Todos los propietarios de sitios de WordPress que conocemos han tenido ese momento de pánico cuando se dan cuenta de que su sitio web podría ser vulnerable a los hackers. Aprendimos esta lección de la manera difícil al principio de nuestro camino cuando vimos lo que las brechas de seguridad podían hacerle a los negocios.
Es por eso que a lo largo de los años, hemos mantenido WPBeginner a salvo de ataques repetidos utilizando los mejores plugins de seguridad y siguiendo las mejores prácticas de seguridad de WordPress.
La seguridad de WordPress no tiene por qué ser complicada ni costosa. La mayoría de los propietarios de sitios piensan que necesitan contratar expertos o gastar miles en herramientas de seguridad, pero eso simplemente no es cierto. Con el enfoque correcto y las estrategias probadas, puedes proteger tu sitio web tal como nosotros protegemos el nuestro.
Hemos pasado años probando plugins de seguridad, implementando las mejores prácticas y ayudando a miles de usuarios de WordPress a asegurar sus sitios. En esta guía, te guiaremos a través de cada paso que usamos para mantener nuestro sitio seguro, para que puedas dormir tranquilo sabiendo que tu sitio web de WordPress está protegido.
Si bien el software principal de WordPress es muy seguro y es auditado regularmente por cientos de desarrolladores, todavía hay mucho que hacer para mantener tu sitio seguro.
En WPBeginner, creemos que la seguridad no se trata solo de eliminar riesgos. También se trata de reducir riesgos. Como propietario de un sitio web, hay mucho que puedes hacer para mejorar la seguridad de tu WordPress, incluso si no eres experto en tecnología.
Es por eso que hemos preparado una lista de verificación de seguridad de WordPress con pasos prácticos que puedes seguir para proteger tu sitio web contra vulnerabilidades de seguridad.
Para hacerlo fácil, hemos creado una tabla de contenido para ayudarte a navegar fácilmente por nuestra guía definitiva de seguridad de WordPress.
Tabla de contenido
Fundamentos de la Seguridad de WordPress
- Por qué es Importante la Seguridad de WordPress
- Mantener WordPress Actualizado
- Usa contraseñas seguras y permisos de usuario
- Comprende el rol del hosting de WordPress
Seguridad de WordPress en pasos sencillos (sin código)
- Instala una solución de copias de seguridad de WordPress
- Instala un plugin de seguridad de WordPress de buena reputación
- Habilita un firewall de aplicaciones web (WAF)
- Mueve tu sitio de WordPress a SSL/HTTPS
Seguridad de WordPress para usuarios que lo hacen por sí mismos
- Cambia el nombre de usuario administrador predeterminado
- Deshabilita la edición de archivos
- Deshabilita la ejecución de archivos PHP en ciertos directorios de WordPress
- Limitar intentos de inicio de sesión
- Agrega autenticación de dos factores (2FA)
- Cambia el prefijo de la base de datos de WordPress
- Protege con contraseña la página de administración e inicio de sesión de WordPress
- Deshabilita la indexación y navegación de directorios
- Deshabilita XML-RPC en WordPress
- Cierra sesión automáticamente a los usuarios inactivos en WordPress
- Agregar preguntas de seguridad al inicio de sesión de WordPress
- Escanear WordPress en busca de malware y vulnerabilidades
- Reparar un sitio de WordPress hackeado
¿Listo? Empecemos.
Por qué es importante la seguridad del sitio web
Un sitio web de WordPress hackeado puede causar graves daños a los ingresos y la reputación de su negocio. Los hackers pueden robar información y contraseñas de los usuarios, instalar software malicioso e incluso distribuir malware a sus usuarios.
Lo peor es que podría terminar pagando ransomware a los hackers solo para recuperar el acceso a su sitio web.
Todos los días, Google advierte a 12-14 millones de usuarios que un sitio web que intentan visitar puede contener malware o robar información.
Además, Google pone en lista negra más de 10,000 sitios web cada día por malware o phishing.
Así como los dueños de negocios con una ubicación física son responsables de salvaguardar su propiedad, los dueños de negocios en línea deben prestar especial atención a la seguridad de su WordPress.
Mantener WordPress Actualizado
WordPress es un software de código abierto y se mantiene y actualiza regularmente. Por defecto, WordPress instala automáticamente actualizaciones menores.
Para lanzamientos importantes, necesita iniciar manualmente la actualización.
WordPress también viene con miles de plugins y temas que puede instalar en su sitio web. Estos plugins y temas son mantenidos por desarrolladores de terceros, quienes lanzan actualizaciones regularmente.
Estas actualizaciones de WordPress son cruciales para la seguridad y estabilidad de tu sitio WordPress. Debes asegurarte de que el núcleo, plugins y tema de WordPress estén actualizados.
Usa contraseñas seguras y permisos de usuario
Los intentos de hackeo más comunes en WordPress utilizan contraseñas robadas. Sin embargo, puedes dificultar esto usando contraseñas más fuertes y únicas para tu sitio web.
No solo hablamos del área de administración de WordPress. Recuerda crear contraseñas seguras para tus cuentas FTP, bases de datos, cuentas de hosting de WordPress y direcciones de correo electrónico personalizadas que usen el nombre de dominio de tu sitio.
A muchos principiantes no les gusta usar contraseñas seguras porque son difíciles de recordar. Lo bueno es que ya no necesitas recordar contraseñas porque puedes usar un gestor de contraseñas.
Consulta nuestra guía sobre cómo gestionar contraseñas de WordPress para más información.
Otra forma de reducir el riesgo es no dar acceso a nadie a tu cuenta de administrador de WordPress a menos que sea absolutamente necesario.
Si tienes un equipo grande o autores invitados, asegúrate de entender los roles y permisos de usuario en WordPress antes de agregar nuevas cuentas de usuario y autores a tu sitio WordPress.
Comprende el rol del hosting de WordPress
Tu servicio de hosting de WordPress juega el papel más importante en la seguridad de tu sitio de WordPress. Un buen proveedor de hosting compartido como Hostinger, Bluehost o SiteGround toma medidas adicionales para proteger sus servidores contra amenazas comunes.
