas sofisticadas, tanto físicas como virtuales.

Por esta razón, los servidores que alojan WordPress deben actualizarse con el sistema operativo y el software (de seguridad) más recientes, así como someterse a pruebas y análisis exhaustivos en busca de vulnerabilidades y malware. Un buen ejemplo de esto es cuando SISBolivia tuvo que parchear NGINX para las vulnerabilidades de seguridad de OpenSSL que se descubrieron.

Los cortafuegos a nivel de servidor y los sistemas de detección de intrusos deben estar instalados antes de instalar WordPress en el servidor para mantenerlo bien protegido incluso durante las fases de instalación de WordPress y construcción del sitio web. Sin embargo, cada software instalado en la máquina destinado a proteger el contenido de WordPress debe ser compatible con los últimos sistemas de administración de bases de datos para mantener un rendimiento óptimo. El servidor también debe configurarse para usar redes seguras y protocolos de encriptación de transferencia de archivos (como SFTP en lugar de FTP) para ocultar contenido confidencial de intrusos malintencionados.

En SISBolivia la seguridad está integrada en nuestra arquitectura desde el principio y este es un método mucho más seguro que el que ofrecen otros competidores.

Use la última versión de PHP

PHP es la columna vertebral de su sitio de WordPress, por lo que es muy importante utilizar la última versión en su servidor. Cada versión principal de PHP generalmente es totalmente compatible durante dos años después de su lanzamiento. Durante ese tiempo, los errores y problemas de seguridad se corrigen y se parchean periódicamente. A partir de ahora, cualquier persona que ejecute la versión PHP 7.1 o inferior ya no tiene soporte de seguridad y está expuesta a vulnerabilidades de seguridad sin parches.

De acuerdo con la página oficial de estadísticas de WordPress, al momento de escribir esto, más del 57% de los usuarios de WordPress todavía usan PHP 5.6 o inferior. Si combina esto con PHP 7.0, la friolera de 77,5% de los usuarios actualmente usan versiones de PHP que ya no son compatibles.

A veces, las empresas y los desarrolladores necesitan tiempo para probar y garantizar la compatibilidad con su código, pero no tienen excusa para ejecutar algo sin soporte de seguridad. Sin mencionar el enorme impacto en el rendimiento que tiene la ejecución de versiones anteriores.

SISBolivia provee hosting de WordPress que usa cPanel, generalmente puede cambiar entre las versiones de PHP haciendo clic en «PHP Select» en el apartado de software.

Utilice nombres de usuario y contraseñas inteligentes

Una de las mejores, y obvias, formas de fortalecer la seguridad de WordPress es simplemente usar nombres de usuario y contraseñas inteligentes. Suena bastante fácil, ¿verdad? Bueno, eche un vistazo a la lista anual de SplashData de 2019 de las contraseñas más populares robadas a lo largo de ese año (ordenadas por orden de popularidad).

123456

password

123456789

12345678

12345

111111

1234567

sunshine

QWERTY

iloveyou

La contraseña más popular es «123456», seguida de una asombrosa «contraseña».

Parte de la mejor seguridad comienza desde lo básico. Google tiene excelentes recomendaciones sobre cómo elegir una contraseña segura. O puede usar una herramienta en línea como Strong Password Generator.

También es importante utilizar contraseñas diferentes para cada sitio web. La mejor manera de almacenarlos es localmente en una base de datos encriptada en su computadora. Una buena herramienta gratuita para esto es KeePass. Si no quiere seguir este camino, también hay administradores de contraseñas en línea como 1Password o LastPass. Aunque sus datos están alojados de forma segura en la nube, generalmente son más seguros ya que no está utilizando la misma contraseña en varios sitios. También evita que use notas adhesivas.

Y en lo que respecta a su instalación de WordPress, nunca debe usar el nombre de usuario predeterminado «admin». Cree un nombre de usuario único de WordPress para la cuenta de administrador y elimine el usuario «admin» si existe.

Use siempre la última versión de WordPress, Plugins y Temas

Otra forma muy importante de fortalecer la seguridad de WordPress es mantenerlo siempre actualizado. Esto incluye el núcleo, los plugins y los temas de WordPress (tanto los del repositorio de WordPress como los premium). Estos se actualizan por una razón, y muchas veces incluyen mejoras de seguridad y correcciones de errores.

Desafortunadamente, millones de empresas ejecutan versiones desactualizadas de software y plugins de WordPress, y aún creen que están en el camino correcto hacia el éxito empresarial. Citan razones para no actualizar, como «su sitio se romperá» o «las modificaciones principales desaparecerán» o «el plugin X no funcionará» o «simplemente no necesitan la nueva funcionalidad».

