Los plugins de seguridad para WordPress tienen la función primordial de proteger tu sitio web de ciberdelincuentes que buscan explotar las debilidades y la fama de uno de los CRM más usado por los desarrolladores en el mundo.
Mira tu mismo por esta ventana del laboratorio de cyberseguridad de Kaspersky, la enorme cantidad de ciberataques que están sucediendo ahora mismo en el mundo y ve si tu web no está en el medio de la linea de fuego ó que sea el objetivo de los cibercriminales internacionales.
Todos los dias son pirateados miles y miles de sitios web en todos los lugares, y como WordPress es muy popular, también es el objetivo de muchos ataques donde aprovechan archivos y plugins fáciles de vulnerar y servidores con una deficiente configuración de seguridad.
Índice de Contenido
- 1 Primero Que Todo Haz Copia de Seguridad
- 2 Vulnerabilidad De WordPress
- 3 El Buen Hábito Y El Sentido Común
- 4 Escanea Tu Sitio Web
- 5 Protege Todos Los Lados
- 6 Los 4 Potentes Plugins de Seguridad Para WordPress
- 7 Pendiente Del Plugin Con Malware o Zero Day
- 8 Estás Decidido a Usar Plugins de Seguridad Para Wordpres?
Primero Que Todo Haz Copia de Seguridad
En Redteca siempre pero siempre recomendamos realizar copias de seguridad del sitio web antes de realizar cambios en la configuración, de los archivos, el tema y los complementos, ya que son muy necesarios si se llegase a presentar algún evento que dañe la web y se requiera la inmediata restauración de todo.
Entonces, debes tener siempre la buena práctica de hacer las copias de seguridad de tu web, asi sea de forma manual, automática dentro del servidor o mediante el uso de plugins de seguridad para WordPress.
«..el único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por él..»
En el caso de una inyección de código maligno o intrusión en tu WordPress puede que no haya nada que hacer si la reacción es tardía ó no tengas la debida protección, en ese caso la única solución será restaurar la última copia de seguridad de la que dispongas.
En tu hosting compartido o servidor debe haber un sistema de backups para tu web. Si cuentas con servidor VPS o dedicado, puedes solicitar que te instalen un sistema de respaldo de seguridad. El objetivo es que puedas hacer backups programados diarios de todo tu sitio web.
Ahora en WordPress existen plugins de seguridad para hacer tus respaldos continuos, programados y automáticos. Y si no conoces cuál te pudiera servir te recomendamos que eches un vistazo a estos post de UpdraftPlus y Duplicator donde te explicamos como puedes hacer el mejor backup y restauración.
Vulnerabilidad De WordPress
Como hemos dicho, por su popularidad WordPress es uno de los objetivos de los ciberdelincuentes y los puntos débiles tienen que ver con los datos almacenados, principalmente los nombres de usuarios y el protocolo XML-RPC para la transmisión de datos con HTTP y la codificación XML. Esta debilidad en la seguridad se ha venido corrigiendo con cada actualización del núcleo de WordPress.
Y por otro lado por ser un sistema de código abierto cualquier persona puede crear complementos y distribuirlo dentro del ecosistema de plugins, con el riesgo alto de propagar puntos vulnerables que permitan la salida de información de los usuarios, la inyección SQL y la ejecución remota de código malicioso.
También existen estas otras vulneribilidades en WordPress: puertas traseras, pharma hacks, intentos de inicio de sesión por fuerza bruta, redireccionamientos maliciosos, Cross-Site Scripting (XSS) y denegación de servicio.
El Buen Hábito Y El Sentido Común
Si ya comenzaste a involucrarte más en el desarrollo de tu sitio WordPress tendrás que crearte buenos hábitos ó costumbres cuando trabajes dentro de WordPress y en el entorno de tu sistema operativo sobre todo si es Windows.
Los buenos hábitos tienen que ver con la seguridad y la prevención al momento de sentarse y comenzar a trabajar en el computador, manipular las aplicaciones y gestionar tu servidor local y hosting.
Debes prevenir ser blanco de ataques por ciberdelincuentes, y para ello tienes que proteger todos los lados que tengan que ver con la administración de la web, la transmisión, la entrada y salida de la información.
Aplica siempre el sentido común para proteger tus activos, lo primero es la seguridad y contar con el mejor plugin para tu web y activarlo para que resguarde la web desde ya. Actualiza todo los programas en su debido momento para aplicar las mejoras que los expertos incluyen para optimizar la seguridad.
Escanea Tu Sitio Web
A veces estamos muy interesados del buen diseño de nuestro sitio web, del contenido, el SEO, y poco atentos a la seguridad que debe ser siempre la primera prioridad en todo.
