Hace poco, uno de nuestros lectores nos preguntó por qué se piratean los sitios de WordPress.
Es frustrante descubrir que tu sitio WordPress ha sido hackeado. Aunque los hackers atacan todos los sitios web, es posible que usted esté cometiendo algunos errores que dejan su sitio web vulnerable a los ataques.
En este artículo, vamos a compartir las principales razones por las que los sitios de WordPress son hackeados para que pueda evitar estos errores y proteger su sitio web.
¿Por qué WordPress está en el punto de mira de los piratas informáticos?
En primer lugar, no se trata sólo de WordPress. Todos los sitios web de Internet son vulnerables a los intentos de pirateo.
La razón por la que los sitios web de WordPress son un objetivo común es que WordPress es el maquetador de sitios web más popular del mundo. Funciona con más del 43% de todos los sitios web, lo que supone cientos de millones de sitios web en todo el mundo.
Esta inmensa popularidad facilita a los piratas informáticos la búsqueda de sitios web menos seguros para aprovecharse de ellos.
Los hackers tienen varios motivos para piratear un sitio web. Algunos son principiantes que están aprendiendo a explotar sitios menos seguros. Otros tienen intenciones malintencionadas, como distribuir malware, atacar otros sitios web y enviar spam.
Dicho esto, veamos algunas de las principales causas de hackeo de sitios WordPress para que pueda aprender a evitar que su sitio web sea hackeado.
1. Alojamiento web inseguro
Como todos los sitios web, los sitios WordPress se alojan en un servidor web. Algunas empresas de alojamiento no protegen adecuadamente su plataforma de alojamiento. Esto hace que todos los sitios web alojados en sus servidores sean vulnerables a intentos de pirateo.
Esto puede evitarse fácilmente eligiendo el mejor proveedor de alojamiento WordPress para su sitio web. Los servidores seguros pueden bloquear muchos de los ataques más comunes a sitios WordPress.
Si desea tomar precauciones adicionales, le recomendamos que utilice un proveedor de alojamiento gestionado de WordPress.
2. Usar contraseñas débiles
Las contraseñas son la clave de su sitio WordPress. Debe asegurarse de que utiliza una contraseña única y segura para cada una de las siguientes cuentas, ya que todas ellas pueden proporcionar a un pirata informático acceso completo a su sitio web:
- Su cuenta de administrador de WordPress
- Su cuenta del panel de control de alojamiento web
- Sus cuentas FTP
- La base de datos MySQL utilizada para su sitio WordPress
- Todas las cuentas de correo electrónico utilizadas para el administrador y el alojamiento de WordPress
Todas estas cuentas están protegidas por contraseñas. El uso de contraseñas débiles facilita a los piratas informáticos la tarea de descifrarlas utilizando algunas herramientas básicas de pirateo.
Puedes evitarlo fácilmente utilizando contraseñas únicas y seguras para cada cuenta. Consulta nuestra guía sobre la mejor forma de gestionar contraseñas para principiantes de WordPress para aprender a gestionar todas esas contraseñas seguras.
3. Acceso desprotegido al administrador de WordPress (wp-admin)
El área de administrador de WordPress da acceso a un usuario para realizar diferentes acciones en su sitio de WordPress. También es el área más atacada de un sitio WordPress.
Dejarlo desprotegido permite a los hackers probar diferentes enfoques para descifrar su sitio web. Puedes ponérselo difícil añadiendo capas de identificación a tu directorio de administrador.
En primer lugar, debes proteger tu área de administrador de WordPress con una contraseña. Esto añade una capa de seguridad adicional, y cualquiera que intente acceder al administrador de WordPress tendrá que proporcionar una contraseña adicional.
Si tienes un sitio WordPress multiautor o multiusuario, puedes imponer contraseñas seguras a todos los usuarios de tu sitio. También puedes añadir la autenticación de dos factores (2FA) para dificultar aún más la entrada de hackers en el área de administrador de WordPress.
4. Permisos de archivo incorrectos
Los permisos de archivo son un conjunto de reglas utilizadas por su servidor web. Estos permisos ayudan a su servidor web a controlar el acceso a los archivos de su sitio. Los permisos de archivo incorrectos pueden dar a un hacker acceso para escribir y cambiar estos archivos.
Todos sus archivos de WordPress deben tener un valor 644 como permiso de archivo. Todas las carpetas de su sitio WordPress deben tener 755 como permiso de archivo.
Consulte nuestra guía sobre cómo corregir el problema de subida de imágenes en WordPress para aprender a aplicar estos permisos de archivo.
5. No mantener WordPress actualizado
Algunos usuarios de WordPress tienen miedo de actualizar sus sitios web. Temen que al hacerlo se rompa su sitio web.
Cada nueva versión de WordPress corrige fallos y vulnerabilidades de seguridad. Si no actualiza WordPress, está dejando su sitio vulnerable intencionadamente.
Si tiene miedo de que una actualización rompa su sitio web, puede crear una copia de seguridad completa de WordPress antes de ejecutar una actualización. De esta forma, si algo no funciona, podrás volver fácilmente a la versión anterior.
Puede obtener más información en nuestra guía para principiantes sobre cómo actualizar WordPress de forma segura.
6. No actualización de plugins o tema
Al igual que el núcleo del software de WordPress, la actualización del tema y los plugins es igualmente importante. El uso de plugins o temas obsoletos puede hacer que tu sitio sea vulnerable.
A menudo se descubren fallos de seguridad en plugins y temas de WordPress. Normalmente, los autores de temas y plugins se apresuran a corregirlos. Sin embargo, si un usuario no actualiza su tema o plugin, no puede hacer nada al respecto.
Asegúrate de mantener actualizados el tema y los plugins de WordPress. Puede aprender cómo hacerlo en nuestra guía sobre el orden de actualización adecuado para WordPress, plugins y temas.
7. Uso de FTP simple en lugar de SFTP/SSH
Las cuentas FTP se utilizan para subir archivos a su servidor web mediante un cliente FTP. La mayoría de los proveedores de alojamiento es compatible con / dar soporte a conexiones FTP utilizando diferentes protocolos. Puede conectarse mediante FTP simple, SFTP o SSH.
Cuando te conectas a tu sitio utilizando FTP plano, tu contraseña se envía al servidor sin cifrar. Eso significa que puede ser espiada y robada fácilmente. En lugar de usar FTP, deberías usar siempre SFTP o SSH.
No necesitas cambiar tu cliente FTP. La mayoría de los clientes FTP pueden conectarse a su sitio web tanto en SFTP como en SSH. Solo tienes que cambiar el protocolo a ‘SFTP – SSH’ cuando te conectes a tu sitio web.
8. Usar administrador como nombre de usuario de WordPress
No se recomienda utilizar “admin” como nombre de usuario de WordPress. Si su nombre de usuario administrador es ‘admin’, debe cambiarlo inmediatamente por otro nombre de usuario.
Para obtener instrucciones detalladas, compruebe nuestro tutorial sobre cómo cambiar su nombre de usuario de WordPress.
9. Temas y plugins anulados
Hay muchos sitios web en Internet que distribuyen plugins y temas de WordPress de pago de forma gratuita. Usted puede sentir la tentación de utilizar esos plugins y temas anulados en su sitio.
Descargar temas y plugins de WordPress de fuentes poco fiables es muy peligroso. No solo pueden comprometer la seguridad de su sitio web, sino que también pueden utilizarse para robar información confidencial.
Descargue siempre los plugins y temas de WordPress de fuentes fiables, como el sitio web del desarrollador o los repositorios oficiales de WordPress.
Si no puedes permitirte comprar un plugin o un tema premium, siempre hay alternativas gratuitas disponibles para esos productos. Puede que estos plugins gratuitos no sean tan buenos como sus homólogos de pago, pero harán el trabajo y, lo más importante, mantendrán tu sitio web seguro.
También puede encontrar descuentos para muchos de los productos más populares de WordPress en la sección de ofertas de nuestro sitio web.
10. No proteger el archivo de configuración de WordPress wp-config.php
El archivo de configuración de WordPress wp-config. php contiene sus credenciales de acceso / acceso a la base de datos de WordPress. Si se ve comprometido, revelará información que podría dar a un hacker acceso completo a su sitio web.
Puede añadir una capa adicional de protección denegando el acceso al archivo wp-config mediante .htaccess. Simplemente añade este código a tu archivo .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
11. No cambiar el prefijo de la tabla de WordPress
Muchos expertos recomiendan cambiar el prefijo por defecto de las tablas de WordPress. Por defecto, WordPress utiliza wp_ como prefijo para las tablas que crea en su base de datos. Tienes una opción para cambiarlo durante la instalación.
Se recomienda utilizar un prefijo más complejo. Así será más difícil que los piratas informáticos adivinen los nombres de las tablas de tu base de datos.
Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo cambiar el prefijo de la base de datos de WordPress para mejorar la seguridad.
Limpieza de un sitio WordPress pirateado
Limpiar un sitio WordPress hackeado puede ser doloroso. Sin embargo, se puede hacer.
Estos son algunos recursos para empezar a limpiar un sitio WordPress hackeado:
- Señales de que tu sitio WordPress ha sido pirateado (y cómo corregirlo)
- Cómo explorar su sitio WordPress en busca de código potencialmente malintencionado
- Cómo encontrar una puerta trasera en un sitio WordPress hackeado y corregirla
- Qué hacer si no puede acceder al administrador de WordPress (wp-admin)
- Guía para principiantes sobre cómo restaurar WordPress a partir de una copia de seguridad
Consejo adicional
Para una seguridad sólida como una roca, Sucuri proporciona servicios de detección y eliminación de malware, así como un cortafuegos de sitios web que protegerá su sitio web contra las amenazas más comunes.
Lea la historia de cómo Sucuri nos ayudó a bloquear 450.000 ataques a WordPress en 3 meses.
Alternativamente, puede aprovechar nuestros asequibles Servicios Profesionales WPBeginner.
Si su sitio web ha sido pirateado, nuestro equipo de expertos puede limpiar el código malicioso, los archivos y el malware para garantizar que sus datos confidenciales estén seguros. Precios a partir de 249 $.
Esperamos que este artículo te haya ayudado a conocer las principales razones por las que un sitio WordPress es hackeado. Quizás también quieras ver nuestra guía sobre cómo aumentar el tráfico de tu blog o nuestros consejos de expertos para acelerar el rendimiento de WordPress.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Jiří Vaněk says
What exactly do the directives for securing the wp-config.php file using the .htaccess file do? Do they deny access to anyone from the outside, allowing access only to the file by specific applications? Am I understanding it correctly?
Won’t this cause some other problem of not being able to access the file?
WPBeginner Support says
It would prevent access from someone trying to open the file directly and in most cases should not cause a problem with limiting access this way.
Administrador
Jiří Vaněk says
Thank you for answer. I just wanted to make sure that there could be a situation where I would break some internal WordPress communication. I definitely apply security.
SaifZiya says
Thanks for these amazing tips. I going to add the code to .htaccess file now.
Amit Khandelwal says
Hello, i have secure my wp-admin folder through folder privacy but how can i do the same for wp-login url?
Dragos says
You can also not install in the default location your WordPress website so you can actually install the wp into a folder named “secure” and then with some tricks your visitors will enter to your website.com not website.com/secure in order to see your site.