WordPress es increíblemente popular. No hay forma de evitarlo.
En 2022, WordPress tiene actualmente el 64,3% de la cuota de mercado de sitios web que tienen un CMS identificable, según W3Techs.
WordPress es especialmente vulnerable a los ataques maliciosos no porque sea inseguro, sino porque es muy popular.
Pero al igual que Spiderman dijo que "un gran poder conlleva una gran responsabilidad", algo similar podría decirse de WordPress. Es decir, "con una gran popularidad viene un gran aumento de los intentos de pirateo".
No dejes que eso te desanime.
Sí, WordPress está en el extremo receptor de más intentos de piratería que otros CMS. Pero sigue siendo una gran plataforma.
En realidad, basta con aplicar unas cuantas soluciones sencillas para proteger su sitio web de la inmensa mayoría de los ataques.
En este artículo, exploraremos las razones más comunes por las que los sitios web de WordPress son hackeados y cómo solucionar estas vulnerabilidades rápidamente.
¿Por qué se piratean los sitios web?
En términos generales, hay cuatro razones por las que alguien podría querer piratear su sitio web WordPress:
- Para insertar código malicioso o contenido que pueda dañar a sus visitantes de alguna manera. Esto se conoce como "ataque malicioso". Estos ataques de malware representan alrededor del 64% de los hackeos de WordPress, según Seguridad Sucuri.
- Utilizar los recursos de su sitio web para sus propios fines. Por ejemplo, para ayudar como parte de un red de bots en un ataque de "denegación de servicio" o "DDoS".
- Para utilizar secuencias de comandos en sitios cruzados. Esto funciona haciendo que alguien cargue sitios web que tienen JavaScript inseguro en ellos. Estos scripts roban los datos del navegador y constituyen alrededor del 54% de las vulnerabilidades de seguridad de WordPress en 2022, según iThemes.
- Secuestrar su sitio web para utilizarlo en un esquema de phishing. En otras palabras, engañar a sus visitantes para que faciliten información personal como contraseñas o números de tarjetas de crédito.
El objetivo final de todos estos métodos es casi siempre robar información. Esta información se utiliza para robar la identidad de una persona o para robar dinero.
Afortunadamente, con unas pocas soluciones sencillas, puede proteger su sitio web de la mayoría de los piratas informáticos.
22 razones por las que los sitios web de WordPress son hackeados con frecuencia y cómo solucionarlas
Así que definitivamente quieres usar WordPress pero te gustaría evitar la posibilidad de ser hackeado. ¿Te parece bien?
Estás de suerte.
Hemos reunido 22 razones diferentes por las que los sitios web de WordPress en particular son hackeados.
También le mostramos qué puede hacer al respecto y cómo defender su sitio web tanto como sea humanamente posible.
1. WordPress es fácil de explotar
Lo primero en nuestra lista de hoy es el hecho de que WordPress es fácil de explotar. Como WordPress es de código abierto, cualquiera puede ver el código. Así que, una vez que se encuentra una vulnerabilidad, todo el mundo puede verla y explotarla.
Cómo solucionarlo:
Aunque no puede hacer nada para evitar que WordPress sea un objetivo, sí puede tomar medidas para asegurarse de que su sitio web sea lo más seguro posible.
Hablaremos más sobre cómo hacerlo más adelante en este artículo pero, por ahora, basta con saber que es importante mantener actualizada la instalación de WordPress, utilizar contraseñas seguras e instalar un plugin de seguridad.
2. WordPress es muy popular
Como acabamos de comentar, WordPress es uno de los sistemas de gestión de contenidos más populares en el mundo.
Por desgracia, eso significa que también es un objetivo privilegiado para los piratas informáticos.
Saben que si invierten tiempo en encontrar una vulnerabilidad en WordPress, podrán explotar muchos sitios web con esa misma vulnerabilidad.
Cómo solucionarlo:
La mejor manera de combatirlo es mantener su Instalación de WordPresstemas y plugins actualizados.
Cuando se publica un nuevo parche de seguridad para WordPress, es importante actualizar su sitio web lo antes posible. De esta forma, puedes estar seguro de que eres menos susceptible a cualquiera de las vulnerabilidades conocidas.
Pero hablaremos de ello más adelante.
3. Los sitios de WordPress suelen carecer de medidas de seguridad básicas
Muchos usuarios de WordPress no toman las medidas necesarias para proteger sus sitios web. Eso es un hecho.