Nuestro sitio debe ser permanentemente escaneado para detectar las vulnerabilidades de la seguridad, la presencia de malware, troyanos, virus y amenazas online.
Protege Todos Los Lados
Si tu sitio web está desarrollado sobre WordPress, entonces las posibilidades de recibir un ataque despiadado aumentan, porque los bots malignos saben muy bien cómo funciona este gestor de contenido y cómo pueden aprovechar las brechas de seguridad.
Las historias y las experiencias documentadas por expertos, sitios web especializados, foros y comunidades web indican que la mayor parte de los ataques a sitios WordPress no es precisamente por sus vulnerabilidades conocidas, sino por la mala gestión del administrador de la web.
No es necesario tener demasiados conocimientos técnicos para proteger el sitio WordPress de intrusos y ciberdelincuentes es cosa de empezar a crear el hábito de buenas prácticas de seguridad a nivel personal, local y de servidor, con la implementación de los mejores plugins de seguridad para WordPress.
Presta mucha atención sobre los aspectos de seguridad que debes empezar a considerar.
Protege Tu Lado
Como diseñador y desarrollador de tu sitio web debes asegurarte de que tu estación de trabajo no sea el punto de entrada de código malicioso y de infección para tu Wodpress. Que tu sistema operativo y tu navegador estén actualizados y cuentes con un buen software antivirus certificado ayudarán a reforzar la seguridad de los datos de tu WordPress y a minimizar la exposición a los códigos maliciosos y la explotación de vulnerabilidades.
Con estas precauciones evitas que los bots maliciosos puedan vulnerar tus inicios de sesión en tu wordpress, el administrador de tu hosting y tu bases de datos.
Si nos preguntas cual sistema operativo utilizar para trabajar, te diriamos que uses Linux antes que Windows, ya que es capaz de solucionar los problemas de seguridad de forma mucho más rápida y eficiente.
Protege El Lado De WordPress
Tu sitio web funciona muy bien con tu WordPress, pero una versión nueva trae mejores características y funcionabilidad que la anterior y eso es una de las principales cosas que la hace tan popular.
WordPress es mejorado constantemente con actualizaciones de su nucleo de la siguiente forma:
- Correción de errores y parte vulnerables de la seguridad.
- Incremento de funciones y más características.
- Optimizacíon del rendimiento y la velocidad.
- Mayor compatibilidad con temas plugins y otras tecnologías.
Por lo tanto debes mantener tu WordPress actualizado con la última versión, así como el tema y todos los plugins instalados y eliminando los que no uses. Ten presente que los complementos viejos que no se actualizan son aprovechados frecuentemente por los cyberdelincuentes y te pueden generar una pérdida de dinero y tiempo considerable.
Es muy importante que sepas que siempre se recomienda crear un child theme de tu WordPress para separar la personalización del tema principal y asi puedas actualizarlo sin dudarlo. Pero hay un detalle en eso, y es que la actualización del tema original solo corrige las vulnerabilidades de seguridad dentro de esos archivos y si esa debilidad también estaba presente en tu tema hijo, entonces la brecha permanecerá.
Debes evitar que tu cuenta de administrador de tu WordPress sea vulnerada por un quiebre de seguridad de datos en el sistema operativo o navegador web. Como todas las cuentas de administrador son llamadas por defecto «admin», se hace fácil su detección por los «bots maliciosos», por lo que te sugerimos que cambies el nombre por otro en la base de datos o con un plugin de seguridad certificado.
Usa contraseñas fuertes con letras, números y caracteres especiales y cámbiala cada cierto tiempo ya que la autentificación es uno de los puntos débiles de WordPress. Más adelante te explicaré como puedes evitar los ataques de fuerza bruta contra los accesos instalando alguno de los mejores plugins de seguridad para WordPress.
Otra forma de evitar los «bots» es que instales Google reCAPTCHA v2 o v3 para validar que el inicio lo haga una persona de verdad.
Y para reforzar instala un método de verificación de dos pasos (2FA) en tu página de inicio de sesión de tu WordPress, para hacer frente a posibles ataques de fuerza bruta.
Protege El Lado Del Servidor
Asegúrate de tener contratado un hosting con buen nivel de seguridad y no uses redes públicas para conectarte al servidor, por lo que debes accesar sólo en redes seguras en tu hogar y oficina para evitar a los intrusos, malware y amenazas.
Los permisos en las carpetas y los archivos en tu hosting deben estar correctamente ajustados así: 644 para archivos y 755 para carpetas.
Debes estar atento de que el software del hosting esté actualizado, ya que las versiones antiguas del mismo también pueden ser vulnerables.
