¿Cómo saber si su sitio web es seguro? ¿Le gustaría realizar una auditoría de seguridad exhaustiva para averiguarlo?
WordPress es muy seguro desde el primer momento. Sin embargo, si sospecha que algo no va bien, una auditoría de seguridad puede ayudarle a identificar los problemas / conflictos / incidencias que deba tratar.
En este artículo, le mostraremos cómo realizar fácilmente una auditoría de seguridad de WordPress sin que su sitio se caiga.
¿Qué es una auditoría de seguridad de WordPress?
Realizar una auditoría de seguridad en su sitio web WordPress significa marcar / comprobar su sitio en busca de signos de una brecha de seguridad. Puede realizar una comprobación de WordPress para buscar actividades sospechosas, código malintencionado o una caída inusual del rendimiento.
Le mostraremos cómo realizar una auditoría de seguridad básica siguiendo unos sencillos pasos que puede realizar manualmente. También le mostraremos cómo utilizar las herramientas y servicios de auditoría de seguridad de WordPress para realizar las comprobaciones de seguridad de forma automática.
Si encuentra algo sospechoso, puede aislarlo, quitarlo / eliminarlo y corregirlo.
Cuándo realizar una auditoría de seguridad en WordPress
Debería realizar una auditoría de seguridad de WordPress al menos una vez al trimestre. Esto te permitirá estar al tanto de todo y cerrar las brechas de seguridad incluso antes de que causen problemas.
Sin embargo, debe realizar una auditoría de seguridad inmediatamente si advierte algo sospechoso, como:
- Su sitio web es de repente lento y perezoso.
- El tráfico de su sitio web disminuye.
- Hay cuentas nuevas sospechosas, solicitudes de contraseñas olvidadas o intentos de acceso en su sitio web.
- Aparecen enlaces sospechosos en su sitio web.
Dicho esto, veamos cómo realizar fácilmente una auditoría de seguridad de WordPress.
Realización de una auditoría de seguridad manual básica de WordPress
A continuación le ofrecemos una lista de comprobación de algunos pasos que puede seguir para realizar una auditoría de seguridad manual básica de WordPress en su sitio web.
1. Actualización del núcleo, plugins y temas de WordPress
Las actualizaciones de WordPress son muy importantes para la seguridad y estabilidad de su sitio web. Parchean vulnerabilidades de seguridad, aportan nuevas características y mejoran el rendimiento.
Asegúrate de que el núcleo de tu WordPress, todos los plugins y temas están actualizados. Puede hacerlo fácilmente visitando la página Escritorio ” Actualizaciones dentro del área de administrador de WordPress.
WordPress buscará si hay actualizaciones disponibles y las listará para que las instales. Si necesita más ayuda, consulte nuestras guías sobre cómo actualizar correctamente WordPress y cómo actualizar correctamente los plugins de WordPress.
2. Marcar / comprobar cuentas de usuario y contraseñas
Lo siguiente es revisar las cuentas de usuario de WordPress visitando la página Usuarios ” Todos los usuarios. Busca cuentas de usuario sospechosas que no deberían estar ahí.
Si tiene una tienda en línea, un sitio de membresía o vende cursos en línea, es posible que tenga cuentas de usuario para que sus clientes accedan.
Sin embargo, si tienes un blog o un sitio web de empresa, solo deberías ver las cuentas de usuario tuyas o de cualquier otro usuario que hayas añadido manualmente.
Si ve cuentas de usuario sospechosas, debe borrarlas.
Ahora bien, si su sitio web no requiere que los usuarios creen una cuenta, entonces debe visitar la página Ajustes ” General y asegurarse de que la casilla situada junto a la opción “Cualquiera puede registrarse” no está marcada.
Como precaución adicional, debe cambiar su contraseña de administrador de WordPress. Le recomendamos encarecidamente que añada la autenticación de dos factores para reforzar la seguridad de las contraseñas en su sitio.
3. Explorar la seguridad de WordPress
El siguiente paso es marcar / comprobar si su sitio web presenta vulnerabilidades de seguridad. Por suerte, hay varios escáneres de seguridad en línea que puede utilizar para marcar / comprobar si hay malware.
Recomendamos utilizar el escáner de seguridad IsItWP, que comprueba su sitio web en busca de malware y otras vulnerabilidades de seguridad.
Estas herramientas son buenas, pero solo pueden explorar las páginas públicas de su sitio web. Más adelante le mostraremos cómo realizar auditorías más profundas.
4. Marcar / comprobar la analítica de su sitio web
Los análisis de sitios web le ayudan a realizar un seguimiento del tráfico de su sitio web. También son un buen indicador de la salud de su sitio web.
Si su sitio web ha sido incluido en la lista negra de los motores de búsqueda, se producirá un descenso repentino del tráfico de su sitio web. Si su sitio web es lento o no responde, el número total de páginas vistas disminuirá.
Recomendamos el uso de MonsterInsights para el seguimiento del tráfico de su sitio web. No solo muestra las páginas vistas en general, sino que también puede usarlo para realizar un seguimiento de los usuarios registrados, los clientes de WooCommerce, las conversiones de formularios y mucho más.
