Los 10 principales errores de seguridad de WordPress y cómo evitarlos

Los errores de seguridad de WordPress son fáciles de cometer. Los errores más comunes en la seguridad de WordPress pueden estar basados ​​en información desactualizada, mitos comunes de seguridad de WordPress o simplemente no conocer las mejores prácticas de seguridad de WordPress.

Si bien WordPress en sí es seguro, evitar los errores de seguridad de WordPress requiere un poco de esfuerzo por parte de los propietarios del sitio. En esta publicación, cubriremos los 10 principales errores de seguridad de WordPress con consejos sobre cómo evitarlos.

Vamos a sumergirnos. Cubriremos todo, desde la calidad de su host de WordPress hasta su inicio de sesión de administrador de WordPress, los temas y complementos que utiliza.

1. Elegir un alojamiento deficiente

No todos los servidores web se crean de la misma manera, y elegir uno únicamente por el precio puede terminar costándote mucho más a largo plazo debido a los errores de seguridad de WordPress.

La mayoría de los entornos de alojamiento compartido son seguros, pero algunos no separan correctamente las cuentas de usuario. Si las cuentas de usuario no están separadas correctamente, una sola cuenta comprometida podría eliminar todos los sitios web de ese servidor compartido.

Su anfitrión debe estar atento a la aplicación de los últimos parches de seguridad y seguir otras importantes prácticas recomendadas de seguridad de alojamiento relacionadas con la seguridad de archivos y servidores.

Cómo evitar elegir un alojamiento deficiente

Elija un host de buena reputación para su sitio web con un sólido historial de seguridad.

Consulte iThemes Hosting para encontrar un proveedor de alojamiento en el que pueda confiar.

2. No tener un plan de respaldo de WordPress

Las copias de seguridad y la seguridad realmente no parecen estar relacionadas. Pero confíe en nosotros, tener una copia de seguridad de su sitio web de WordPress después de un ataque de ransomware realmente puede salvar su tocino.

Un ataque de ransomware ocurre cuando un pirata informático cifra los archivos de su sitio web, lo que los hace inaccesibles a ellos y a su sitio web. Para recuperar el acceso a su sitio web, necesita una clave para descifrar los archivos. Por una tarifa considerable, el pirata informático estará más que feliz de proporcionarle la clave.

Tener una copia de seguridad de su sitio web de WordPress le permite revertir su sitio web a un estado antes de que su sitio web sea retenido para obtener un rescate. Recuperas el acceso a tu sitio web sin tener que pagar el rescate exigido. #baconsaved

Cómo evitar no tener una copia de seguridad del sitio web

Cree un horario para realizar copias de seguridad de su sitio web con regularidad.

BackupBuddy, nuestro complemento de copia de seguridad de WordPress, es nuestra herramienta recomendada para las copias de seguridad de WordPress. Con BackupBuddy, puede configurar programas de copia de seguridad para 5 tipos de copias de seguridad de WordPress para que sus copias de seguridad se ejecuten automáticamente. Eso es tranquilidad.

3. Inicios de sesión inseguros

El inicio de sesión de WordPress es la parte más atacada y potencialmente más vulnerable de cualquier sitio de WordPress. De forma predeterminada, no hay nada integrado en WordPress para limitar la cantidad de intentos fallidos de inicio de sesión que alguien puede realizar. Sin un límite en la cantidad de intentos fallidos de inicio de sesión que puede realizar un atacante, puede seguir probando una cantidad infinita de nombres de usuario y contraseñas hasta que tengan éxito.

Su inicio de sesión de WordPress se parece mucho a la puerta de entrada de su casa. Sin una cerradura en la puerta de su casa, sería fácil para cualquiera entrar directamente a su casa, comenzar a mover sus muebles, romper sus cosas y robar su televisor. Solo tiene sentido agregar una cerradura a la puerta de entrada para que sea más difícil que un posible ladrón ingrese a su casa.

Cómo evitar un inicio de sesión inseguro

Utilice un complemento de seguridad de WordPress para limitar los attmepts de inicio de sesión no válidos.

La función iThemes Security Pro Local Brute Force Protection realiza un seguimiento de los intentos de inicio de sesión no válidos realizados por un host o una dirección IP y un nombre de usuario. Una vez que una IP o nombre de usuario ha realizado demasiados intentos consecutivos de inicio de sesión no válidos, se bloqueará y se impedirá que realice más intentos.

