Blog de AIOSEO

Tutoriales, consejos y recursos de WordPress para hacer crecer tu negocio

¿Quiere saber cómo reforzar la seguridad de su sitio web? Este artículo es para usted.

Seguridad de sitios web: 8 consejos para que su sitio web WordPress sea seguro

Actualizado el Escrito por: avatar de autor Kato Nkhoma
avatar de autor Kato Nkhoma
Kato es uno de esos raros unicornios que nacen con un bolígrafo en la mano, según cuenta la leyenda. Es autor de dos libros y ha producido contenidos para cientos de marcas. Cuando no está creando contenidos para AIOSEO, lo encontrarás viendo vídeos de tecnología en YouTube o jugando con sus hijos. Y si no lo encuentras, probablemente se haya ido de acampada.
Ver biografía completa
Revisado por: avatar del revisor Ben Rojas
avatar del revisor Ben Rojas
Ben Rojas es un experto desarrollador de WordPress y Presidente de All in One SEO (AIOSEO). Con una sólida base en el sector de las TI que abarca más de 25 años, Ben ha desarrollado una profunda experiencia en tecnología y paisajes digitales.
Ver biografía completa
LinkedIn

¿Se pregunta cómo puede reforzar la seguridad de su sitio web?

La seguridad en WordPress es un tema muy importante para todos los propietarios de sitios web, ya que tiene muchas implicaciones para el éxito de su sitio web. 

Afortunadamente, WordPress ha hecho mucho para garantizar la seguridad de la plataforma. Sin embargo, la característica más destacada de WordPress es también su talón de Aquiles: el hecho de que sea un sistema de gestión de contenidos (CMS) de código abierto. Como cualquiera puede modificar el código fuente, se desarrollan muchos plugins, temas y otras herramientas para integrarse con el código e incluso modificarlo. Estos pueden abrir su sitio web a diferentes vulnerabilidades críticas que pueden comprometer la integridad de su sitio web.

Por eso debe tomar medidas para mejorar la seguridad de su sitio web.

No se preocupe. Aunque pueda parecer una tarea complicada, proteger tu sitio web WordPress es fácil si sigues los pasos adecuados. 

¿Por qué es importante la seguridad de los sitios web?

Tanto si se trata de un sitio web para aficionados, un sitio web empresarial, un sitio web de marketing de afiliación o cualquier otro tipo de sitio web, mantenerlo seguro debe ser siempre una prioridad.

La seguridad web es importante por las muchas razones que se mencionan a continuación.

He aquí cuatro razones principales por las que la seguridad de los sitios web es importante:

  1. Proteja su información: Las brechas de seguridad pueden dar a los atacantes acceso a tu información valiosa o a la de tus clientes. Se trata de información que pueden utilizar para muchas actividades maliciosas que pueden perjudicar.
  2. Proteja su reputación: Cuando la gente descubra que su sitio web es vulnerable a ataques, su reputación se verá comprometida. Como resultado, podría perder clientes.
  3. Los internautas lo esperan: Los visitantes de sitios web se sienten más cómodos navegando por sitios web con buena seguridad. Por lo tanto, si su sitio web muestra algún signo de no ser seguro, podría dar lugar a tasas de rebote más altas y conversiones más bajas.
  4. Los motores de búsqueda promueven los sitios web seguros: La seguridad de los sitios web desempeña un papel muy importante en su estrategia de SEO. Esto se debe a que los motores de búsqueda prefieren los sitios web seguros a los que no lo son.

Ahora que ya conoce algunas razones por las que la seguridad de un sitio web es importante, veamos algunas cuestiones de seguridad de sitios web que debe tener en cuenta.

Seguridad de sitios web: 5 tipos de vulnerabilidades y ataques a la seguridad de WordPress que debe conocer

Para reforzar la seguridad de su sitio web, debe conocer las diferentes vulnerabilidades y ataques contra los que protegerse. A continuación se enumeran los cinco más comunes:

1. Phishing

Se habla de phishing cuando un atacante se pone en contacto con usted haciéndose pasar por una empresa o un proveedor de servicios legítimos. El motivo de los intentos de phishing es conseguir que divulgue información personal, visite un sitio web peligroso o descargue malware. Si un agente malicioso consigue acceder a su panel de administración de WordPress, puede incluso realizar ataques de phishing a sus clientes haciéndose pasar por usted.