De hecho, los sitios web fallan principalmente debido a errores en versiones anteriores de WordPress. El equipo de WordPress y los desarrolladores expertos que entienden los riesgos involucrados nunca recomiendan modificaciones básicas. Y las actualizaciones de WordPress incluyen principalmente parches de seguridad imprescindibles junto con la funcionalidad adicional requerida para ejecutar los complementos más recientes.

¿Sabía que se ha informado que las vulnerabilidades de los plugins representan el 55,9% de los puntos de entrada conocidos para los piratas informáticos? Eso es lo que descubrió WordFence en un estudio en el que entrevistó a más de 1000 propietarios de sitios de WordPress que habían sido víctimas de ataques. Al actualizar sus plugins, puede asegurarse mejor de que no es una de estas víctimas.

También se recomienda que solo instale plugins confiables. Las categorías «destacado» y «popular» en el repositorio de WordPress pueden ser un buen lugar para comenzar. O descárguelo directamente desde el sitio web del desarrollador.

Puede usar una herramienta en línea como VirusTotal para escanear un complemento o los archivos de un tema para ver si detecta algún tipo de malware.

Usar HTTPS para conexiones cifradas – certificado SSL

Una de las formas más ignoradas de fortalecer la seguridad de WordPress es instalar un certificado SSL y ejecutar su sitio a través de HTTPS. HTTPS (Protocolo seguro de transferencia de hipertexto) es un mecanismo que permite que su navegador o aplicación web se conecte de forma segura con un sitio web. Una gran idea errónea es que, si no acepta tarjetas de crédito, no necesita SSL.

Bueno, expliquemos algunas razones por las que HTTPS es importante más allá del comercio electrónico. Queremos recordarle que SISBolivia ofrece certificados SSL https://www.sisbolivia.com/store/certificados-ssl

1. Seguridad

Por supuesto, la razón más importante para HTTPS es la seguridad adicional, y sí, esto se relaciona fuertemente con los sitios de comercio electrónico. Sin embargo, ¿qué tan importante es su información de inicio de sesión? Para aquellos que ejecutan sitios web de WordPress de varios autores, si están ejecutando a través de HTTP, cada vez que una persona inicia sesión, esa información se pasa al servidor en texto sin formato. HTTPS es absolutamente vital para mantener una conexión segura entre un sitio web y un navegador. De esta manera, puede evitar mejor que los piratas informáticos o un intermediario obtengan acceso a su sitio web.

Entonces, ya sea que tenga un blog, un sitio de noticias, una agencia, etc., todos pueden beneficiarse de HTTPS, ya que esto garantiza que nunca nada pase en texto sin formato.

2. SEO

Google ha dicho oficialmente que HTTPS es un factor de clasificación. Si bien es solo un factor de clasificación pequeño, la mayoría probablemente aprovecharía cualquier ventaja que pueda obtener en los SERP para vencer a sus competidores.

3. Confianza y Credibilidad

Según una encuesta, el 28,9 % de los visitantes busca la barra de direcciones verde en su navegador. Y al 77% de ellos les preocupa que sus datos sean interceptados o mal utilizados en línea. Al ver ese candado verde, los clientes tendrán más tranquilidad al instante sabiendo que sus datos están más seguros.

4. Datos de referencia

Mucha gente no se da cuenta de que los datos de referencia de HTTPS a HTTP están bloqueados en Google Analytics. Entonces, ¿qué sucede con los datos? Bueno, la mayor parte se agrupa con la sección de «tráfico directo». Si alguien va de HTTP a HTTPS, la referencia aún se pasa.

5. Advertencias de Chrome

A partir del 24 de julio de 2018, las versiones de Chrome 68 y superiores comenzaron a marcar todos los sitios que no son HTTPS como «No seguros». Independientemente de que recopilen datos o no. ¡Es por eso que HTTPS es más importante que nunca!

Esto es especialmente importante si su sitio web obtiene la mayor parte del tráfico de Chrome. Puede buscar en Google Analytics para ver el porcentaje de tráfico que su sitio de WordPress recibe de Google Chrome. Google deja mucho más claro a los visitantes que es posible que su sitio web de WordPress no se esté ejecutando en una conexión segura.

6. Rendimiento

Debido a un protocolo llamado HTTP/2, muchas veces, aquellos que ejecutan sitios correctamente optimizados a través de HTTPS pueden incluso ver mejoras en la velocidad. HTTP/2 requiere HTTPS debido a la compatibilidad con el navegador. La mejora en el rendimiento se debe a una variedad de razones, como que HTTP/2 puede admitir una mejor multiplexación, paralelismo, compresión HPACK con codificación Huffman, la extensión ALPN y la inserción del servidor.

Servicios de seguridad de la información, Contamos con varios

Información de Contacto