No es de extrañar que la seguridad se haya convertido en una preocupación importante para los desarrolladores y propietarios de sitios web. A medida que Internet ha ido ganando en popularidad y se ha convertido en el nuevo método de comunicación, investigación y compra, los controles de seguridad de los sitios web son fundamentales para evitar la propagación del malware y del spam.

Tanto si gestionas un pequeño blog personal como una enorme tienda online multinacional, la amenaza de ser hackeado está siempre presente. Algunas personas desfigurarán tu sitio e incrustarán malware en él, intentarán robar tus datos o los de tus clientes y borrarán contenido importante de tu servidor. Tienes que protegerte a ti mismo y a tu información sensible.

Vamos a averiguar el grado de seguridad de tu sitio web en este momento. También ofreceremos algunos consejos para eliminar las vulnerabilidades que aprovechan los autores de malware. WordPress es seguro desde el principio, pero se necesita un poco de trabajo para parchearlo por completo.

Mira Nuestro Videotutorial para Realizar una Comprobación de Seguridad de tu Sitio Web

Verificación de la seguridad del sitio web: ¿Por qué es importante?

Puede que pienses que tu sitio web es tan pequeño y sin importancia que nadie se molestaría en atacarlo. O tal vez nunca hayas pensado en la seguridad y pienses que no es lo suficientemente importante como para preocuparte por ella.

Pensar así es la razón por la que, en 2013, más del 70% de las instalaciones de WordPress eran vulnerables a los ataques. Muchos de estos ataques se debieron a un software obsoleto, porque la mayoría de la gente no sabe lo suficiente o no se preocupa por asegurar sus sitios, lo que condujo a una ola masiva de hackeos dirigidos a las instalaciones de WordPress.

CMS anticuado vs actualizado en 2019.
CMS anticuado vs actualizado en 2019.

¿Qué puede ocurrir si tu sitio web sufre una intrusión no deseada? No se trata de una simple molestia que se soluciona fácilmente cambiando la contraseña.

  • Tu sitio podría tener un código inyectado que hace que los visitantes se infecten con malware, que podría ser extremadamente difícil de localizar y eliminar.
  • Tus páginas críticas pueden estar desfiguradas, en blanco o llenas de enlaces a sitios ilegales.
  • Puede dar lugar a la eliminación de contenidos como entradas de blog y páginas.
  • La información sensible, como los datos de acceso o de la tarjeta de crédito que te pertenecen, a tus usuarios o a tus clientes, puede ser robada y vendida en línea.
  • Los ataques podrían extenderse a otros sitios web de tu servidor.
  • Si Google detecta algún tipo de malware en tu sitio, bloqueará tu acceso y lo eliminará de los resultados de búsqueda, destruyendo tus esfuerzos de optimización de motores de búsqueda (SEO).
  • El nombre de usuario y la contraseña de la cuenta de administrador podrían ser cambiados, impidiendo el acceso a tu backend en absoluto.

Los sitios hackeados pueden ser un gran problema si tienes una tienda de comercio electrónico.

Y aunque digas que tu sitio no es lo suficientemente importante, no todos los ataques son dirigidos. Muchos ataques a WordPress están automatizados: un bot sondea tu sitio en busca de vulnerabilidades e inicia un ataque sin intervención humana.

Por eso es necesario que tomes medidas para asegurar tu sitio, sea cual sea.

¿Por qué WordPress se hackea?

El hackeo está muy extendido, pero ¿cuáles son las vulnerabilidades más comunes que los hackers aprovechan para entrar en los sitios?

Puedes imaginar que entrar en un sitio web es un proceso difícil que requiere días o semanas de trabajo y amplios conocimientos sobre ordenadores, codificación y servidores. Esta situación podría ser cierta en el caso de los intentos dirigidos a superar las defensas de un sitio grande y bien protegido, pero la historia es muy diferente cuando se trata de pequeños dominios de WordPress.

La gran mayoría de los ataques a WordPress tienen éxito debido a que la gente utiliza contraseñas fáciles de adivinar y no actualiza sus temas y plugins. Los hackers entran en la mayoría de estos sitios utilizando programas automatizados.

El robo de contraseñas es la forma más sencilla de pirateo posible, pero es tan común porque funciona. Mucha gente deja su inicio de sesión en WordPress en el «admin» por defecto, eliminando la mitad de las conjeturas, y luego utiliza una contraseña simple y adivinable además.

