Seguridad de WordPress para principiantes

Actualizado el febrero 2, 2022 por Rob Pugh

Tanto si quieres lanzar un sitio web comercial, una tienda en línea o un blog de pasatiempos, WordPress te ofrece la flexibilidad, facilidad de uso y funcionalidad avanzada que te ayudarán a que sea un éxito rotundo.

Sin embargo, antes de comenzar, dedica unos minutos a pensar en la seguridad. Protege todo lo posible tu sitio para mantenerlo a salvo de hackers y que los fans y los clientes puedan utilizarlo en todo momento.

¿Por qué es importante la seguridad?

Tu sitio web indica a los visitantes quién eres, qué tipo de contenido y servicios ofreces y qué pueden esperar de tu marca. Es un lugar en el que se puede causar una excelente primera impresión y generar confianza y lealtad en los fans existentes.

Por eso es tan importante garantizar que tu sitio web esté siempre en funcionamiento. Tu reputación se verá afectada si de repente incluye enlaces a malware, comienza a ejecutarse muy lentamente después de un hackeo o se desconecta por completo.

Si hackean tu sitio, podrías perder dinero debido a la disminución de las visitas, las ventas o las impresiones de anuncios. Además, pueden generarse costes para restaurarlo a un buen estado de funcionamiento. También es posible que pierdas puestos en los motores de búsqueda, a veces de forma permanente. Por lo tanto, para ahorrar dinero (y salvar las apariencias), asegúrate de que tu sitio web esté protegido y sea seguro.

¿Cómo se hackean los sitios web de WordPress?

Google publicó recientemente una lista de las principales formas en las que los hackers acceden a los sitios web. Veamos algunos de ellos en detalle: 

Contraseñas comprometidas

Los ataques de fuerza bruta son una de las formas más comunes en las que los hackers se cuelan en un sitio. Usan bots para probar diferentes nombres de usuario y contraseñas, miles de combinaciones por segundo, hasta que encuentran la correcta.

Plugins y temas inseguros

Las vulnerabilidades que se encuentran en plugins y temas son una forma relativamente fácil de entrar para los usuarios malintencionados. Los desarrolladores de temas de alta calidad lanzan parches para esas vulnerabilidades en actualizaciones periódicas, pero no todos los usuarios de WordPress actualizan su sitio con frecuencia. Además, las versiones gratuitas anuladas de plugins y temas prémium a menudo tienen puertas traseras incrustadas en su código: puntos de acceso para que los hackers inicien sesión de forma remota en tu sitio y hagan lo que quieran.

Políticas de seguridad débiles

Las prácticas de seguridad deficientes, como proporcionar acceso al sitio a usuarios que no lo necesitan o permitir contraseñas inseguras, facilitan que las personas entren en tu sitio web. 

¿Cuál es la pretensión por la que alguien quiera hackear un sitio web?

  1. Quiere robar dinero. Es posible que quiera recopilar información de la tarjeta de crédito del cliente o dirigir a los visitantes a sitios web maliciosos diseñados para estafar a la gente.
  2. Quiere obtener información. Puede vender datos personales a terceros o conservar información para intercambiarla por dinero.
  3. Quiere la retirada de tu sitio. Normalmente se debe a un motivo personal y rara vez es una amenaza para el propietario de un sitio web común.
  4. Quiere destrozar tu sitio. Nuevamente, suele ser algo personal. El hacker podría modificar el sitio web de alguien con quien no está de acuerdo para hacer una declaración.
  5. Quiere atacar a otra persona. Los atacantes pueden usar tu sitio web para propagar malware o ransomware a través de Internet o usar tu servidor web para atacar malintencionadamente a otra persona.
  6. Quiere aprender. Los hackers tienen que practicar de alguna manera, ¿verdad? Puede que use tu sitio web como un campo de entrenamiento para objetivos más grandes y lucrativos en el futuro.

