AIOSEO Blog

Tutoriales, consejos y recursos de WordPress para ayudarte a hacer crecer tu negocio

¿Quieres saber cómo reforzar la seguridad de tu sitio web? Entonces esta publicación es para ti.

Seguridad del sitio web: 8 consejos para hacer que tu sitio web de WordPress sea seguro

Updated on
Written By: avatar del autor Kato Nkhoma
avatar del autor Kato Nkhoma
Kato is one of those rare unicorns born with a pen in his hand—so the legend says. He’s authored 2 books and produced content for hundreds of brands. When he’s not creating content for AIOSEO, you’ll find him either watching tech videos on YouTube or playing with his kids. And if you can’t find him, he’s probably gone camping.
See Full Bio
Reviewed By: avatar del revisor Ben Rojas
avatar del revisor Ben Rojas
Ben Rojas is an expert WordPress developer and the President of All in One SEO (AIOSEO). With a robust foundation in the IT sector spanning over 25 years, Ben has developed a profound expertise in technology and digital landscapes.
See Full Bio
LinkedIn

¿Te preguntas cómo puedes reforzar la seguridad de tu sitio web?

La seguridad de WordPress es un tema muy importante para todos los propietarios de sitios web, ya que tiene muchas implicaciones para el éxito de tu sitio web. 

Afortunadamente, WordPress ha hecho mucho para garantizar que la plataforma sea segura. Sin embargo, la característica más destacada de WordPress es también su talón de Aquiles: el hecho de que es un sistema de gestión de contenido (CMS) de código abierto. Dado que cualquiera puede modificar el código fuente, se desarrollan muchos complementos, temas y otras herramientas para integrarse e incluso modificar el código. Estos pueden exponer tu sitio web a diferentes vulnerabilidades críticas que pueden comprometer la integridad de tu sitio web.

Por eso necesitas tomar medidas para mejorar la seguridad de tu sitio web.

No te preocupes. Aunque esto pueda sonar como una tarea desafiante, asegurar tu sitio web de WordPress es fácil si tomas los pasos adecuados. 

¿Por qué es importante la seguridad del sitio web?

Ya sea que tengas un sitio de pasatiempos, un sitio web de negocios, un sitio web de marketing de afiliados o cualquier otro tipo de sitio web, mantenerlo seguro siempre debe ser una prioridad.

La seguridad web es importante por las muchas razones mencionadas a continuación.

Aquí hay cuatro razones principales por las que la seguridad del sitio web es importante:

  1. Protege tu información: Las brechas de seguridad pueden dar a los atacantes acceso a tu valiosa información o a la de tus clientes. Esta es información que pueden usar para muchas actividades maliciosas que pueden causar daño.
  2. Protege tu reputación: Cuando la gente descubre que tu sitio web es vulnerable a ataques, tu reputación se verá comprometida. Como resultado, podrías perder clientes.
  3. Los visitantes del sitio web lo esperan: Los visitantes del sitio web se sienten más cómodos navegando por sitios web con buena seguridad. Por lo tanto, si tu sitio web muestra algún signo de no ser seguro, podría generar tasas de rebote más altas y conversiones más bajas.
  4. Los motores de búsqueda promueven sitios web seguros: La seguridad del sitio web juega un papel importante en tu estrategia de SEO. Esto se debe a que los motores de búsqueda prefieren los sitios web seguros a los que no lo son.

Ahora que conoces algunas razones por las que la seguridad del sitio web es importante, veamos algunos problemas de seguridad del sitio web de los que debes ser consciente.

Seguridad del sitio web: 5 tipos de vulnerabilidades y ataques de seguridad de WordPress que debes conocer

Para reforzar la seguridad de tu sitio web, debes conocer las diferentes vulnerabilidades y ataques para protegerte. A continuación, se presentan los cinco más comunes:

1. Phishing

El phishing consiste en que un atacante se ponga en contacto contigo, haciéndose pasar por una empresa o proveedor de servicios legítimo. El motivo de los intentos de phishing es conseguir que reveles información personal, visites un sitio web peligroso o descargues malware. Si un agente malicioso accede a tu panel de administración de WordPress, incluso puede realizar ataques de phishing a tus clientes haciéndose pasar por ti.

2. Ataques de fuerza bruta

Los ataques de fuerza bruta son los tipos de ataques más sencillos a los sitios web. Estos implican que los atacantes utilicen la automatización para introducir muchas combinaciones diferentes de nombre de usuario y contraseña con la esperanza de obtener la combinación correcta.