Cuando eso falla, los piratas informáticos aprovechan las vulnerabilidades comunes de los plugins más populares o las versiones obsoletas de WordPress. Por eso es tan importante mantener todo actualizado.

Hay formas mucho más complicadas y complejas de entrar en un sitio web. Sin embargo, la mayoría de los ataques a WordPress se valen de una contraseña insegura y de un software obsoleto que hace que sea muy fácil entrar en un sitio.

Cómo realizar una verificación de seguridad del sitio web

El primer paso para asegurar tu sitio web: determinar el grado de seguridad de tu sitio web. ¿Existe alguna vulnerabilidad evidente en tu backend que debas parchear inmediatamente, o alguna corrección sencilla que puedas hacer ahora?

Utiliza una herramienta online

Una forma rápida y sencilla de comprobar si tu sitio web contiene malware y vulnerabilidades es utilizar un escáner en línea. Estos escanean su sitio de forma remota e identifican los problemas más comunes. Es muy cómodo, ya que no requiere ningún software o plugin y solo lleva unos segundos.

Hay docenas de escáneres para elegir en línea, y vamos a enumerar algunos otros en nuestra sección de herramientas a continuación, pero por ahora, vamos a elegir uno popular que es fácil de usar: Sucuri SiteCheck.

Screenshot of Sucuri's homepage showing
Sucuri SiteCheck.

Esta herramienta es una buena opción, ya que puedes instalar el plugin de Sucuri y empezar a solucionar cualquier problema que detecte.

Una vez que escanees tu sitio, Sucuri lo comparará con las listas de bloqueo, buscarás problemas obvios como spam inyectado o software desactualizado, y escanearás brevemente cualquier código al que puedas acceder en busca de malware. También ofrece algunas sugerencias para reforzar tu sitio contra los ataques.

Escanear un sitio web con el plugin Sucuri.
Escanear un sitio web con el plugin Sucuri.

Herramientas como ésta son un gran punto de partida para detectar malware oculto y otros problemas.

Escanee tu sitio web con un plugin de WordPress

Aunque los escáneres en línea funcionan bastante bien, es aún mejor instalar un plugin que sea capaz de profundizar en la raíz de su código y pescar vulnerabilidades o malware difícil de detectar.

Ya hemos mencionado a Sucuri como una opción. También hay dos plugins de seguridad aún más populares: All in One WP Security & Firewall, y el más descargado en el repositorio, Wordfence Security.

Una vez que hayas instalado el plugin de tu elección, es probable que te indique que ejecute un escaneo inmediatamente. La ventaja de estos plugins sobre los escáneres remotos es que pueden eliminar el malware y hacer cambios automáticamente.

Busca cambios extraños

Si sospechas o sabes que tu sitio web ha sido infectado con malware, localizar el origen puede ser a veces un reto. A continuación, te presentamos algunos cambios inexplicables que puede notar, así como los archivos que suelen atraer a los hackers:

  • Enlaces repentinos a sitios web extraños que no has añadido tú mismo
  • Nuevos artículos y páginas que no has creado, o el contenido de las páginas existentes que cambia repentinamente
  • Cambios en la configuración que no has hecho
  • Un nuevo usuario, especialmente uno con privilegios de alto nivel, que no has agregado
  • Plugins o temas que no has instalado
  • El malware a menudo puede inyectar código malicioso en tus archivos. Comprueba los archivos de plugins y temas, la carpeta wp-content/uploads, los archivos del núcleo de WordPress situados en un directorio incorrecto, wp-config.php y .htaccess. Deberías hacer una copia de seguridad de tu sitio y conocer el código antes de realizar cualquier cambio sensible.

Si te conectas a tu sitio con FTP, puedes ordenar por los archivos modificados recientemente en busca de código que no debería estar allí.

Si tu sitio se infecta periódicamente con malware y no puede encontrar ninguna causa en los archivos, el problema puede estar en su servidor o en otro sitio de su servidor.

Asegúrate de que todo está al día

Como ya hemos mencionado, el software desactualizado es, con mucho, el vector de infección más común en WordPress. Si hay una sola cosa que puedes hacer para mantener tu sitio seguro, debería ser mantener WordPress actualizado.

La forma más fácil de comprobar el estado de todo el software de su sitio es ir a Escritorio> Actualizaciones, que te avisará si tu núcleo, tema o plugins están desactualizados.

Actualizaciones de WordPress
Actualizaciones de WordPress

Como WordPress realiza ahora actualizaciones automáticas desde la versión 5.5, nada debería estar obsoleto a menos que tengas una versión obsoleta de WordPress. Si no la tienes, puedes actualizar todo desde esta pantalla.