2. Ataques de fuerza bruta

Los ataques de fuerza bruta son los tipos más simples de ataques a sitios web. Consisten en que los atacantes utilizan la automatización para introducir muchas combinaciones diferentes de nombre de usuario y contraseña con la esperanza de obtener la combinación correcta.

3. Puertas traseras

Un ataque de puerta trasera es una violación de la seguridad de un sitio web mediante la cual los hackers instalan malware que puede eludir el inicio de sesión estándar de WordPress. Esto permite a los atacantes acceder a su sitio en cualquier momento. Para ejecutar un ataque de puerta trasera, los hackers colocan una puerta trasera entre otros archivos fuente de WordPress que son legítimos o parecen legítimos. Para reducir la posibilidad de puertas traseras, WordPress restringe y controla los tipos de archivos que los usuarios pueden cargar. Sin embargo, sigue siendo un tipo de ataque a tener en cuenta.

4. Ataques de denegación de servicio (DoS)

Los ataques DoS se llevan a cabo para impedir que los usuarios autorizados accedan a un sitio web o a una red. Esto se consigue normalmente dirigiendo una cantidad abrumadora de tráfico a un sitio web, provocando su caída. Los efectos de este tipo de ataque se agravan en el caso de un ataque de denegación de servicio distribuido (DDoS). Un DDoS se lleva a cabo en múltiples ordenadores comprometidos a la vez.

A menudo, este tipo de ataque hace que los autores tomen su sitio web como rehén y exijan un rescate para poner fin a la interrupción del servicio. 

5. Inyecciones SQL y Cross-site Scripting (XSS)

Tanto las inyecciones SQL como el XSS consisten en inyectar código malicioso para robar información o afectar negativamente a la funcionalidad de un sitio web. La diferencia es que los ataques de inyección SQL se dirigen directamente a las bases de datos (su sitio web). Por el contrario, los ataques XSS dirigen a los usuarios a sitios web comprometidos desarrollados para robar los datos de los visitantes.

Una vez resueltos los aspectos fundamentales, vamos a asegurar su sitio web.

Cómo aumentar la seguridad de su sitio web - 8 consejos

Ahora que hemos visto la importancia de la seguridad de los sitios web y algunos de los problemas de seguridad para los que hay que prepararse, vamos a profundizar en algunas medidas que puede tomar para proteger su sitio web de WordPress.

1. Invierta en un proveedor de alojamiento preocupado por la seguridad

A la hora de considerar la seguridad de un sitio web, uno de los mejores puntos de partida es el proveedor de alojamiento que elija. Elija siempre un proveedor de alojamiento que dé prioridad a la seguridad y lo demuestre ofreciendo funciones de mejora de la seguridad como parte del paquete. Se trata de funciones como cortafuegos de aplicaciones web (WAF), certificados SSL/TLS y protección DDoS. Un buen proveedor de alojamiento también:

  • Supervisa la seguridad de su red
  • Mantiene actualizados el hardware, las versiones de PHP y el software del servidor para evitar que los piratas informáticos exploten vulnerabilidades conocidas.
  • Añade herramientas y estrategias de recuperación en caso de catástrofe a su arsenal de herramientas en caso de que se produzca una infracción.

Además de la seguridad, tenga en cuenta el soporte. Con un buen equipo de soporte, tu proveedor de alojamiento web puede ayudarte a recuperarte rápidamente de un ataque malicioso.

Si necesitas un proveedor de alojamiento excelente y preocupado por la seguridad, te recomendamos Bluehost y Siteground para el alojamiento compartido. Para el alojamiento gestionado de WordPress, no hay mejor proveedor que WPEngine. Habiendo estado en el negocio desde siempre (bueno, casi), puede estar seguro de que entienden la ciberseguridad y cómo mantener su sitio web seguro.

2. Cambie su sitio WordPress a SSL/HTTPS

Secure Sockets Layer (SSL) es un protocolo de seguridad que cifra los datos transferidos entre su sitio web y el navegador del usuario. El cifrado hace que sea más difícil para los actores maliciosos husmear y robar información de usted o de los visitantes de su sitio web.

Al activar SSL, su sitio web empezará a utilizar el protocolo de transferencia de hipertexto más seguro (HTTPS) en lugar del protocolo de transferencia de hipertexto (HTTP). Una vez que lo hayas hecho, los motores de búsqueda mostrarán un signo de candado junto a la dirección de tu sitio web en el navegador para mostrar que estás utilizando la versión más segura.

