Seguridad en WordPress, como prevenir ataques; lo que no sabías (1)

Hablemos de seguridad en wordpress, cómo prevenir ataques un tema delicado que muchos tendemos a descuidar pero que, sin ser paranoicos, nos debe interesar en gran medida para favorecer nuestra información y publicaciones. Seguramente no serán prácticas tan oscuras y crípticas que impidan nuestro propio acceso a wordpress o a las bases de datos. Empecemos.

Instalación de WordPress: Primeros Pasos hacia la Seguridad

Claves Seguras durante la Configuración :
Durante la instalación, WordPress genera automáticamente claves de autenticación únicas en el archivo wp-config.php. Estas claves son esenciales para cifrar las cookies de inicio de sesión y proteger las credenciales de los usuarios. Asegúrate de que estas claves sean robustas y únicas.

Descarga desde Fuentes Confiables :
La primera regla de oro es descargar WordPress exclusivamente desde su sitio oficial: wordpress.org . Evita descargarlo de repositorios de terceros o sitios no verificados, ya que podrían contener versiones modificadas con malware o vulnerabilidades ocultas.

Utiliza la Última Versión Disponible :
Siempre instala la versión más reciente de WordPress. Las actualizaciones no solo incluyen nuevas funcionalidades, sino también correcciones críticas de seguridad que abordan vulnerabilidades detectadas en versiones anteriores. Esto te da una ventaja significativa frente a los ciberdelincuentes, quienes suelen explotar fallos conocidos en versiones desactualizadas.

Configuración del Entorno de Hosting :
Antes de instalar WordPress, asegúrate de que tu proveedor de hosting cumple con los requisitos mínimos del CMS y ofrece medidas de seguridad adicionales, como firewalls, protección contra ataques DDoS y copias de seguridad automáticas. Un buen hosting es la base de un sitio seguro.

Permisos de Archivos y Carpetas :
Durante la instalación, verifica que los permisos de archivos y carpetas estén correctamente configurados. Por ejemplo:

Archivos: 644

Carpetas: 755
Esto evita que usuarios no autorizados modifiquen o accedan a archivos sensibles.

Actualizaciones: Mantén tu Sitio al Día

• Importancia de las Actualizaciones :
  Las actualizaciones de WordPress no son opcionales; son una necesidad crítica para la seguridad de tu sitio. Cada nueva versión corrige errores, mejora el rendimiento y, sobre todo, parcha vulnerabilidades que podrían ser explotadas por atacantes.
• Actualización Automática :
  Para facilitar este proceso, puedes habilitar las actualizaciones automáticas de WordPress. Esto garantiza que tu sitio siempre esté ejecutando la versión más reciente sin necesidad de intervención manual. Sin embargo, ten en cuenta que las actualizaciones automáticas pueden causar problemas de compatibilidad con temas o plugins personalizados, por lo que es recomendable realizar copias de seguridad antes de cualquier actualización.
• Rutina de Mantenimiento :
  Si no utilizas actualizaciones automáticas, establece una rutina semanal para verificar si hay nuevas versiones disponibles. Ingresar regularmente al panel de administración te permitirá estar al tanto de actualizaciones importantes y realizarlas a tiempo.

La Importancia del Servidor en la Seguridad de WordPress: Una Guía Detallada

La seguridad de un sitio web basado en WordPress no solo depende de las configuraciones internas del CMS, sino también del tipo de servidor y las medidas de seguridad que implementa tu proveedor de hosting. El servidor es el corazón de tu sitio web; si este no está protegido adecuadamente, toda tu infraestructura digital puede estar en riesgo. A continuación, profundizaremos en cómo elegir un servidor seguro y qué preguntas debes hacer a tu proveedor de hosting para garantizar la protección de tus datos.

1. El Papel del Servidor en la Seguridad de WordPress

El servidor es el entorno donde reside tu sitio web, y su configuración juega un papel crucial en la protección contra ataques cibernéticos. Un servidor mal configurado o gestionado por un proveedor de baja calidad puede convertirse en una puerta abierta para hackers, malware y otros tipos de amenazas. Por lo tanto, es fundamental elegir un proveedor de hosting que priorice la seguridad y ofrezca medidas robustas para proteger tus datos.

