Muchos propietarios de sitios web se preocupan de que sus sitios de WordPress sean hackeados. Gestionamos muchos sitios web y entendemos bien esta preocupación.
Ser hackeado es muy frustrante y puede dañar tu negocio. Si bien los hackers intentan atacar todo tipo de sitios web, algunos errores comunes pueden hacer que tu sitio de WordPress sea un objetivo más fácil.
En este artículo, compartiremos las principales razones por las que los sitios de WordPress son hackeados para que puedas tomar medidas para proteger mejor tu sitio web.
¿Por qué WordPress es un Objetivo para los Hackers?
Primero, no es solo WordPress. Todos los sitios web en Internet son vulnerables a intentos de hackeo.
La razón por la que los sitios web de WordPress son un objetivo común es que WordPress es el creador de sitios web más popular del mundo. Impulsa más del 43% de todos los sitios web, lo que significa cientos de millones de sitios web en todo el mundo.
Esta inmensa popularidad brinda a los hackers una forma fácil de encontrar sitios web menos seguros para poder explotarlos.
Los hackers tienen varios motivos para hackear un sitio web. Algunos son principiantes que apenas están aprendiendo a explotar sitios menos seguros. Otros tienen intenciones maliciosas, como distribuir malware, atacar otros sitios web y enviar spam.
Dicho esto, veamos algunas de las principales causas de que los sitios de WordPress sean hackeados para que puedas aprender cómo evitar que tu sitio web sea hackeado.
1. Alojamiento Web Inseguro
Al igual que todos los sitios web, los sitios de WordPress se alojan en un servidor web. Algunas empresas de hosting no aseguran adecuadamente su plataforma de alojamiento. Esto hace que todos los sitios web alojados en sus servidores sean vulnerables a intentos de hackeo.
Esto se puede evitar fácilmente eligiendo el mejor proveedor de hosting de WordPress para tu sitio web. Los servidores debidamente seguros pueden bloquear muchos de los ataques más comunes a los sitios de WordPress.
Si deseas tomar precauciones adicionales, te recomendamos usar un proveedor de hosting de WordPress administrado.
2. Uso de contraseñas débiles
Las contraseñas son las llaves de tu sitio de WordPress. Debes asegurarte de usar una contraseña fuerte y única para cada una de las siguientes cuentas, ya que todas pueden proporcionar a un hacker acceso completo a tu sitio web:
- Tu cuenta de administrador de WordPress
- Tu cuenta del panel de control de hosting web
- Tus cuentas FTP
- La base de datos MySQL utilizada para tu sitio de WordPress
- Todas las cuentas de correo electrónico utilizadas para la administración de WordPress y el hosting
Todas estas cuentas están protegidas por contraseñas. El uso de contraseñas débiles facilita que los hackers descifren las contraseñas utilizando algunas herramientas básicas de hackeo.
Puedes evitar esto fácilmente usando contraseñas únicas y fuertes para cada cuenta. Consulta nuestra guía sobre la mejor manera de administrar contraseñas para principiantes de WordPress para aprender a administrar todas esas contraseñas seguras.
3. Acceso desprotegido al administrador de WordPress (wp-admin)
El área de administración de WordPress otorga a un usuario acceso para realizar diferentes acciones en tu sitio de WordPress. También es el área más atacada comúnmente de un sitio de WordPress.
Dejarlo desprotegido permite a los hackers intentar diferentes enfoques para vulnerar tu sitio web. Puedes dificultarles las cosas añadiendo capas de autenticación a tu directorio de administrador.
Primero, deberías proteger con contraseña tu área de administrador de WordPress. Esto añade una capa de seguridad adicional, y cualquiera que intente acceder al administrador de WordPress tendrá que proporcionar una contraseña extra.
Si administras un sitio de WordPress con varios autores o usuarios, entonces puedes exigir contraseñas seguras para todos los usuarios de tu sitio. También puedes añadir autenticación de dos factores (2FA) para que sea aún más difícil para los hackers acceder a tu área de administrador de WordPress.
4. Permisos de archivo incorrectos
Los permisos de archivo son un conjunto de reglas que utiliza su servidor web. Estos permisos ayudan a su servidor web a controlar el acceso a los archivos de su sitio. Los permisos de archivo incorrectos pueden dar a un hacker acceso para escribir y modificar estos archivos.