Cómo proteger tu sitio de WordPress

1. Elige un servidor de calidad

Tu proveedor de alojamiento es tu socio de seguridad y es importante elegir uno con buena reputación. Lo barato sale caro, y muchos servidores que ofrecen descuentos no implementan prácticas de seguridad sólidas.

Pero, ¿cómo saber cuál elegir? Aquí tienes algunas indicaciones de un proveedor de alojamiento seguro:

  • Copias de seguridad regulares incluidas con tu plan o con una tarifa adicional.
  • Certificados SSL que protegen los datos de los visitantes de tu sitio.
  • Soporte ininterrumpido en caso de hackeo de tu sitio.
  • Firewall incorporado que protege los archivos y la base de datos en tu servidor.
  • Escaneos de seguridad que te alertarán sobre códigos y actividades sospechosas en tu sitio.
  • Una buena reputación. Las reseñas y recomendaciones suelen ser la mejor manera de determinar la calidad de un servidor.

Y recuerda, merece la pena asumir un coste adicional si la empresa tiene una experiencia notable y ofrece una seguridad sólida. Aquí tienes una lista de servidores de WordPress recomendados para que empieces.

2. Mantén el software actualizado

La mejor forma de mantener tu sitio web seguro es actualizar regularmente el software: WordPress, temas y plugins. Los nuevos lanzamientos suelen corregir las vulnerabilidades de seguridad, por lo que cuanto antes actualices, mejor.

También puedes elegir plugins fiables que sean estables y satisfagan más de una necesidad a la vez para minimizar los riesgos de seguridad de WordPress. Por ejemplo, Jetpack Security ofrece un conjunto completo de herramientas de seguridad de WordPress integradas en el único plugin de Jetpack. Por lo tanto, también puedes beneficiarte de la funcionalidad adicional sin tener que instalar decenas de plugins y aumentar el riesgo de un ataque en tu sitio.

3. Crea nombres de usuario y contraseñas seguros

Elige un nombre de usuario único y una contraseña segura para que los hackers tengan que esforzarse. Utiliza al menos 20 caracteres, una letra mayúscula, una letra minúscula, un número y un símbolo. 

Si creas un sitio con usuarios adicionales, asegúrate de establecer los permisos correctos para cada uno. Es posible que no quieras que un becario tenga acceso a los archivos principales u otros datos importantes, por ejemplo. Aquí tienes un artículo excelente sobre permisos de usuario para WooCommerce, pero gran parte se aplica a cualquier tipo de sitio. 

Además, si creas una cuenta para un tercero, como un desarrollador, una agencia de marketing o una persona de apoyo, asegúrate de eliminar el acceso una vez que hayan completado su trabajo.

4. Configura copias de seguridad fuera del sitio

Las copias de seguridad son fundamentales para proteger tu contenido, tu trabajo y los datos de tus clientes o visitantes. No importa cuál sea el problema con tu sitio, tener una copia de seguridad completa a mano significa que puede volver a funcionar rápidamente. 

Sin embargo, es importante elegir el tipo adecuado de copias de seguridad. Por ejemplo, asegúrate de que tus copias de seguridad estén almacenadas fuera del sitio, en la nube, en lugar de en tu servidor. Esto significa que, incluso si pierdes el acceso a tu sitio o si el servidor se ve comprometido, podrás restaurar una versión limpia.

Ahí es donde destaca Jetpack Backup. No solo permite almacenar todas las copias de seguridad en los mismos servidores seguros que utilizan para el sitio propio, sino que también permite conservar varias copias de seguridad cifradas como una capa adicional de protección. 

Restauración de una copia de seguridad de Jetpack Backup

Además, puedes elegir entre dos opciones: en tiempo real y diaria. 

Las copias de seguridad en tiempo real son la mejor opción para las tiendas en línea, los foros con membresía o los sitios web que se actualizan periódicamente. Jetpack guarda una copia de tu sitio cada vez que algo cambia: se realiza una venta, se actualiza una página o se agrega un comentario. Esto significa que no perderás una sola venta ni información, pase lo que pase.