Aquí hay solo algunas formas en que las buenas empresas de hosting web trabajan en segundo plano para proteger tus sitios web y datos:
- Monitorean continuamente su red en busca de actividades sospechosas.
- Todas las buenas empresas de hosting tienen herramientas implementadas para prevenir ataques DDoS a gran escala.
- Mantienen actualizado el software de sus servidores, las versiones de PHP y el hardware para evitar que los hackers exploten una vulnerabilidad de seguridad conocida en una versión antigua.
- Tienen planes de recuperación ante desastres y planes de contingencia listos para implementar que les permiten proteger sus datos en caso de un accidente mayor.
En un plan de hosting compartido, usted comparte los recursos del servidor con muchos otros clientes. Existe el riesgo de contaminación entre sitios, donde un hacker puede usar un sitio vecino para atacar su sitio web.
Por el contrario, usar un servicio de hosting de WordPress administrado proporciona una plataforma más segura para su sitio web. Las empresas de hosting de WordPress administrado ofrecen copias de seguridad automáticas, actualizaciones automáticas de WordPress y configuraciones de seguridad más avanzadas para proteger su sitio web.
Recomendamos SiteGround como nuestro proveedor de hosting de WordPress administrado preferido. Tienen soporte receptivo, servidores rápidos y una excelente confiabilidad.
Asegúrese de obtener la mejor oferta utilizando nuestro cupón especial de SiteGround.
Seguridad de WordPress en pocos pasos sencillos (sin código)
Sabemos que mejorar la seguridad de WordPress puede ser un pensamiento aterrador para los principiantes, especialmente si no eres técnico. Adivina qué: no estás solo.
Hemos ayudado a miles de usuarios de WordPress a fortalecer la seguridad de su WordPress.
Le mostraremos cómo puede mejorar la seguridad de su WordPress con solo unos pocos clics (sin necesidad de codificación).
¡Si puede hacer clic y señalar, puede hacerlo!
1. Instalar una solución de copia de seguridad de WordPress
Las copias de seguridad son tu primera defensa contra cualquier ataque a WordPress. Recuerda, nada es 100% seguro. Si los sitios web gubernamentales pueden ser hackeados, entonces el tuyo también.
Las copias de seguridad te permiten restaurar rápidamente tu sitio de WordPress en caso de que algo malo suceda.
Existen muchos plugins de copia de seguridad de WordPress gratuitos y de pago que puedes usar. Lo más importante que necesitas saber sobre las copias de seguridad es que debes guardar regularmente copias de seguridad completas del sitio en una ubicación remota (no en tu cuenta de hosting).
Recomendamos almacenarla en un servicio en la nube como Amazon, Dropbox, o nubes privadas como Stash.
Basado en la frecuencia con la que actualizas tu sitio web, la configuración ideal podría ser una vez al día o copias de seguridad en tiempo real.
Afortunadamente, esto se puede hacer fácilmente usando plugins como Duplicator, UpdraftPlus, o BlogVault. Ambos son confiables y, lo más importante, fáciles de usar (no se necesita codificación).
Para más detalles, consulta nuestra guía sobre cómo hacer una copia de seguridad de tu sitio de WordPress.
Instala un plugin de seguridad de WordPress de buena reputación
Después de las copias de seguridad, lo siguiente que necesitamos hacer es configurar un sistema de auditoría y monitoreo que haga un seguimiento de todo lo que sucede en tu sitio web.
Esto incluye monitoreo de integridad de archivos, intentos fallidos de inicio de sesión, escaneo de malware y más.
Afortunadamente, puedes solucionar esto fácilmente instalando uno de los mejores plugins de seguridad de WordPress, como Sucuri.
Necesitas instalar y activar el plugin gratuito Sucuri Security. Para más detalles, por favor consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Ahora, puedes ir a Sucuri Security » Dashboard para ver si el plugin encontró algún problema inmediato con el código de tu WordPress.
Lo siguiente que necesitas hacer es navegar a la página Sucuri Security » Settings y hacer clic en la pestaña ‘Hardening’.
La configuración predeterminada funciona bien para la mayoría de los sitios web, así que puedes proceder a activarla haciendo clic en el botón ‘Apply Hardening’ para cada opción.
Esto te ayuda a asegurar las áreas clave que los hackers suelen usar en sus ataques.
Consejo: Cubriremos más formas de mejorar la seguridad de tu sitio web más adelante en este artículo, como cambiar el prefijo de la base de datos y el nombre de usuario del administrador. Sin embargo, estos son más técnicos y pueden requerir conocimientos de codificación.
Después de la parte de seguridad, la otra configuración predeterminada del plugin es suficiente para la mayoría de los sitios web y no necesita ningún cambio.
Lo único que recomendamos personalizar son las alertas por correo electrónico, que se encuentran en la pestaña ‘Alerts’ de la página de configuración.
Por defecto, recibirás muchas alertas por correo electrónico que pueden saturar tu bandeja de entrada.
Recomendamos habilitar las alertas solo para las acciones clave sobre las que deseas ser notificado, como cambios en plugins y registros de nuevos usuarios.
Este plugin de seguridad para WordPress es muy potente, así que navega por todas las pestañas y configuraciones para ver todo lo que hace, como escaneo de malware, registros de auditoría, seguimiento de intentos fallidos de inicio de sesión y más.
Para más información, puedes ver nuestra reseña detallada de Sucuri.
Habilita un firewall de aplicaciones web (WAF)
Usar un firewall de aplicaciones web (WAF) es la forma más fácil de proteger tu sitio y tener confianza en la seguridad de tu WordPress.
Un firewall de sitio web bloquea todo el tráfico malicioso antes de que llegue a tu sitio web.
- Un firewall de sitio web a nivel DNS enruta el tráfico de tu sitio web a través de sus servidores proxy en la nube. Esto le permite enviar solo tráfico genuino a tu servidor web.
- Un firewall a nivel de aplicación examina el tráfico una vez que llega a tu servidor pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficiente como el firewall a nivel DNS para reducir la carga del servidor.
Para obtener más información, consulta nuestra lista de los mejores plugins de firewall para WordPress.