Si sabes que hay una nueva versión de WordPress, pero no aparece, haz clic en el botón Comprobar de nuevo debajo de Versión actual.

También puedes comprobar si existen actualizaciones en las páginas Plugins > Plugins instalados o Apariencia > Temas.

Cuentas y contraseñas seguras

Una contraseña débil en tu cuenta principal hace que sea fácil para cualquiera entrar en tu sitio con programas de fuerza bruta, dándoles acceso de administrador y la capacidad de cambiar cualquier cosa.

Mientras que una contraseña complicada puede ser ardua de recordar, haciendo que el inicio de sesión sea menos conveniente, es aún más inconveniente tener que recuperar su sitio de un hack. Merece la pena utilizar una contraseña más segura, aunque tengas que llevarla escrita.

Tu contraseña debe utilizar una mezcla de letras mayúsculas y minúsculas, números y símbolos. Lo mejor sería que no la basaras en palabras del diccionario o en información personal que se pueda adivinar, como tu dirección o el nombre de un familiar.

En el mejor de los casos, tu contraseña sería una larga y enmarañada cadena de caracteres especiales. Te recomendamos encarecidamente que utilices un gestor de contraseñas. Utiliza un sitio como 1Password o LastPass para generar una contraseña segura e indescifrable.

Generar una contraseña segura con LastPass.
Generar una contraseña segura con LastPass.

Puedes actualizar tu contraseña y correo electrónico en WordPress yendo a Usuarios > Todos los usuarios o directamente a Usuarios > Tu Perfil. Desplázate hacia abajo y encuentra el correo electrónico en Información de contacto, y la nueva contraseña en Gestión de cuentas.

Establecer una nueva contraseña en WordPress
Establecer una nueva contraseña en WordPress

Mientras estás en la página de Usuarios, echa un vistazo a todos tus usuarios y asegúrate de que no hay ninguno que no reconozcas o que tenga permisos inapropiados. Debes eliminar inmediatamente cualquier usuario no identificado con permisos de administrador.

También te animamos a que mires esta guía sobre cómo restringir los permisos de los usuarios para que solo tu cuenta pueda cambiar los archivos sensibles de tu sitio.

Comprueba tu certificado SSL

Si tu certificado SSL está caducado, normalmente lo sabrás al instante; los navegadores como Google Chrome bloquearán el acceso a tu sitio con una enorme advertencia sobre el certificado caducado. Si no estás seguro o ya recibes este error, comprueba tu certificado SSL para ver si está actualizado y si estás utilizando la última versión de SSL/TLS.

Cuando visites un sitio web, verás un icono de candado en la barra de direcciones en la mayoría de los navegadores. Si tu certificado está caducado, este candado puede ser de color rojo o tener una barra atravesada.

Haz clic en el icono del candado y, a continuación, vuelve a hacer clic para ver la información del certificado, incluida su fecha de caducidad.

Comprobación del certificado SSL de un sitio web.
Comprobación del certificado SSL de un sitio web.

También puedes utilizar un comprobador de certificados SSL para escanear tu sitio y asegurarte de que tu certificado no ha caducado y de que no hay vulnerabilidades en tu protocolo SSL.

Vulnerabilidades comunes

Muchos sitios de WordPress están llenos de pequeños vectores de ataques que pueden parecer inocuos pero que pueden proporcionar más información de la que se quiere compartir.

Tener una versión visible de WordPress en tu frontend le dice a los hackers exactamente qué vulnerabilidades están presentes en tu sitio. Especialmente si estás usando una versión obsoleta de WordPress, es posible que quieras ocultar esta información.

Verás que los editores de archivos están en Apariencia > Editor de temas y en Plugins > Editor de plugins en tu backend.

Añadir código al editor de temas
Añadir código al editor de temas

Si bien estas herramientas son muy convenientes, también hace que cualquier persona que hackea tu sitio pueda romper algo, por lo que es posible que desee desactivarlas. Puedes hacerlo añadiendo esta función a wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Las inyecciones SQL son una forma común de entrar en un sitio. Si tienes formularios u otras entradas de usuario, restringe el uso de caracteres especiales y permite que solo se carguen tipos de archivos seguros y comunes.

Por último, para una capa adicional de protección, puedes proteger con directorios de archivos.

Cómo proteger tu sitio web: Consejos y herramientas

Si tu sitio tiene malware, un buen plugin de seguridad debería ser suficiente para eliminarlo. Y hemos cubierto más arriba algunas vulnerabilidades que querrás comprobar.