5. Establecer y comprobar las copias de seguridad de WordPress
Si aún no lo ha hecho, debe establecer inmediatamente un plugin de copia de seguridad de WordPress. De este modo, siempre dispondrá de una copia de seguridad de su sitio en caso de que algo vaya mal.
Muchos principiantes se olvidan de su plugin de copia de seguridad de WordPress después de establecerlo. A veces, los plugins de copia de seguridad pueden dejar de funcionar sin previo aviso. Es una buena idea asegurarse de que su plugin de copia de seguridad sigue funcionando y guardando copias de seguridad.
Realización de una auditoría de seguridad automática de WordPress
La lista de comprobación anterior le permite repasar los aspectos más importantes de una auditoría de seguridad. Sin embargo, no es un proceso muy exhaustivo, lo que significa que su sitio web puede seguir siendo vulnerable.
Por ejemplo, es difícil llevar un registro manual de toda la actividad de los usuarios, las diferencias entre archivos, los códigos sospechosos y mucho más. Aquí es donde se necesita un plugin para automatizar la auditoría de seguridad y mantener un registro de todo.
Puede automatizar este proceso con la ayuda de algunos plugins de seguridad para WordPress.
1. Realización automática de una auditoría de seguridad con el registro de actividad de WP
WP Activity Log es el mejor plugin de seguimiento de actividad de WordPress del mercado.
Le permite hacer un seguimiento de toda la actividad de los usuarios en su sitio web. Puede ver todos los accesos de los usuarios, direcciones IP y lo que hicieron en su sitio web.
Puedes hacer un seguimiento de los usuarios de WooCommerce, editores, autores y otros miembros que tengan una cuenta en tu sitio web.
También puedes activar los eventos que quieras seguir y desactivar los que no quieras supervisar.
El plugin también le muestra una vista en vivo de todos los usuarios conectados a su sitio web. Si ves una cuenta sospechosa, entonces puedes terminar su sesión de inmediato y bloquearla.
Puede obtener más información en nuestra guía sobre cómo supervisar la actividad de los usuarios en WordPress utilizando el Registro de actividad de WP.
2. Realización automática de una auditoría de seguridad con Sucuri
Sucuri es el mejor plugin de cortafuegos para WordPress del mercado, y también es la mejor solución de seguridad WordPress todo en uno que puedes conseguir para tu sitio web.
Proporciona protección en tiempo real contra ataques DDoS bloqueando la actividad sospechosa incluso antes de que llegue a su sitio web. Esto elimina la carga de su servidor y mejora la velocidad/rendimiento de su sitio web.
Viene con un plugin de seguridad integrado que comprueba si hay código sospechoso en los archivos de WordPress. También puedes ver en detalle la actividad de los usuarios en tu sitio web.
Lo más importante, Sucuri ofrece eliminación de malware de forma gratuita con todos sus planes de pago. Esto significa que incluso si su sitio web ya está afectado, sus expertos en seguridad lo limpiarán por usted.
Guías de expertos sobre seguridad en WordPress
Ahora que ya sabe cómo realizar una auditoría de seguridad en WordPress, puede que le interese ver otras guías relacionadas con la seguridad en WordPress:
- Cómo forzar contraseñas seguras a los usuarios en WordPress
- Cómo proteger su sitio WordPress de los ataques de fuerza bruta
- Razones principales por las que los sitios de WordPress son pirateados (y cómo evitarlo)
- Señales de que su sitio WordPress ha sido pirateado (Consejos de expertos)
- Cómo explorar su sitio WordPress en busca de código potencialmente malintencionado
- Cómo encontrar una puerta trasera en un sitio WordPress hackeado y corregirla
Esperamos que este artículo te haya ayudado a aprender cómo realizar una auditoría de seguridad de WordPress en tu sitio web. Puede que también quieras ver nuestra guía sobre cómo mejorar el SEO de WordPress o nuestra selección de los mejores plugins de WordPress para páginas de destino.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Eva says
1st step to fight daily brute force attacks attempts is to change the default login url.
WPBeginner Support says
Instead of changing the login url we would normally recommend using a plugin like limit login attempts as changing the login URL has a higher chance of causing problems for beginners.
Administrador
Eva says
Well, I do both! And many more. Security is my number one priority. I see what you mean, but most words are as easy to memorize as /wp-admin or /wp-login especially for beginners in my opinion.
WPBeginner Support says
It is less about remembering the login URL and more about if there are any errors when trying to change the URL, most beginners don’t have the tools to fix the login address.
Eva says
I see, good point! In many cases, just renaming the plugin directory by FTP is enough to disable it and access again through /wp-login. But I get it, it is not beginner-friendly!
DW says
Yeah, doing the login URI really doesn’t do much. It’s a technique known as “security by obscurity” – basically security by “hiding”.
If someone is determined to get into your website, using these “Security by obscurity” techniques would at best slow them down by a few minutes. It’s not really a substitute for properly securing your website.
You’re far better off securing your website properly. Techniques like plugins to prevent brute force attacks, enforcing strong passwords, enforcing multi-factor authentication for at the very least admin accounts, and if you have the luxury of having a Static IP address creating an .htaccess file that only allows access to the admin page from your IP address are all far better solutions.