Más del 40% de los 10 millones de sitios web principales en línea utilizan WordPress. ¿Pero es seguro WordPress? La respuesta corta a esta pregunta es si – WordPress es seguro. Sin embargo, eso no significa que WordPress no tenga vulnerabilidades.

Afortunadamente, la comunidad de WordPress ha documentado muchas vulnerabilidades comunes de WordPress, lo que facilita a los administradores de sitios web agregar capas de seguridad a su sitio. En este artículo, cubriré 5 formas sencillas de crear su sitio web en WordPress. más, asegurar.

Índice del contenido

1. Tenga nombres de usuario de administrador únicos y contraseñas de inicio de sesión seguras

La página de inicio de sesión del administrador es la primera línea de defensa para su sitio web de WordPress. Es donde cualquier administrador o usuario puede obtener acceso al "back-end" de su sitio y realizar cambios en el sitio, ingresar o extraer datos de usuarios/clientes, o agregar o eliminar archivos y funciones del sitio, siempre que se le haya otorgado permiso para hacerlo. .

Sin embargo, los malos actores también pueden usar esta página de inicio de sesión como puerta de entrada para un ataque contra su sitio. Por ejemplo, en “Fuerza Bruta”, los piratas informáticos intentan repetidamente adivinar sus credenciales de inicio de sesión para obtener acceso a su sitio.

Estos piratas informáticos no tardarían mucho en acceder con éxito a la información confidencial de su sitio si utiliza un nombre de usuario y una contraseña de administrador genéricos (como "admin" para el nombre de usuario y "password1234" para la contraseña).

Por lo tanto, lo primero que puede hacer para que su sitio sea más seguro es use nombres de usuario únicos y contraseñas seguras para las credenciales de inicio de sesión del sitio. También querrá asegurarse de que su nombre de usuario y contraseña sean único para su sitio web de WordPress y no se utiliza para otras ubicaciones de inicio de sesión (como su banca en línea o inicio de sesión en redes sociales). Esto agregará una capa adicional de seguridad.

Si, por otro lado, recicla sus nombres de usuario y contraseñas en varios sitios, todos los sitios que utilizan estas credenciales se pondrán en peligro en el momento en que un pirata informático comprometa uno de ellos.

Si le preocupa perder su información de inicio de sesión, haga una copia en papel de la información (¡asegúrese de incluir las mayúsculas adecuadas!). Guarde la copia en papel en un lugar seguro donde solo usted y las personas de confianza tengan acceso (como un archivador con cerradura).

Además, puede habilitar la autenticación de dos factores o una contraseña de un solo uso (OTP) para su página de inicio de sesión de WordPress. Esto proporcionará otra capa de seguridad para más niveles de protección. por ejemplo, el Complemento de seguridad de WordPress SG Security (que viene con Iart planes de hosting) viene con una función de "autenticación de dos factores" que utiliza el complemento de autenticación de Google. Esto significa que incluso si un hacker adivinara su nombre de usuario y contraseña de administrador, aún necesitaría descubrir el código de autenticación generado aleatoriamente para obtener acceso al backend de su sitio.

WordPress simplificado: curso sobre cómo crear sitios web potentes por Davies Media Design

2. Usa la última versión de WordPress

Otra manera fácil de mantener tu sitio seguro es usar siempre la última versión de WordPress. WordPress se ejecuta en un "ciclo de lanzamiento" que lanza nuevas versiones del código central cada 4 meses más o menos. Si bien las nuevas versiones de WordPress pueden ser menores o mayores, casi siempre contienen actualizaciones de seguridad.

Estas actualizaciones se basan en la información más reciente de fuentes como el Proyecto de Seguridad de Aplicaciones Web Abiertas (Fundación OWASP)), “una comunidad en línea dedicada a la seguridad de las aplicaciones web”.

Afortunadamente, WordPress y cada una de sus nuevas versiones de lanzamiento siempre se pueden instalar gratis en su sitio. Y, en la mayoría de los casos, WordPress actualizará automáticamente su sitio a la última versión (a menos que le indique específicamente que no lo haga o esté usando una versión anterior a WordPress 3.7).