4. Sin protección contra ataques de bot automatizados

Un bot es una pieza de software que está programada para realizar una lista específica de tareas. Los desarrolladores crean un conjunto de instrucciones que un bot seguirá automáticamente sin que el desarrollador tenga que decirles que empiecen. Los bots realizarán tareas repetitivas y mundanas mucho más rápido que nosotros.

Algunos de estos bots están programados con motivos nefastos como:

Los Brute Force Bots recorren Internet en busca de inicios de sesión de WordPress para atacar.

Content Scraping Bots están programados para descargar el contenido de su sitio web sin su permiso. El bot puede duplicar el contenido para usarlo en el sitio web del atacante para mejorar su SEO y robar el tráfico de su sitio.

Los robots de spam ensucian sus comentarios con promesas de convertirse en millonario mientras trabajan desde casa con la esperanza de enviar a sus visitantes a sitios web maliciosos.

Cómo evitar los ataques automatizados de un bot

Evite este error de seguridad de WordPress utilizando protección de bots automatizada como Google reCAPTCHA en su sitio web.

La función Google reCAPTCHA en iThemes Security Pro protege su sitio de los robots maliciosos. reCAPTCHA utiliza técnicas avanzadas de análisis de riesgos para diferenciar a los humanos de los robots. Una vez que se identifica un robot defectuoso, se iniciará desde su sitio web.

5. Uso de versiones vulnerables de complementos, temas o núcleo de WordPress

Los complementos o temas vulnerables de WordPress son el mayor error de seguridad de WordPress que puede cometer. Mantener el software actualizado es una parte esencial de cualquier estrategia de seguridad, y esto incluye el núcleo de WordPress y sus temas y complementos. Las actualizaciones de versión no son solo para corregir errores y nuevas funciones. Las actualizaciones también pueden incluir parches de seguridad críticos. Está dejando su teléfono, computadora, servidor, enrutador o sitio web vulnerable a un ataque sin ese parche.

Los piratas informáticos apuntan a vulnerabilidades parcheadas porque saben que las personas no actualizan (incluidos complementos y temas en su sitio web). Es un estándar de la industria revelar públicamente las vulnerabilidades el día en que se reparan. Después de que una vulnerabilidad se divulga públicamente, la vulnerabilidad se convierte en una "vulnerabilidad conocida" para las versiones desactualizadas y sin parches del software. El software con vulnerabilidades conocidas es un objetivo fácil para los piratas informáticos.

A los piratas informáticos les gustan los objetivos fáciles. Tener un software desactualizado con vulnerabilidades conocidas es como darle a un pirata informático las instrucciones paso a paso para ingresar a su sitio web de WordPress.

Tener un complemento o tema vulnerable para el que hay un parche disponible pero no se aplica es el principal culpable de los sitios web de WordPress pirateados.

Cómo evitar el uso de complementos y temas vulnerables

Mantenga todos sus complementos y temas actualizados para evitar el error de seguridad de WordPress del software vulnerable.

Utilice iThemes Security Pro Site Scan. Site Scan realiza comprobaciones automáticas de vulnerabilidades conocidas instaladas en su sitio. Y si hay un parche disponible, iThemes Security Pro lo aplicará automáticamente.

6. Seguridad del usuario débil

La seguridad del usuario débil es un error de seguridad importante de WordPress. En pocas palabras: un solo usuario administrador de WordPress con una contraseña débil podría socavar todas las demás medidas de seguridad del sitio web que ha implementado. Es por eso que la seguridad del usuario es una parte esencial de cualquier estrategia de seguridad de WordPress.

Según el Informe de Investigaciones de Violación de Datos de Verizon, más del 70% de los empleados reutilizan las contraseñas en el trabajo. Pero la estadística más importante del informe es que "el 81% de las infracciones relacionadas con la piratería se aprovecharon de contraseñas robadas o débiles".

En una lista compilada por Splash Data, la contraseña más común incluida en todos los volcados de datos fue 123456. Un volcado de datos es una base de datos pirateada llena de contraseñas de usuario vertidas en algún lugar de Internet. ¿Te imaginas cuántas personas en tu sitio web están usando una contraseña débil si 123456 es la contraseña más común en los volcados de datos?