Todos sus archivos de WordPress deben tener un valor de 644 como permiso de archivo. Todas las carpetas de su sitio de WordPress deben tener 755 como su permiso de archivo.
Consulte nuestra guía sobre cómo solucionar el problema de carga de imágenes en WordPress para aprender a aplicar estos permisos de archivo.
5. No mantener WordPress actualizado
Algunos usuarios de WordPress tienen miedo de actualizar sus sitios web de WordPress. Temen que hacerlo rompa su sitio web.
Cada nueva versión de WordPress corrige errores y vulnerabilidades de seguridad. Si no está actualizando WordPress, entonces está dejando intencionalmente su sitio vulnerable.
Si teme que una actualización rompa su sitio web, puede crear una copia de seguridad completa de WordPress antes de ejecutar una actualización. De esta manera, si algo no funciona, puede revertir fácilmente a la versión anterior.
Puede obtener más información en nuestra guía para principiantes sobre cómo actualizar WordPress de forma segura.
6. No actualizar plugins o temas
Al igual que el software principal de WordPress, actualizar su tema y plugins es igualmente importante. Usar un plugin o tema desactualizado puede hacer que su sitio sea vulnerable.
Con frecuencia se descubren fallas de seguridad y errores en los plugins y temas de WordPress. Por lo general, los autores de temas y plugins son rápidos para solucionarlos. Sin embargo, si un usuario no actualiza su tema o plugin, entonces no hay nada que pueda hacer al respecto.
Asegúrate de mantener tu tema y plugins de WordPress actualizados. Puedes aprender cómo en nuestra guía sobre el orden de actualización correcto para WordPress, plugins y temas.
7. Usar FTP normal en lugar de SFTP/SSH
Las cuentas FTP se utilizan para subir archivos a tu servidor web usando un cliente FTP. La mayoría de los proveedores de hosting admiten conexiones FTP usando diferentes protocolos. Puedes conectarte usando FTP normal, SFTP o SSH.
Cuando te conectas a tu sitio usando FTP normal, tu contraseña se envía al servidor sin cifrar. Eso significa que puede ser espiada y robada fácilmente. En lugar de usar FTP, siempre debes usar SFTP o SSH.
No necesitas cambiar tu cliente FTP. La mayoría de los clientes FTP pueden conectarse a tu sitio web tanto por SFTP como por SSH. Solo necesitas cambiar el protocolo a 'SFTP – SSH' al conectarte a tu sitio web.
8. Usar Admin como nombre de usuario de WordPress
No se recomienda usar 'admin' como nombre de usuario de WordPress. Si tu nombre de usuario de administrador es 'admin', deberías cambiarlo inmediatamente por otro nombre de usuario.
Para instrucciones detalladas, consulta nuestro tutorial sobre cómo cambiar tu nombre de usuario de WordPress.
9. Temas y Plugins Nulled
Hay muchos sitios web en internet que distribuyen plugins y temas de WordPress de pago de forma gratuita. Podrías sentirte tentado a usar esos plugins y temas nulled en tu sitio.
Descargar temas y plugins de WordPress de fuentes no confiables es muy peligroso. No solo pueden comprometer la seguridad de tu sitio web, sino que también pueden usarse para robar información sensible.
Siempre debes descargar plugins y temas de WordPress de fuentes confiables, como el sitio web del desarrollador o los repositorios oficiales de WordPress.
Si no puedes permitirte comprar un plugin o tema premium, entonces siempre hay alternativas gratuitas disponibles para esos productos. Estos plugins gratuitos pueden no ser tan buenos como sus contrapartes de pago, pero harán el trabajo y, lo más importante, mantendrán tu sitio web seguro.
También puedes encontrar descuentos para muchos de los productos populares de WordPress en la sección de ofertas en nuestro sitio web.
10. No asegurar el archivo de configuración de WordPress wp-config.php
El archivo de configuración de WordPress wp-config.php contiene las credenciales de inicio de sesión de tu base de datos de WordPress. Si se ve comprometido, revelará información que podría darle a un hacker acceso completo a tu sitio web.