Las copias de seguridad diarias son una buena opción para los sitios estáticos que no se actualizan con frecuencia. Jetpack guarda tus archivos y base de datos una vez al día y no solo cuando se realizan cambios.

¿Lo mejor de todo? Es muy fácil de configurar: no es necesario una configuración complicada del servidor. Solo sigue algunos pasos sencillos y ponte en contacto con el equipo de soporte al cliente sin igual de Jetpack si necesitas ayuda.

Puedes utilizar el mejor plugin de copia de seguridad de WordPress como herramienta independiente o como parte del paquete de seguridad completo.

5. Agrega protección contra ataques de fuerza bruta

Los ataques de fuerza bruta se producen cuando los hackers usan bots para adivinar miles de combinaciones de nombre de usuario/contraseña por segundo hasta que finalmente obtienen acceso a tu sitio. Estos ataques no solo ponen en riesgo la información de tu sitio, sino que también pueden ralentizarlo todo, ya que sobrecargan el servidor. 

Aunque la información de inicio de sesión segura está claro que ayuda, la mejor prevención es una herramienta que los detenga en seco. La función gratuita de protección contra ataques de fuerza bruta de Jetpack bloquea las direcciones IP sospechosas incluso antes de que lleguen a tu sitio. 

Número de ataques maliciosos bloqueados en un sitio: 14 989

La configuración no podría ser más sencilla: todo lo que tienes que hacer es activar la función y podrás ver la cantidad de ataques bloqueados directamente desde el panel de administración. Pista: ¡la media es de 5193!

6. Escanea en busca de malware

Si un hacker logra entrar, es lógico que quieras saberlo de inmediato para poder solucionar el problema. Después de todo, cuanto más tiempo esté inactivo tu sitio o sea inseguro, mayor será el daño en la reputación y en los datos. 

Sin embargo, Jetpack Scan busca malware automáticamente malware, usuarios malintencionados y actividad sospechosa en tu sitio, y te alerta de inmediato si encuentra algo. Puedes incluso arreglar la mayoría de los s conocidos con solo un clic, algo que te ahorrará tiempo y dinero. 

Análisis de malware en un sitio web

Además, no tendrás que perder tiempo descifrando un lenguaje técnico complicado: el panel de administración de Jetpack Scan explica todo en términos sencillos y te guía a través de cada paso que debes seguir. Configúralo y olvídate. Podrás estar tranquilo sabiendo que tu sitio web se encuentra supervisado de forma ininterrumpida. 

Obtén más información sobre nuestra herramienta de exploración de malware de WordPress.

7. Implementa la supervisión del tiempo de inactividad

Tanto si se debe a un ataque malicioso o a un simple error, si tu sitio web deja de funcionar, debes tomar medidas de inmediato. Sin embargo, no podrás esperar todo el día para volver a cargar tu sitio para asegurarte de que funciona.

Notificación de tiempo de inactividad de Jetpack

La herramienta de supervisión del tiempo de inactividad de WordPress de Jetpack vigila tu sitio de forma ininterrumpida y te informa si deja de responder. Después, puedes usar el registro de actividad para determinar exactamente cuál fue el problema y cuándo se produjo, y responder adecuadamente y volver a estar activo en cuestión de minutos y no en horas o días.

8. Elimina plugins y temas no utilizados

Cuantos más temas y plugins hayas instalado en tu sitio, más oportunidades habrá para que un hacker los aproveche. Aunque los plugins son una excelente manera de proporcionar una funcionalidad adicional, haz un poco de limpieza y elimina los que ya no uses.

Puedes recurrir a un tema por defecto para solucionar errores del sitio, pero no es necesario que almacenes temas adicionales. 

Información adicional: si los eliminas, es posible que la velocidad de tu sitio también mejore.

9. Activa la autenticación de dos factores para administradores

La autenticación de dos factores es una forma extremadamente efectiva de proteger tu página de acceso porque requiere que un hacker tenga tanto tu contraseña como un elemento físico, una combinación poco probable. Cuando un administrador inicie sesión en tu sitio, deberás introducir un código de un solo uso que se envía a tu teléfono.

