Blog / Aprende a… Proteger tu WordPress contra ataques de seguridad

La seguridad para una web es crucial hoy en día. Cada vez es más frecuente ver hackeos de webs que pueden arruinar en un momento tu estrategia SEO indexando páginas no relevantes sobre temas como apuestas, casinos u otro tipo de contenido. Pero también pueden provocar problemas aún mayores como filtración de información sensible de tus usuarios o transacciones.

Espero que no hayas tenido que pasar por esta situación. Si no es así mejor, pero igualmente este artículo te servirá para aplicar algunas medidas preventivas en tu sitio web. ¡Léelo hasta el final y conoce todas las medidas para proteger tu WordPress contra ataques de seguridad!

¿Por qué es importante proteger tu web?

WordPress es uno de los sistemas de gestión de contenido (CMS) más populares del mundo, lo que también lo convierte en un objetivo frecuente para los ciberdelincuentes. Un sitio web comprometido puede resultar en la pérdida de datos, daño a la reputación de la empresa y hasta sanciones legales si se vulnera información sensible de los usuarios.

Por ello, asegurar tu web en WordPress no es solo una opción, sino una necesidad para garantizar la integridad y disponibilidad de tu sitio. Especialmente si tu web es una tienda online y maneja transacciones comerciales con los usuarios. Los ciberdelincuentes puedes obtener datos de métodos de pago de tus clientes.

¿Cuáles son las principales vulnerabilidades que puedes encontrarte?

En este punto creo que ya tienes claro por qué es importante cuidar la seguridad de tu web. Ahora vamos a ver cuáles son las causas más comunes por las que un sitio web puede ser vulnerado o «hackeado». Si sabemos el síntoma podremos ver qué métodos preventivos podemos implementar para paliarlo.

• Falta de actualizaciones: Los plugins, temas e incluso la versión de WordPress que no estén actualizados puedes ser una puerta de entrada para los atacantes. Incluso una versión desactualizada de PHP de tu web puede ser vulnerable.
• Contraseñas débiles: Es muy frecuente usar una contraseña que sea fácil de recordar para entrar a WordPress. En ocasiones puede ser la misma que se use para acceder a otras plataformas. Sin embargo, estas contraseñas suelen ser débiles y fácilmente descifrables.
• Ataques de fuerza bruta: Se trata de intentos repetidos de acceso con combinaciones de usuario y contraseña desde diferentes archivos de acceso al WordPress.
• Cross-Site Scripting (XSS): Es la introducción de scripts maliciosos en la web que puedes comprometer la seguridad de la misma. Suele ser frecuente insertar estos scripts en formularios o comentarios para robar datos de usuarios.
• Malware y backdoors: El malware es un código malicioso oculto en archivos del sitio que permite el acceso remoto no autorizado. Puede venir de algún plugin o tema infectado. Por ello es recomendable verificar la autenticidad de un plugin antes de instalarlo. Este malware se suele introducir en backdoors o puntos de entrada ocultos en el código de WordPress.

Cómo proteger tu sitio de WordPress

1. Actualiza tu web regularmente

Las actualizaciones de WordPress, plugins y temas suelen incluir parches de seguridad que corrigen vulnerabilidades. Mantener todo actualizado reduce drásticamente el riesgo de ataques.

Pero debes tener cuidado con las actualizaciones, especialmente si se trata de una actualización mayor, ya que puede alterar o «romper» algún componente de tu web. Realiza las actualizaciones de una a una revisando si afecta al diseño y funcionamiento normal de tu web.

Pero la cosa no queda ahí. Fíjate si tu web tiene una versión de PHP desactualizada u obsoleta. Es recomendable mantenerla actualizada, en la medida de lo posible, para evitar fallos de seguridad corregidos en versiones más actuales.

2. Usa contraseñas seguras y utiliza autentificación de dos factores (2FA)

Como hemos comentado antes, una de las causas más comunes de vulnerabilidades de seguridad es la utilización de contraseñas poco seguras. La contraseña debe combinar letras en mayúsculas, minúsculas, caracteres especiales y números. De esta forma, se lo estás poniendo muy difícil a los atacantes para desencriptarla. Puedes emplear herramientas online de generación de contraseñas seguras si no se te ocurre ninguna. Incluso el propio WordPress tiene un generador.

Como medida más restrictiva es recomendable emplear un sistema de doble autentificador (2FA) con el que además de la contraseña debes acceder a través de un SMS a tu móvil o un código externo de seguridad encriptado que va cambiando. Puedes habilitarlo esta opción con plugins externos o incluso con el que te presentamos en el siguiente punto.

3. Implementa un plugin de Aplicación Web de Firewall (WAF)

Una buena medida es la instalación de un plugin de Aplicación Web de Firewall o WAF. Un WAF actúa como un filtro de seguridad, bloqueando el tráfico malicioso antes de que llegue a tu sitio. Para ello te recomendamos el plugin de Wordfence que te ofrece varias opciones interesantes en su versión gratuita.