2. Tipos de Servidores y sus Implicaciones de Seguridad

Existen varios tipos de servidores disponibles, cada uno con diferentes niveles de seguridad y rendimiento. Aquí te explicamos los más comunes:

• Servidores Compartidos :
  En un servidor compartido, tu sitio web comparte recursos (como espacio en disco, memoria y ancho de banda) con otros sitios alojados en el mismo servidor. Esto lo hace una opción económica, pero también la más vulnerable. Si otro sitio en el mismo servidor es atacado, existe el riesgo de que el tuyo también se vea comprometido.
  Recomendación : Si optas por un servidor compartido, asegúrate de que tu proveedor implemente medidas de aislamiento entre sitios y filtros de seguridad avanzados.
• Servidores VPS (Virtual Private Server) :
  Un VPS ofrece un nivel intermedio de seguridad y rendimiento. Aunque sigue siendo un servidor compartido, cada sitio tiene recursos dedicados y mayor control sobre la configuración. Esto reduce significativamente el riesgo de que un ataque a otro sitio afecte al tuyo.
  Recomendación : Ideal para pequeñas y medianas empresas que necesitan un equilibrio entre costo y seguridad.
• Servidores Dedicados :
  En un servidor dedicado, tienes acceso exclusivo a todos los recursos del servidor. Esto proporciona el máximo nivel de seguridad y control, pero también es la opción más costosa.
  Recomendación : Recomendado para sitios web grandes, comercios electrónicos o proyectos que manejen información sensible.
• Hosting en la Nube :
  El hosting en la nube combina flexibilidad, escalabilidad y seguridad. Los proveedores de hosting en la nube suelen ofrecer redundancia de datos, copias de seguridad automáticas y protección contra ataques DDoS.
  Recomendación : Ideal para proyectos que requieren alta disponibilidad y resistencia frente a fallos.

3. Cómo Elegir un Proveedor de Hosting Seguro

No te dejes llevar únicamente por el precio o promociones atractivas. Al seleccionar un proveedor de hosting, considera los siguientes factores:

• Reputación y Experiencia :
  Investiga la reputación del proveedor. Busca reseñas, testimonios y casos de éxito. Un proveedor con años de experiencia en el mercado suele ser más confiable.
• Medidas de Seguridad Implementadas :
  Pregunta específicamente qué medidas de seguridad utiliza el proveedor. Algunas preguntas clave incluyen:
  • ¿Ofrecen firewalls de aplicaciones web (WAF)?
  • ¿Implementan protección contra ataques DDoS?
  • ¿Realizan escaneos regulares de malware?
  • ¿Ofrecen certificados SSL gratuitos o integrados?
• Copias de Seguridad Automáticas :
  Asegúrate de que el proveedor realice copias de seguridad automáticas diarias o semanales. Esto es crucial para recuperar tu sitio en caso de un ataque o fallo técnico.
• Soporte Técnico 24/7 :
  Un buen soporte técnico es esencial para resolver problemas rápidamente. Verifica si el proveedor ofrece soporte las 24 horas del día, los 7 días de la semana, y si está disponible a través de múltiples canales (chat, correo electrónico, teléfono).
• Aislamiento de Sitios en Servidores Compartidos :
  Si eliges un servidor compartido, pregunta si el proveedor implementa tecnologías de aislamiento para evitar que un sitio comprometido afecte a otros en el mismo servidor.

4. Medidas de Seguridad que Deberías Exigir a Tu Proveedor

Además de elegir un proveedor confiable, asegúrate de que implementen las siguientes medidas de seguridad:

• Firewall de Aplicaciones Web (WAF) :
  Un WAF filtra el tráfico entrante y bloquea solicitudes maliciosas antes de que lleguen a tu sitio. Esto es especialmente útil para prevenir ataques como inyecciones SQL y cross-site scripting (XSS).
• Protección contra Ataques DDoS :
  Los ataques de denegación de servicio distribuido (DDoS) pueden sobrecargar tu servidor y hacer que tu sitio sea inaccesible. Asegúrate de que tu proveedor tenga mecanismos para mitigar estos ataques.
• Escaneo Regular de Malware :
  Un buen proveedor debe realizar escaneos automáticos de malware y ofrecer herramientas para eliminar cualquier amenaza detectada.
• Certificados SSL/TLS Gratuitos :
  Los certificados SSL cifran la comunicación entre tu sitio y los visitantes, protegiendo datos sensibles como contraseñas y números de tarjetas de crédito. Muchos proveedores ofrecen certificados SSL gratuitos a través de Let’s Encrypt.
• Monitoreo Continuo :
  El proveedor debe monitorear constantemente el servidor en busca de actividades sospechosas y notificarte en caso de detectar algo inusual.