Pasar su sitio web a HTTPS es un buen paso hacia una seguridad web robusta.

Los certificados SSL son emitidos por autoridades de certificación y tienen un coste: los mejores cuestan entre 80 y miles de dólares al año. Debido a este coste añadido en la gestión de un sitio web, muchos propietarios de sitios web eran reacios a cambiar al protocolo más seguro. Por suerte, ahora hay muchos proveedores de certificados SSL gratuitos en el mercado, así que no hay excusa para no cambiar.

Sin embargo, los certificados SSL gratuitos son demasiado limitados para proporcionar suficiente seguridad si acepta pagos en su sitio web o maneja información muy sensible de los clientes. Si desea un certificado SSL más robusto que el gratuito que viene con su alojamiento, considere comprar uno de Domain.com. Tienen algunas de las mejores ofertas de SSL del mercado, sobre todo teniendo en cuenta que sus certificados SSL incluyen una garantía de seguridad de 10.000 dólares y un sello de seguridad TrustLogo.

Si aún no lo ha hecho, cambie su sitio a HTTPS.

3. Actualice siempre WordPress, los temas y los plugins

Otra forma de garantizar que la seguridad de tu sitio web esté siempre al día es mantener WordPress actualizado. Aunque WordPress instala automáticamente las actualizaciones menores, tú tienes que aceptar las mayores. Además de asegurarte de que WordPress se actualiza constantemente, también debes estar atento para mantener actualizados tus temas y plugins. 

En la misma línea, examine cuidadosamente los temas y plugins que decida instalar en su sitio web. Asegúrate de que son de desarrolladores reputados y de que se actualizan con regularidad. 

Mantener actualizados WordPress, los temas y los plugins es una buena práctica para la seguridad del sitio web.

Si no mantienes WordPress, tus temas y plugins actualizados, estarás expuesto a vulnerabilidades de seguridad. Dedica siempre unos minutos a mantener todo actualizado. Esto también puede incluir la eliminación de plugins y temas antiguos que no estés utilizando.

4. Asegúrese de que sus procedimientos de inicio de sesión son seguros

Los ataques más comunes a sitios web implican el robo de credenciales de inicio de sesión. Por eso, uno de los pasos más importantes para mantener seguro tu sitio web WordPress es asegurarte de que tus procedimientos de inicio de sesión son a prueba de balas.

Implementar la autenticación de dos factores es otra forma excelente de reforzar la seguridad de su sitio web.

Algunos consejos que te ayudarán a conseguirlo son:

  • Utilice contraseñas seguras: Asegúrate siempre de que tanto tú como tus usuarios utilizáis contraseñas seguras. Una forma de hacerlo es utilizar un gestor de contraseñas para generar y gestionar las contraseñas de todos.
  • Activar la autenticación de dos factores (2FA): 2FA se refiere a un proceso de inicio de sesión que requiere dos pasos en lugar del paso habitual. El segundo paso suele consistir en obtener un código en un smartphone u otro dispositivo. Tendrás que instalar una herramienta como LastPass Authenticator o Authy para activar la 2FA.
  • Limitar los intentos de inicio de sesión: Limitar el número de veces que un usuario puede introducir credenciales de inicio de sesión erróneas es una excelente forma de prevenir ataques de fuerza bruta. Un gran plugin que puedes usar para esto es Limit Login Attempts Reloaded.
  • Activa el cierre automático de sesión: Aunque la mayoría de la gente cierra la sesión de los sitios web cuando ha terminado, puede ser fácil olvidarlo. Los agentes maliciosos pueden husmear en esa cuenta y comprometerla cuando eso ocurre. Activar el cierre de sesión automático con un complemento como Inactive Logout aumentará la seguridad de tu sitio web.
  • Evita usar "admin" en cualquier nombre de usuario: Las cuentas de administrador suelen ser las primeras en ser objetivo de ataques de fuerza bruta. Por eso debes evitar usar "admin" en cualquiera de tus nombres de usuario.

Otros procedimientos de inicio de sesión a implementar pueden incluir el uso de un plugin "captcha" y evitar conceder a muchos usuarios acceso de administrador.

Hacer que el proceso de inicio de sesión sea seguro dificulta que los actores maliciosos pongan en peligro su sitio web. 