Los 4 Potentes Plugins de Seguridad Para WordPress
Un cibercriminal ó hacker siempre buscará obtener beneficio económico de tu web sin importarle cuanto dinero y tiempo tú deberás perder por ese problema. Para que nunca tengas que arriesgarte a esa situación es que vamos a recomendar el uso de alguno de los mejores plugins de seguridad para WordPress
Mira este resumen de lo pueden hacer con tu web si es violentada:
- Posicionar otros sitios web de manera artificial.
- Utilizan tu web para generar SPAM en los comentarios colocando enlaces a sus sitios.
- Te arrebatan tus cuentas de correo para enviar SPAM.
- Usurpan tu identidad para robar los datos de tus clientes.
Protege tu WordPress para que no dañen tu inversión y evita que sea un sitio fácil para extraer información y generar dinero. No sólo tendrás que limpiar o restaurar tu web, sino que tendrás que soportar la disminución de las ventas y la pérdida de clientes potenciales y de reputación.
Existen muchas opciones de complementos de seguridad, entre las que recomendamos están:
- Ithemes Security (antes conocido como Better WP Security).
- All In One WP Security & Firewall.
- Wordfence Security.
- NinjaFirewall
iThemes Security
El plugin iThemes Security anteriormente conocido con el nombre Better WP Security (o WordPress Security), es un clásico entre los plugins de seguridad para WordPress. Es gratis y de pago y cuenta con más de 1millón de descargas desde el repositorio oficial de WordPress; también es altamente valorado.
Con este plugin te blindarás para evitar el malware y podrás enfrentar todo tipo de desastre a los que se puede exponer tu web. Recuerda que siempre habrán ataques permanentes hacia tu sitio, por lo que no debes arriesgarte, instala uno de los mejores plugins de seguridad para WordPress para que puedas llevar la vida tranquilo.
Este complemento escaneará tu web para detectar malwares, bots, cambios no autorizados de los archivos y te indicará los puntos débiles para ocultarlos y proteger el sitio. Te permitirá hacer las copias de seguridad manual ó automática y su restauración cuando sea necesario.
Con él podrás cambiar la URL de wp-admin y wp-login.php para eliminar este patrón de las vulnerabilidades de tu web.
No está demás decirte que este plugin es especial para todo aquel que tiene pocos conocimientos técnicos y no quiere lidiar con una compleja configuración.
Ahora bien, el fortalecimiento del inicio de sesión se encuentra dentro de las opciones pagas como la autenticación de dos factores (2FA) de Google Authenticator y Authy, las contraseñas seguras, la automatización del escaneo, Google reCAPTCHA y seguimiento de las acciones de usuarios.
All In One WP Security & Firewall
Este es otro de los plugin más populares dentro de la comunidad de desarrolladores de WordPress, con más de 900.000 instalaciones a la fecha con actualizaciones diarias y una alta valoración. Está desarrollado por expertos de cyberseguridad que tuvieron la idea de crear un sistema de indicadores basado en puntos que se muestra en el escritorio de administración del plugin para medir toda la protección del sitio web con la configuración personalizada que se haya activado.
El plugin es gratuito y con el agregas seguridad a las cuentas, pudiendo cambiar el nombre «admin» que viene por defecto para el administrador, evitas la duplicidad de nombres, creas contraseñas fuertes y detienes la enumeración de los nombre sde usuarios.
Lograrás también asegurar las áreas de inicio de sección de la web contra ataques de fuerza bruta añadiendo captchas y recaptchas de Google. Mantendrás a los bots alejados de los registros con la función Honeypot del plugin con añadidos de seguridad para la base de datos.
Del mismo modo protegerás el sistema de archivos y podrás configurar y restaurar tus copias de seguridad. Y otro aspecto interesante es que tendrás un scaner de seguridad trabajando las 24 horas detectando posibles cambios dañinos en los archivos para revertirlos con rapidez.
Wordfence Security
Wordfence Security es el gran complemento de seguridad para 3 millones de usuarios de WordPress. Hablamos de que es gratis para la mayor parte de sus funciones e incluye un firewall y un antivirus para la protección de nuestro sitio las 24 horas del día. Sinceramente destacamos que es bastante completo con reglas de firewall recientes, y bases de datos de malware e IP actualizados.
El firewall de Wordfence se actualiza siempre con una fuente de defensa a medida que surgen nuevas amenazas.
El escáner de seguridad que provee hace una revisón completa y continua de los archivos del núcleo de WordPress, los temas, los plugins, las URL incorrectas, puertas traseras, spam, redireccionamientos e inyecciones de código.