5. Riesgos de un Servidor Compartido y Cómo Mitigarlos

Si decides usar un servidor compartido debido a su bajo costo, ten en cuenta que estás asumiendo un mayor riesgo. Sin embargo, puedes mitigar estos riesgos siguiendo estas recomendaciones:

• Pregunta sobre el Aislamiento de Sitios :
  Asegúrate de que el proveedor utilice tecnologías como contenedores virtuales o “jaulas” para aislar cada sitio en el servidor compartido.
• Usa Plugins de Seguridad :
  Instala plugins de seguridad confiables como Wordfence o Sucuri para añadir una capa adicional de protección a tu sitio.
• Cambia el Prefijo de las Tablas de la Base de Datos :
  Durante la instalación de WordPress, cambia el prefijo predeterminado de las tablas (wp_) a algo único. Esto dificulta que los atacantes identifiquen y exploten vulnerabilidades relacionadas con la base de datos.
• Habilita Autenticación de Dos Factores (2FA) :
  Añade una capa adicional de seguridad a tu panel de administración mediante la autenticación de dos factores.

Conexiones inseguras: Seguridad en WordPress

Hay otro tipo de vulnerabilidades propias de internet o de la red desde la cual usted se conecta. Por ejemplo, no espere que una conexión en un locutorio o café internet, tenga cifrado de datos, un firewall optimizado y un antivirus que detenga malware, virus o spyware nocivos para su wordpress.

Y eso sin contar con que en conexiones publicas (pc o cabinas con equipos que cualquiera usa) normalmente hay keylogger para robar contraseñas y nombres de usuario. Sea este el momento de recordar la lectura de seguridad informática y virus, un par de artículos donde doy pautas de sentido común respecto a la seguridad.

Su propio pc

Un antivirus actualizado, escaneos frecuentes; un firewall activo, evita que desde su propio equipo esté subiendo virus y malware a su servidor. Navegación segura; hay muchos sitios webs que transmiten sus infecciones solo por ingresar allí.

Contraseñas o passwords

Otro tipo de recomendaciones de seguridad tiene que ver con la vulnerabilidad de las contraseñas que normalmente usamos, muy cortas (4 caracteres, cuando lo ideal es más de 6-después del último ataque de fuerza bruta sugiero 20 e inclusive 30-, que incluyan caracteres alfanuméricos, así como mayúsculas y minúsculas) o muy evidentes; pero no hay que olvidar el nombre de usuario.

Sugiero leer este articulo ilustrativos: passwords. Y así suene trillado, que su nombre de usuario no sea admin o 1 por favor, estaría, entregando su sitio en bandeja de plata.Tampoco editor o moderator, por favor.

Contraseñas de baja calidad

Algunas contraseñas de baja calidad (fácilmente burlables o vulnerables) pudieran ser: “1234”, “12345678”, “password”, “jesus,” “ninja,” “mustang,” “password1,” y “bienvenido”; otras terribles serían “abc123”, “qwerty”,”dragon”, “111111”, “iloveyou”, “123123”, su primer o segundo nombre, su numero de documento de identidad, su año de nacimiento.

Los hackers no se sientan toda la noche a probar manualmente si una funciona y otra no, se automatizan los procesos; como se dice en el medio, no se trata de algo personal, solo son negocios. Usan lo que en principio se conoce como técnica de ataque de diccionario, donde se trata de derrotar un sistema de cifrado o mecanismo de autenticación, intentando descifrar sus contraseñas, como un diccionario, en un orden establecido.