Mira Nuestro Videotutorial para Asegurar tu Sitio Web

Tenemos algunos otros consejos rápidos para asegurar tu sitio web y prevenir la infección antes de que pueda ocurrir. Puedes aplicar la mayoría de estos consejos en cuestión de minutos, por lo que deberían ser fáciles de configurar incluso si no estás familiarizado con WordPress y la seguridad web.

Elige un alojamiento seguro

Cuando los piratas informáticos buscan una forma de entrar en tu sitio, a menudo se dirigen al servidor en busca de exploits. Hay muchos alojamientos baratos, pero no siempre invierten en los servidores más seguros.

El alojamiento compartido puede ser un vector de infección. Si un sitio web se infecta con malware, puede extenderse potencialmente a todos los sitios del servidor. Así que podrías terminar con un sitio lleno de virus y spam de SEO, y ni siquiera sería tu culpa.

Por eso es fundamental investigar y elegir un alojamiento que se preocupe por la seguridad e invierta en servidores seguros. Tendrás que seguir trabajando para asegurar tu sitio web, pero a nivel de servidor, tus datos estarán seguros.

Activar la autenticación en dos pasos (2FA)

La autenticación en dos pasos (también conocida como autenticación de dos factores o 2FA) añade otro paso de inicio de sesión. Además del nombre de usuario y la contraseña, tú o cualquiera que se haga pasar por ti necesitará otro dato: un código único adicional.

Puede ser un código numérico enviado a tu teléfono, que puede hacer que tu cuenta de WordPress sea casi imposible de descifrar mediante fuerza bruta. También puede requerir una verificación por correo electrónico o un dato que solo tú conoces.

Aunque no hay una forma integrada de activar la autenticación de dos factores, muchos plugins añaden la funcionalidad a WordPress.

Kinsta ofrece autenticación de dos factores a todos los clientes. Sin embargo, si no eres usuario de Kinsta, el plugin de seguridad Wordfence que mencionamos antes viene con 2FA incorporado. También puedes probar otras herramientas de seguridad de sitios web, como el plugin Two-Factor para códigos de correo electrónico o Duo para configurar la autenticación telefónica de dos factores a través de una aplicación.

Plugin de autenticación de dos factores Duo
Plugin de autenticación de dos factores Duo

Crea copias de seguridad todos los días

Hacer una copia de seguridad de tu sitio no puede salvarlo de que alguien intente entrar, pero si alguna vez ocurre algo, tener una copia de seguridad será de gran valor. Puede significar la diferencia entre perder semanas o incluso años de trabajo y simplemente restaurar a una copia de seguridad de antes del hackeo.

Si estás con Kinsta, te cubrimos con copias de seguridad diarias automatizadas que se almacenan durante dos semanas (30 días para los que tienen Programa de Socios de Agencia de Kinsta). Además, puedes crear cinco copias de seguridad manuales y una copia de seguridad descargable a la semana, y hay complementos opcionales para hacer copias de seguridad cada hora o exportarlas a la nube.

Plugins como UpdraftPlus también pueden ayudar. Lo mejor es elegir un servicio que haga copias de seguridad diarias como mínimo para minimizar la pérdida de datos.

Utilicza un cortafuegos de aplicaciones web

Un cortafuegos de aplicaciones web, o WAF, utiliza reglas estrictas para filtrar el tráfico entrante, bloqueando las IPs que se sabe que están asociadas con la piratería o los ataques DDoS. Evita que muchos ataques lleguen a tu servidor.

Aunque se pueden aplicar WAFs a nivel de servidor, lo más fácil es adquirir un servicio basado en la nube como el que proporcionan Cloudflare o Sucuri.

Conectar a través de SSH o SFTP

A veces necesitas conectarte a tu sitio conFTP para añadir o modificar archivos allí. Siempre es mejor usar SFTP que FTP; la diferencia es simple: SFTP es seguro, y FTP no lo es.

Con el FTP, tus datos no están encriptados. Si alguien logra interceptar la conexión entre ti y tu servidor, podría ver todo, desde tus credenciales de acceso al FTP hasta los archivos que subas. Conéctate siempre con SFTP.

También puedes considerar el uso de acceso SSH, que te permite conectarse a un símbolo del sistema y gestionar tu sitio más directamente. Es seguro, protegido y puede manejar remotamente tareas simples. Nuestra guía sobre SSH puede ayudarte si estás atascado.