Con él podrás bloquear manualmente o de forma automática el tráfico malicioso, podrás ocultar la versión de WordPress, evitar inyección de código en los archivos, realizar análisis periódicos de vulnerabilidades e incluso configurar un 2FA como hemos visto anteriormente.

Te recomendamos que le eches un vistazo a las posibilidades que ofrece el plugin y que puedes configurar según la necesidad de tu proyecto web. También existe una versión de pago que permite acceder a funcionalidades más restrictivas de tráfico por países y reglas de firewall más completas.

4. Modifica la ruta de acceso a WordPress

Por defecto, la página de inicio de sesión de WordPress es «tudominio.com/wp-admin». Cambiar esta URL dificulta los ataques de fuerza bruta. Por lo menos los atacantes no sabrán desde donde acceder y esto ya es una restricción importante.

Puedes utilizar plugins como WPS Hide Login que te permiten modificar la URL de acceso y personalizarla. Cuanto más específica sea mucho mejor. Evita poner una URL muy genérica como «admin», «login» o «acceso».

5. Protege los archivos importantes

Configura permisos adecuados en los archivos clave de tu web, como wp-config.php y .htaccess. Estos archivos contienen información crítica como usuarios, contraseñas y acceso a configuraciones de servidor que deben estar protegidos contra accesos no autorizados.

También es común que los ciberdelincuentes intenten realizar ataques DDoS de intentos de acceso de fuerza bruta a través del archivo XML-RCP. Hace unos años este archivo se utilizaba por para conexiones remotas a WordPress. Pero hoy en día prácticamente se ha quedado en desuso y supone más un riesgo que un archivo útil. Por lo que también conviene bloquearlo. Para bloquear el acceso a estos archivos puedes agregar las siguientes líneas de código en el .htaccess, pero asegúrate de que la sintaxis es correcta porque podrías provocar que la web deje de verse:

# Block WordPress xmlrpc.php requests, WP-Config y htaccess
<Files xmlrpc.php> 
order deny,allow 
deny from all 
</Files>

<files wp-config.php>
order allow,deny
deny from all
</files>

<files .htaccess>
order allow,deny
deny from all
</files>

6. Evita el código inyectado en archivos

Evita la ejecución de código malicioso deshabilitando la edición de archivos desde el panel de administración. Agrega la siguiente línea en el archivo wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Esto impide que atacantes modifiquen archivos clave desde el dashboard.

7. Bloquea el tráfico no relevante desde el servidor

Si tienes un ecommerce que vende a nivel nacional, no tiene sentido el tráfico que puedas recibir de otros países como Vietnam, Hong Kong o Rusia. Usa reglas en .htaccess o en el firewall de tu servidor para restringir el acceso a direcciones IP sospechosas y a países donde no operes. Pero debes tener mucho de qué países bloqueas porque puedes bloquear el rastreo de tu web para algunos robots que te pueden interesar. Por ejemplo, los robots de Google rastrean desde Estados Unidos, por lo que si bloqueas este país tu web no se podrá indexar en las búsquedas de Google.

Si no sabes cómo realizar estos bloqueos desde el servidor sin comprometer el rastreo de robots, ponte en contacto con tu proveedor de hosting y coméntales el caso. Seguro te echarán una mano para dejarlo configurado y evitar que por error o desconocimiento bloquees un país que no debas.

8. Crea copias de seguridad periódicas de tu web

Este último punto es quizás uno de los más importantes. Debes tener un «as bajo la manga» si detectas que tu web ha sido «hackeada». Por ello te recomiendo encarecidamente que mantengas copias de seguridad regulares de tu base de datos y archivos.

Para ello puedes programar copias automáticas, diarias, semanales o mensuales de tu web. La periodicidad dependerá de la tipología de tu web, no es lo mismo una web estática que un ecommerce que se actualiza al día, y de la capacidad del servidor. Fíjate bien si tu servidor es capaz de almacenar las copias que hagas porque si no puedes correr el riesgo de quedarte sin web por falta de espacio.

Puedes programar copias desde tu servidor, si ofrece esta posibilidad, o usar plugins como UpdraftPlus o BackWPup para realizar backups automáticos y almacenarlos en la nube o en tus propios archivos. La mayoría de estos plugins te permiten restaurar fácilmente las copias realizadas en caso de que tengas que hacerlo. Pero asegúrate de que tienen esta opción.

Mantén tu web protegida y te evitarás dolores de cabeza

La seguridad en WordPress es un proceso continuo. Implementar estas buenas prácticas minimizará los riesgos de ataque y garantizará el buen funcionamiento de tu web. Un sitio seguro te ayudará a proteger tu información y la de tus usuarios, fortaleciendo tu credibilidad y evitando problemas a futuro.

Espero que este artículo te haya servido para aplicar algunas de las medidas y hacer más segura tu web contra los ciberdelincuentes. Si tienes alguna duda o pregunta o quieres compartir un caso que te ha ocurrido, nos encantaría que nos lo hicieras saber. Déjanos un comentario y responderemos tus dudas.

¡Hasta el próximo artículo!

Otros artículos de interés