Consejos sobre contraseñas

Cambie sus contraseñas con frecuencia; no las comparta; no las escriba, mejor, use un administrador de contraseñas del tipo Keepass o Lastpass.

Almacene su contraseña de forma segura

Un problema al elegir una contraseña segura es que son difíciles de recordar. Aquí hay varios métodos que puede utilizar para almacenar sus contraseñas y cada una de ellas tiene ventajas y problemas asociados con ellas. Elige cuál funciona para ti y sabe que ninguna de ellas es perfecta:

Use un servicio de billetera de contraseñas como 1password que almacena sus contraseñas encriptadas y usa una contraseña maestra para acceder a ellas.

Estos servicios también pueden ser pirateados, lo que compromete todas sus contraseñas a la vez. La ventaja de usarlos es que nunca tiene que recordar otra contraseña.

Escriba su contraseña abajo. Fácil de hacer, pero si alguien obtiene acceso físico a su oficina, sus contraseñas se verán comprometidas.
Memorice sus contraseñas. Muy seguro, pero si olvida sus contraseñas, tiene mucho trabajo para recuperarlas.

Utilice una fórmula de contraseña. Por ejemplo: tome las letras del nombre de dominio con el que se está iniciando, agréguelas al principio y al final de una contraseña que haya memorizado con alguna fórmula y que tenga una contraseña única para cada sitio en el que inicie sesión con una forma de recordar cada una.

Esto puede ser muy seguro si la fórmula que produce produce contraseñas seguras.
Elija un mecanismo de almacenamiento de contraseñas que funcione para usted y asegúrese de elegir contraseñas seguras para su sitio de WordPress, especialmente para sus cuentas de nivel administrativo de WordPress.

Inicio de sesión

La seguridad de WordPress comienza en el momento en que inicia sesión en su sitio de WordPress para administrarlo. Compruebe el nombre de dominio que está iniciando.

Una táctica común que utilizan los piratas informáticos es que le enviarán un correo electrónico con un enlace para que inicie sesión en un servicio. El servicio puede parecer ser su propio sitio de WordPress, pero en realidad es su sitio web malicioso.

Cuando inicia sesión en lo que parece ser su propio sitio web de WordPress, almacenan su nombre de usuario y contraseña y lo utilizan para piratear su sitio real de WordPress. Esta técnica se llama ‘phishing’.

Una forma de evitar el “phishing” es asegurarse de que cuando inicie sesión en un sitio, verifique el nombre de dominio en la barra de ubicación de su navegador web para asegurarse de que sea su propio sitio web.

Intenta usar solo HTTPS

El uso de una conexión segura es una parte importante de la seguridad de WordPress. Antes de iniciar sesión, compruebe la barra de ubicación de su navegador para asegurarse de que su sitio comience con ‘https: //’ y esté verde (en la mayoría de los navegadores).

También puede tener un icono de candado que indica que es una página segura. El inicio de sesión a través de HTTPS garantiza que su información de inicio de sesión se envíe encriptada a través de la Red y que alguien que la escuche no pueda robar su nombre de usuario y contraseña.

Muchos sitios de WordPress no usan HTTPS y si el suyo es uno de ellos, comuníquese con el administrador de su sitio y pídales que lo actualicen a HTTPS. Esto generalmente implica la compra de un certificado HTTPS de una Autoridad de Certificación . Cuestan desde gratis hasta más de $ 1000 dólares dependiendo del tipo de certificado que compre y de quién lo compre.

No incrustar código no confiable

La incorporación de javascript u otro código en su sitio le da al propietario del código acceso a datos muy confidenciales. Pueden robar sus cookies de visitante, incluidas las cookies de su propio sitio cuando inicia sesión como administrador. Esto le puede dar al propietario del código acceso de nivel de administrador a su sitio web.

Antes de tomar algo de código y agregarlo a una página o publicación para que pueda incluir un widget de video o Javascript, primero considere la fuente. ¿Confías en la empresa que te proporciona el código? Si es YouTube.com o Vimeo, probablemente puedas confiar en ellos. Si es weStealCookies.com o knownBadGuys.com, quizás debería reconsiderarlo. La evaluación cuidadosa del código antes de integrarlo en su sitio es una parte integral de la seguridad de WordPress.

