Un sitio de WordPress hackeado es tan perjudicial como el robo de su casa. Puede acabar con su tranquilidad y afectar negativamente a su negocio online.
¿Por qué los hackers atacan los sitios de WordPress? La respuesta es relativamente sencilla: WordPress es la mayor plataforma de creación de sitios web en la actualidad, por lo que hay una mayor base para atacar; esto atrae la atención de los delincuentes en línea.
Entonces, ¿cómo puede afectar un hackeo a su sitio web?
Dependiendo del tipo de ataque, su sitio web podría sufrir alguna de las siguientes consecuencias:
- Podría ser desfigurado por completo
- Podría cargarse o funcionar muy lentamente en cualquier dispositivo
- Podría bloquearse por completo y funcionar mal
- Podría mostrar la terrible “Pantalla Blanca de la Muerte”
- Sus visitantes entrantes podrían ser redirigidos a otros sitios web sospechosos
- Podría perder todos los datos valiosos de sus clientes.
Esta lista no es exhaustiva, pero ya se ha hecho una idea.
Ahora que sabemos cómo un hack exitoso puede afectar a su sitio web y negocio en línea, vamos a ver las 10 principales razones detrás de los hacks WP y prevenirlos.
Un alojamiento web inseguro
Como cualquier sitio web, WordPress se aloja en un host o servidor web. Desafortunadamente, la mayoría de los propietarios de sitios no prestan mucha atención al alojamiento web que seleccionan y eligen el más barato que puedan encontrar. Por ejemplo, es más asequible alojar un sitio web en un plan de alojamiento compartido – uno que comparte sus recursos de servidor con muchos otros sitios web como el suyo.
Esto puede hacer que su sitio sea vulnerable a los hackers, ya que un hackeo exitoso de cualquier sitio web en el servidor compartido. Un solo sitio hackeado puede consumir todo el ancho de banda del servidor y afectar al rendimiento de todos los demás sitios.
La única forma de solucionar este problema es optar por un alojamiento fiable y un servidor virtual o dedicado.
Si ya estás utilizando un plan de alojamiento compartido, comprueba con tus anfitriones si ofrecen alojamiento VPS y haz el cambio.
Uso de contraseñas débiles
Las contraseñas débiles son la razón principal detrás de los ataques de fuerza bruta exitosos que tienen como objetivo su cuenta. Incluso hoy en día, los usuarios siguen utilizando contraseñas débiles y comunes como “contraseña” o “123456”; si usted es uno de ellos, ¡su sitio web podría tener problemas!
Adivinar contraseñas débiles permite a los hackers entrar en las cuentas de administrador, donde pueden infligir el máximo daño.
¿Cómo se soluciona este problema? Muy sencillo, asegúrate de que todos los usuarios de tu cuenta (incluidos los usuarios administradores) configuren contraseñas fuertes para sus credenciales de acceso. Con al menos 8 caracteres, las contraseñas deben ser una mezcla de letras mayúsculas y minúsculas, números y símbolos.
Para mayor seguridad, instala una herramienta de gestión de contraseñas que pueda generar y almacenar automáticamente contraseñas seguras.
Puedes utilizar un plugin para restablecer las contraseñas de todos tus usuarios.
Una versión anticuada de WP
El software desactualizado es una de las razones más comunes por las que los sitios web son hackeados. A pesar de ser de descarga gratuita, la mayoría de los usuarios de sitios aplazan la actualización de su sitio a la última versión, por temor a que las actualizaciones provoquen la caída de su sitio.
Los hackers se aprovechan de cualquier vulnerabilidad o error en una versión anterior y causan problemas como inyecciones SQL, malware WP-VCD, spam de SEO y otros problemas importantes como la redirección del sitio web a otro sitio.
¿Cómo se soluciona este problema? Cuando vea una notificación sobre una actualización en su panel de control, actualice su sitio lo antes posible.
Si le preocupa que las actualizaciones colapsen su sitio web en vivo, puede probar primero las actualizaciones en un sitio de ensayo.
Plugins y temas de WP desactualizados
Al igual que en el punto anterior, los hackers también se aprovechan de los plugins y temas obsoletos, no utilizados o abandonados instalados en los sitios web. Con más de 55.000 plugins y temas disponibles, es fácil instalar un plugin o tema, incluso desde sitios web inseguros o no confiables.
Además, muchos usuarios no actualizan sus plugins/temas instalados a la última versión o no encuentran la versión actualizada. Esto facilita que los hackers hagan su trabajo e infecten los sitios.
¿Cómo evitar este problema? Al igual que con la versión principal de WP, actualice regularmente cada uno de los plugins/temas instalados en su sitio. Haz un balance de todos los que no utilices y elimínalos o sustitúyelos por alternativas mejores.
Puedes actualizar tus plugins/temas desde tu cuenta de hosting.
Le sugerimos que reserve un tiempo cada semana para ejecutar las actualizaciones. Pruébalas en un sitio de ensayo y luego actualiza tu sitio.
Nombres de usuario comunes de los administradores
Además de contraseñas débiles, los usuarios también crean nombres de usuario comunes que son fáciles de adivinar.