Además, el equipo central de WordPress se esfuerza mucho en hacer que las nuevas versiones de WordPress sean compatibles con versiones anteriores. Esto simplemente significa que las nuevas versiones de WordPress están diseñadas para funcionar con sus temas, complementos y código personalizado existentes.

Puede verificar si su sitio está actualizado a la última versión navegando a Panel de control> Actualizaciones (flecha amarilla en la imagen de arriba). Aquí verás qué versión de WordPress estás usando y si es la última versión disponible (flecha roja en la imagen de arriba).

Una cosa importante a tener en cuenta es que normalmente no desea "saltar" a la última versión de WordPress si está utilizando una versión mucho más antigua.

Por ejemplo, si está utilizando WordPress 4.9 (lanzado en 2017) en su sitio en vivo, no recomiendo intentar actualizar directamente a WordPress 6.2 (la última versión en el momento de este artículo). Esto romperá cosas.

En su lugar, puede descargar e instalar lanzamientos anteriores a su sitio web y actualice lentamente su sitio. Además, querrá hacer una copia de seguridad de los archivos de su sitio antes de realizar sus actualizaciones. recomiendo revisar este artículo sobre los diversos pasos a seguir antes, durante y después de hacer una copia de seguridad de su sitio de WordPress. Definitivamente puede ser un proceso, pero le ahorrará el dolor de cabeza de colapsar su sitio e intentar arreglar todo después del hecho.

Tenga en cuenta que cuanto más antigua sea su versión actual de WordPress, más tedioso y precario será este proceso. ¡Esta es una razón más para mantener tu versión de WordPress actualizada en todo momento!

3. Actualice su tema a la última versión, además de desinstalar temas no utilizados

WordPress “refuerza” la seguridad de sus temas predeterminados al desarrollar, iterar y lanzar constantemente nuevas versiones de temas. Esto significa que siempre debe usar el último tema predeterminado de WordPress cuando pueda, ya que tendrá incorporadas las últimas actualizaciones de seguridad.

Afortunadamente, es fácil saber qué tema predeterminado es el más reciente porque nombran cada nuevo tema después del año actual (o próximo) en el que se lanzará el tema. Por ejemplo, el tema que lanzaron en 2023 se llama “Twenty Twenty-Three”.

Aparte de las actualizaciones de seguridad, los nuevos temas predeterminados también contienen muchas características nuevas que están diseñadas para hacer que el diseño de sus sitios web sea más fácil y divertido. Además, a menudo vienen con mejoras de rendimiento para que su sitio funcione mejor y, por lo tanto, lo ayuden a obtener más tráfico.

¿No estás seguro de cómo actualizar tus temas en WordPress? Te muestro cómo en mi WordPress para principiantes 2023: clase magistral de WordPress sin código en Udemy.

Ya sea que decida usar el último tema predeterminado para su sitio de WordPress o quedarse con el tema con el que se sienta cómodo, siempre debe eliminar cualquier tema inactivo o no utilizado en el back-end de su sitio. Esto se debe a que los temas no utilizados (especialmente los temas más antiguos o los temas de terceros) pueden tener vulnerabilidades de seguridad que facilitan que los piratas informáticos accedan a su sitio y lo ataquen.

Puede aprender cómo eliminar temas no utilizados de WordPress en este artículo de ayuda de Davies Media Design.

4. Actualice los complementos a su última versión y verifique la compatibilidad

Una de las cosas que hace que WordPress sea genial es su integración de complementos de terceros. Sin embargo, no todos los complementos se crean de la misma manera y algunos de ellos pueden crear vulnerabilidades de seguridad para su sitio.

Afortunadamente, hay algunas cosas sencillas que puede hacer para reducir el riesgo de amenazas de seguridad creadas por complementos.

Para empezar, siempre se recomienda que descargar e instalar complementos de WordPress desde el repositorio de WordPress. Esto se debe a que los complementos enumerados aquí deben ser revisados ​​y aprobados por el equipo de seguridad de WordPress antes de que estén disponibles para su descarga. Puede encontrar estos complementos a través de este enlace directo al repositorio de complementos, o directamente desde el área de administración de WP de su sitio yendo a Complementos> Agregar nuevo (flecha amarilla en la imagen a continuación).

