WordPress es uno de los sistemas de gestión de contenido más populares de Internet. Ha atraído a miles de millones de usuarios y es utilizado por millones de sitios web. Debido a que es un sistema de tan alto perfil, también es el objetivo de muchos ataques e intentos de piratería. Por lo tanto, es fundamental que todos los sitios web que utilicen WordPress tomen los pasos necesarios para proteger su sistema y que sus propietarios eviten prácticas inseguras. En este artículo, esperamos brindar una revisión de algunas de las mejores prácticas de seguridad para su sitio web de WordPress.
Utilice nombres únicos para bases de datos MySQL
No solo es importante crear una base de datos MySQL separada para cada instalación de WordPress, sino que también es igualmente importante asegurarse de que cada base de datos use un nombre único. Por ejemplo, no debe utilizar nombres genéricos como «wordpress» o «blog» para el nombre de su base de datos. En su lugar, asegúrese de utilizar un nombre único para cada base de datos que utiliza WordPress. Para estar más seguro y protegido, incluso puede usar solo una cadena aleatoria de letras y números como nombre de su base de datos. De cualquier manera, el punto es elegir un nombre que no sea fácil de adivinar por un atacante que pueda estar tratando de obtener acceso a su base de datos MySQL.
Deshabilitar XML-RPC
XML-RPC es un tipo de API que permite que dispositivos externos se conecten a su instalación de WordPress para administrar el contenido de su sitio. Si está utilizando la aplicación móvil de WordPress en su teléfono móvil, es esta API la que utiliza para conectarse con esa aplicación. Hay otras aplicaciones de terceros que usan esta misma API para administrar WordPress. Esta API también se utiliza para trackbacks y pingbacks. Debido a que esta API se puede usar de estas maneras, es posible que no desee deshabilitarla, especialmente si está utilizando la aplicación móvil de WordPress. Sin embargo, si no está utilizando esta API, puede deshabilitarla con un complemento Deshabilitar XML-RPC. Mantener esta API habilitada no presenta una vulnerabilidad de seguridad inherente, sin embargo, permite un punto de acceso más para que los atacantes puedan ingresar si tienen sus credenciales de inicio de sesión. Además, esta API está diseñada para publicar grandes cantidades de contenido a la vez, lo que la convierte en el vector de ataque ideal para ataques de fuerza bruta. Si no está utilizando esta API, deshabilitarla es fácil y puede brindarle una tranquilidad adicional.
Habilitar certificados SSL
Secure Socket Layer (SSL) permite una conexión cifrada entre su servidor web y la computadora de sus usuarios. Esto permite que sus usuarios tengan la mejor privacidad posible a través del protocolo HTTPS. SSL protege al público en general de cosas como los ataques de «hombre en el medio» y otros métodos de interceptación del tráfico web. Debido a esto, SSL ha sido ampliamente aceptado como estándar de la industria y se utiliza en la gran mayoría de sitios web. Sin embargo, el uso de SSL también puede ayudar a proteger su instalación de WordPress, porque también cifrará el tráfico entre su back-end de WordPress y su computadora. Esto significa que podrá iniciar sesión en su área de administración de WordPress desde cualquier red sin temor a exponer sus credenciales de inicio de sesión a ojos atentos. Podrá iniciar sesión en WordPress en su cafetería favorita o mientras se hospeda en un hotel sin preocuparse si sus credenciales corren el riesgo de ser copiadas o robadas.
Utilice una red de distribución de contenido (CDN)
Muchas redes de distribución de contenido (CDN) populares vienen con dos características de seguridad principales. El primero es un firewall de aplicaciones web (WAF) y un sistema para proteger contra ataques distribuidos de denegación de servicio (DDOS). Al principio de este artículo ya hemos hablado de los WAF y por qué son importantes. Si es cliente de Cloud22, ya tenemos esta función habilitada para usted de forma predeterminada. Sin embargo, si está utilizando una empresa de alojamiento diferente, puede habilitar fácilmente un WAF utilizando una CDN como Cloudflare. La segunda característica de seguridad popular que ofrecen muchas CDN es la protección contra ataques DDOS. Este tipo de ataques intentan desconectar el sitio web de una víctima sobrecargando el servidor web con millones de solicitudes muy rápidamente. Si el atacante tiene éxito, el servidor web se sobrecargará con solicitudes y no tendrá otra opción que cerrar por completo o reducir significativamente el tiempo de respuesta a los usuarios válidos. Para protegerse contra este estilo de ataque, los propietarios de sitios web deben utilizar un CDN como Cloudflare, que ofrece protección contra ataques DDOS dentro de su oferta gratuita.
Actualice WordPress y sus plugins
Todos los días se descubren nuevas vulnerabilidades de seguridad. Debido a esto, los desarrolladores de software se ven constantemente obligados a actualizar su código para protegerse contra nuevas formas innovadoras de piratear sitios web y otros sistemas. Es por eso que a menudo parece que las actualizaciones muestran pequeñas diferencias notables después. Si bien puede parecer redundante e innecesario actualizar constantemente su software, es fundamental mantener una instalación segura de WordPress. Mantener su núcleo, temas y complementos de WordPress actualizados garantizará que su sitio web esté protegido contra vulnerabilidades conocidas. Si necesita ayuda con su WordPress puede comunicarse con nosotros.
Utilice solo temas y complementos de fuentes confiables
Debido a que WordPress es de código abierto, cualquiera puede ver y editar el código fuente. Esto también se aplica a los temas y complementos de WordPress. Este nivel de transparencia y apertura permite una innovación incomparable y un desarrollo rápido. Sin embargo, también puede permitir que la actividad maliciosa se incruste fácilmente dentro de un tema o complemento de WordPress. Debido a esto, es importante seleccionar solo temas y complementos de WordPress de fuentes confiables que tengan una reputación de buenos productos o pautas estrictas de control de calidad (QA). El mejor lugar para descargar temas y complementos de WordPress es WordPress.org. El equipo de desarrolladores voluntarios de WordPress.org aplique un proceso de revisión estricto para todos los temas y complementos que se encuentran en el repositorio. Este proceso supervisa las pautas de control de calidad y las mejores prácticas de seguridad para garantizar que no se inserte código malicioso en ningún tema o complemento. Otras fuentes de terceros también pueden ser seguras, sin embargo, es mejor seleccionar temas y complementos que tengan una sólida reputación en la comunidad de WordPress u otros usuarios. Es importante leer reseñas de usuarios imparciales sobre temas y complementos.
Cambiar la URL de inicio de sesión de WordPress
Si desea evitar que los delincuentes entren en su casa, lo primero que debe hacer es asegurarse de que la puerta de entrada tenga una cerradura segura. ¡Pero una medida más eficaz podría ser ocultar también la puerta de entrada por completo! Si los atacantes no pueden encontrar un punto de acceso a un sistema, es casi imposible ingresar. WordPress es lo mismo. Si podemos ocultar con éxito su página de inicio de sesión de WordPress, los atacantes tendrán muchas más dificultades para entrar. La URL predeterminada para la página de inicio de sesión de WordPress es example.com/wp-login.php Podemos cambiar la ubicación de esta página utilizando un complemento como WPS Hide Login.
