6 consejos para resolver problemas de seguridad de WordPress

Bienvenido al CMS más popular del mundo

WordPress es uno de los mayores objetivos individuales de los ciberataques. Esto se debe a que WordPress es, con diferencia, el sistema de gestión de contenido (CMS) más popular del mundo: impulsa el 43,1 % de todos los sitios web y cuenta con una cuota de mercado de CMS del 63,6 % según W3Techs. A modo de comparación, el segundo lugar es Shopify, que impulsa el 3,8% de los sitios web y tiene una participación de mercado de CMS del 5,6%.

Su plataforma gratuita de comercio electrónico, WooCommerce, también es un jugador importante por derecho propio, ya que es la solución de comercio electrónico de código abierto más popular del mundo.

Eso plantea una pregunta obvia: ¿Qué debe hacer cuando se trata de proteger WordPress en su sitio y prevenir o corregir las vulnerabilidades de WordPress? A partir de nuestras mejores prácticas de ciberseguridad en Coalition Technologies, estos son nuestros 6 mejores consejos para resolver los problemas de seguridad de WordPress.

¿Por qué elegir WordPress?

WordPress es extremadamente flexible y potente, y dado que es de código abierto, también es muy rentable y popular. Dado que WordPress es la plataforma más grande en la web, hay muchos expertos en seguridad cibernética que están disponibles para ayudar con la seguridad de un sitio web de WordPress por una fracción del costo de lo que podría ser para una plataforma personalizada.

1. Proteja sus credenciales de inicio de sesión

El paso más poderoso que puede tomar para resolver los problemas de seguridad de WordPress es no tener esos problemas en primer lugar, y proteger sus credenciales de inicio de sesión puede reducir las filtraciones de datos a más de la mitad.

Según Verizon en su Informe de investigaciones de violación de datos de 2021, el 61% de las violaciones de datos involucraron el uso de credenciales de inicio de sesión de alguna manera. Esto sucede más comúnmente debido a:

• Robo de contraseña
• Ataques de fuerza bruta
• Mal uso interno de credenciales

Protéjase contra el robo de contraseñas

A los piratas informáticos les gusta ir por la fruta madura, y la reparación de las vulnerabilidades de WordPress comienza con eliminar toda esa fruta madura antes de que los piratas informáticos puedan alcanzarla.

• Actualice todas las contraseñas regularmente. 90 días (una vez por trimestre) es un buen valor predeterminado.

• Use contraseñas únicas y nunca las reutilice. PurpleSec dice que el 25% de los empleados usan la misma contraseña para todo, lo que debería preocupar a cualquiera.

• Almacene las contraseñas correctamente. WordPress maneja todo de forma segura, pero si sus empleados escriben sus contraseñas en notas adhesivas o Google Docs, pueden filtrarse.

• Considere hacer que las contraseñas caduquen. Esto obliga a las personas a actualizar sus contraseñas, pero también puede llevar a algunos empleados a descuidar el almacenamiento de sus contraseñas. Resolver los problemas de seguridad de WordPress a largo plazo significa mitigar esta vulnerabilidad con sus políticas de contraseñas.

Fortalecimiento contra ataques de fuerza bruta

Los piratas informáticos también pueden usar ataques de fuerza bruta para robar credenciales. Esto significa adivinar contraseñas al azar, millones de veces, hasta encontrar una permutación que funcione.

• Limite el número de intentos de inicio de sesión permitidos. Un buen complemento de seguridad de WordPress se encargará de esto por usted y también corregirá las vulnerabilidades de WordPress a medida que se descubran.

• Utilice contraseñas únicas. Como antes, resolver los problemas de seguridad de WordPress significa usar contraseñas únicas y solo usarlas una vez.

• Utilice contraseñas robustas. Las contraseñas deben tener al menos 8 caracteres e, idealmente, incluirán números, letras y caracteres especiales. Aquí hay algunos consejos. También puede usar contraseñas memorables, lo que ayuda a reducir los problemas de memoria. El Centro Nacional de Seguridad Cibernética del gobierno del Reino Unido respalda la idea de tres palabras al azar, aunque cuatro o cinco palabras es aún mejor.

• Bloquee países o IP específicos que generen muchos intentos fallidos de inicio de sesión. En particular, bloquee el acceso de estas fuentes a cuentas confidenciales con acceso a paneles de administración mediante firewalls.

Utilice políticas de protección de contraseña de mejores prácticas

En Coalition Technologies trabajamos incansablemente para mantener seguras las credenciales de nuestros clientes. A lo largo de los años, hemos construido un historial orgulloso de políticas de protección de contraseña de mejores prácticas. Del mismo modo, resolver los problemas de seguridad de WordPress requiere tener buenas políticas propias de protección de contraseñas. Aquí hay algunas pautas para corregir las vulnerabilidades de WordPress a nivel de recursos humanos:

• Limite el acceso de inicio de sesión según sea necesario. Otorgue a los empleados solo el nivel mínimo de permisos que necesitan y solo bríndeles acceso a las pestañas y los sistemas que necesitan. Limite las cuentas de "administrador" con acceso universal al mínimo número posible de personas.

