¿Cómo proteger WordPress de ataques y virus? 5 Tips

37

Como el sistema de gestión de contenido más popular del planeta, WordPress también se ha convertido en la plataforma CMS dirigida más grande para piratas informáticos.

Sucuri informa que el 94% de los sitios infectados que limpiaron ejecutaban WordPress, mientras que el 2,5% ejecutaba Joomla y el 1,28% ejecutaba Drupal.

Esto lleva a muchos a creer falsamente que WordPress es una plataforma insegura en comparación con sus competidores.

En verdad, el núcleo de WordPress es más seguro que las plataformas de la competencia. Desde que se lanzaron por primera vez las vulnerabilidades que han tenido cada uno son:

Podría decirse que de los tres, WordPress es el más seguro.

¿Por qué WordPress se considera inseguro?

Una de las cosas por la que WordPress se ha vuelto tan popular, es por su versatilidad a la hora de añadirle funcionalidades adicionales, instalando unos plugins.

El equipo central de WordPress no comprueba periódicamente si existen vulnerabilidades en estos plugins. Esto, junto con el hecho de que WordPress es el CMS más popular, significa que está bajo un ataque constante de bots que investigan vulnerabilidades conocidas.

Otra causa común de los problemas con WordPress es el poco o ningún mantenimiento que se le da una vez que se lanza un sitio web.

Con demasiada frecuencia, el usuario final elige WordPress por su facilidad de uso, con un conocimiento mínimo sobre cómo mantener saludable una web a largo plazo.

WordPress puede ser muy seguro si se mantiene correctamente

Sucuri determinó que el 56% de las webs infectadas no contaban con las últimas actualizaciones de su CMS, y más aún si nos fijamos en las versiones de PHP obsoletas,  menos del 50% apenas y estaba actualizado a versiones con soporte. Recordemos que php 7.0 se volvió obsoleta en Enero de 2019.

Esto demuestra que básicamente las webs son vulnerables principalmente por la falta de mantenimiento y no por la plataforma con la que se realizan.

versiones de php mas usadas en 2019
Versiones de PHP utilizadas por las webs infectadas en 2019

WordPress, se utiliza en sitios como: Microsoft News, La Casa BlancaRolingStones, lo que demuestra que estas organizaciones confían en la plataforma para mantener segura su información.

¿Y cómo lo hacen? Pues siguiendo un conjunto de principios de desarrollo y mantenimiento que, cuando se cumplen, minimizan el riesgo.

Buenas Prácticas para mantener seguro WordPress

Siguiendo los pasos a continuación, puedes mantener tu WordPress tan seguro y protegido como cualquier plataforma de la competencia.

1. Minimizar el riesgo al utilizar los Plugins

Con demasiada frecuencia, se suele recurrir a instalar plugins para resolver cualquier problema o necesidad en WordPress.

Como resultado tenemos una instalación inflada con muchos plugins, que en algunos casos suelen ser de baja reputación y que pueden generar riesgos de vulnerabilidad.

Yo recomiendo tomar en cuenta 3 cosas:

  • Utilizar plugins que tengan una buena valoración en el repositorio y que estén frecuentemente actualizados.
  • Plugins que no vayas a utilizar bórralos, ya que aun estando desactivados pueden ser usados para explotar vulnerabilidades.
  • Y finalmente si algo se puede resolver sin instalar un plugins, házlo en lugar de confiar en un tercero.

Recuerda que una alternativa al uso de plugins son los Snippets, que te permiten añadir funcionalidades sin recurrir a los Plugins.

2. Actualiza WordPress con frecuencia

Dado que la causa más común de infecciones se debe a un sitio web con un mantenimiento inadecuado, este se puede resolver fácilmente manteniendo actualizados tanto el núcleo de WordPress como los plugins y las plantillas.

Las actualizaciones son una de las formas más sencillas de proteger wordpress. Revisa con frecuencia, si los plugins que utilizas reciben actualizaciones frecuentes o han quedado abandonados, en este caso reemplaza su funcionalidad o elimínalo lo antes posible.

Los plugins sin mantenimiento son una receta para el desastre.

3. Usa plugins de Seguridad de WordPress

Existen varios plugins de seguridad, como WordFence o Sucuri que monitorearán y protegerán tu instalación de WordPress de ataques de vulnerabilidad de día cero.

Si es posible, utiliza uno de estos plugins para mantener tu sitio seguro, ya que monitorean los cambios en los archivos, vulnerabilidades conocidas, y también proporcionan firewalls para los problemas más comunes.

4. Aplica Reglas de Firewall  y/o Autenticación de 2 pasos

Algo muy importante es proteger el acceso a nuestro WordPress, para ello puedes habilitar la autenticación de 2 pasos (si usas WordFence, este ya lo incluye), evitar la enumeración de los usuarios y de ser posible utilizar reglas de firewall.

Si no tienes un VPS o no eres experto en sistemas linux la manera mas practica y rápida de aplicar reglas de firewall es utilizando CloudFlare. Estas reglas te permiten proteger wordpress de ataques de fuerza bruta en la página de login. Aquí te dejo un video que explica cómo se hace, es super facil.

La autenticación de dos factores es mejor cuando tienes varios usuarios capaces de editar el contenido. Esto minimizará el riesgo de ser infectados por una contraseña débil o que los usuarios han sido hackeados.

5. Evalúa un Hosting de WordPress Administrado

Los hosting de WordPress Administrado se han vuelto muy populares, ya que hacen que el mantenimiento de WordPress sea significativamente más fácil.

Esto se debe a que este tipo de hosting bloquea la escritura de los archivos del núcleo de wordpress, para evitar que una vulnerabilidad alteren el comportamiento predeterminado a nivel de servidor.

Los hosts administrados con frecuencia brindan copias de seguridad periódicas, firewalls de aplicaciones web, protección DDoS y CDN, excelentes herramientas para mejorar el rendimiento y minimizar el riesgo para los sitios vulnerables.

Esta es la principal ventaja, mas es recomendable evaluar según el tipo de proyecto si te conviene o no ya que también tiene sus contras.

Te dejo unos enlaces de 3 empresas de Hosting WordPress Administrado que ofrecen esto servicios:

Conclusión

WordPress es una plataforma poderosa y segura para ejecutar casi cualquier tipo de sitio web siempre y cuando haya un compromiso con de mantenimiento a largo plazo.

Como beneficio adicional, WordPress tiene la interfaz de back-end más intuitiva y fácil de usar, un potente soporte de SEO y una personalización extrema.

Espero que este artículo te sea de utilidad y cualquier duda puedes dejarla en los comentarios.

close
I Love WordPress isotipo 256

Regístrate para recibir actualizaciones en tu correo.

¡No enviamos spam! Lee nuestra política de privacidad para más información.

También podría gustarte
Cargando...

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More