3. Puertas traseras

Un ataque de puerta trasera es una brecha de seguridad en un sitio web en la que los hackers instalan malware que puede eludir su inicio de sesión estándar de WordPress. Esto permite a los atacantes acceder a su sitio en cualquier momento. Para ejecutar un ataque de puerta trasera, los hackers colocan una puerta trasera entre otros archivos de origen de WordPress que son legítimos o parecen legítimos. Para reducir la posibilidad de puertas traseras, WordPress restringe y supervisa los tipos de archivos que los usuarios pueden cargar. Sin embargo, este sigue siendo un tipo de ataque a tener en cuenta.

4. Ataques de Denegación de Servicio (DoS)

Los ataques DoS se llevan a cabo para impedir que los usuarios autorizados accedan a un sitio web o red. Esto se logra generalmente dirigiendo una cantidad abrumadora de tráfico a un sitio web, lo que provoca que se bloquee. Los efectos de este tipo de ataque empeoran en el caso de un ataque de denegación de servicio distribuido (DDoS). Un DDoS se lleva a cabo en múltiples computadoras comprometidas a la vez.

A menudo, este tipo de ataque resulta en que los perpetradores retienen su sitio web como rehén y exigen un rescate para finalizar la interrupción del servicio. 

5. Inyecciones SQL y Cross-site Scripting (XSS)

Tanto las inyecciones SQL como las XSS implican la inyección de código malicioso para robar información o afectar negativamente la funcionalidad de un sitio web. La diferencia es que los ataques de inyección SQL se dirigen directamente a las bases de datos (su sitio web). En contraste, los ataques XSS dirigen a los usuarios a sitios web comprometidos desarrollados para robar los datos de los visitantes.

Con los fundamentos resueltos, aseguremos su sitio web.

Cómo mejorar la seguridad de su sitio web — 8 consejos

Ahora que hemos analizado la importancia de la seguridad del sitio web y algunos de los problemas de seguridad para los que prepararse, profundicemos en algunas medidas que puede tomar para asegurar su sitio web de WordPress.

1. Invierta en un proveedor de alojamiento consciente de la seguridad

Al considerar la seguridad del sitio web, uno de los mejores lugares para comenzar es su proveedor de alojamiento de elección. Elija siempre un proveedor de alojamiento que priorice la seguridad y lo demuestre ofreciendo funciones de mejora de la seguridad como parte del paquete. Estas son funciones como firewalls de aplicaciones web (WAF), certificados SSL/TLS y protección DDoS. Un buen proveedor de alojamiento también:

  • Supervisa su red en busca de seguridad
  • Mantiene actualizado su hardware, versiones de PHP y software del servidor para evitar que los hackers exploten vulnerabilidades conocidas
  • Añade herramientas y estrategias de recuperación ante desastres a su arsenal de herramientas en caso de una brecha exitosa

Además de la seguridad, considere también el soporte. Con un buen equipo de soporte, su web host puede ayudarle a recuperarse rápidamente de un ataque malicioso.

Si necesita un proveedor de alojamiento excelente y consciente de la seguridad, recomendamos Bluehost y Siteground para alojamiento compartido. Para alojamiento de WordPress administrado, no puede encontrar un mejor proveedor de alojamiento que WPEngine. Habiendo estado en el negocio para siempre (bueno, casi), puede estar seguro de que estos entienden la ciberseguridad y cómo mantener su sitio web seguro.

2. Cambie su sitio de WordPress a SSL/HTTPS

Secure Sockets Layer (SSL) es un protocolo de seguridad que cifra los datos transferidos entre tu sitio web y el navegador de un usuario. El cifrado dificulta que los actores maliciosos espíen y roben información tuya o de los visitantes de tu sitio web.

Cuando habilitas SSL, tu sitio web comenzará a usar el protocolo seguro de transferencia de hipertexto (HTTPS) en lugar del protocolo de transferencia de hipertexto (HTTP). Una vez que lo hayas hecho, los motores de búsqueda mostrarán un icono de candado junto a la dirección de tu sitio web en el navegador para indicar que estás utilizando la versión más segura.

Mover su sitio web a HTTPS es un buen paso hacia una seguridad web sólida.