• Implementar una formación eficaz para los empleados. A veces, el uso indebido de contraseñas por parte de empleados descontentos es malicioso (en cuyo caso, puede limitar el daño limitando el acceso como se mencionó anteriormente). Pero con mayor frecuencia, este uso indebido no es intencional, y la solución de problemas de seguridad de WordPress con fugas de contraseña se puede evitar con una buena capacitación. Asegúrese de que su proceso de incorporación incluya un módulo sobre seguridad de contraseñas y considere implementar módulos de actualización periódica cada 12 a 24 meses.

2. Instale un buen complemento de seguridad de WordPress y siga las mejores prácticas

El núcleo de WordPress es muy seguro, con talento en ciberseguridad de clase mundial trabajando para mantener seguros millones de sitios web. Pero WordPress también permite el uso de complementos. Estos complementos amplían enormemente la funcionalidad de WordPress, pero también introducen nuevas vulnerabilidades de seguridad potenciales.

Sin embargo, existe toda una industria construida en torno a la protección de los complementos de WordPress, y estos productos son en sí mismos complementos de WordPress. Conocidos como "complementos de seguridad", son utilidades imprescindibles para resolver problemas de seguridad de WordPress y reparar vulnerabilidades de WordPress en tiempo real. Su primera parada después de instalar o actualizar el software principal de WordPress debe ser elegir un buen complemento de seguridad de WordPress y configurarlo correctamente.

Nuestras recomendaciones de complementos de seguridad

Hay muchos buenos complementos de seguridad de WordPress por ahí. Nuestros clientes confían en la arquitectura de WordPress por millones de dólares en ingresos. La seguridad del sitio web es absolutamente crítica.

Cuando nos asociamos con nuestros clientes para ofrecer nuestros amplios servicios de diseño web de WordPress, recomendamos especialmente estos dos complementos para resolver problemas de seguridad de WordPress:

• Seguridad de Wordfence: cortafuegos, análisis de malware y seguridad de inicio de sesión
• Defender Security: escáner de malware, seguridad de inicio de sesión y cortafuegos

Usamos rutinariamente estos complementos de seguridad para nuestros clientes al administrar sus sitios de WordPress.

Garantizar la configuración adecuada del complemento de seguridad

Los expertos en investigación de palabras clave de Semrush recomiendan estos pasos críticos para resolver de manera preventiva los problemas de seguridad de WordPress:

• Limite el número de intentos de inicio de sesión permitidos. Ya cubrimos este, pero vale la pena repetirlo como una excelente manera de corregir de forma preventiva las vulnerabilidades de WordPress.

• Oculte su página de inicio de sesión de la vista pública. Los visitantes de su sitio no deberían poder llegar a su página de inicio de sesión a través de la navegación del sitio o adivinando la URL. La URL de la página de inicio de sesión debe ser oscura y estar desvinculada de otras páginas.

• Elimine las páginas de backend, administración y carrito de compras de la indexación del motor de búsqueda. Obviamente, estas páginas son mucho más vulnerables a la piratería, por lo que, en este caso, resolver los problemas de seguridad de WordPress significa mantener estas páginas fuera de los resultados de búsqueda.

• Realice copias de seguridad de su sitio web periódicamente. Puede hacerlo de forma manual o automática, pero hágalo con regularidad. Cualquier cosa que no esté respaldada debe considerarse perdida, porque eso es lo que se reducirá en algo así como un ataque de ransomware. Las copias de seguridad deben estar alojadas en un servidor diferente y usar diferentes credenciales de acceso. Cuando sea factible, también es inteligente mantener copias de seguridad locales "en frío". Esto es especialmente importante para las empresas más pequeñas.

3. Auditar temas y complementos cuidadosamente antes de instalar

Cuando se trata de otros complementos de WordPress (además de los complementos de seguridad) y temas de WordPress, es fundamental comprender que se trata de una gama muy amplia de productos y calidad. Cualquier buena estrategia para reparar las vulnerabilidades de WordPress significa hacer mucha diligencia en la auditoría de estas aplicaciones.

Muchos complementos y temas son sólidos como una roca y ofrecen funciones esenciales y opciones de diseño que su sitio web necesita para prosperar. Otros complementos y temas están mal diseñados y son vulnerables a las vulnerabilidades de seguridad de los piratas informáticos. Y algunos son directamente malware.