Las herramientas de los piratas informáticos están mejorando y pueden omitir las contraseñas más rápido que nunca. Por ejemplo, echemos un vistazo a un gráfico creado por Terahash, una empresa de descifrado de contraseñas de alto rendimiento. Su gráfico muestra el tiempo que lleva descifrar una contraseña utilizando un grupo de hashstack de 448x RTX 2080.

De forma predeterminada, WordPress usa MD5 para codificar las contraseñas de los usuarios almacenadas en la base de datos de WP. Entonces, de acuerdo con esta tabla, Terahash podría descifrar una contraseña de 8 caracteres ... casi instantáneamente. Eso no solo es súper impresionante, sino que también da mucho miedo.

Para empeorar las cosas, a pesar de que el 91% de las personas saben que reutilizar contraseñas es una mala práctica, el 59% de las personas todavía reutilizan sus contraseñas en todas partes. Muchas de estas personas todavía usan contraseñas que saben que han aparecido en un volcado de bases de datos.

Los piratas informáticos utilizan una forma de ataque de fuerza bruta llamada ataque de diccionario. Un ataque de diccionario es un método para irrumpir en un sitio web de WordPress con contraseñas de uso común que han aparecido en volcados de bases de datos. La “Colección # 1? La filtración de datos alojada en MEGA incluyó 1,160,253,228 combinaciones únicas de direcciones de correo electrónico y contraseñas. Eso es mil millones con una b. Ese tipo de puntuación realmente ayudará a un ataque de diccionario a reducir las contraseñas de WordPress más utilizadas.

Cómo evitar la seguridad débil del usuario

La mejor manera de evitar el error de seguridad de WordPress de una seguridad de usuario débil es creando una política de contraseña sólida y utilizando la autenticación de dos factores.

La función de requisitos de contraseña de iThemes Security Pro permite forzar a los miembros de un grupo de usuarios a utilizar una contraseña segura, elegir una hora de caducidad de la contraseña , rechazar las contraseñas comprometidas y forzar un cambio de contraseñas en todo el sitio para que todos cumplan con su nueva política de contraseñas seguras.

La autenticación de dos factores es un proceso de verificación de la identidad de una persona que requiere dos métodos de verificación separados. Google compartió en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques de bots automatizados.

La función de autenticación de dos factores de iThemes Security Pro proporciona una gran flexibilidad al implementar 2fa en su sitio web. Puede habilitar dos factores para todos o algunos de sus usuarios, y puede obligar a sus usuarios de alto nivel a usar 2fa en cada inicio de sesión.

7. Comunicaciones no cifradas (sin SSL)

No cifrar las comunicaciones en su sitio web es un grave error de seguridad de WordPress. Cada vez que realizamos una compra en línea, la comunicación se produce entre su navegador y la tienda en línea. Por ejemplo, cuando ingresamos nuestro número de tarjeta de crédito en nuestro navegador, nuestro navegador compartirá el número con la tienda en línea. Una vez que la tienda recibe el pago, le indica a su navegador que le avise que su compra se realizó correctamente.

Una cosa a tener en cuenta sobre la información compartida entre nuestro navegador y el servidor de la tienda es que la información hace varias paradas en tránsito. Si la comunicación no está encriptada, un pirata informático podría robar nuestra tarjeta de crédito antes de que llegue al destino final del servidor de la tienda.

Para comprender mejor cómo funciona el cifrado, piense en cómo se entregan nuestras compras. Si alguna vez ha seguido el estado de entrega de una compra en línea, habrá visto que su pedido se detiene varias veces antes de llegar a su hogar. Si el vendedor no empaquetó correctamente su compra, sería fácil para las personas ver lo que compró.

Cómo evitar la comunicación no cifrada

Necesitará un certificado SSL para cifrar la comunicación en su sitio web. Si su sitio web de WordPress carece de SSL, lo primero que debe hacer es pedirle a su proveedor de alojamiento que vea si proporciona un certificado SSL y una configuración gratuitos.

Cloudflare ofrece un certificado SSL compartido gratuito para sitios web de WordPress. Si prefiere no tener un certificado SSL compartido y se siente cómodo con la línea de comandos, CertBot es una excelente opción. Certbot no solo crea un certificado SSL gratuito usando Let's Encrypt para usted, sino que también administrará automáticamente la renovación del certificado por usted.