Los certificados SSL son emitidos por autoridades de certificación y tienen un coste, siendo los mejores desde 80 $ hasta miles de dólares al año. Debido a este coste adicional en la gestión de un sitio web, muchos propietarios de sitios web se mostraban reacios a cambiar al protocolo más seguro. Afortunadamente, sin embargo, ahora hay muchos proveedores de certificados SSL gratuitos en el mercado, por lo que no hay excusa para no cambiar.

Sin embargo, los certificados SSL gratuitos son demasiado limitados para proporcionar una seguridad suficiente si aceptas pagos en tu sitio web o manejas información muy sensible de los clientes. Si deseas un certificado SSL más robusto que el gratuito que viene con tu hosting, considera comprar uno en Domain.com. Tienen algunas de las mejores ofertas de SSL del mercado, especialmente teniendo en cuenta que sus certificados SSL vienen con una garantía de seguridad de 10.000 $ y un sello de seguridad TrustLogo.

Si aún no lo has hecho, mueve tu sitio a HTTPS.

3. Actualiza siempre WordPress, temas y plugins

Otra forma de asegurar que la seguridad de tu sitio web esté siempre al día es mantener WordPress actualizado. Mientras que WordPress instala automáticamente actualizaciones menores, tú tienes que aceptar las mayores. Aparte de asegurar que WordPress esté constantemente actualizado, también debes estar atento a mantener tus temas y plugins actualizados. 

En la misma línea, evalúa cuidadosamente los temas y plugins que eliges instalar en tu sitio web. Asegúrate de que sean de desarrolladores de confianza y de que se actualicen regularmente. 

Mantener WordPress, temas y plugins actualizados es una buena práctica para la seguridad del sitio web.

No mantener actualizados WordPress, tus temas y plugins te dejará expuesto a vulnerabilidades de seguridad. Tómate siempre los pocos minutos necesarios para mantener todo actualizado. Esto también puede incluir la eliminación de plugins y temas antiguos que no estés utilizando.

4. Asegura tus procedimientos de inicio de sesión

Los ataques más comunes a los sitios web implican el robo de credenciales de inicio de sesión. Por eso, uno de los pasos más importantes para mantener seguro tu sitio web de WordPress es asegurar que tus procedimientos de inicio de sesión sean a prueba de balas.

Implementar la autenticación de dos factores es otra excelente manera de fortalecer la seguridad de su sitio web.

Algunos consejos para ayudarte a hacerlo incluyen:

  • Usa contraseñas seguras: Asegúrate siempre de que tú y tus usuarios utilicen contraseñas seguras. Una forma de hacerlo es usar un gestor de contraseñas para generar y administrar las contraseñas de todos.
  • Habilitar la autenticación de dos factores (2FA): 2FA se refiere a un proceso de inicio de sesión que requiere dos pasos en lugar del paso habitual. El segundo paso generalmente implica obtener un código en un teléfono inteligente u otro dispositivo. Necesitará instalar una herramienta como LastPass Authenticator o Authy para habilitar 2FA.
  • Limitar los intentos de inicio de sesión: Limitar el número de veces que un usuario puede introducir credenciales de inicio de sesión incorrectas es una excelente manera de prevenir ataques de fuerza bruta. Un gran plugin que puede usar para esto es Limit Login Attempts Reloaded.
  • Habilitar el cierre de sesión automático: Aunque la mayoría de las personas cierran sesión en los sitios web cuando terminan, puede ser fácil olvidarlo. Los agentes maliciosos pueden espiar esa cuenta y comprometerla cuando eso sucede. Habilitar el cierre de sesión automático con un plugin como Inactive Logout aumentará la seguridad de su sitio web.
  • Evitar usar "admin" en cualquier nombre de usuario: Las cuentas de administrador suelen ser las primeras en ser atacadas en ataques de fuerza bruta. Por eso debe evitar usar "admin" en cualquiera de sus nombres de usuario.

Otros procedimientos de inicio de sesión a implementar pueden incluir el uso de un plugin "captcha" y evitar otorgar acceso de administrador a muchos usuarios.

Hacer que el proceso de inicio de sesión sea seguro dificulta que los actores maliciosos comprometan su sitio web. 

5. Tenga una solución de copia de seguridad de WordPress

No importa cuánto refuerce la seguridad de su sitio web, nunca puede ser del 100%. Por eso, una parte importante de su estrategia de seguridad es tener siempre una copia de seguridad de su sitio web.