WordPress está atento a la resolución de problemas de seguridad de WordPress con complementos y temas mediante el bloqueo de malware y correo no deseado, pero a veces algunos de estos huevos malos pasan. Estas son algunas de las mejores prácticas para auditar complementos y temas que le interesen:

• Un número alto de descargas suele ser más seguro. El malware se detecta desde el principio, y los malos temas y complementos nunca se vuelven populares, por lo que es probable que solo las cosas que funcionan acumulen una gran cantidad de descargas.

• Un gran número de opiniones positivas de los usuarios es un indicador fiable. Si mucha gente le ha dado a un complemento o tema una calificación de estrellas perfecta o casi perfecta, es una buena señal. Pero asegúrese de leer también algunas de las críticas medias y negativas, para ver qué tipo de quejas tiene la gente.

• Busque en la web empresas y organizaciones de noticias que hablen sobre su experiencia con el uso de estos complementos. Cuando se trata de resolver problemas de seguridad de WordPress y corregir las vulnerabilidades de WordPress para su negocio, es posible que las reseñas de los usuarios no tengan la profundidad o la credibilidad que está buscando. Así que vaya en línea y busque nombres en los que confíe. Vea lo que dicen acerca de estas aplicaciones.

¿Dónde debería obtener los complementos?

En caso de duda, elija complementos de WordPress de fuentes confiables:

• El repositorio oficial de complementos de WordPress es su mejor opción, y si solo obtiene complementos de una fuente, consígalos aquí.

• Los mercados de terceros de buena reputación para complementos, por ejemplo, CodeCanyon, son otra buena fuente de complementos. Los mercados de buena reputación ponen mucho énfasis en resolver los problemas de seguridad de WordPress porque su reputación depende de ello.

• Los sitios de desarrolladores de complementos de WP, como WPMU DEV, son otra fuente de complementos de alta calidad. Estas comunidades de desarrolladores profesionales de complementos de WordPress se congregan para aumentar la visibilidad y la confiabilidad de sus productos.

Los buenos complementos tienen buenos equipos de desarrollo, y las vulnerabilidades en estos complementos suelen ser reparadas rápidamente por los desarrolladores independientes o las agencias que los crearon. Y cuando no lo son, suele haber muchos complementos alternativos diferentes que ofrecen la misma funcionalidad de forma segura.

4. Actualizar todo y volver a auditar

Dejar que su software se quede atrás es fácil debido al tiempo que lleva actualizar (y el tiempo que lleva arreglar las cosas rotas por las actualizaciones), pero esto es terrible porque muchas de esas actualizaciones contienen parches para corregir vulnerabilidades de WordPress o vulnerabilidades en complementos de WordPress o temas Es por eso que organizaciones como Search Engine Journal recomiendan que mantenga actualizados sus complementos y temas.

No hay forma de endulzarlo: este es uno de nuestros consejos más lentos para resolver los problemas de seguridad de WordPress. Pero hay que dedicarle tiempo, porque de lo contrario, estás abriendo la puerta a los ciberatacantes.

Esto incluye el software principal de WordPress, la versión de PHP que se está ejecutando y todos los temas y complementos. TODO debe actualizarse cuando haya nuevas actualizaciones disponibles y, cuando lo actualice, todos los complementos y funciones afectados deben auditarse nuevamente para garantizar que todo funcione correctamente.

Asignar mano de obra en curso

Mantenerse al día con las actualizaciones principales de WordPress y las actualizaciones de complementos tiene que ser parte de la descripción del trabajo de alguien. Si resolver los problemas de seguridad de WordPress a través de la actualización preventiva no está en el radar de alguien, este es el tipo de cosas que tienden a olvidarse.

La actualización del software y la corrección de las vulnerabilidades de WordPress no generan ventas directamente, sino que actúan para evitar costos potencialmente catastróficos y deben presupuestarse en consecuencia. Asegúrese de configurar su empresa para el éxito asegurándose de que su administrador de sistemas o equipo de TI tenga el ancho de banda para estar al tanto de las actualizaciones.

En Coalition Technologies, nos mantenemos al tanto de las actualizaciones como parte de nuestra estrategia de éxito para preparar a los clientes para un crecimiento sostenible a largo plazo.

Tenga cuidado con las actualizaciones

Una cosa que debe saber sobre cómo resolver los problemas de seguridad de WordPress mediante la instalación diligente de actualizaciones a medida que se lanzan: WordPress revisa todos los complementos que se envían a su repositorio oficial para filtrar el correo no deseado, detectar errores graves comunes y garantizar que los complementos cumplan con WordPress. pautas.

Sin embargo, una vez que se aprueba y enumera un complemento, WordPress no tiene la capacidad de auditar todos estos complementos de terceros nuevamente cada vez que se actualiza un complemento. El código base de un complemento puede cambiar significativamente y, a menudo, lo hace después de esa revisión inicial, y WordPress no lo sabría.