8. Registro y supervisión de seguridad insuficientes

El inicio de sesión insuficiente en su sitio web es un error de seguridad de WordPress lo suficientemente grande como para llegar al top 10 de riesgos de seguridad de aplicaciones web de OWASP. El registro es una parte esencial de su estrategia de seguridad de WordPress. Monitorear el comportamiento correcto lo ayudará a identificar y detener ataques, detectar una brecha y acceder y reparar el daño causado a su sitio web después de un ataque exitoso.

Un registro y una supervisión insuficientes pueden provocar un retraso en la detección de una infracción de seguridad. La mayoría de los estudios de infracciones muestran que el tiempo para detectar una infracción es de más de 200 días. Esa cantidad de tiempo le permite a un atacante violar otros sistemas, modificar, robar o destruir más datos.

Cómo evitar un registro insuficiente

Agregue registros de seguridad a su sitio web para evitar este error de seguridad de WordPress. Puede utilizar algunas de las funciones y filtros de desarrollador que proporciona WordPress para crear un sistema de registro, pero la forma más sencilla de iniciar un registro de seguridad es instalar un complemento de seguridad de WordPress.

Los registros de seguridad de WordPress de iThemes Security Pro monitorean y registran automáticamente los eventos críticos de seguridad que ocurren en su sitio web.

9. Complementos y temas no utilizados

Tener complementos y temas sin usar o inactivos en su sitio web es un error de seguridad importante de WordPress. Cada fragmento de código en su sitio web es un punto de entrada potencial para un pirata informático.

Es una práctica común que los desarrolladores utilicen código de terceros, como bibliotecas JS, en sus complementos y temas. Desafortunadamente, si las bibliotecas no se mantienen adecuadamente, pueden crear vulnerabilidades que los atacantes pueden aprovechar para piratear su sitio web.

Cómo evitar complementos y temas

Desinstale y elimine por completo los complementos y temas innecesarios en su sitio de WordPress para limitar la cantidad de puntos de acceso y código ejecutable en su sitio web.

Además, evite el uso de complementos de WordPress abandonados. Si algún complemento instalado en su sitio de WordPress no ha recibido una actualización en seis meses o más.

10. Instalación de software de fuentes no confiables

La instalación de software de fuentes no confiables es una de las formas más rápidas de crear un error de seguridad de WordPress. Debe tener cuidado con una versión "anulada" de complementos comerciales. A menudo, estas versiones gratuitas o con grandes descuentos de complementos profesionales contienen código malicioso.

No importa cómo bloquee su sitio de WordPress si es usted quien instala el malware.

Cómo evitar el software de fuentes no confiables

Solo debe instalar software que obtenga de WordPress.org, repositorios comerciales conocidos o directamente de desarrolladores de renombre.

Si el complemento o tema de WordPress no se distribuye en el sitio web del desarrollador, querrá hacer su debida diligencia antes de descargar el complemento. Comuníquese con los desarrolladores para ver si están afiliados de alguna manera con el sitio web que ofrece su producto a un precio gratuito o con descuento.

Conclusión: Explicación de los 10 errores principales de seguridad de WordPress

Como podemos ver, hay muchos errores potenciales de seguridad de WordPress. Afortunadamente, todos los errores de seguridad se evitan fácilmente con un pequeño esfuerzo de nuestra parte.

Una lista de verificación de seguridad simple de WordPress

La mayoría de las vulnerabilidades de seguridad de WordPress se pueden mitigar adoptando un enfoque proactivo de la seguridad de WordPress. Para recapitular, aquí hay una simple lista de verificación de seguridad de WordPress a seguir:

• 1. Elija alojamiento de calidad.
• 2. Cree un programa de respaldo.
• 3. Limite los intentos de inicio de sesión no válidos
• 4. Agregue protección automatizada contra bots.
• 5. Evite el uso de software vulnerable.
• 6. Utilice contraseñas seguras y 2fa.
• 7. Cifre la comunicación con SSL.
• 8. Agregue el registro de seguridad de WordPress.
• 9. Elimine los complementos y temas no utilizados.
• 10. Instale únicamente software de fuentes confiables.

Obtén iThemes Security Pro

Michael Moore

Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.