Uno de los mejores principios de seguridad para sitios web es hacer una copia de seguridad de su sitio web regularmente.

Las copias de seguridad le permiten restaurar rápidamente su sitio web si algo le sucede. Uno de los factores más importantes a saber sobre las copias de seguridad de sitios web es guardar regularmente copias de seguridad completas del sitio en una ubicación remota y no en su cuenta de alojamiento. Recomendamos almacenar las copias de seguridad de su sitio en servicios en la nube como Amazon, Dropbox o incluso un servicio en la nube privado como Stash.

Afortunadamente, existen muchos plugins de copia de seguridad de WordPress que puede usar para hacer una copia de seguridad de su sitio web, tanto gratuitos como de pago. Un par de opciones confiables incluyen UpdraftPlus y BlogVault. Una ventaja adicional de estos dos plugins es que no requieren código, lo que los hace fáciles de usar para principiantes.

6. Instalar un plugin de seguridad de WordPress

Además de las copias de seguridad, también necesita instalar y activar un plugin de seguridad de WordPress.

Otra medida de seguridad para sitios web a tomar es instalar un plugin de seguridad.

Esto ayudará a auditar, monitorear y rastrear todo lo que sucede en su sitio web. Los ejemplos incluyen, entre otros problemas de seguridad:

  • Monitoreo de la integridad de los archivos
  • Intentos de inicio de sesión fallidos
  • Escaneo de malware
  • Prevención de hotlinking (un tipo de robo de contenido)

Uno de los mejores plugins de seguridad gratuitos de WordPress que puede considerar es Sucuri Scanner. También puede actualizar a sus planes de pago para una seguridad más robusta del sitio web.

7. Habilitar un Firewall de Aplicaciones Web (WAF)

Una de las mejores maneras de asegurar tu sitio web de WordPress es usar un firewall de aplicaciones web (WAF). Esto se debe a que un WAF bloquea todo el tráfico malicioso antes de que llegue a tu sitio web, filtrando y monitorizando el tráfico que proviene de Internet. Ejemplos de ataques que puedes prevenir usando un WAF incluyen XSS, inyección SQL, envenenamiento de cookies y más.

Dos ejemplos de niveles de WAF que puedes implementar en tu sitio web son:

  1. Firewall de sitio web a nivel DNS: Este tipo de firewall enrutará el tráfico de tu sitio web a través de servidores proxy en la nube, y luego filtrará el tráfico que llega a tu sitio. Hacer esto permite que los servidores solo envíen tráfico genuino a tu servidor web.
  2. Firewall a nivel de aplicación: A diferencia de los firewalls DNS que operan a nivel de servidor, los firewalls a nivel de aplicación examinan el tráfico una vez que ha pasado tu servidor pero antes de cargar cualquier script de WordPress. 

Debido a cómo funcionan, los firewalls son una excelente manera de evitar que las amenazas lleguen a tu sitio web. Sin embargo, pueden y no deben usarse solos, sino como parte de un sistema de medidas de seguridad.

De nuevo, Sucuri funciona bien en este aspecto y es muy recomendable como solución de firewall. Pero solo obtienes la protección del firewall en los planes de pago. 

8. Bloquea los permisos de tus archivos

La mayor parte de la información, datos y contenido de tu sitio web se almacena en una serie de archivos y carpetas. Dichos archivos y carpetas están organizados en una estructura jerárquica, con cada uno teniendo un nivel de permiso asignado. Estos permisos determinan lo que los usuarios pueden hacer con los archivos, es decir, ver, editar o restringir el acceso a ciertos usuarios. 

Puedes acceder a ellos desde tu cPanel, en la sección Administrador de archivos.

En WordPress, los permisos de archivo se representan con un número de tres dígitos, y cada dígito tiene un significado. Un ejemplo típico es 755.

Una excelente manera de reforzar la seguridad de su sitio web es cambiando los permisos de los archivos.

¿Qué significan estos números?

  • El primer dígito representa al "Usuario" o al individuo responsable del sitio.
  • El segundo dígito representa al "Grupo" (miembros de tu sitio).
  • El tercer dígito representa al "Mundo" o a cualquier otro visitante sin participación en tu sitio web.