Cuidado con el redactor invitado

Una vez que su sitio comienza a recibir tráfico de los motores de búsqueda, es posible que alguien se ofrezca a hacer una publicación de invitado. Si elige permitirle que publiquen post o artículos, le recomendamos que publiquen la publicación utilizando una plataforma de terceros como Google Docs. Luego, puede copiar y pegar el contenido en una publicación y publicarlo, dando crédito al póster del invitado si lo desea.

Si permite que el póster invitado edite una publicación o página directamente en su sitio, debe otorgarles un mayor nivel de acceso para crear un documento borrador. También debe ver la fuente de la publicación o página haciendo clic en la pestaña “Texto” en la parte superior del artículo para asegurarse de que no incrustó ningún código en la publicación o incluir enlaces a sitios web que tal vez no apruebe.

Asegúrese de analizar cuidadosamente cualquier artículo invitado para los enlaces de spam y el código incrustado.

Permisos administrativos

Fíjese así mismo en los permisos administrativos de su archivos y directorios web, ajustando lo que necesite al respecto.

Copias de seguridad

Haga frecuentes copias de seguridad de su base de datos y de los contenidos de su sitio, no vaya y sea que lo echen abajo y no posea soporte para restaurarlo.

Spam

Filtrado automático

Le sorprenderá saber que consideramos el spam como una función de seguridad de WordPress. Casi inmediatamente después de lanzar su primer sitio de WordPress, notará que aparecen comentarios que son basura, con enlaces a sitios web llenos de basura. Bienvenido a ‘comentar spam’. Para ayudar a filtrar el spam de comentarios, recomendamos dos complementos para WordPress:

• Akismet : este complemento hace un gran trabajo ayudando a filtrar el spam de comentarios automáticamente y reducirá su carga de trabajo.
• Wordfence : Wordfence es un complemento de seguridad de WordPress e incluye algunas características adicionales de filtrado de correo no deseado que marcarán automáticamente el comentario de spam y lo clasificarán en la carpeta de correo no deseado.

Una vez que haya configurado el filtro automático de correo no deseado, desafortunadamente descubrirá que parte del correo no deseado pasa a través de los filtros y usted necesita filtrarlo manualmente.

Desarrollar una política de filtrado de spam manual

Recomendamos seguir estas pautas:

• No permita comentarios que incluyan código incrustado o javascript. Por lo general, esto no está permitido y WordPress lo eliminará, pero a veces aparecen vulnerabilidades que permiten el paso de código como este. Si ve el código, simplemente márquelo como spam a menos que esté ejecutando un sitio web para desarrolladores y desee permitir que sus comentaristas incluyan ejemplos de código.
• Confíe en los comentarios que no incluyen una URL del sitio más que aquellos con una URL. En general, los spammers siempre incluirán la URL de su sitio con el comentario. Los comentaristas reales hacen lo mismo, pero en general, cuando ves un comentario sin URL, significa que quien lo haya publicado no está interesado en la autopromoción y rara vez encontrarás spammers que no estén interesados ​​en eso.
• No permita comentarios en un idioma que no entienda. Por alguna razón, tenemos un problema con los comentarios japoneses que pasan a través de nuestro filtro de correo no deseado. No sabemos lo que dice el comentario, si contiene un discurso políticamente sensible o si contiene contenido para adultos. Filtre estos.
• Considere cuidadosamente un comentario con muchas URLs. Por lo general, estos son típicos de los comentarios de spam y hay algunas razones legítimas para incluir un gran número de URL en un comentario.

Revisar la configuración de comentarios

En WordPress, vaya a “Configuración> Discusión” (Ajustes, comentarios) y encontrará la configuración que rige su política de comentarios. Aquí hay algunas sugerencias útiles:

• Es posible que desee deshabilitar pingbacks y trackbacks. Esta puede ser una fuente común de spam y, a menos que desee que los enlaces se agreguen automáticamente a los sitios que lo enlazan, deshabilite esta función.
• Permitir que las personas publiquen comentarios sobre nuevos artículos. Esto mantiene las cosas animadas.
• Requerir que el autor del comentario complete el nombre y correo electrónico.
• La función para “cerrar comentarios automáticamente” con más de una cantidad de días es excelente para reducir su carga de trabajo de filtrado de correo no deseado. La mayoría de los comentarios en una publicación o página aparecerán dentro de los primeros días y luego se reducirán a nada. Sin embargo, mira cómo se comportan los visitantes de tu sitio. Hemos visto páginas que se han convertido en una especie de “foro” sobre un tema en particular y, si no le importa filtrar los comentarios de spam en publicaciones anteriores, esta puede ser una excelente manera de que su comunidad de usuarios siga aportando contenido valioso a su sitio.
• Es probable que desee recibir un correo electrónico cada vez que se publique un comentario, a menos que el tráfico de comentarios sea muy intenso y se registre diariamente.
• Rechazar un comentario si contiene uno o dos enlaces es una característica útil porque los spammers suelen incluir enlaces en el cuerpo del comentario.
  
  Revise cuidadosamente la configuración de sus comentarios, desarrolle una política que coincida con las necesidades de su sitio web y la comunidad y que ayude a limitar el spam.

Temas, themes o plantillas

Encontrar e instalar temas

Un tema en sus sitios de WordPress crea la apariencia de su sitio. Instala un tema nuevo en el menú Apariencia> Temas.

Evitar temas nulos y maliciosos

Los temas anulados han tenido un gran impacto en la seguridad de WordPress. Al elegir un tema para su sitio de WordPress, evite descargar temas de fuentes no confiables. Desafortunadamente, hay muchos sitios web en la Web que distribuyen temas maliciosos. Estos temas se denominan temas “nulos” y contienen códigos maliciosos preinstalados. Sólo instale temas de fuentes confiables.

La fuente más popular para los temas de WordPress es el repositorio oficial de temas de WordPress que puede encontrar en WordPress.org. Estos son temas aportados por la comunidad. Son de código abierto y generalmente son confiables y libres de infecciones.

Los temas comerciales se pueden encontrar en sitios conocidos como Themeforest.net y ElegantThemes . Cuando use un tema de una fuente que no reconoce, intente buscar en Google el nombre del dominio del sitio entre comillas y puede encontrar informes que indiquen si el sitio es confiable o si participa en una campaña de malware.

Actualizar el tema regularmente

En ocasiones, se puede descubrir una vulnerabilidad de seguridad en el tema de su sitio que permite a los piratas informáticos obtener acceso.

Cualquier creador de temas confiable distribuirá correcciones para vulnerabilidades en forma de nuevos lanzamientos de temas. Asegúrese de actualizar a la versión más reciente de su tema si se publica una después de revisar los cambios. Esto asegurará que cualquier corrección se incorpore a su tema.

Nota: es una práctica común entre los desarrolladores de WordPress personalizar los temas. Si actualiza su tema, puede perder algunos cambios que un desarrollador ha realizado. Si está utilizando un tema que se ha personalizado y nota que se ha lanzado una nueva versión, trabaje con el desarrollador de su sitio para asegurarse de que no pierda ninguna personalización en su sitio cuando realice la actualización. Una opción para preservar sus personalizaciones es usar temas secundarios o hijos .

Gestión de Plugins y Temas: Menos es Más

Mantén los Plugins y Temas Actualizados :
Al igual que con WordPress, los plugins y temas deben actualizarse regularmente. Las actualizaciones suelen incluir correcciones de seguridad que protegen tu sitio de amenazas emergentes.

Elimina Plugins y Temas Inactivos :
Los plugins y temas inactivos no solo ocupan espacio en tu servidor, sino que también pueden representar un riesgo de seguridad. Aunque no estén activos, pueden contener vulnerabilidades que los atacantes puedan explotar. Elimina cualquier plugin o tema que no utilices.

Usa Plugins de Confianza :
Al instalar nuevos plugins, asegúrate de que provengan de fuentes confiables, como el directorio oficial de WordPress o desarrolladores reconocidos. Verifica las reseñas, la frecuencia de actualizaciones y la compatibilidad con la versión actual de WordPress.

