9 Errores Comunes de Seguridad en WordPress

Recientemente tuve la oportunidad de escuchar un webinar dado por el equipo de seguridad de Wordfence sobre los errores más comunes que cometen los usuarios WordPress.

Yo creo que un sitio de WordPress no estan exempto de ser hackeado sin embargo WordPress es muy seguro.

Mi Receta de Seguridad

Mi receta de seguridad es sencilla:

Estas tres funciones importantes implementadas desde el panel de Cloudways

  1. Bloquear el acceso a la base de datos con excepción de mi IP
  2. Bloquear el acceso a FTP con excepción de mi dirección IP
  3. Respaldos externos guardados por cuatro semanas.

Estas son funciones implementadas gracias a CloudFlare

  1. Bloqueo de todos los archivos PHP de mi sitio
  2. Bloqueo de Bots

La protección a nivel de aplicación con Jetpack

  1. Registro de actividad para determinar actividad de actores malicioso

La protección a nivel de aplicación gracias a mi sentido común

  1. Usar buenas contraseñas
  2. No usar plugins nulos o de dudosa procedencia

Los 9 Errores de Seguridad más Comunes en WordPress

Estos son los errores que cometen los usuarios de WordPress por su falta de experiencia.

#1 Esconder la Página de Acceso

Esconder la página de acceso de tu sitio de wordpress es seguridad con obscuridad además de que hay métodos que los hackers pueden usar para encontrar las paginas de acceso aunque estas hayan sido cambiadas de dirección.

Un enfoque de seguridad mucho más efectivo es:

  • Usar autenticación de dos factores.
  • Usar una contraseña que sea super robusta.

#2 No Usar un Certificado de Seguridad

Si una persona esta conectada a la misma red y el sitio donde estas ingresando tus credenciales no tiene un certificado de seguridad, otras personas podrían capturar esa información confidencial como los credenciales de acceso.

#3 Usar Admin como Nombre de Usuario

Si usas Admin, muy probablemente usas una contraseña relativamente sencilla.

Asegúrate de remover el usuario Admin de tu sitio y usa un nombre de usuario más complejo que sea más difícil de descifrar.

#4 Usar Contraseñas Descifrables

Mi recomendación es usar contraseñas super robustas. Si tienes problemas para recordarlas.

Debes usar un gestor de contraseñas como LastPass o DashLane

Usa una contraseña que sea una combinación de mayúsculas, minúsculas, números y otros caracteres.

#5 No Usar un CortaFuegos

Como lo mencione en mi receta de seguridad, debes de usar un cortafuego, mi recomendación es usar un CDN gratuito que se encargue de detener los intentos antes que estos afecten el servidor.

Una opción gratuita es CloudFlare y una opción bastante económica es el uso de Bunny CDN

#6 Usar un Pésimo Proveedor de Hosting

Uno de los grandes problemas con los proveedores de hosting es que estos agregan cientos de sitios en un solo servidor sin tomar medidas de seguridad por lo que una vez que tu sitio es hackeado, es posible que los demás sitios sean vulnerdados.

Estos proveedores de hosting en ocasiones no cuenta con respaldos de los sitios por lo que son el platillo predilecto para los hackers

#7 Usar Plugins Nulos

Hay personas que prueban plugins nulos en sus sitios de producción por lo que con el tiempo terminan hackeados.

Los plugins nulos por lo general contienen malware o scripts que crear puertas traseras para que los hacker entren cuando quieran a tu sitio.

#8 Reciclar Contraseñas

Otros de los graves problemas de seguridad es reciclar las contraseñas por lo que una vez que hackean algunos de los servicios que usas, es posible que hackeen el resto.

#9 No Actualizar WordPress, Plugins y Temas

Una de las razones por las cuales los sitios son hackeados con frecuencia es debido al uso de un plugin vulnerable.

En ocasiones los creadores del plugin y tema hacen una actualización para detener el potencial riesgo pero al no ser los plugins actualizados, ese parche de seguridad jamás llegará a tu sitio.

Más sobre la Seguridad de WordPress

Estos son algunos artículos de seguridad de WordPress

  1. Remover Backdoors de tu Sitio WordPress
  2. Hacker con Acceso Remoto a tu Sitio
  3. Plugins y Temas GPL: ¿Puedo Usarlos?
  4. Analizar tu Sitio con WPScan
  5. Desactivar el Rest API de WordPress
  6. Desactivar el Editor de Temas y Plugins
  7. Esconder la Versión de WordPress: ¿Sirve de Algo?
  8. Cómo Proteger la Página de Acceso en WordPress
  9. Reglas de Firewall de CloudFlare
  10. Sucuri: Plugin de Seguridad para WordPress