5. Tener una solución de copia de seguridad de WordPress

Por mucho que refuerce la seguridad de su sitio web, nunca puede ser del 100%. Por eso, una parte importante de tu estrategia de seguridad es tener siempre una copia de seguridad de tu sitio web.

Uno de los mejores principios de seguridad de sitios web es hacer copias de seguridad de su sitio web con regularidad.

Las copias de seguridad le permiten restaurar rápidamente su sitio web si le ocurre algo. Uno de los factores más importantes que debe conocer sobre las copias de seguridad de sitios web es guardar regularmente copias de seguridad completas del sitio en una ubicación remota y no en su cuenta de alojamiento. Recomendamos almacenar las copias de seguridad de su sitio en servicios en la nube como Amazon, Dropbox, o incluso un servicio de nube privada como Stash.

Afortunadamente, hay muchos plugins de copia de seguridad de WordPress que puede utilizar para hacer copias de seguridad de su sitio web, tanto gratuitos como de pago. Algunos de los más fiables son UpdraftPlus y BlogVault. Una ventaja añadida de estos dos plugins es que no necesitan código, por lo que son fáciles de usar para principiantes.

6. Instale un plugin de seguridad de WordPress

Además de las copias de seguridad, también es necesario instalar y activar un plugin de seguridad para WordPress.

Otra medida de seguridad del sitio web a tomar es instalar un plugin de seguridad.

Esto ayudará a auditar, supervisar y realizar un seguimiento de todo lo que sucede en su sitio web. Por ejemplo, entre otras cuestiones de seguridad:

  • Supervisión de la integridad de los archivos
  • Intentos fallidos de inicio de sesión
  • Análisis de malware
  • Prevención de hotlinking (un tipo de robo de contenidos)

Uno de los mejores plugins gratuitos de seguridad para WordPress que puedes considerar para esto es Sucuri Scanner. También puedes actualizar a sus planes de pago para una seguridad de sitios web más robusta.

7. Habilitar un cortafuegos de aplicaciones web (WAF)

Una de las mejores formas de proteger su sitio web WordPress es utilizar un cortafuegos de aplicaciones web (WAF). Esto se debe a que un WAF bloquea todo el tráfico malicioso incluso antes de que llegue a su sitio web filtrando y monitorizando el tráfico procedente de Internet. Algunos ejemplos de ataques que puede evitar con un WAF son XSS, inyección SQL, envenenamiento de cookies, etc.

Dos ejemplos de niveles de WAF que puede implementar en su sitio web son:

  1. Cortafuegos de sitios web a nivel de DNS: Este tipo de cortafuegos enrutará el tráfico de su sitio web a través de servidores proxy en la nube y, a continuación, filtrará el tráfico que llega a su sitio. De este modo, los servidores solo envían tráfico auténtico a su servidor web.
  2. Cortafuegos a nivel de aplicación: A diferencia de los cortafuegos DNS que operan a nivel de servidor, los cortafuegos a nivel de aplicación examinan el tráfico una vez que ha pasado por su servidor pero antes de cargar cualquier script de WordPress. 

Por su funcionamiento, los cortafuegos son una excelente forma de evitar que las amenazas lleguen a su sitio web. Sin embargo, no pueden ni deben utilizarse solos, sino como parte de un sistema de medidas de seguridad.

Una vez más, Sucuri funciona bien en este departamento y es muy recomendable como solución de cortafuegos. Pero solo obtienes la protección de firewall en los planes de pago. 

8. Bloquee los permisos de sus archivos

La mayor parte de la información, los datos y el contenido de su sitio web se almacenan en una serie de archivos y carpetas. Dichos archivos y carpetas están organizados en una estructura jerárquica, y cada uno de ellos tiene asignado un nivel de permiso. Estos permisos determinan lo que los usuarios pueden hacer con los archivos, es decir, ver, editar o restringir el acceso a determinados usuarios. 

Puede acceder a ellos desde su cPanel, en la sección Administrador de archivos.

En WordPress, los permisos de archivo se representan mediante un número de tres dígitos, cada uno de los cuales tiene un significado. Un ejemplo típico es 755.

Una buena forma de reforzar la seguridad de su sitio web es cambiar los permisos de los archivos.

¿Qué significan estas cifras?

  • El primer dígito significa "Usuario" o persona responsable del sitio.
  • El segundo dígito representa "Grupo" (miembros de su sitio.
  • El tercer dígito significa "Mundo" o cualquier otro visitante sin interés en su sitio web.