Encontrar e instalar complementos

Los complementos de WordPress son muy útiles y una de las características más poderosas de WordPress. Hay decenas de miles de complementos de código abierto disponibles en WordPress.org en el repositorio oficial de complementos de WordPress . Puede instalar fácilmente nuevos complementos iniciando sesión en la interfaz administrativa de WordPress, yendo a Complementos> Agregar nuevo y utilizando la función de búsqueda para encontrar complementos que se ajusten a sus necesidades.

Al igual que con los temas, es importante evitar la instalación de complementos “nulos” que son distribuidos por un sitio web malicioso y contienen códigos maliciosos preinstalados.

Los complementos del repositorio oficial de complementos son generalmente seguros de instalar. El equipo de WordPress vigila de cerca el repositorio de complementos para códigos maliciosos. El repositorio de complementos también es visible para la comunidad de WordPress, que informa sobre vulnerabilidades y actividades maliciosas.

Cómo evitar vulnerabilidades en los complementos

Comprender las vulnerabilidades de los complementos es una parte crítica de la seguridad de WordPress porque los complementos vulnerables son la forma más común en que se hackea un sitio de WordPress.

Si bien es un recurso muy poderoso y útil, los complementos son una de las cosas que pueden conducir a serias vulnerabilidades de seguridad en un sitio web de WordPress. Contienen significativamente más código PHP que los temas y el código es más complejo. Esto crea más oportunidades para que las vulnerabilidades se introduzcan en el código.

Es importante tener en cuenta que WordPress no es una plataforma intrínsecamente insegura. Es simplemente una plataforma muy popular y tiene una gran cantidad de complementos disponibles. WordPress tiene más de 40,000 complementos disponibles (con más de 1 billón de descargas), lo que lo convierte en un objetivo atractivo para los hackers. Debido a esto, es importante que siga algunas pautas al elegir, instalar y mantener sus complementos de WordPress.

Recomendaciones

Aquí hay algunos consejos importantes:

• Sólo instale complementos de un sitio de buena reputación. El repositorio oficial de plugins es un gran comienzo.
• Solo instala los plugins que necesite. Cuantos menos complementos tenga disponible, menor será la “superficie de ataque” a la que tienen acceso los piratas informáticos porque tienes menos código para atacar en tu sitio.
• No deje plugins desactivados en su sitio. Borrelos. Los complementos desactivados aún pueden proporcionar una forma para que un pirata informático pueda ingresar porque el código aún puede ser de acceso público.
• Sólo instale complementos bien mantenidos. Si un complemento no se ha actualizado en un año o más, probablemente no se mantenga. Eso significa que si un investigador informa un problema de seguridad (una vulnerabilidad) al desarrollador, es posible que no lo solucione.
• Cuando se lance una nueva versión de un complemento, revise los cambios y actualice a la versión más reciente tan pronto como sea posible, especialmente si incluye una solución de seguridad.
  
  Mantener sus complementos actualizados y seguros es una de las formas más efectivas de garantizar que su sitio web de WordPress se mantenga seguro.

Evitar códigos y widgets peligrosos

En la sección anterior sobre publicaciones y páginas, mencionamos evitar la instalación de código no confiable. WordPress incluye una característica útil que le permite instalar “widgets”, que son elementos que aparecen en su barra lateral o pie de página.

Puede acceder a esta función visitando Apariencia> Widgets.

La mayoría de los widgets son útiles y proporcionan características útiles. Algunos sitios y servicios ofrecen código javascript u otro código que puede insertar como un widget en su sitio. Por lo general, agregará un widget de texto e incluirá el código que proporcionan.

Elija con cuidado al insertar el código de otro sitio web o fuente en su sitio. Si instala el código de otra persona, le concede acceso a los datos confidenciales de su sitio, incluidas las cookies de los visitantes de su sitio y sus propias cookies administrativas.

Si el código que está cargando en el widget se carga desde su propio sitio web, entonces tiene la capacidad de mantener ese código. Si el código se carga desde el sitio web de otra persona, pueden cambiar el código cuando lo deseen.

Por ejemplo, digamos que su sitio es example.com. Si carga el código que incluye como un widget desde http://example.com/mycode.js, entonces controla qué código se está cargando en su sitio. La única forma en que el archivo mycode.js puede cambiar es si lo cambia.