Al decidir qué complemento descargar para su sitio de WordPress, recomiendo encarecidamente usar complementos que se enumeran como "compatibles con su versión de WordPress". Afortunadamente, WordPress le dice si su complemento y la versión de WordPress son compatibles directamente desde el directorio de complementos (flecha roja en la imagen de arriba). Los complementos que no se hayan probado con la última versión de WordPress mostrarán el mensaje: "No probado con su versión de WordPress" (flecha azul en la imagen de arriba).

Si bien los complementos "no probados" pueden funcionar bien con su versión y tema de WordPress, es posible que haya vulnerabilidades de seguridad no descubiertas asociadas a estos complementos. Por lo tanto, use dichos complementos con precaución en su sitio web.

Tenga en cuenta que WordPress declara en su Libro Blanco de Seguridad: “La inclusión de complementos y temas en el repositorio no garantiza que estén libres de vulnerabilidades de seguridad”. Dicho esto, los complementos con "vulnerabilidades graves" conocidas se eliminan del repositorio e incluso pueden ser reparados por el equipo de seguridad de WordPress antes de volver a publicarse en el repositorio.

Finalmente, una vez que tenga los complementos instalados en su sitio, querrá asegurarse de mantenerlos actualizados. Los desarrolladores de complementos suelen introducir actualizaciones de seguridad y correcciones con sus nuevas versiones. Por lo tanto, al tener la última versión de un complemento, se asegura de tener las últimas actualizaciones de seguridad disponibles para ese complemento en su sitio. Al igual que con los temas no utilizados o inactivos, también le recomiendo que desactive y desinstale los complementos no utilizados en su sitio para reducir las posibilidades de que dichos complementos creen una vulnerabilidad de seguridad más adelante.

Si no está seguro de cómo actualizar complementos en WordPress, le recomiendo revisar este proceso en mi WordPress para principiantes 2023: clase magistral de WordPress sin código en Udemy.

5. Agregue un certificado SSL a su dominio

Las de forma sencilla La forma de agregar más seguridad a su sitio de WordPress en 2023 es agregar un certificado SSL a su dominio.

Los certificados SSL (Secure Socket Layer) esencialmente validan que el contenido que ven los visitantes de su sitio proviene del creador real del contenido, y no de un impostor o sitio web fraudulento. En otras palabras, verifica que todo sea legítimo directamente desde el navegador del usuario.

Los sitios que tengan un certificado SSL correctamente configurado tendrán un icono de candado junto a la URL del sitio en la barra de búsqueda del navegador. Por ejemplo, si observa la parte superior de este sitio web en el navegador Chrome de Google, verá un icono de candado junto a la URL principal (flecha roja en la imagen de arriba). Cuando haga clic en el icono de candado, verá una línea que dice "La conexión es segura". Esto es Google verificando que la conexión entre este sitio web y el navegador web del visitante es segura y privada.

Los certificados SSL son especialmente importantes para cualquier sitio web que recopile CUALQUIER tipo de datos del usuario. Esto incluye información simple recopilada de un formulario de contacto (es decir, nombre, correo electrónico, número de teléfono, etc.), así como información más compleja o privada que, por ejemplo, se recopilaría de un sitio de comercio electrónico (es decir, números de tarjeta de crédito, dirección, etc.). Al hacer que la conexión sea segura entre el sitio web y los visitantes del sitio, los certificados SSL hacen que sea muy difícil que los piratas informáticos roben la información intercambiada entre las dos partes.

Algunas empresas de alojamiento de sitios web cobran por un certificado SSL, mientras que otras (como SiteGround) ofrecerá un Certificado SSL gratuito. La mayoría de los proveedores de alojamiento deberían ofrecer un certificado SSL, así como proporcionar instrucciones sobre cómo instalarlo en su sitio web de WordPress.

Como beneficio adicional, los motores de búsqueda como Google tienden a clasificar los sitios web con certificados SSL más alto que los que no tienen uno. En otras palabras, los certificados SSL no solo hacen que sus sitios sean más seguros, sino que también pueden ayudar a que su sitio obtenga más tráfico.

¡Eso es todo por este artículo! Si lo disfrutó, puede obtener más información sobre cómo crear un sitio web de WordPress de principio a fin en mi WordPress para principiantes 2023: clase magistral de WordPress sin código en Udemy.

El pin en Pinterest