Permanece siempre detectando las vulnerabilidades de seguridad y haciendo las alertas como debe ser y sobre todo si esa debilidad se encuentra en un plugin activo ó inactivo.
La seguridad para los inicios de sesión permite el uso del método de autenticación de dos factores (2FA), captcha y recaptcha para impredir el acceso a los bots malos. Y también te permitirá cambiar la URL de wp-admin y wp-login.php.
La información que está disponible en la función de «tráfico en vivo» ofrece una visión detallada de lo que hacen los cibercriminales para tratar de ingresar a tu WordPress y cómo Wordfence los está bloqueando.
NinjaFirewall (WP Edition) + NinjaScanner
Otra solución que viene con una creciente fuerza de aceptación por parte de la comunidad WordPress es NinjaFirewall (WP Edition), el cual es un plugin especializado en cortafuegos ó firewalls. Este, más otro complemento del mismo fabricante llamado NinjaScanner (Virus & Malware scan) como antimalware para tu web componen una suite de plugins de seguridad para WordPress que demuestran una alta efectividad en la protección contra ataques de cibercriminales que buscan dañar tus activos digitales para su propio beneficio económico.
NinjaFirewall se destaca por identificar las técnicas y tácticas que aplican los cibercriminales para burlar el firewall de WordPress y se anteponde con su motor de filtrado para repeler todas esas solicitudes HTTP entrantes a tu web que vienen con intenciones de ataques persistentes.
En caso de una violación al sistema de archivos ha demostrado que es capaz de reconocer rápidamente los cambios en los archivos PHP y enviar las alertas con los detalles del script, IP, solicitud y fecha para la operación de respuesta.
Algunas funciones importantes como el control de acceso de dirección IP, control de acceso por país, por URL, de bots y detección en tiempo real se pueden acceder solo con la versión paga.
El otro plugin que lo complementa NinjaScanner va a cuidar la integidad de tus archivos principalmente los del núcleo de WordPress y las bases de datos. Realiza escaneos ágiles empleando la caché para disminuir el uso de recursos de ancho de banda, mientras estés ó no, haciendo labores en tu web. El escaneo programado ó automático es parte de sus funciones pagas.
Pendiente Del Plugin Con Malware o Zero Day
Antes de que te decidas por otro plugin no muy reconocido por la comunidad de desarrolladores de WordPress, permíteme que te ofrezca unas observaciones muy importantes que debes tener presente.
Es muy probable que los ciberdelincuentes aprovechando su especialización obtenida para mal, desarrollen y ofrezcan plugins con un supuesto rendimiento de seguridad, escaneo y desinfección de la web, cuando es todo lo contrario, buscan ingresar con facilidad para robarte tu valiosa información.
También es muy común que ofrezca plugins Premium para WordPress con licencias crackeadas con el único objetivo de introducir malware y dañar tu inversión. A muchas personas les gusta el facilismo de conseguirlo todo gratis sin darse cuenta de que es una gran vulnerabilidad bien explotada. No los instales ni para probarlos en tu WordPress y menos si ya está en producción la web.
Si el plugin contiene «zero day» fue producto de que instalaste un complemento desactualizado por mucho tiempo. Y si el que tienes, que funciona bien, dejó de actualizarse hace rato, entonces debes cambiarlo porque aumentan las probabilidades de infección.
Esta es una ventaja de tener instalado NinjaFirewall, que como es una web application firewall (WAF), protege tu WordPress mientras el plugin es actualizado y reforzado. Y si no es el que tienes, busca instalar un WAF mientras actualizan el complemento.
Estás Decidido a Usar Plugins de Seguridad Para Wordpres?
Como ya vistes, te mencionamos los 4 potentes plugins de seguridad para WordPress: Ithemes Security, All In One WP Security,Wordfence Security y NinjaFirewall.
Para muchos son la «suite de seguridad de WordPress» imprescindibles para el resguardo de sus activos digitales y eso es lo que nos anima a hacertelo saber.
Estos plugins son lo mejor que encontarás en la web y no necesitarás tener muchos conocimientos técnicos para escanear y limpiar tu sitio WordPress.
Por todo esto estamos muy alegres y complacidos de poder transmitirte nuestras experiencias en la prevención y seguridad de WordPress para poder ayudar en tu web y que te mantegas seguro de la maldad de los cibercriminales.
Si te decidistes por otros plugins de seguridad para WordPress que no te hayamos nombrado, anímate y cuéntanos tu experiencia para que todos podamos revisarlo y tomarlos en consideración.
Danos una mano para que podamos ayudar a más personas compartiéndola en tus redes sociales.