Hay docenas de consejos y recursos disponibles que pueden ayudarte a proteger tu sitio web de WordPress.
En noviembre pasado, más de 1 millón de clientes de WordPress administrados por GoDaddy fueron parte de una brecha (sitio en inglés) que podría haber expuesto los direcciones de correo electrónico, claves SSL privadas y contraseñas de administrador. Aparentemente, el atacante pudo operar sin ser detectado dentro de sus redes durante dos meses completos.
WordPress tiene una larga historia de ser un objetivo muy rico y deseable para las vulnerabilidades. Por ejemplo, una botnet usó servidores de WordPress comprometidos para atacar a otros en 2018 (sitio en inglés) . Esto se debe a que el software se basa en la ejecución de una serie de scripts PHP, que es un lugar popular para los piratas informáticos. La gran cantidad de componentes diferentes, incluidos complementos, temas y otros scripts, dificultan la prevención de posibles infecciones o compromisos. Este sitio (en inglés) enumera muchas otras vulnerabilidades que se han encontrado, principalmente en versiones anteriores de WordPress.
Además de esto, hay que tener en cuenta el error humano. Muchos sitios de WordPress están ejecutando versiones anteriores que podrían estar detrás de varios lanzamientos importantes, lo que lleva a que las vulnerabilidades de seguridad no se corrijan. Además, algunos administradores no tienen experiencia en seguridad operativa de TI o simplemente están sobrecargados con otras responsabilidades y no pueden dedicar suficiente tiempo a implementar las medidas de seguridad necesarias para garantizar la seguridad de un sitio de WordPress.
Exploremos cómo configurar y mantener la seguridad en un sitio web en WordPress.
Consejos para mantener seguro tu sitio de WordPress
Primero, asegura tu nombre de usuario y contraseñas de WordPress. La literatura en línea está llena de numerosas opciones de contraseña de administrador deficientes que han hecho los operadores del sitio (sitio en inglés) . No uses el nombre "admin" en tu cuenta porque muchos ataques de fuerza bruta comienzan con el uso de este nombre, ya que es muy común. En su lugar, elige un nombre aleatorio para administrar tu cuenta. Además, usa MFA (sitio en inglés) para proteger todos tus inicios de sesión de WordPress.
Actualiza tu WordPress y PHP a las últimas versiones. Para WordPress, esta versión 5.9.1. PHP tiene una variedad de versiones y actualizaciones. (Mi proveedor de alojamiento se encarga de ambos automáticamente por mí, lo que también debería ser el caso para el tuyo).
Reduce la cantidad de complementos, temas y otros extras instalados. En pocas palabras, estos pueden aumentar la superficie de ataque.
Habilita el acceso SSL/HTTPS a tu sitio para cifrar las comunicaciones. Asegúrate de que tu proveedor de alojamiento también admita esto.
Realiza copias de seguridad periódicas del contenido de tu sitio. WordPress tiene una función de exportación simple que creará un archivo XML que debes almacenar sin conexión.
Instala un complemento de seguridad de WordPress especializado, como Wordfence (sitio en inglés) . Tómate el tiempo para comprender las funciones de seguridad, así como los informes que se producen, y asegúrate de actuar sobre la información y sus implicaciones. Puedes encontrar una lista más grande de complementos de seguridad en el sitio web de WordPress (sitio en inglés), donde puedes ver si la herramienta se probó con la última versión de WordPress, la última vez que se actualizó el complemento y la cantidad de usuarios que lo han hecho.
Manténte actualizado con las últimas vulnerabilidades de WordPress . A veces puede ser difícil rastrearlos, pero aquí hay un par de recursos. En primer lugar, tanto las vulnerabilidades de los complementos como la publicación del blog de Wordfence (sitio en inglés) informan con frecuencia sobre vulnerabilidades y ataques de día cero que han descubierto sus propias redes de instrumentación. Además, una herramienta semiautomática (sitio en inglés) reciente desarrollada por el investigador Krzysztof Zajac puede escanear varias áreas débiles en busca de posibles problemas.
Como puedes ver, hay docenas de consejos y recursos disponibles que pueden ayudarte a proteger tu sitio web de WordPress. En cualquier caso, no debes operar WordPress sin hacer uso de estos pasos, incluso si agregas gradualmente medidas de seguridad individuales una por una.