Hemos utilizado Sucuri en WPBeginner durante muchos años y todavía lo recomendamos como uno de los mejores firewalls de aplicaciones web para WordPress. Recientemente cambiamos de Sucuri a Cloudflare porque necesitábamos una red CDN más grande con funciones que se enfocaran más en clientes empresariales.
Puedes leer sobre cómo Sucuri nos ayudó a bloquear 450,000 ataques de WordPress en un mes.
La mejor parte del firewall de Sucuri es que también viene con una garantía de limpieza de malware y eliminación de listas negras. Eso significa que si fueras hackeado bajo su supervisión, ellos garantizan la reparación de tu sitio web, sin importar cuántas páginas tengas.
Esta es una garantía bastante sólida porque reparar sitios web hackeados es caro. Los expertos en seguridad normalmente cobran más de $250 por hora, mientras que puedes obtener todo el paquete de seguridad de Sucuri por $199 durante todo un año.
Dicho esto, Sucuri no es el único proveedor de firewall a nivel DNS que existe. El otro competidor popular es Cloudflare. Consulta nuestra comparación de Sucuri vs. Cloudflare (Pros y Contras).
Mueve tu sitio de WordPress a SSL/HTTPS
SSL (Secure Sockets Layer) es un protocolo que cifra la transferencia de datos entre tu sitio web y el navegador del usuario. Este cifrado dificulta que alguien espíe y robe información.
Una vez que habilites SSL, la dirección de tu sitio web usará HTTPS en lugar de HTTP. También verás un candado o un icono similar junto a la dirección de tu sitio web en el navegador.
Los certificados SSL suelen ser emitidos por autoridades certificadoras, y sus precios comienzan desde $80 hasta cientos de dólares al año. Debido al costo adicional, la mayoría de los propietarios de sitios web en el pasado optaron por seguir usando el protocolo inseguro.
Para solucionar esto, una organización sin fines de lucro llamada Let’s Encrypt decidió ofrecer Certificados SSL gratuitos a los propietarios de sitios web. Su proyecto cuenta con el respaldo de Google Chrome, Facebook, Mozilla y muchas otras empresas.
Es más fácil que nunca empezar a usar SSL para todos tus sitios web de WordPress. Muchas empresas de hosting ahora ofrecen un certificado SSL gratuito para tu sitio web de WordPress.
Si tu empresa de hosting no ofrece uno, entonces puedes comprar un certificado SSL en Domain.com. Tienen las mejores y más confiables ofertas de SSL del mercado. El certificado viene con una garantía de seguridad de $10,000 y un sello de seguridad TrustLogo.
Seguridad de WordPress para usuarios que lo hacen por sí mismos
Si haces todo lo que hemos mencionado hasta ahora, entonces estás en muy buena forma.
Pero como siempre, hay más cosas que puedes hacer para fortalecer la seguridad de tu WordPress.
Ten en cuenta que algunos de estos pasos pueden requerir conocimientos de codificación.
Cambia el nombre de usuario administrador predeterminado
En el pasado, el nombre de usuario predeterminado del administrador de WordPress era 'admin'. Dado que los nombres de usuario constituyen la mitad de las credenciales de inicio de sesión, esto facilitaba a los hackers realizar ataques de fuerza bruta.
Afortunadamente, WordPress ha cambiado esto desde entonces y ahora te exige que selecciones un nombre de usuario personalizado al momento de instalar WordPress.
Sin embargo, algunos instaladores de WordPress de 'un clic' todavía establecen el nombre de usuario predeterminado del administrador en 'admin'. Si notas que ese es el caso, entonces probablemente sea una buena idea cambiar tu hosting web.
Dado que WordPress no permite cambiar nombres de usuario por defecto, existen tres métodos que puedes usar para cambiar el nombre de usuario.
- Crea un nuevo nombre de usuario administrador y elimina el anterior.
- Usa el plugin Username Changer
- Actualiza el nombre de usuario desde phpMyAdmin
Hemos cubierto estos tres métodos en nuestra guía detallada sobre cómo cambiar correctamente tu nombre de usuario de WordPress.
Nota: Para que quede claro, nos referimos a cambiar el nombre de usuario llamado 'admin', no el rol de usuario administrador, que a veces también se llama 'admin'.
Deshabilita la edición de archivos
WordPress viene con un editor de código integrado que te permite editar los archivos de tu tema y plugins directamente desde tu área de administración de WordPress.
En las manos equivocadas, esta función puede ser un riesgo de seguridad, por lo que recomendamos desactivarla.
Puedes hacer esto fácilmente agregando el siguiente código a tu archivo wp-config.php o con un plugin de fragmentos de código como WPCode (recomendado):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Te mostramos cómo hacerlo paso a paso en nuestra guía sobre cómo deshabilitar los editores de temas y plugins desde el panel de administración de WordPress.
Alternativamente, puedes hacer esto con 1 clic usando la función de endurecimiento en el plugin gratuito Sucuri mencionado anteriormente.
Deshabilita la ejecución de archivos PHP en ciertos directorios de WordPress
Otra forma de endurecer la seguridad de tu WordPress es deshabilitando la ejecución de archivos PHP en directorios donde no sea necesaria, como /wp-content/uploads/.
Puedes hacer esto abriendo un editor de texto como el Bloc de notas y pegando este código:
<Files *.php>
deny from all
</Files>
A continuación, necesitas guardar este archivo como .htaccess y subirlo a la carpeta /wp-content/uploads/ en tu sitio web usando un cliente FTP.
Para una explicación más detallada, consulta nuestra guía sobre cómo deshabilitar la ejecución de PHP en ciertos directorios de WordPress.
Alternativamente, puedes hacer esto con un solo clic usando la función de endurecimiento en el plugin gratuito Sucuri que mencionamos anteriormente.
Limitar intentos de inicio de sesión
Por defecto, WordPress permite a los usuarios intentar iniciar sesión tantas veces como quieran. Esto deja tu sitio de WordPress vulnerable a ataques de fuerza bruta. Aquí es donde los hackers intentan descifrar contraseñas probando diferentes combinaciones.
Esto se puede solucionar fácilmente limitando los intentos fallidos de inicio de sesión que un usuario puede realizar. Si estás utilizando el firewall de aplicaciones web mencionado anteriormente, esto se maneja automáticamente.
Sin embargo, si no tienes el firewall configurado, puedes proceder utilizando los pasos a continuación.
Primero, necesitas instalar y activar el plugin gratuito Limit Login Attempts Reloaded. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Tras la activación, el plugin comenzará a limitar el número de intentos de inicio de sesión que los usuarios pueden realizar.
La configuración predeterminada funcionará para la mayoría de los sitios web. Sin embargo, puedes personalizarlas visitando la página Ajustes » Limit Login Attempts y haciendo clic en la pestaña 'Ajustes' en la parte superior. Por ejemplo, para cumplir con las leyes de GDPR, puedes marcar la casilla 'Cumplimiento de GDPR'.
Para obtener instrucciones detalladas, consulta nuestra guía sobre cómo y por qué deberías limitar los intentos de inicio de sesión en WordPress.
Agrega autenticación de dos factores (2FA)
El método de autenticación de dos factores requiere 2 pasos diferentes para que los usuarios inicien sesión:
- El primer paso es el nombre de usuario y la contraseña.
- El segundo paso requiere que uses un código de un dispositivo o aplicación que posees y al que los hackers no pueden acceder, como tu smartphone.
La mayoría de los principales sitios web en línea como Google, Facebook y Twitter, te permiten habilitarla para tus cuentas. También puedes agregar la misma funcionalidad a tu sitio de WordPress.
Primero, necesitas instalar y activar el plugin WP 2FA – Autenticación de dos factores. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Un asistente fácil de usar te ayudará a configurar el plugin y luego se te proporcionará un código QR.
Necesitarás escanear el código QR usando una aplicación de autenticación en tu teléfono, como Google Authenticator, Authy o LastPass Authenticator.
Recomendamos usar LastPass Authenticator o Authy porque te permiten respaldar tus cuentas en la nube. Esto es muy útil en caso de que pierdas tu teléfono, lo restablezcas o compres uno nuevo. Todos los inicios de sesión de tus cuentas se restaurarán fácilmente.
La mayoría de estas aplicaciones funcionan de manera similar, y si estás usando Authy, simplemente haz clic en el botón ‘+’ o ‘Agregar cuenta’ en la aplicación de autenticación.
Esto te permitirá escanear el código QR en tu computadora usando la cámara de tu teléfono. Es posible que primero necesites darle permiso a la aplicación para acceder a la cámara.
Después de darle un nombre a la cuenta, puedes guardarla.
La próxima vez que inicies sesión en tu sitio web, se te pedirá el código de autenticación de dos factores después de ingresar tu contraseña.
Simplemente abre la aplicación de autenticación en tu teléfono y verás un código de un solo uso.
Luego puedes ingresar el código en tu sitio web para finalizar el inicio de sesión.
Cambia el prefijo de la base de datos de WordPress
Por defecto, WordPress usa wp_ como prefijo para todas las tablas en tu base de datos de WordPress.
Si tu sitio de WordPress está usando el prefijo de base de datos predeterminado, entonces es más fácil para los hackers adivinar cuál es el nombre de tu tabla. Por esta razón, recomendamos cambiarlo.
Puedes cambiar el prefijo de tu base de datos siguiendo nuestro tutorial paso a paso sobre cómo cambiar el prefijo de la base de datos de WordPress para mejorar la seguridad.
Nota: Cambiar el prefijo de la base de datos puede dañar tu sitio si no se hace correctamente. Haz esto solo si te sientes cómodo con tus habilidades de codificación.
Protege con contraseña la página de administración e inicio de sesión de WordPress
Normalmente, los hackers pueden solicitar tu carpeta wp-admin y la página de inicio de sesión sin ninguna restricción. Esto les permite intentar sus trucos de hacking o ejecutar ataques DDoS.
Puedes agregar protección adicional con contraseña a nivel del servidor, lo que bloqueará efectivamente esas solicitudes.
Simplemente sigue nuestras instrucciones paso a paso sobre cómo proteger con contraseña tu directorio de administrador de WordPress (wp-admin).
Deshabilita la indexación y navegación de directorios
Cuando escribes la dirección de una de las carpetas de tu sitio web en un navegador web, se te mostrará la página web llamada index.html si existe. Si no existe, se te mostrará una lista de archivos en esa carpeta en su lugar. Esto se conoce como exploración de directorios.
La exploración de directorios puede ser utilizada por hackers para averiguar si tienes archivos con vulnerabilidades conocidas, para que puedan aprovecharse de estos archivos para obtener acceso.
La exploración de directorios también puede ser utilizada por otras personas para revisar tus archivos, copiar imágenes, averiguar la estructura de tu directorio y otra información. Por esta razón, se recomienda encarecidamente que desactives la indexación y la exploración de directorios.
Necesitas conectarte a tu sitio web usando FTP o el administrador de archivos de tu proveedor de hosting. Luego, localiza el archivo .htaccess en el directorio raíz de tu sitio web. Si no puedes verlo allí, consulta nuestra guía sobre por qué no puedes ver el archivo .htaccess en WordPress.
Después de eso, necesitas agregar la siguiente línea al final del archivo .htaccess:
Options -Indexes
No olvides guardar y subir el archivo .htaccess de vuelta a tu sitio.
Para más información sobre este tema, consulta nuestro artículo sobre cómo deshabilitar la navegación por directorios en WordPress.
Deshabilita XML-RPC en WordPress
XML-RPC es una API principal de WordPress que ayuda a conectar tu sitio de WordPress con aplicaciones web y móviles. Ha estado habilitado por defecto desde WordPress 3.5.
Sin embargo, debido a su naturaleza poderosa, XML-RPC puede amplificar significativamente los ataques de fuerza bruta.
Por ejemplo, si un hacker tradicionalmente quisiera probar 500 contraseñas diferentes en tu sitio web, tendría que hacer 500 intentos de inicio de sesión por separado. El plugin Limit Login Attempts Reloaded puede detectar y bloquear esto.
Pero con XML-RPC, un hacker puede usar la función system.multicall para probar miles de contraseñas con, digamos, 20 o 50 solicitudes.
Es por eso que si no estás usando XML-RPC, te recomendamos que lo deshabilites.
Hay 3 formas de deshabilitar XML-RPC en WordPress, y hemos cubierto todas ellas en nuestro tutorial paso a paso sobre cómo deshabilitar XML-RPC en WordPress.
Consejo: El método .htaccess es el mejor porque es el que menos consume recursos. Los otros métodos son más fáciles para principiantes.
Alternativamente, esto se maneja automáticamente si estás utilizando un firewall de aplicaciones web (WAF) como mencionamos anteriormente.
Cierra sesión automáticamente a los usuarios inactivos en WordPress
Los usuarios que han iniciado sesión a veces pueden alejarse de la pantalla, y esto representa un riesgo de seguridad. Alguien puede secuestrar su sesión, cambiar contraseñas o hacer cambios en su cuenta.
Es por eso que muchos sitios bancarios y financieros cierran automáticamente la sesión de un usuario inactivo. Puedes configurar una funcionalidad similar en tu sitio de WordPress también.
Necesitarás instalar y activar el plugin Inactive Logout. Tras la activación, visita la página Ajustes » Inactive Logout para personalizar la configuración de cierre de sesión.
Simplemente establece la duración del tiempo y agrega un mensaje de cierre de sesión. Luego, no olvides hacer clic en el botón 'Guardar Cambios' en la parte inferior de la página para almacenar tu configuración.
Para obtener instrucciones paso a paso, consulta nuestra guía sobre cómo cerrar sesión automáticamente a los usuarios inactivos en WordPress.
Agrega preguntas de seguridad a la pantalla de inicio de sesión de WordPress
Agregar una pregunta de seguridad a tu pantalla de inicio de sesión de WordPress hace que sea aún más difícil para alguien obtener acceso no autorizado.
Puedes agregar preguntas de seguridad instalando el plugin Autenticación de dos factores. Una vez activado, deberás visitar la página Autenticación multifactor » Dos factores para configurar los ajustes del plugin.
Esto te permitirá agregar varios tipos de autenticación de dos factores a tu sitio, incluidas las preguntas de seguridad.
Para obtener instrucciones más detalladas, consulta nuestro tutorial sobre cómo agregar preguntas de seguridad a la pantalla de inicio de sesión de WordPress.
Escanear WordPress en busca de malware y vulnerabilidades
Si tienes instalado un plugin de seguridad de WordPress, este verificará rutinariamente si hay malware y signos de brechas de seguridad.
Sin embargo, si notas una caída repentina en el tráfico de tu sitio web o en los rankings de búsqueda, es posible que desees escanear manualmente en busca de malware. Puedes hacerlo usando tu plugin de seguridad de WordPress o uno de los mejores escáneres de malware y seguridad.
Ejecutar estos escaneos en línea es bastante sencillo. Simplemente ingresas la URL de tu sitio web y sus rastreadores recorren tu sitio web para buscar malware conocido y código malicioso.
Ahora, ten en cuenta que la mayoría de los escáneres de seguridad de WordPress solo pueden advertirte si tu sitio contiene malware. No pueden eliminar el malware ni limpiar un sitio de WordPress hackeado.
Esto nos lleva a la siguiente sección, la limpieza de malware y sitios de WordPress hackeados.
Reparar un sitio de WordPress hackeado
Muchos usuarios de WordPress no se dan cuenta de la importancia de las copias de seguridad y la seguridad del sitio web hasta que su sitio web es hackeado.
Los hackers instalan puertas traseras en los sitios afectados, y si estas puertas traseras no se arreglan correctamente, es probable que tu sitio web vuelva a ser hackeado.
Para los usuarios aventureros y que les gusta hacerlo ellos mismos, hemos compilado una guía paso a paso sobre cómo arreglar un sitio de WordPress hackeado.
Sin embargo, limpiar un sitio de WordPress puede ser muy difícil y consumir mucho tiempo. Nuestro consejo sería dejar que un profesional se encargue de ello.
Si estás pagando por usar el plugin de seguridad Sucuri que mencionamos anteriormente, entonces la reparación de sitios hackeados está incluida en el precio.
De lo contrario, puedes consultar nuestras recomendaciones de las mejores agencias de soporte de WordPress para encontrar profesionales que puedan arreglar tu sitio hackeado por ti.
Preguntas frecuentes sobre seguridad en WordPress
Dado que la seguridad de WordPress es tan importante, con frecuencia nos hacen preguntas al respecto. Aquí tienes respuestas a preguntas frecuentes sobre cómo mantener los sitios web de WordPress a salvo de ataques.
¿Es seguro usar WordPress?
WordPress está diseñado para ser seguro, especialmente si lo mantienes actualizado regularmente. Sin embargo, debido a su gran popularidad, los hackers a menudo atacan los sitios web de WordPress.
No te preocupes, sin embargo. Siguiendo sencillos consejos de seguridad como los de este artículo, puedes reducir en gran medida las posibilidades de que alguien hackee tu sitio web.
¿Qué puede poner en riesgo mi sitio web de WordPress?
Hay diferentes maneras en que los hackers intentan obtener acceso a los sitios web. Algunas amenazas comunes incluyen adivinar contraseñas, instalar software malicioso (malware) y encontrar debilidades en el código de tu sitio web para robar información o tomar el control.
¿Con qué frecuencia debo actualizar mi sitio web de WordPress?
Mantener tu sitio web de WordPress, temas y plugins actualizados es muy importante. Las nuevas actualizaciones a menudo incluyen correcciones para problemas de seguridad. Intenta usar actualizaciones automáticas o revisa si hay actualizaciones tú mismo al menos una vez por semana e instálalas rápidamente.
¿Necesito un plugin especial para seguridad?
No tienes que usar un plugin de seguridad, pero pueden hacer que tu sitio web sea mucho más seguro. Los plugins de seguridad actúan como guardias adicionales para tu sitio web, protegiéndote de hackers y malware.
¿Cómo sé si alguien hackeó mi sitio web?
Si notas cosas extrañas sucediendo en tu sitio web, podría ser una señal de que has sido hackeado. Esto podría incluir ver usuarios o archivos nuevos que no creaste, tu sitio web enviando visitantes a diferentes sitios web, tu sitio web funcionando lentamente, o recibir advertencias de Google o de tu proveedor de hosting.
¿Qué debo hacer si mi sitio web es hackeado?
Si crees que tu sitio web ha sido hackeado, no entres en pánico, pero actúa rápido. Puedes contactar a tu compañía de hosting y pedir ayuda. También puedes usar un plugin de seguridad o pedirle a un experto en seguridad que limpie tu sitio web.
Si tienes una copia de seguridad de tu sitio web, restáurala de esa copia. Asegúrate de cambiar todas tus contraseñas, incluidas las de tu área de administrador de WordPress, base de datos y FTP.
Esperamos que este artículo te haya ayudado a aprender las mejores prácticas para proteger tu sitio web y nuestra lista de verificación de seguridad recomendada para WordPress. También es posible que desees ver nuestra lista de las principales razones por las que los sitios de WordPress son hackeados y nuestras selecciones expertas de los mejores plugins de seguridad para WordPress.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Leanne
Este es uno de los mejores sitios de tutoriales (sobre cualquier tema) que he encontrado. ¡Gracias, recomendaré wpbeginner a otros, es un sitio increíble!
Soporte de WPBeginner
You’re welcome and glad you’ve found our content helpful
Administrador
Daniel
¡Sabes que hay gente cobrando más de $50 o $100 dólares para enseñarte cómo hacer todo esto, y ustedes lo dieron gratis! ¡Muchas gracias, chicos!
Soporte de WPBeginner
You’re welcome
Administrador
Poder
Gracias por el artículo, es muy útil
Soporte de WPBeginner
You’re welcome
Administrador
Mydas
Esto fue súper útil. Tengo las habilidades de codificación para implementar todo y ahora puedo cuidar mucho mejor mis instalaciones de Wordpress y las de mis clientes. Gracias por la información, es tan completa que no puedo creer que sea gratis xD
Soporte de WPBeginner
You’re welcome, glad our guide was helpful
Administrador
Splendor Edesiri
Por favor, ¿necesito una VPN para acceder a mi sitio de WordPress desde el backend como parte de la seguridad de mi sitio de WordPress?
Soporte de WPBeginner
No, eso no es necesario
Administrador
uzoma ichetaonye
No creo que necesites ninguna VPN para acceder a tu sitio web a través de su backend.
Las VPN se utilizan para disfrazar o ayudar a tu identidad o para acceder a un sitio que ha sido bloqueado desde tu ubicación.
Kam
Gracias por este artículo. ¡Es lectura esencial!
Si tienes un host como Bluehost, ¿es esencial tener una copia de seguridad con un plugin como Updraft plus + almacenamiento remoto? Después de todo, ¿los proveedores de hosting deberían proporcionar copias de seguridad?
Soporte de WPBeginner
Si bien algunos hosts ofrecen copias de seguridad, todavía recomendamos crear tus propias copias de seguridad por seguridad
Administrador
Kyle B.
Cambiar el prefijo de la base de datos no hará ninguna diferencia. Aparte de eso, no es un mal artículo.
Soporte de WPBeginner
Thanks for sharing your opinion and glad you liked our article
Administrador
kalmoa
Solo como información, con Nginx no hay un archivo de configuración a nivel de directorio como el .htaccess de Apache. Toda la configuración debe hacerse a nivel de servidor por un administrador, y WordPress no puede modificar la configuración, como lo hace con Apache. Por lo tanto, la parte sobre 'Deshabilitar la ejecución de archivos PHP' no puede ser completada por las instalaciones de WordPress que se ejecutan en Nginx. Esto me incluye a mí, que estoy ejecutando mi instalación de WordPress en Vultr. Su instalación de WordPress de un clic se implementa en Nginx (ubuntu 18.04)
Soporte de WPBeginner
Gracias por compartir esto para los usuarios que utilizan específicamente Nginx para su sitio.
Administrador
Tom
¿Cuál es el mejor método para actualizar plugins si tengo varios que necesitan actualización? ¿Actualizo uno a la vez y veo si el plugin actualizado rompe alguna funcionalidad del sitio web?
Soporte de WPBeginner
Si te preocupa que una actualización pueda afectar tu sitio, te recomendamos probar la actualización siguiendo nuestra guía sobre cómo crear un entorno de staging a continuación:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Administrador
Kartik Satija
¡Artículo increíble, muy bien articulado y documentado!
¡Muchas gracias a todos por esto!
¡Más poder para ustedes, sigan con el buen trabajo!
Saludos,
Kartik.
Soporte de WPBeginner
Glad you found our guide helpful
Administrador
MIMIFTAH
Contenido muy informativo. Gracias
Soporte de WPBeginner
You’re welcome
Administrador
Liz
Gran artículo. Tengo una pregunta sobre las opciones de endurecimiento. Leí que habilitar el endurecimiento en todas las opciones puede hacer que algunos plugins o el tema se rompan/no funcionen correctamente. Si esto sucede, ¿qué tan difícil es arreglarlo? Parece que hay más que solo revertir la opción de endurecimiento. Cualquier información que pudiera ofrecer sería muy apreciada. ¡Gracias!
Soporte de WPBeginner
Dependería de la recomendación de endurecimiento específica, el plugin y el mensaje de error para la dificultad en caso de que aparezca un error. De lo contrario, la mayoría de los plugins no deberían tener ningún problema.
Administrador
Gary Starling
Sugerencias muy útiles y bien explicadas de lo básico a lo complejo
Gracias por tus explicaciones
Soporte de WPBeginner
You’re welcome, glad our article could be helpful
Administrador
Andrei
Hola chicos,
Después de la primera enumeración de usuarios, un plugin de seguridad de fuerza bruta bloqueará esa dirección IP.
Si protege con contraseña el directorio wp-admin, el plugin ya no podrá bloquear esa IP.
¿Es esa una evaluación correcta?
Soporte de WPBeginner
Correcto, habría una carga similar a la de una IP bloqueada, pero si necesita que muchos usuarios nuevos accedan a su sitio, limitar los intentos de inicio de sesión sería mejor que proteger con contraseña su wp-admin.
Administrador
Andrei
Ok, finalmente entendí cómo funciona esto y lo comparto aquí para todos. Proteger con contraseña wp-admin se hace a nivel del servidor (Apache/Nginx). Si una enumeración de usuarios o fuerza bruta no puede eludir el nivel del servidor, no podrá tocar PHP/MySQL. Por lo tanto, proteger con contraseña wp-admin no pone una carga adicional en la base de datos.
Peter
Muy informativo y útil, he configurado todo el procedimiento de endurecimiento que mencionó, muchas gracias.
Soporte de WPBeginner
You’re welcome, glad our guide was helpful
Administrador
Aqib khan
Siempre te seguiré. Siempre te querré y siempre compartiré contenido tan fresco y genial para hacernos sonreír. Gracias.
Soporte de WPBeginner
Thank you, glad you’ve enjoyed our content
Administrador
mahmoud
Me encanta este sitio. Ofreces información valiosa.
Soy principiante y esto es útil.
¿Pero puedo tener solo una contraseña fuerte y deshabilitar la indexación para hacer el asunto?
¿Qué pasa con todos estos plugins? Creo que afectarán la velocidad del sitio o no están instalados en el sitio?
Soporte de WPBeginner
Respecto a tu preocupación de que los plugins ralenticen tu sitio, no deberías preocuparte, explicamos nuestro razonamiento aquí: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Administrador
Krishna
Hola equipo de WP Beginner,
Gracias por una explicación tan breve de la seguridad de WordPress. Este artículo fue muy útil y me hizo saber el valor de la seguridad de WordPress para los usuarios y propietarios de sitios web.
GRACIAS DE NUEVO…
Soporte de WPBeginner
You’re welcome, glad our article was helpful
Administrador
Kushal
Usé todos los complementos que mencionaste: sucuri, itheams, wp serber y jetpack. ¿Cuántos complementos puedo usar en mi sitio web?
Soporte de WPBeginner
Recomendaríamos usar solo un complemento para una función específica, pero en general, para saber cuántos complementos usar, te recomendamos que consultes nuestro artículo aquí: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Administrador
Leighann
Esto fue MUY útil. ¡Gracias por la información y por ahorrarme tanto tiempo!
Soporte de WPBeginner
You’re welcome, glad our guide could be helpful
Administrador
Dietrich
Hola
¿Está bien usar Sucuri y Wordfence al mismo tiempo? Instalé Wordfence ya que la versión gratuita de Sucuri no tiene función de firewall.
Soporte de WPBeginner
No recomendaríamos usar ambos, múltiples herramientas de seguridad pueden entrar en conflicto entre sí y causar problemas en tu sitio.
Administrador
Yiannis Christodoulou
Artículo muy útil.
Gracias por compartir.
Soporte de WPBeginner
You’re welcome, glad our article could help
Administrador
Steve Schultz
Tu enlace al complemento gratuito Sucuri Security está roto... error 404.
Soporte de WPBeginner
Thanks for letting us know, the link should be fixed
Administrador
Monty parihar
Ahora mi sitio web está seguro, después de leer tu publicación instalamos inmediatamente un complemento de seguridad. Gracias WP Beginner.
Soporte de WPBeginner
You’re welcome
Administrador
Melvin Adame
¡Lectura increíble! La seguridad siempre debe ser la prioridad número 1 para cualquier propietario de sitio web, por su propio bien y el de sus visitantes.
Soporte de WPBeginner
Thank you, glad you like our content
Administrador
Adil
¡Gracias por toda esta información!
Soporte de WPBeginner
You’re welcome
Administrador
Mark Bunner
Aquí hay buenos consejos. Ya he usado muchos de ellos; pero da algunas otras áreas en las que pensar.
Soporte de WPBeginner
Thank you, glad you like our recommendations
Administrador
Chukwuemeka Ebuka
Estoy muy agradecido por este artículo, todo gracias a wpbeginner.com.
Soporte de WPBeginner
You’re welcome, glad our article could be helpful
Administrador
Heidi
Great article, thanks! I think I’ve done most of these things now (except ones requiring coding). I did however have a problem setting a password for the admin folder. While I worked out how to do this in cPanel (under ‘directory privacy’), when I went back to my dashboard I found I was locked out. Then I spent over an hour on chat support with Bluehost only to discover what I suspected – that when you log in to WP from Bluehost it takes you straight to the admin area, so there is no opportunity to login to the admin folder, which means you just get locked out. Guess this is a problem with Bluehost and the only solution they gave me was install a plugin
Soporte de WPBeginner
Si estás usando su enlace desde el panel de hosting para iniciar sesión en tu sitio, eso puede ser cierto, pero si agregas /wp-admin a tu dominio, debería llevarte a la página de inicio de sesión que mostrará el requisito de inicio de sesión adicional.
Administrador
Heidi
Ok, genial, gracias, lo intentaré.
Julian Song
Impresionante artículo sobre seguridad. Configurar WordPress es fácil, pero para administrarlo se necesita mucho estudio y investigación. Tu blog ayuda a la comunidad más de lo que puedes imaginar. Incluso compartí tu blog en la reciente reunión de WordPress como una de las mejores guías.
Soporte de WPBeginner
Thank you for your kind words and sharing our articles
Administrador
Malith
¡Muchas gracias!
Soporte de WPBeginner
You’re welcome, glad our guide could be helpful
Administrador
Shiva Prasad
Gracias por ser un buen mentor y por guiarme por el camino correcto. Siempre te estaré agradecido.
Soporte de WPBeginner
Glad our guides could help you
Administrador
Majid
Hola,
Soy nuevo en WordPress, estoy usando Bluehost para alojar mi sitio web, cuando hice clic en el botón de WordPress, me llevó automáticamente a cPanel, sin pedir ninguna contraseña, ¿de qué contraseñas estamos hablando?
PD, en la esquina superior derecha puedo ver Hola, mi nombre... ¿significa eso que ese es mi nombre de usuario?