Esto incluye nombres de usuario comunes para los usuarios administradores como – “admin”, “admin1”, o “admin123”. Los nombres de usuario comunes de los administradores hacen que sea más fácil para los hackers entrar en las cuentas de los administradores y controlar los archivos del backend en su instalación de WP.
¿Cómo evitar este problema? Si estás utilizando algún nombre de usuario que sea fácil de adivinar, cámbialo inmediatamente por un nombre de usuario único. La forma más fácil de hacerlo es a través de la herramienta de gestión de usuarios de su cuenta de alojamiento, eliminando el anterior usuario administrador y creando un nuevo usuario administrador con un nombre de usuario único.
Como primer paso, cambie el nombre de usuario por defecto de su usuario administrador y limite los usuarios que tienen privilegios de administrador.
WordPress tiene 6 roles de usuario diferentes con permisos limitados. Sólo conceda acceso de administrador a los usuarios que realmente lo necesiten.
Uso de plugins/temas anulados
Volviendo a la importancia de los plugins/temas, los usuarios tienen acceso a muchos sitios web que venden copias anuladas o piratas de plugins y temas populares y de pago. Aunque su uso es gratuito, a menudo están plagados de malware. Pueden comprometer la seguridad general de su sitio web y facilitar la explotación por parte de los hackers.
Al ser una copia pirata, los plugins/temas anulados no tienen ninguna actualización disponible de su equipo de desarrollo, por lo que no tendrán ninguna corrección de seguridad.
¿Cómo se soluciona este problema? Sencillo, para empezar, sólo descargue plugins y temas originales de sitios web y mercados de confianza.
Si no quieres pagar por plugins y temas de pago o premium, opta por una versión gratuita de las mismas herramientas que tendrán características limitadas pero que siguen siendo más seguras de usar que la versión anulada.
Acceso desprotegido a la carpeta wp-admin
Para tomar el control de su sitio, los hackers a menudo tratan de entrar y controlar su carpeta wp-admin en su instalación. Como propietario del sitio web, debe tomar medidas para proteger su directorio wp-admin.
¿Cómo puede proteger su carpeta wp-admin? En primer lugar, restrinja el número de usuarios que tienen acceso a esta carpeta crítica. Además, solicite la protección con contraseña como una capa adicional de seguridad para el acceso a la carpeta wp-admin. Puede hacerlo utilizando la función “Directorios de protección con contraseña” del cPanel de su cuenta de alojamiento web.
Además de estas correcciones, también puedes implementar la protección de autenticación de dos factores (o 2FA) para todas tus cuentas de administrador.
Sitio web sin SSL
Puede migrar fácilmente su sitio web HTTP a HTTPS instalando un certificado SSL en su sitio. SSL (o Secure Socket Layer) es un modo seguro de cifrar cualquier transmisión de datos entre su servidor web y el navegador del cliente.
Sin este cifrado, los hackers pueden interceptar los datos y robarlos. Además, un sitio web no seguro puede tener muchas implicaciones negativas para su negocio: un ranking SEO más bajo, la pérdida de confianza de los clientes o una caída del tráfico entrante.
¿Cómo se puede solucionar este problema? Puede obtener rápidamente un certificado SSL de su empresa de alojamiento o de los proveedores de SSL. Este certificado encripta todos los datos que se envían y reciben en su sitio web.
Puede obtener un certificado SSL gratuito de lugares como Let’s Encrypt, pero estos proporcionan una protección limitada que solo será suficiente para un sitio de inicio o un sitio pequeño.
Sin protección de cortafuegos
La falta de protección del firewall es otra razón común por la que los hackers pueden eludir las medidas de seguridad del sitio web e infiltrarse en los recursos del backend. Los cortafuegos son la última línea de defensa contra los hackers y funcionan como la alarma de seguridad instalada en su casa. Los cortafuegos supervisan las solicitudes web procedentes de varias direcciones IP, incluidas las sospechosas (o malas).
Pueden identificar y bloquear las solicitudes que se sabe que son maliciosas en el pasado, impidiendo así el fácil acceso de los hackers al dominio de su sitio web. Los cortafuegos de aplicaciones web pueden frustrar varios ataques, incluidos los de fuerza bruta, XSS e inyecciones SQL.
Un cortafuegos proporciona una seguridad muy necesaria y es su primera línea de defensa. Pero es importante tener también instalado un escáner de malware.
Falta de medidas de endurecimiento de WordPress
Normalmente, los hackers apuntan a las áreas más vulnerables o a las debilidades dentro de una instalación de WP, para acceder ilegalmente o dañar el sitio web. El equipo de WordPress ha identificado estas áreas vulnerables y ha elaborado una lista de 12 medidas de refuerzo recomendadas para cada sitio web.
Algunas de ellas son
- Desactivar el editor de archivos
- Impedir la ejecución de PHP en carpetas no confiables
- Cambiar las claves de seguridad
- No permitir la instalación de plugins
- Cierre de sesión automático de los usuarios inactivos
¿Cómo se aplican estas medidas de seguridad? Aunque algunos pasos son fáciles de entender, otros requieren conocimientos técnicos sobre el funcionamiento de WordPress.
Puede aplicar las medidas de protección por su cuenta. Sin embargo, algunas medidas requieren conocimientos técnicos, por lo que en estos casos es mucho más fácil y seguro utilizar un plugin.