Sin embargo, si example.com es propiedad de otra persona y está cargando ese código en su propio sitio, simplemente pueden ingresar y editar mycode.js, cambiarlo para que robe las cookies de su sitio y crear un grave problema de seguridad para usted.

Se puede confiar en algunos códigos javascript que se cargan desde un sitio externo. Google Analytics y Google AdSense son ejemplos de código javascript que se carga desde otro sitio web (los servidores de Google en ambos casos). Por lo tanto, si elige instalar un widget en su sitio que carga código de otro lugar, asegúrese de que sea un sitio web confiable.

Creando nuevos usuarios de forma segura

Por omisión el sistema puede permitir que cualquiera se registre, generalmente con rol de suscriptor, esto aumenta no solo el spam sino las posibilidades de ofrecer fisuras o posibilidades de ataques con más elementos de juicio. Lo mejor desactivar esta opción y solo manualmente crear los nuevos usuarios que deseemos y controlemos (por decirlo de alguna forma).

Pass

Al crear el nuevo usuario, es mejor dejar que el sistema provea la contraseña para garantizar que sea fuerte, difícil de romper.

Buscar vulnerabilidades

Vamos así mismo a buscar vulnerabilidades en la instalación de wordpress y en sus plugins; un buen sitio para enterarse es secunia; el mismo portal oficial de wordpress ayuda en esto.

Leer también: Cómo crear un .htaccess nuevo y porqué hacerlo en wordpress ; Desactivar la firma del servidor, versión de Apache ; Ocultar el número de versión de Php; Seo y seguridad web; How Does WordPress Hosting Differ From Web Hosting

Ediciones 2013-14-18-20-25

Fuentes bibliográficas

1. WordPress.org. (2023, January 15). Hardening WordPress: Best practices for security .
   Retrieved from https://wordpress.org/support/article/hardening-wordpress/
2. Sucuri Blog. (2023, February 10). Top WordPress security tips to prevent attacks .
   Retrieved from https://blog.sucuri.net/2023/02/top-wordpress-security-tips.html
3. Wordfence Blog. (2023, March 5). How to secure your WordPress site from hackers .
   Retrieved from https://www.wordfence.com/blog/2023/03/how-to-secure-your-wordpress-site-from-hackers/
4. WPBeginner. (2023, April 1). The ultimate guide to WordPress security .
   Retrieved from https://www.wpbeginner.com/wp-tutorials/the-ultimate-guide-to-wordpress-security/
5. Cloudflare Blog. (2023, March 15). Protecting WordPress sites with Cloudflare’s security features .
   Retrieved from https://blog.cloudflare.com/protecting-wordpress-sites-with-cloudflare-security/
6. Kinsta Blog. (2023, February 20). WordPress security: A comprehensive guide to preventing attacks .
   Retrieved from https://kinsta.com/blog/wordpress-security/
7. SiteGround Blog. (2023, March 10). Essential WordPress security measures you need to know .
   Retrieved from https://www.siteground.com/blog/essential-wordpress-security-measures/
8. Smashing Magazine. (2023, January 25). WordPress security myths debunked: What you didn’t know .
   Retrieved from https://www.smashingmagazine.com/2023/01/wordpress-security-myths-debunked/

• Author
• Recent Posts

Angel Eulises Ortiz

Blogger at Pcweb.info

Como blogger, disfruto compartiendo mis conocimientos sobre marketing digital y otras herramientas útiles para emprendedores y profesionales. La curiosidad por los idiomas y la fascinación por diferentes civilizaciones son parte integral de mi vida. Escribo sobre: tecnología, marketing, historia, sociedad, salud y más.

As a blogger, I enjoy sharing my knowledge about digital marketing and other useful tools for entrepreneurs and professionals. Curiosity about languages ​​and fascination with different civilizations are an integral part of my life. I write about: technology, marketing, history, society, health and more.

Latest posts by Angel Eulises Ortiz (see all)

• Conclave definition meaning, what is it ? The truth (7) - April 24, 2025
• Eucharist Meaning: Understanding Communion’s Spiritual Significance (7) - April 24, 2025
• Concilio de Nicea 325, historia, que pasó, qué fue, en qué consistió - April 23, 2025