Jetpack ofrece esta función de forma gratuita, por lo que es una manera fácil de ir un paso más allá de las contraseñas seguras. ¿Tienes varios usuarios? Requiere una autenticación sencilla de dos factores para todos ellos.

10. Configura un firewall de WordPress

Un firewall de WordPress supervisa todo el tráfico que llega a tu sitio y actúa como una barrera contra los hackers. Aunque un buen plan de alojamiento incluye un firewall como protección para tu servidor, es posible que también quieras instalar uno específico para WordPress. 

Un buen plugin de firewall tiene una base de datos de información sobre los usuarios malintencionados (direcciones IP sospechosas, bots maliciosos y tráfico que parece «apagado») y los bloquea antes de que puedan atacar a tu sitio web. Puedes ver algunas de las opciones más populares en el directorio de plugins de WordPress.

11. Vigila la actividad de tu sitio

Si tienes un registro de todo lo que sucede en tu sitio web, puedes revisarlo fácilmente e identificar cualquier cosa sospechosa. Además, si hackean tu sitio, también podrás identificar la hora en que se produjo, saber qué acciones se realizaron y averiguar qué cuentas se comprometieron mucho más fácilmente.

Actividad realizada en tu sitio web

El registro de actividad de Jetpack para WordPress realiza un seguimiento de todos los cambios importantes que se producen, desde intentos de inicio de sesión y páginas publicadas hasta plugins eliminados, temas actualizados y ajustes modificados. En cada evento, podrás ver una marca de tiempo, el usuario que realizó el cambio y una descripción de lo que hizo. Después, puedes usar esa información para solucionar problemas o restaurar una copia de seguridad inmediatamente antes de que se produjera el problema.

¿Qué sucede si mi sitio de WordPress no es seguro?

La mayoría de los atacantes no se dirigen específicamente a ti. Solo buscan el sitio de acceso más sencillo. Por lo tanto, si tu sitio de WordPress no está debidamente protegido, es más probable que sufras un hackeo. En última instancia, esto podría generar las siguientes situaciones:

  • Una reputación dañada. Si tu sitio tiene advertencias de seguridad, se cae o redirige a los visitantes del sitio a un sitio web sospechoso, no darás una buena impresión. Puede que los visitantes pierdan la confianza depositada en tu blog o negocio y que pierdas ventas o afecte negativamente a los ingresos publicitarios.
  • Robo de datos de clientes. Si un hacker accede a tu tienda de comercio electrónico, podrá recopilar información personal y usarla o venderla a terceros.
  • Daños en los archivos del sitio web. Puedes perder parte de tu sitio web o perderlo al completo, y con ello, años de arduo trabajo.
  • Eliminación de los resultados de búsqueda. Si hackean tu sitio, Google puede bloquearlo y eliminarlo por completo de los resultados de búsqueda.
  • Pérdida del tráfico del sitio El tráfico de tu sitio web puede disminuir significativamente debido a una clasificación más baja (o inexistente) en los motores de búsqueda y personas que no quieran visitar un sitio con una advertencia de seguridad.
  • Reducción de ingresos publicitarios. Las redes publicitarias no quieren que los anuncios de tus clientes se publiquen en sitios no seguros. Por lo tanto, si hackean tu sitio, podría eliminarse de las redes publicitarias y podría prohibirse por completo, lo que podría reducir o eliminar los ingresos por anuncios. Incluso si no se elimina, la reducción del tráfico afectará negativamente a los clics en los anuncios.

¿Cómo sé si han hackeado mi sitio de WordPress?

