Mantener tu sitio web de WordPress seguro es un proceso continuo, como cuidar tu salud. Si bien WordPress está diseñado pensando en la seguridad, aún pueden surgir problemas. Estos problemas pueden ser causados por plugins desactualizados, contraseñas débiles o incluso configuraciones en tu alojamiento web.
En WPBeginner, consideramos las auditorías de seguridad de WordPress como chequeos del sitio web. Te ayudan a encontrar y corregir debilidades antes de que alguien pueda aprovecharlas. Mantienen tu sitio saludable y protegen la información que contiene.
Este artículo te mostrará cómo revisar tu sitio web de WordPress en busca de problemas de seguridad sin causar ningún problema o interrupción.
¿Qué es una auditoría de seguridad de WordPress?
Realizar una auditoría de seguridad en tu sitio web de WordPress significa revisar tu sitio en busca de signos de una brecha de seguridad. Puedes realizar una revisión de WordPress para buscar actividad sospechosa, código malicioso o una caída inusual en el rendimiento.
Te mostraremos cómo realizar una auditoría de seguridad básica siguiendo pasos sencillos que puedes realizar manualmente. También te mostraremos cómo usar herramientas y servicios de auditoría de seguridad de WordPress para realizar las revisiones de seguridad automáticamente.
Si encuentras algo sospechoso, puedes aislarlo, eliminarlo y corregirlo.
¿Cuándo realizar una auditoría de seguridad de WordPress?
Deberías realizar una auditoría de seguridad de WordPress al menos una vez por trimestre. Esto te permite mantenerte al tanto de todo y cerrar vulnerabilidades de seguridad incluso antes de que causen problemas.
Sin embargo, deberías realizar una auditoría de seguridad inmediatamente si notas algo sospechoso, como:
- Tu sitio web está repentinamente lento y pesado.
- Observas una caída en el tráfico de tu sitio web.
- Hay cuentas nuevas sospechosas, solicitudes de restablecimiento de contraseña olvidadas o intentos de inicio de sesión en tu sitio web.
- Ves enlaces sospechosos aparecer en tu sitio web.
Dicho esto, veamos cómo realizar fácilmente una auditoría de seguridad de WordPress.
Realización de una auditoría básica manual de seguridad de WordPress
Aquí tienes una lista de verificación de algunos pasos que puedes seguir para realizar una auditoría básica manual de seguridad de WordPress en tu sitio web.
1. Actualiza el núcleo, los plugins y los temas de WordPress
Las actualizaciones de WordPress son realmente importantes para la seguridad y estabilidad de tu sitio web. Corrigen vulnerabilidades de seguridad, aportan nuevas funciones y mejoran el rendimiento.
Asegúrate de que el software principal de WordPress, todos los plugins y temas estén actualizados. Puedes hacerlo fácilmente visitando la página Panel » Actualizaciones dentro del área de administración de WordPress.
WordPress buscará si hay actualizaciones disponibles y luego las listará para que las instales. Si necesitas más ayuda, consulta nuestras guías sobre cómo actualizar WordPress correctamente y cómo actualizar correctamente los plugins de WordPress.
2. Revisa las cuentas de usuario y las contraseñas
A continuación, debes revisar las cuentas de usuario de WordPress visitando la página Usuarios » Todos los usuarios. Busca cuentas de usuario sospechosas que no deberían estar ahí.
Si tienes una tienda en línea, un sitio de membresía o vendes cursos en línea, es posible que tengas cuentas de usuario para que tus clientes inicien sesión.
Sin embargo, si tienes un blog o un sitio web de negocios, solo deberías ver cuentas de usuario para ti o para cualquier otro usuario que hayas agregado manualmente.
Si ves cuentas de usuario sospechosas, necesitas eliminarlas.
Ahora, si tu sitio web no requiere que los usuarios creen una cuenta, debes visitar la página Ajustes » Generales y asegurarte de que la casilla junto a la opción 'Cualquiera puede registrarse' no esté marcada.
Como precaución adicional, necesitas cambiar la contraseña de administrador de WordPress. Recomendamos encarecidamente añadir autenticación de dos factores para fortalecer la seguridad de la contraseña en tu sitio.
3. Ejecuta un escaneo de seguridad de WordPress
El siguiente paso es revisar tu sitio web en busca de vulnerabilidades de seguridad. Afortunadamente, existen varios escáneres de seguridad en línea que puedes usar para detectar malware.
Recomendamos usar el Escáner de Seguridad de IsItWP, que revisa tu sitio web en busca de malware y otras vulnerabilidades de seguridad.
Estas herramientas son buenas, pero solo pueden escanear las páginas públicas de tu sitio web. Te mostraremos cómo realizar auditorías más profundas más adelante en este artículo.
4. Revisa las analíticas de tu sitio web
Las analíticas del sitio web te ayudan a hacer un seguimiento del tráfico de tu sitio. También son un buen indicador de la salud de tu sitio web.
Si tu sitio web ha sido incluido en listas negras por los motores de búsqueda, verás una caída repentina en el tráfico de tu sitio. Si tu sitio web es lento o no responde, tus vistas generales de página disminuirán.
Recomendamos usar MonsterInsights para rastrear el tráfico de tu sitio web. No solo muestra tus vistas generales de página, sino que también puedes usarlo para rastrear usuarios registrados, tus clientes de WooCommerce, conversiones de formularios y más.
5. Configura y revisa las copias de seguridad de WordPress
Si aún no lo ha hecho, entonces necesita configurar inmediatamente un plugin de copia de seguridad de WordPress. Esto asegura que siempre tenga una copia de seguridad de su sitio en caso de que algo salga mal.
Muchos principiantes se olvidan de su plugin de copia de seguridad de WordPress después de configurarlo. A veces, los plugins de copia de seguridad pueden dejar de funcionar sin previo aviso. Es una buena idea asegurarse de que su plugin de copia de seguridad todavía esté funcionando y guardando copias de seguridad.
Realización de una auditoría de seguridad automática de WordPress
La lista de verificación anterior le permite revisar los aspectos más importantes de una auditoría de seguridad. Sin embargo, no es un proceso muy exhaustivo, lo que significa que su sitio web aún puede ser vulnerable.
Por ejemplo, es difícil mantener un registro manual de toda la actividad del usuario, las diferencias de archivos, los códigos sospechosos y más. Aquí es donde necesita un plugin para automatizar la auditoría de seguridad y mantener un registro de todo.
Puede automatizar este proceso con la ayuda de algunos plugins de seguridad de WordPress.
1. Realización automática de una auditoría de seguridad con WP Activity Log
WP Activity Log es el mejor plugin de monitoreo de actividad de WordPress del mercado.
Le permite rastrear toda la actividad del usuario en su sitio web. Puede ver todos los inicios de sesión de usuarios, direcciones IP y lo que hicieron en su sitio web.
Puedes rastrear usuarios de WooCommerce, editores, autores y otros miembros que tengan una cuenta en tu sitio web.
También puedes activar cualquier evento que desees rastrear y desactivar los eventos que no quieras monitorear.
El plugin también te muestra una vista en vivo de todos los usuarios conectados a tu sitio web. Si ves una cuenta sospechosa, puedes finalizar su sesión de inmediato y bloquearla.
Puedes aprender más en nuestra guía sobre cómo monitorear la actividad del usuario en WordPress usando WP Activity Log.
2. Realizar automáticamente una auditoría de seguridad con Sucuri
Sucuri es el mejor plugin de firewall para WordPress del mercado, y también es la mejor solución de seguridad integral para WordPress que puedes obtener para tu sitio web.
Proporciona protección en tiempo real contra ataques DDoS al bloquear actividades sospechosas incluso antes de que lleguen a tu sitio web. Esto reduce la carga de tu servidor y mejora la velocidad/rendimiento de tu sitio web.
Viene con un plugin de seguridad integrado que revisa tus archivos de WordPress en busca de código sospechoso. También obtienes una vista detallada de la actividad del usuario en tu sitio web.
Lo más importante es que Sucuri ofrece eliminación de malware de forma gratuita con todos sus planes de pago. Esto significa que incluso si tu sitio web ya está afectado, sus expertos en seguridad lo limpiarán por ti.
Guías expertas sobre seguridad de WordPress
Esperamos que este artículo te haya ayudado a aprender cómo realizar una auditoría de seguridad de WordPress en tu sitio web. También es posible que desees ver otras guías relacionadas con la seguridad de WordPress:
- Cómo forzar contraseñas seguras a los usuarios en WordPress
- Cómo proteger tu sitio de WordPress de ataques de fuerza bruta
- Principales razones por las que los sitios de WordPress son hackeados (& cómo prevenirlo)
- Señales de que su sitio de WordPress ha sido hackeado (consejos de expertos)
- Cómo escanear tu sitio de WordPress en busca de código potencialmente malicioso
- Cómo encontrar una puerta trasera en un sitio de WordPress hackeado y solucionarlo
- Cómo crear un plan de recuperación ante desastres para WordPress
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Dennis Muthomi
Usted recomienda Sucuri como una solución de seguridad todo en uno para WordPress. Me pregunto si Sucuri podría reemplazar la necesidad de plugins separados como WP Activity Log?
Quiero evitar saturar mi sitio con demasiados plugins si uno pudiera hacer el trabajo.
Soporte de WPBeginner
Dependería de la función del plugin que estés buscando reemplazar, pero Sucuri tiene una opción de registro de actividad.
Administrador
Dennis Muthomi
Gran punto que si Sucuri cumple mis necesidades depende de la funcionalidad que busco. ¡GRACIAS por responder!
Eva
El primer paso para combatir los intentos diarios de ataques de fuerza bruta es cambiar la URL de inicio de sesión predeterminada.
Soporte de WPBeginner
En lugar de cambiar la URL de inicio de sesión, normalmente recomendaríamos usar un plugin como 'limit login attempts', ya que cambiar la URL de inicio de sesión tiene una mayor probabilidad de causar problemas para los principiantes.
Administrador
Eva
¡Bueno, hago ambas cosas! Y muchas más. La seguridad es mi prioridad número uno. Entiendo lo que quieres decir, pero la mayoría de las palabras son tan fáciles de memorizar como /wp-admin o /wp-login, especialmente para principiantes en mi opinión.
Soporte de WPBeginner
Se trata menos de recordar la URL de inicio de sesión y más de si hay algún error al intentar cambiar la URL; la mayoría de los principiantes no tienen las herramientas para arreglar la dirección de inicio de sesión.
Eva
¡Ya veo, buen punto! En muchos casos, simplemente renombrar el directorio del plugin por FTP es suficiente para deshabilitarlo y acceder de nuevo a través de /wp-login. ¡Pero lo entiendo, no es amigable para principiantes!
DW
Sí, cambiar la URI de inicio de sesión realmente no hace mucho. Es una técnica conocida como "seguridad por ofuscación" - básicamente seguridad por "ocultación".
Si alguien está decidido a entrar en tu sitio web, usar estas técnicas de "seguridad por ofuscación" como mucho lo ralentizaría unos minutos. Realmente no es un sustituto para asegurar adecuadamente tu sitio web.
Estás mucho mejor asegurando tu sitio web correctamente. Técnicas como plugins para prevenir ataques de fuerza bruta, imponer contraseñas seguras, imponer autenticación multifactorial al menos para las cuentas de administrador, y si tienes el lujo de tener una dirección IP estática, crear un archivo .htaccess que solo permita el acceso a la página de administrador desde tu dirección IP, son todas soluciones mucho mejores.