Aquí tienes el código que te ayudará a descifrar los niveles de permisos de tus archivos:

0: Sin acceso al archivo/carpeta

1: Sólo puede ejecutar el archivo/carpeta

2: Puede editar el archivo/carpeta

3: Puede editar y ejecutar el archivo/carpeta

4: Puede leer el archivo/carpeta

5: Puede leer y ejecutar el archivo/carpeta

6: Puede leer y editar el archivo/carpeta

7: Puede leer, editar y ejecutar el archivo/carpeta

Veamos un ejemplo. Digamos que un archivo tiene un nivel de permiso de 700. Esto significa que el usuario (propietario del sitio) puede leer, editar y ejecutar el archivo, pero todos los demás no tienen acceso. Por otro lado, todo el mundo puede leer y ejecutar un archivo con nivel de permiso 755, pero sólo el propietario del sitio puede editarlo.

Aunque pueda parecer complicado, saber cómo cambiar los permisos es otra forma excelente de proteger su sitio web. Para cambiar el nivel de permiso de un archivo o carpeta, haga clic en él y, a continuación, en la opción de permisos del menú de su cPanel.

Para reforzar la seguridad de su sitio web cambiando los permisos de los archivos, tiene que acceder a los archivos en cPanel.

Se abrirá una ventana en la que podrás editar los permisos del archivo/carpeta.

Asegurarse de que cada persona sólo tiene el nivel de acceso a los diferentes archivos y carpetas de su sitio es esencial para tener una seguridad robusta en su sitio.

Como regla general, WordPress recomienda establecer las carpetas a un nivel de permisos de 755 y los archivos a 644. No obstante, puede establecerlos en el nivel que considere oportuno. Sólo tienes que asegurarte de no dar a ningún usuario más acceso del que necesita. Esto se aplica especialmente a los archivos principales.

Seguridad de los sitios web: no debe haber compromisos

La seguridad de un sitio web nunca debe tomarse a la ligera. Al fin y al cabo, si su sitio web sufre un ataque, puede pasarse días, incluso semanas, intentando reparar los daños. En el peor de los casos, incluso podría poner en peligro los datos de sus clientes. Por supuesto, esto podría costarle dinero y arruinar su reputación. 

Por eso, cuando se trata de la seguridad de un sitio web, siempre hay que ser proactivo y no reactivo.

Con estos consejos, no dude en reforzar la seguridad de su sitio web.

Además de reforzar su seguridad, otro elemento de éxito que necesita es potenciar su SEO.

Afortunadamente, esto no es tan complicado como el aspecto de la seguridad. Sobre todo con un potente plugin SEO para WordPress como AIOSEO. Con AIOSEO, puedes mejorar el SEO de tu sitio web sin tocar una sola línea de código. Sí, eso incluye aspectos complejos como sitemaps, schema markup, redirecciones y mucho más.

Mientras trabaja en la mejora de la seguridad de su sitio web, asegúrese de descargar AIOSEO y aumente su posicionamiento.  

¿Quieres probar AIOSEO gratis?

Introduzca la URL de su sitio web WordPress para instalar AIOSEO Lite.

Active JavaScript en su navegador para rellenar este formulario.

Divulgación: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, es posible que ganemos una comisión. Sólo recomendamos productos que creemos que aportarán valor a nuestros lectores.

avatar de autor
Kato Nkhoma Redactor de contenidos
Kato es uno de esos raros unicornios que nacen con un bolígrafo en la mano, según cuenta la leyenda. Es autor de dos libros y ha producido contenidos para cientos de marcas. Cuando no está creando contenidos para AIOSEO, lo encontrarás viendo vídeos de tecnología en YouTube o jugando con sus hijos. Y si no lo encuentras, probablemente se haya ido de acampada.
Ver biografía completa
SEO Marketing de contenidos Marketing por correo electrónico

Añadir un comentario

Nos alegra que haya decidido dejar un comentario. Por favor, tenga en cuenta que todos los comentarios son moderados de acuerdo con nuestra política de privacidad, y todos los enlaces son nofollow. NO utilice palabras clave en el campo del nombre. Tengamos una conversación personal y significativa.

4 comments on "Seguridad de sitios web: 8 consejos para que tu sitio web WordPress sea seguro"