Puedes agregar una capa extra de protección denegando el acceso al archivo wp-config usando .htaccess. Simplemente agrega este código a tu archivo .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
11. No cambiar el prefijo de las tablas de WordPress
Muchos expertos recomiendan que cambies el prefijo predeterminado de las tablas de WordPress. Por defecto, WordPress usa wp_ como prefijo para las tablas que crea en tu base de datos. Tienes la opción de cambiarlo durante la instalación.
Se recomienda que uses un prefijo más complejo. Esto hará más difícil que los hackers adivinen los nombres de las tablas de tu base de datos.
Para instrucciones detalladas, consulta nuestra guía sobre cómo cambiar el prefijo de la base de datos de WordPress para mejorar la seguridad.
Limpiar un sitio de WordPress hackeado
Limpiar un sitio de WordPress hackeado puede ser doloroso. Sin embargo, se puede hacer.
Aquí tienes algunos recursos para empezar a limpiar un sitio de WordPress hackeado:
- Señales de que tu sitio de WordPress ha sido hackeado (y cómo solucionarlo)
- Cómo escanear tu sitio de WordPress en busca de código potencialmente malicioso
- Cómo encontrar una puerta trasera en un sitio de WordPress hackeado y solucionarla
- Qué hacer cuando te bloquean el acceso a la administración de WordPress (wp-admin)
- Guía para principiantes sobre cómo restaurar WordPress desde una copia de seguridad
Consejo extra
Para una seguridad sólida como una roca, Sucuri ofrece servicios de detección y eliminación de malware, así como un firewall para sitios web que protegerá tu sitio contra las amenazas más comunes.
Lee la historia de cómo Sucuri nos ayudó a bloquear 450,000 ataques de WordPress en 3 meses.
Esperamos que este artículo te haya ayudado a conocer las principales razones por las que un sitio de WordPress es hackeado. También te puede interesar nuestra guía sobre cómo proteger tu sitio de WordPress de ataques de fuerza bruta y nuestra selección experta de los mejores plugins de seguridad para WordPress para proteger tu sitio.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Dennis Muthomi
BUEN desglose de las vulnerabilidades de seguridad de WordPress.
Después de administrar actualizaciones en docenas de sitios de clientes, he descubierto que implementar un entorno de staging para probar las actualizaciones es absolutamente crucial. T
sto aborda la preocupación mencionada en los puntos 5 y 6 sobre que las actualizaciones podrían dañar los sitios. Creo una copia de staging, ejecuto las actualizaciones allí primero, pruebo a fondo y solo entonces actualizo el sitio en vivo. Este enfoque ha salvado a mis clientes de numerosos problemas potenciales mientras mantenía sus sitios seguros y actualizados. Es un paso adicional, pero vale la pena la tranquilidad.
Jiří Vaněk
¿Qué hacen exactamente las directivas para asegurar el archivo wp-config.php usando el archivo .htaccess? ¿Niegan el acceso a cualquiera desde el exterior, permitiendo el acceso solo al archivo por aplicaciones específicas? ¿Lo estoy entendiendo correctamente?
¿No causará esto algún otro problema al no poder acceder al archivo?
Soporte de WPBeginner
Evitaría el acceso de alguien que intente abrir el archivo directamente y, en la mayoría de los casos, no debería causar un problema al limitar el acceso de esta manera.
Administrador
Jiří Vaněk
Gracias por la respuesta. Solo quería asegurarme de que pudiera haber una situación en la que rompiera alguna comunicación interna de WordPress. Definitivamente aplico seguridad.
SaifZiya
Gracias por estos increíbles consejos. Voy a agregar el código al archivo .htaccess ahora.
Amit Khandelwal
Hola, he asegurado mi carpeta wp-admin a través de la privacidad de carpetas, pero ¿cómo puedo hacer lo mismo para la URL de wp-login?
Dragos
También puedes no instalar en la ubicación predeterminada de tu sitio web de WordPress, por lo que puedes instalar wp en una carpeta llamada "secure" y luego, con algunos trucos, tus visitantes ingresarán a tu sitio web.com, no a website.com/secure, para ver tu sitio.