Aquí tienes el código para ayudarte a descifrar tus niveles de permisos de archivo:

0: Sin acceso al archivo/carpeta

1: Solo puede ejecutar el archivo/carpeta

2: Puede editar el archivo/carpeta

3: Puede editar y ejecutar el archivo/carpeta

4: Puede leer el archivo/carpeta

5: Puede leer y ejecutar el archivo/carpeta

6: Puede leer y editar el archivo/carpeta

7: Puede leer, editar y ejecutar el archivo/carpeta

Veamos un ejemplo. Digamos que un archivo tiene un nivel de permiso de 700. Esto significa que el usuario (propietario del sitio) puede leer, editar y ejecutar el archivo, pero todos los demás no tienen acceso. Por otro lado, todos pueden leer y ejecutar un archivo con nivel de permiso 755, pero solo el propietario del sitio puede editarlo.

Aunque esto pueda parecer complicado, saber cómo cambiar los permisos es otra excelente manera de asegurar tu sitio web. Para cambiar el nivel de permiso de un archivo o carpeta, haz clic en él y luego haz clic en la opción de permisos en tu menú de cPanel.

Para reforzar la seguridad de su sitio web cambiando los permisos de los archivos, tiene que acceder a los archivos en cPanel.

Se abrirá una ventana donde puedes editar los permisos del archivo/carpeta.

Asegurarse de que cada persona solo tenga el nivel de acceso adecuado a los diferentes archivos y carpetas de su sitio es esencial para tener una seguridad sólida en su sitio.

Como regla general, WordPress recomienda establecer los permisos de las carpetas en un nivel de 755 y los de los archivos en 644. Sin embargo, puede establecerlos en el nivel que considere oportuno. Solo tiene que asegurarse de no otorgar a ningún usuario más acceso del que necesita. Esto es especialmente importante para los archivos principales.

Seguridad del sitio web: No debe haber concesiones

La seguridad del sitio web nunca debe tomarse a la ligera; nunca debe ceder en esta área. Después de todo, si su sitio web sufre una brecha, podría pasar días, incluso semanas, intentando reparar el daño. En el peor de los casos, podría incluso comprometer los datos de sus clientes. Por supuesto, esto podría costarle dinero y arruinar su reputación. 

Es por eso que, en lo que respecta a la seguridad del sitio web, siempre debe ser proactivo y no reactivo.

Con estos consejos, adelante y refuerce la seguridad de su sitio web.

Además de reforzar su seguridad, otro elemento de éxito que necesita es potenciar su SEO.

Afortunadamente, esto no es tan complicado como el aspecto de la seguridad. Especialmente con un potente plugin de SEO para WordPress como AIOSEO. Con AIOSEO, puede potenciar el SEO de su sitio web sin tocar una sola línea de código. Sí, eso incluye aspectos complejos como sitemaps, marcado de esquemas, redirecciones y más.

Mientras trabaja en mejorar la seguridad de su sitio web, asegúrese de descargar AIOSEO y aumentar sus rankings.  

¿Quieres probar AIOSEO gratis?

Introduce la URL de tu sitio web de WordPress para instalar AIOSEO Lite.

Descargo de responsabilidad: Nuestro contenido es compatible con los lectores. Esto significa que si haces clic en algunos de nuestros enlaces, podemos ganar una comisión. Solo recomendamos productos que creemos que añadirán valor a nuestros lectores.

avatar del autor
Kato Nkhoma Content Writer
Kato is one of those rare unicorns born with a pen in his hand—so the legend says. He’s authored 2 books and produced content for hundreds of brands. When he’s not creating content for AIOSEO, you’ll find him either watching tech videos on YouTube or playing with his kids. And if you can’t find him, he’s probably gone camping.
See Full Bio
SEO Content Marketing Email Marketing

Añadir un comentario

Nos complace que hayas decidido dejar un comentario. Ten en cuenta que todos los comentarios se moderan de acuerdo con nuestra política de privacidad, y todos los enlaces son nofollow. NO uses palabras clave en el campo del nombre. Tengamos una conversación personal y significativa.

5 comentarios sobre “Seguridad del sitio web: 8 consejos para asegurar su sitio web de WordPress

  2. Excelente publicación. Estoy lidiando con algunos de estos problemas también...

    Reply

  3. ¡Artículo increíble! Ha desglosado la seguridad del sitio web en pasos claros y accionables, desde la actualización de plugins y el uso de contraseñas seguras hasta la configuración de SSL y copias de seguridad periódicas. ¡Consejos prácticos y oportunos que todo propietario de un sitio web debería seguir!

    Reply