A veces puede resultar difícil saber si han hackeado tu sitio web o si está experimentando algún otro tipo de problema. Sin embargo, continuación se muestran algunas indicaciones sobre un sitio hackeado:

  • Tu sitio web indica una advertencia de seguridad cuando cargas la URL.
  • Tu plugin de seguridad informa de un problema.
  • Tu servidor te envía un correo electrónico sobre un problema.
  • Tu sitio web te redirige a un sitio totalmente distinto para el que no has realizado esa redirección.
  • Ves líneas extrañas de código en las páginas de tu sitio.
  • Tu sitio está completamente inactivo, aunque esto también podría deberse a otras causas.
  • Los anuncios en tu sitio te redirigen a sitios web sospechosos.
  • Tu sitio carga, de repente, muy lentamente o actúa de manera extraña de otras formas.

¿Qué hago si hackean mi sitio de WordPress?

Si hackean tu sitio de WordPress, hay algunos pasos que puedes seguir para solucionar el problema y recuperar los archivos y base de datos:

  1. Determina qué sucedió. Si usas Jetpack, echa un vistazo al registro de actividad para ver quién inició sesión, cuándo y qué cambió. Esto puede ayudarte a identificar cuentas comprometidas y descubrir qué archivos están afectados.
  2. Ejecuta un análisis de malware. Utiliza una herramienta como Jetpack Scan para buscar en los archivos de tu sitio web malware u otras indicaciones de un hackeo. Si usas la herramienta de exploración de malware de Jetpack para WordPress, también puedes solucionar la mayoría de los problemas con un solo clic.
  3. Restaura una copia de seguridad. Si haces copias de seguridad regulares de tu sitio web, restaura una de antes de que se produjera el hackeo. Si usas Jetpack Backup, tus archivos se almacenarán independientemente de tu servidor, por lo que no se verán comprometidos.
  4. Restablece todas las contraseñas y elimina los usuarios sospechosos. Restablece todas las contraseñas de tu sitio de WordPress y proveedor de alojamiento. Si detectas cuentas de usuario sospechosas que no has creado, elimínalas.
  5. Contrata a un experto en seguridad de sitios web. Si no puedes eliminar el malware por tu cuenta o simplemente quieres asegurarte de que tu sitio sea seguro, te recomendamos contratar a un experto en seguridad de un servicio como Codeable.
  6. Actualiza tus plugins, temas y versión de WordPress. Esto ayudará a proteger las vulnerabilidades que el hacker podría haber aprovechado.
  7. Vuelva a enviar tu sitio a Google. Si tu sitio se ha incluido en la lista de bloqueo, utiliza Google Search Console para solicitar una revisión y eliminarlo de la lista. 

Para obtener más información, lee nuestra guía sobre qué hacer si hackean tu sitio.

Siempre a punto

Si aplicas la seguridad adecuada de WordPress a tus trabajos desde el principio, tendrás un sitio preparado para el éxito que podrá funcionar de manera segura y eficiente en los próximos años. Recuerda, prevenir los hackeos del sitio es mucho más fácil que arreglarlos después de que se produzcan.

Con el paquete de Jetpack Security, puedes marcar la mayoría de los elementos de la lista en solo unos minutos, sin necesidad de un desarrollador ni de una configuración complicada. 

Comienza con el mejor plugin de seguridad de WordPress.

Esta entrada fue publicada en Seguridad. Guarda el enlace permanente.
Rob Pugh profile
Rob Pugh

Rob is the Marketing Lead for Jetpack. He has worked in marketing and product development for more than 15 years, primarily at Automattic, Mailchimp, and UPS. Since receiving a Master of Science in Marketing Degree from Johns Hopkins University, he’s focused on delivering products that delight people and solve real problems.

Explora los beneficios de Jetpack

Descubre las formas en las que Jetpack puede ayudarte a proteger, acelerar y hacer crecer tu sitio de WordPress.

Comparar los planes

¿Tienes alguna pregunta?

La función de comentarios no está activada en este artículo, pero estaremos encantados de ayudarte. Visita el foro de soporte; estaremos encantados de responder a cualquier pregunta.

Ver el foro de soporte

  • scribe tu dirección de correo electrónico para seguir este blog, y te llegarán todas las noticias y novedades de Jetpack.

    Únete a otros 189 suscriptores

  • Navegue por el Tema

    • A %d blogueros les gusta esto: