Asegurar su sitio web de WordPress: una descripción general

Publicado: 2020-08-25
Securing Your WordPress Website

Introducción

WordPress es una herramienta de creación de sitios web, conocida como Sistema de gestión de contenido ( CMS ), que facilita la creación de sitios web hermosos y potentes sin necesidad de saber nada sobre HTML, PHP o cualquier tecnología web. Esta flexibilidad y poder han hecho que WordPress sea increíblemente popular. ¡Ahora es el CMS número uno que impulsa más de 455,000,000 sitios web o el 35% de todo Internet! Si desea que su sitio web se vea elegante, tenga toda la funcionalidad que pueda necesitar y utilice las herramientas de SEO más potentes disponibles que ofrece WordPress.

La popularidad de WordPress ha creado un ecosistema increíblemente rico de temas, complementos y herramientas que amplían y mejoran todos los aspectos de su sitio de WordPress con facilidad. Desafortunadamente, esta popularidad también convierte a WordPress en un objetivo atractivo para los piratas informáticos. Esto sucede por un par de razones relacionadas. En primer lugar, con 455 millones de sitios que ejecutan WordPress, si un hacker puede descubrir un exploit, potencialmente puede entrar en casi 500 millones de sitios web y tomar lo que quiera.

En segundo lugar, entre la gran cantidad de complementos y complementos, algunos no están muy bien escritos, mal mantenidos o incluso abandonados por sus autores. Esto proporciona a los piratas informáticos un punto de entrada mucho más fácil a un sitio web de WordPress que el núcleo reforzado de WordPress. La gran cantidad de sitios de WordPress significa que incluso un complemento relativamente impopular aún se puede usar en muchos, muchos sitios web de WordPress.

En este artículo, veremos los conceptos básicos para asegurar un sitio web de WordPress para que pueda disfrutar del poder de WordPress sin sufrir ninguna de las desventajas.

Mantenerse al día

El mundo de la tecnología avanza increíblemente rápido y esto incluye WordPress y la tecnología que lo soporta. Cuando visita un sitio de WordPress, hay una gran cantidad de piezas de software que funcionan en conjunto para habilitar el sitio web que está viendo. Estos paquetes de software se pueden agrupar aproximadamente en las siguientes capas:

  1. Sistema operativo
  2. Núcleo de WordPress
  3. Complementos y temas de WordPress

Cada una de estas capas depende de la capa con el número inferior para funcionar de forma correcta y segura. Ningún software está perfectamente escrito, lo que significa que se descubren errores en los paquetes implementados todo el tiempo. Además, sus autores crean versiones nuevas y mejoradas de paquetes de software para agregar características y funcionalidad.

Todo esto significa que los administradores de WordPress deben estar al tanto de cada actualización disponible para su sistema operativo y su instalación de WordPress. Como puede imaginar, esto requiere mucho tiempo y, desafortunadamente, a veces, un conocimiento muy técnico cuando las cosas salen mal. Hay herramientas que hacen que partes de esto sean más fáciles pero no infalibles.

Eche un vistazo a nuestro artículo Manténgase seguro y mantenga su WordPress actualizado para obtener mucha información sobre cómo mantener actualizado su sitio web de WordPress.

Bloqueo de piratas informáticos y bots

Un sitio web, casi por definición, tiene que “hablar” con Internet. Esto significa que, en un mundo ideal, cualquier persona puede realizar una solicitud educada y bien formulada de una página web y su sitio web de WordPress responderá devolviéndole la página. Es posible que haya notado que no vivimos en un mundo ideal y, como resultado, los piratas informáticos, los delincuentes y los script kiddies intentarán todas las técnicas que se les ocurran para abusar de su sitio web de WordPress para ingresar o desfigurarlo.

De la misma manera que tiene una puerta de entrada fuerte y cerrada con llave en su casa para evitar que los ladrones entren, puede crear una barrera de red sólida frente a su sitio web de WordPress que evitará que los piratas informáticos destruyan su sitio.

La ventaja que tiene como administrador es que los atacantes pueden controlar exactamente qué tráfico de red puede acceder a su sitio de WordPress. Puede implementar herramientas efectivas para filtrar el tráfico que llega a su servidor y filtrar y descartar cualquier tráfico malicioso y así proteger su sitio web de WordPress.

Las siguientes tres herramientas de filtrado de tráfico monitorearán diferentes propiedades del tráfico de red que llega a su sitio web de WordPress:

  1. Cortafuegos de filtrado de paquetes.
  2. Cortafuegos de aplicaciones web.
  3. Monitoreo de fuerza bruta y bots.

La primera herramienta, un filtro de paquetes, es lo que la mayoría de la gente piensa cuando escucha la palabra "cortafuegos". Esta herramienta de seguridad examina las propiedades del tráfico de red a un nivel muy básico. Estas propiedades son cosas como el puerto al que está destinado el paquete, de dónde se originó, el protocolo del paquete y muchos más. El cortafuegos mantiene una lista de propiedades permitidas y bloqueadas y descartará cualquier paquete que infrinja estas reglas. Puede ajustar estas reglas para enfrentar cualquier amenaza para proteger su servidor.

La segunda herramienta, un cortafuegos de aplicaciones web (WAF), funciona examinando las solicitudes web entrantes y asegurando que WordPress no permita que las solicitudes con formato malicioso sean procesadas. Muchos ataques se basan en la creación deliberada de solicitudes no estándar o solicitudes de archivos confidenciales de WordPress. Un WAF descartará esas solicitudes y solo permitirá solicitudes genuinas y con el formato correcto.

Las herramientas finales, un detector de bots y fuerza bruta, detendrán los ataques de fuerza bruta contra su sitio de WordPress. Un ataque de fuerza bruta es cuando un atacante intenta iniciar sesión en su sitio web de WordPress enviando miles de combinaciones de nombres de usuario y contraseñas con la esperanza de adivinar un par que funcione. La protección de fuerza bruta notará esos muchos intentos de inicio de sesión fallidos y prohibirá automáticamente a la persona o al bot que realice más intentos.

Si tiene un sitio web de WordPress, debe instalar, configurar y mantener estas tres herramientas de seguridad de red. Aprovechar al máximo estas herramientas y lograr el nivel más alto de seguridad para su sitio es un desafío.

Escaneo de malware

Malware es un nombre general para cualquier software que tenga una intención maliciosa o delictiva. El malware viene en muchas formas y tamaños y puede terminar fácilmente en su sitio web de WordPress. La complejidad de WordPress significa que hay una variedad de formas en las que puede terminar con malware en su sitio. Sin embargo, el más popular entre los piratas informáticos es a través de un complemento o tema. Esto puede deberse a la inclusión deliberada de un código malicioso por parte de un pirata informático, pero es más probable que se trate simplemente de un error de codificación. Un error de codificación pequeño y difícil de encontrar puede permitir que los atacantes exploten un script PHP para colocar código malicioso en su sitio.

Obviamente, mantener todo el código de su sitio web de WordPress actualizado es esencial para bloquear estos ataques, ya que los errores se corregirán y el código malicioso se eliminará si se encuentra. Sin embargo, las actualizaciones solo pueden ayudar con los problemas que se han identificado. Eso todavía deja muchos problemas que los delincuentes están explotando activamente y que aún no se han solucionado o que aún no ha aplicado la actualización.

Esta es la razón por la cual el escaneo de malware efectivo es esencial. Un buen escaneo de malware funcionará como un escáner antivirus en su computadora portátil. Debe escanear continuamente su sitio web de WordPress y examinar cada archivo que encuentre contra una lista de malware actualizada y poner en cuarentena cualquier malware que encuentre.

Instalar, configurar y mantener un escáner de malware efectivo no es trivial. Solo es efectivo si se mantiene actualizado y se ejecuta con frecuencia. Si se permite que se desactualice, es probable que su sitio web de WordPress se vea comprometido.

Eche un vistazo a nuestro artículo de escaneo de malware Malware y WordPress: manteniéndolo limpio para obtener una visión completa de cómo el malware infecta WordPress y qué puede hacer al respecto.

¿Cómo se supone que debo hacer todo esto?

Si está ejecutando su sitio web de WordPress como pasatiempo, instalar, configurar, mantener y corregir las herramientas que abordan estos problemas de seguridad puede ser una excelente experiencia de aprendizaje. Después de todo, no tienes mucho que perder si te equivocas.

Sin embargo, si su sitio web de WordPress es de misión crítica y no tiene la experiencia y el conocimiento específico del dominio para mantener todo seguro, entonces debe buscar una solución de alojamiento de WordPress administrada y experta como Rocket. Rocket implementa de forma automática y continua herramientas de seguridad líderes en la industria y se hace cargo de la seguridad de su sitio de WordPress para cada nivel de sus instancias de WordPress.

Simplemente regístrese, abra un sitio web de WordPress y sumérjase en la creación de un hermoso sitio de WordPress.