Esto suele suceder por razones legítimas, por ejemplo, actualizaciones de UX, corrección de vulnerabilidades y errores de WordPress y adición de nuevas funciones. Pero los piratas informáticos pueden jugar con el sistema colocando una versión inicial de su complemento que pasa la prueba y luego agregando malware con actualizaciones posteriores. También puede ocurrir cuando un complemento existente se abandona o se vende, y un tercero malicioso lo toma y agrega malware. Significa que parte del trabajo de resolver los problemas de seguridad de WordPress recae en usted.

Siempre revise las notas de actualización cuando se actualice un complemento, y no se apresure a ser uno de los primeros en adoptar sin una verificación externa: vea lo que otros dicen primero.

Hacer uso de los servicios de búsqueda de vulnerabilidades

También puede hacer uso de servicios como la base de datos de vulnerabilidades de WPScan, que puede ayudarlo a resolver los problemas de seguridad de WordPress al informarle con anticipación sobre los riesgos de seguridad recién descubiertos.

Si se asocia con Coalition Technologies para administrar su sitio de WordPress, hacemos todo nuestro propio tema de WordPress y verificación de complementos, y asumimos la responsabilidad de corregir las vulnerabilidades de WordPress a las que está expuesto su sitio, lo que le brinda tranquilidad y descarga de una tarea que requiere mucho tiempo. .

5. Identificar ataques de phishing

Una fuente importante de vulnerabilidad de seguridad cibernética es el phishing, y si bien este es un fenómeno en todo Internet, aún debe discutirse dentro del contexto de los casos de uso de WP y la resolución de problemas de seguridad de WordPress. Los phishers a menudo falsifican el propio WordPress o los correos electrónicos de los clientes. La firma de ciberseguridad Varonis tiene un buen manual sobre cómo funciona el phishing.

Cualquier cosa con hipervínculos que no controle podría ser un ataque de phishing (sitios web, documentos digitales, etc.), pero especialmente el correo electrónico.

Cuidado con el correo electrónico entrante

Casi todos los ataques de phishing comienzan en el correo electrónico. (Es aproximadamente el 90% según CyberTalk.org). Eso significa que las empresas deben enseñar a los empleados las mejores prácticas de defensa personal por correo electrónico. No se trata tanto de corregir las vulnerabilidades de WordPress, sino de evitar que el comportamiento de su equipo se convierta en un vector de ataques de ciberseguridad.

Asegúrese de tener los registros DMARC y SPF adecuados configurados para su DNS, lo que evitará que las personas utilicen su dominio en los correos electrónicos porque terminarán en basura o nunca se enviarán, según el conjunto de políticas de DMARC. .

Protéjase contra los enlaces falsos

Los phishers usan enlaces falsos, que a veces se disfrazan para parecerse a sitios comunes como Google. Un método para resolver los problemas de seguridad de WordPress mediante la protección contra el phishing es cambiar los encabezados de seguridad de las opciones de X-Frame de su sitio, lo que no permitirá que su sitio web sea utilizado en un iframe por sitios web externos.

Usar URL reales

Por último, no utilice acortadores de enlaces, que no revelan al usuario el sitio web de destino final.

6. Proteja su red

Otro consejo importante para resolver los problemas de seguridad de WordPress es proteger su red. En esta era de pandemia de mayor teletrabajo y lugares de trabajo globales, las empresas transmiten información crítica de forma rutinaria a través de Internet, lo que crea muchas oportunidades para las vulnerabilidades de seguridad.

WordPress es una plataforma muy flexible, lo que significa que puede parchear métodos comúnmente explotables con fragmentos de código simples que se encuentran en línea, como deshabilitar XMLRPC y requerir autenticación para acceder a WP-JSON. Solucionar las vulnerabilidades de WordPress suele ser tan simple como instalar y utilizar los complementos adecuados.

Además, las opciones de autenticación multifactor están disponibles con el uso de complementos de WordPress.

Practique una sólida preparación y prevención

Los firewalls de aplicaciones web como Cloudflare y muchos otros han diseñado específicamente su WAF para proteger las aplicaciones de WordPress de diferentes tipos y patrones de ataques comunes. Muchos proveedores de alojamiento ofrecen un servicio de copia de seguridad diario gratuito, como WP Engine.

Asóciese con Coalition Technologies para el diseño y desarrollo de WordPress

En Coalition ofrecemos servicios completos de diseño y desarrollo de WordPress, ya sea de forma independiente o junto con nuestros galardonados servicios de SEO y marketing digital. Todo lo que hemos discutido hoy sobre la solución de problemas de seguridad de WordPress y la reparación de vulnerabilidades de WordPress está incluido en nuestros servicios cuando se asocia con nosotros.

Consulte nuestras Preguntas frecuentes sobre los servicios de WordPress. ¡Nos encantaría trabajar contigo! Contáctenos para discutir las necesidades de su sitio web.