Prevenir los ataques DDoS

Los ataques DDoS ralentizan tu sitio web al inundar tu servidor con miles de peticiones falsas, impidiendo que los lectores o clientes potenciales accedan a él. Aquí tienes algunos consejos para detenerlos antes de que se produzcan:

  • Ten un plan para cuando se produzca un ataque DDoS. No querrás que cunda el pánico cuando tengas que alertar a tu proveedor de Internet y detener el ataque.
  • Utiliza un cortafuegos de aplicaciones web que pueda detectar el tráfico falso.
  • Utiliza un software anti-DDoS específicamente adaptado.
  • Desactive xmlrpc.php para evitar que aplicaciones de terceros utilicen tu servidor.
  • Desactivar la API REST para los usuarios generales.

Evitar los ataques de fuerza bruta

Los ataques de fuerza bruta pueden ser similares a los ataques DDoS, pero el objetivo es adivinar tu contraseña de administrador y entrar en el sitio en lugar de hacer caer tu servidor. Dicho esto, estos también pueden ralentizar tu sitio.

Herramientas de seguridad para sitios web que debes conocer

Además de las que ya hemos mencionado, aquí hay otras herramientas de seguridad en línea que le ayudarán a bloquear su sitio web:

  • Intruder.io: Busca las últimas vulnerabilidades.
  • SSL Server Test: Herramienta para desarrolladores que analiza su certificado SSL e identifica los puntos débiles.
  • HTML Purifier: Filtra el código malicioso/XSS, ideal si tienes código infectado que necesitas limpiar.
  • Mozilla Observatory: Consejos prácticos para purgar tu código de las vulnerabilidades más comunes.
  • sqlmap: Una herramienta de pruebas de penetración para identificar exploits en su código SQL.
  • Detectify: Escanea tus aplicaciones web con la ayuda de hackers éticos.
  • WPScan: Un escáner de WordPress basado en CLI.
  • SonarQube: Escriba código conforme a los estándares y libre de vulnerabilidades de seguridad.

Lista de verificación de la seguridad del sitio web

¿Está tu sitio web a salvo de ataques? Asegúrate de que has marcado casi todo en esta lista de comprobación:

  • ¿Utiliza un entorno de alojamiento seguro y de alta calidad?
  • ¿Has escaneado su sitio con un plugin o un escáner en línea para comprobar si hay virus?
  • ¿Has instalado un registro de actividad y lo supervisa para detectar cambios inusuales?
  • ¿Tú y cualquier usuario con privilegios de alto nivel utilizan contraseñas seguras y autenticación de dos factores? ¿Son correctos todos los correos electrónicos?
  • ¿Están actualizados WordPress, tus temas y plugins, y los sistemas subyacentes como PHP?
  • ¿Tu certificado SSL es seguro y está actualizado?
  • ¿Has comprobado si hay cambios inexplicables, eliminación o adición de contenido, o enlaces que no has añadido en tus páginas web, configuraciones o archivos?
  • ¿Tu página de acceso está protegida por una contraseña y tiene limitados los intentos de acceso?
  • ¿Has comprobado si hay nuevos usuarios que no has añadido?
  • ¿Están protegidos los formularios, los cuadros de comentarios y otras fuentes de entrada del usuario? (No permita caracteres especiales y restrinja la carga de archivos a tipos de archivo conocidos).
  • ¿Ha desactivado xmlrpc.php y la API REST para evitar ataques DDoS?
  • ¿Has desactivado la edición de temas y plugins en el panel de control?
  • ¿Dispones de un servicio de copias de seguridad diarias?
  • ¿Tienes configurado un cortafuegos de aplicaciones web?

Resumen

La seguridad de los sitios web no es un asunto menor, así que si aún no estás al tanto de ella, es el momento de convertirla en una prioridad. Ser hackeado no solo molesta, sino que puede acabar con un SEO dañado, una pérdida de datos devastadora, la pérdida de confianza de los usuarios y un malware que vuelve una y otra vez.

No es necesario ser un desarrollador experimentado para tomar algunas medidas adicionales para asegurar tu sitio. Y eso comienza con una adecuada comprobación de la seguridad del sitio web. Incluso algo tan sencillo como elegir una mejor contraseña o cambiar a un alojamiento más seguro puede marcar la diferencia.

¿Necesitas más consejos de seguridad? Conozce otras 19 formas de proteger tu sitio web. Y no dudes en compartir tus sugerencias en los comentarios de abajo.

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.