Seguridad en WordPress: guía fundamental 2023

El sistema de gestión de contenidos (CMS) WordPress es una de las aplicaciones web más populares del mercado. Se estima que WordPress alimenta casi el 43% de Internet, un aumento considerable desde el 30% de hace unos años. La base del éxito de este CMS radica en su conveniencia, fácil instalación y una amplia comunidad de temas y plugins. WordPress puede ser utilizado por personas con poco conocimiento sobre el funcionamiento de una aplicación web, pero esto puede comprometer la seguridad. Este artículo abarca los siguientes temas:

¿Puede WordPress ser hackeado?

Cualquier aplicación web puede ser potencialmente hackeada, y WordPress es un objetivo primario debido a su popularidad. La base de código principal de WordPress es generalmente segura, pero las vulnerabilidades suelen provenir de temas o plugins de terceros. Estos añaden código al núcleo de WordPress para proporcionar funcionalidades adicionales, pero este mismo código puede introducir vulnerabilidades. Como los propietarios de sitios suelen no ser expertos en seguridad, no saben cómo revisar el código y probar los plugins de terceros en busca de vulnerabilidades. Incluso los plugins con millones de descargas pueden tener vulnerabilidades desconocidas, por lo que su uso no garantiza seguridad.

El código de terceros no es el único riesgo para un sitio WordPress. Si el servidor o la aplicación están mal configurados, podría llevar a una violación de datos o permitir a un atacante subir código malicioso al servidor de WordPress. Cualquier mala configuración o código vulnerable deja a WordPress abierto a compromisos, por lo que, incluso con su código seguro, WordPress puede ser hackeado.

¿Cómo hacer mi sitio WordPress seguro?

Como propietario de un sitio WordPress, dependes en gran medida de los desarrolladores para producir un código seguro, pero también puedes tomar medidas para asegurar la seguridad de tu sitio. Además de mantener tu código seguro actualizando la aplicación principal de WordPress y tus plugins, puedes tomar varios pasos adicionales para disminuir el riesgo.

1. Encontrar un Proveedor de Hosting WordPress Confiable: Tu sitio web debe alojarse en un servidor con seguridad reforzada. Los administradores del proveedor de hosting son responsables de la seguridad del servidor, por lo que puedes confiar en ellos para configurar WordPress correctamente.
2. Controlar el Acceso a WordPress: Los atacantes apuntan a páginas específicas que almacenan información sensible, incluyendo las credenciales del sitio. Estas páginas son wp-admin, wp-login.php y xmlrpc.php. Asignar los permisos incorrectos a estos archivos podría permitir a los atacantes robar credenciales o inyectar las suyas propias, dándoles acceso a la base de datos y al contenido del sitio.
3. Mantener WordPress Actualizado: Los desarrolladores de WordPress lanzan actualizaciones durante todo el año. Estas actualizaciones abordan varios errores y problemas de seguridad. Debes actualizar tu software WordPress cuando haya una nueva versión disponible. No olvides actualizar también los plugins y temas cuando estén disponibles.

10 pasos fáciles para la seguridad de WordPress

1. Crear Copias de Seguridad: Las copias de seguridad son un componente clave en la recuperación de desastres. Si no puedes recuperarte del tiempo de inactividad usando otros métodos, las copias de seguridad recuperarán el sistema a un punto anterior en el tiempo.
2. Instalar Plugins de Seguridad: Varios tipos de plugins de seguridad podrían ayudar a detener ataques. Estos plugins detendrán XSS, ataques de fuerza bruta a contraseñas, travesía de archivos y cargas maliciosas.
3. Usar un Firewall de Aplicaciones Web (WAF): Un WAF puede detener muchos de los ataques que aprovechan vulnerabilidades en el código de plugins y temas.
4. Instalar un Certificado SSL/HTTPS: Un certificado SSL/TLS añadirá seguridad a tus conexiones de usuario para detener la interceptación de datos.
5. Deshabilitar la Edición de Archivos: Debes bloquear la edición para que solo el administrador pueda editar archivos y configuraciones de temas.
6. Deshabilitar la Ejecución de Scripts PHP: Debes configurar el sitio WordPress para deshabilitar la ejecución de scripts PHP.
7. Modificar el Prefijo de la Tabla de la Base de Datos de WordPress: Cambiar este prefijo durante el proceso de instalación no elimina todas las vulnerabilidades de inyección SQL, pero detiene cualquier script donde un atacante asuma que las tablas de WordPress tienen el prefijo predeterminado.
8. Deshabilitar la Indexación y Navegación de Directorios: Debes deshabilitar la navegación por directorios, lo que se puede hacer en el archivo .htaccess.
9. Deshabilitar XML-RPC en WordPress: A menos que necesites subir contenido de forma remota, esta funcionalidad debe ser deshabilitada.
10. Escanea WordPress para Detectar Malware Frecuentemente: Aunque los pasos anteriores reducen el riesgo, no lo eliminan por completo. Para mantener tu sitio web seguro, debes escanearlo en busca de amenazas y monitorear la actividad.

En resumen

La seguridad de WordPress es crucial para la protección de tus datos y la reputación de tu sitio web. Debido a la popularidad de WordPress, los atacantes se centran en sitios que alojan este CMS. Implementar estrategias de seguridad efectivas y mantener una vigilancia constante es esencial para proteger tu sitio de amenazas y vulnerabilidades.