No recuerdo haber instalado WordPress en Bluehost, ni haber ingresado un nombre de usuario o contraseña por separado para WordPress.
Por favor, ayuden.
Soporte de WPBeginner
Esa es la herramienta de BlueHost para facilitar la configuración de tu sitio de WordPress, nuestro artículo habla de la contraseña de tu sitio de WordPress. Puedes cambiar la contraseña de tu sitio en Usuarios > Tu Perfil. El nombre junto a Hola debería ser tu nombre de usuario.
Administrador
Terence Vickers
Es posible que tenga un error tipográfico en la sección XML-RPC, lo cual es un poco confuso.
Actualmente dice: “Esta es la razón por la que si no está utilizando XML-RPC, le recomendamos que lo deshabilite.”
Si no estuviera usando i, probablemente no habría forma de deshabilitarlo.
Soporte de WPBeginner
Apologies for any confusion, with that statement we mean if you’re not using it for a specific plugin or other need then we would recommend disabling it rather than meaning if it is disabled to disable it. We’ll look into clarifying that
Administrador
Syed Gallani
Entiendo que mantener WordPress actualizado es esencial para la seguridad, pero ¿es realmente necesario, desde el punto de vista de la seguridad, actualizar todos los plugins? ¿Cómo pueden los plugins obsoletos hacer que tu sitio web sea más propenso a ser hackeado?
Soporte de WPBeginner
Dependería del plugin de cómo podría hacer que tu sitio sea vulnerable, pero algunos plugins pueden tener código que podría estar desactualizado para un problema recién descubierto con una pieza de código.
Administrador
David Anozie
¡Muchas gracias! Eres el jefe.
Soporte de WPBeginner
Thank you for being one of our readers
Administrador
Nick
¿Bloquear a los rastreadores de motores de búsqueda (a través de robots.txt) para que no indexen directorios ayudaría con la seguridad?
Soporte de WPBeginner
No, solo significaría que esos rastreadores de búsqueda no mirarían tu sitio.
Administrador
寒星
Es verdaderamente útil para mantener WP. Me encanta y muchas gracias.
Soporte de WPBeginner
You’re welcome, glad our article was helpful
Administrador
peg
¡Estoy aprendiendo a las malas! : ) Me alegra mucho haberte encontrado. Tengo un sitio hackeado de 5 años alojado en GoDaddy (no puedo acceder a la administración en absoluto)... quieren $300 para arreglarlo, así que estoy reconstruyendo en Bluehost e implementando tus sugerencias de seguridad. ¡Espero aprender mucho más! Muchas gracias por este recurso.
Soporte de WPBeginner
You’re welcome, glad our guide can help
Administrador
Jeff Moyer
¡Gran lista completa, gracias! Limitar la cantidad de intentos de inicio de sesión me parece un punto importante, ya que disuadirá a muchos hackers desde el principio. Podría ser frustrante si pierdes u olvidas tus contraseñas, pero aun así vale la pena.
Soporte de WPBeginner
You’re welcome, glad you liked our article
Administrador
Tanmay Kapse
¡Una publicación increíblemente detallada! Cada cosa está descrita perfectamente. Sigue con el buen trabajo
Soporte de WPBeginner
Thank you, glad you liked our content
Administrador
Sunny Chawla
Muy agradecido por la página de apoyo para mejorar mi sitio
Soporte de WPBeginner
Glad our guide could be helpful
Administrador
Santhosh Naikar
¿Cuáles son las cosas de las que necesito preocuparme cuando está alojado en una red interna [solo tiene acceso a sistemas dentro de la red de nuestra oficina]?
Soporte de WPBeginner
Tu principal preocupación para una intranet sería asegurarte de que cada usuario tenga los privilegios correctos para su función, después de eso sería protegerte de ataques de fuerza bruta y similares.
Administrador
steven suslick
Encuentro esta y muchas de las publicaciones muy útiles. Tengo una pregunta relacionada con hackeos. Google Analytics está informando páginas extrañas que en realidad no existen en mis publicaciones. Todas parecen tener un /?s= por ejemplo /?s=dox. No puedo encontrar la fuente, ¿alguna sugerencia?
Soporte de WPBeginner
Those pages are from users using the search on your site, for the second someone searched for the word dox
Administrador
Emmanuel Ikechukwu
Este es el mejor tutor en línea de WordPress que he encontrado hasta ahora.
Soporte de WPBeginner
Glad our articles are helpful
Administrador
Bobbie Camp
Encontré este artículo muy útil. Soy muy nuevo y no soy "técnico", y necesito toda la ayuda que pueda obtener. Aprecio sus instrucciones fáciles de leer.
Soporte de WPBeginner
Glad our articles could help
Administrador
Jemes
Es muy útil. Gracias
Soporte de WPBeginner
You’re welcome
Administrador
NICHOLAS AMOL GOMES
Gracias por la página útil para mejorar mi sitio
Soporte de WPBeginner
You’re welcome
Administrador
Brad Vincent
¡Hola a todos!
Debo estar de acuerdo con tus menciones de Sucuri – han resuelto un par de sitios hackeados míos a lo largo de los años. ¡Vale cada centavo!
Me encantan estas publicaciones extensas con toda la información que necesito. He estado siguiendo tu publicación sobre la velocidad del sitio web y eso ha marcado una gran diferencia en mis sitios. Después de terminar con eso, seguiré esta seguro.
Gran trabajo y muy apreciado.
Soporte de WPBeginner
Thank you, glad you find our articles helpful
Administrador
Brian
¿Qué opinas de Wordfence y Sucuri en la misma instalación de WP? Parecen tener algunas funcionalidades similares, así que me preguntaba cuánto más obtengo con ambos en lugar de solo una herramienta de seguridad. ¿Es Wordfence una alternativa razonable?
Soporte de WPBeginner
Recomendaríamos solo uno a la vez para evitar conflictos entre los plugins.
Administrador
Mark
Uso Wordfence y Sucuri para diferentes funciones. Si bien al principio pueden parecer competidores, en realidad son complementarios. No he tenido problemas al usar ambos... hasta ahora... pero por supuesto existen incompatibilidades entre plugins en general.