Ahora bien, es posible que no se den cuenta de lo fácil que es hacerlo o que no piensen que su sitio web es un objetivo.
Pero lo cierto es que incluso un sitio web pequeño puede ser un objetivo para los piratas informáticos. Si no toma las medidas necesarias para proteger su sitio web, éste se ser un blanco fácil.
Cómo solucionarlo
El primer paso es informarse sobre las medidas de seguridad básicas que debe tomar para proteja su sitio web WordPress.
Para algunos, esto significará instalar un plugin de seguridad. Para otros, eso significará embarcarse en un protocolo de endurecimiento.
La buena noticia es que este artículo cubre la mayor parte de lo que necesitas saber.
4. Los sitios web de WordPress suelen alojarse en servidores compartidos
Otro motivo por el que los sitios web de WordPress son vulnerables a los intentos de pirateo es que suelen alojarse en servidores compartidos.
Muchos propietarios de sitios web no se dan cuenta de que el servidor en el que está alojado su sitio web puede tener un gran impacto en la seguridad del mismo.
Si el servidor en el que está alojado su sitio web no está debidamente protegido, puede quedar expuesto a ataques.
Cómo solucionarlo
El primer paso es cerciorarse de que recurre a una empresa de confianza. empresa de alojamiento.
Investiga y lee opiniones para encontrar una empresa de alojamiento que se tome en serio la seguridad. Nos gusta especialmente SiteGround, DreamHosty Hostinger.
Una vez que haya encontrado una buena empresa de alojamiento, asegúrese de que su sitio web está alojado en un servidor seguro.
5. Contraseñas malas (y no forzar las fuertes) sin autenticación de dos factores
Todos lo hemos oído un millón de veces, pero no está de más repetirlo: una de las formas más sencillas de proteger tu sitio web en WordPress es utilizar contraseñas seguras.
Muchos propietarios de sitios web WordPress no siguen este consejo y utilizan contraseñas débiles que son fáciles de adivinar.
Peor aún, algunos usuarios de WordPress no obligan a sus usuarios a utilizar contraseñas seguras con autenticación de dos factores también. Esto hace que los ataques de fuerza bruta sean aún más probables.
Cómo solucionarlo
Cambiar la contraseña por otra más difícil de adivinar es el primer paso.
Tu contraseña debe tener al menos 8 caracteres y debe incluir una mezcla de letras mayúsculas y minúsculas, números y símbolos.
Si no estás seguro de cómo crear una contraseña segura, puedes utilizar un generador de contraseñas para crear una por ti.
Algunas buenas opciones son:
Una vez que tengas una contraseña segura, el siguiente paso es asegurarte de que tus usuarios también utilizan contraseñas seguras.
Puede hacerlo obligándoles a utilizar contraseñas seguras cuando creen una cuenta.
Para ello, tendrá que instalar un plugin de seguridad. Gestor de políticas de contraseñas es una buena opción gratuita.
Instale y active este plugin como haría con cualquier otro y, a continuación, haga clic en Política de contraseñas de miniOrange en el panel de control de WordPress.
Desde aquí, puedes configurar tus reglas de contraseña.
Seleccione el número de caracteres necesarios y decida si desea obligar a los usuarios a utilizar letras mayúsculas y minúsculas, números y caracteres especiales.
6. Ninguna medida de endurecimiento
Otro error de seguridad común que cometen los propietarios de sitios web WordPress es no tomar ninguna medida de refuerzo.
Las medidas de refuerzo son pasos que puede dar para que su sitio web WordPress sea más seguro. A menudo son cosas sencillas que puedes hacer, como cambiar el prefijo predeterminado de la base de datos o eliminar el archivo readme.
Pero, aunque sean sencillas, pueden suponer una gran diferencia en la seguridad de su sitio web.
Cómo solucionarlo
El endurecimiento de WordPress puede tomar varias formas. Una de las más sencillas es cambiar el prefijo predeterminado de la base de datos.
Conéctese a su sitio WordPress a través de su cliente FTP favorito y añada la siguiente línea a su archivo wp-config.php file:
$table_prefix = 'wp_';Otra medida de seguridad sencilla que puede tomar es eliminar el archivo readme. Para ello, elimine el archivo léame.html del directorio de WordPress.
Una de las mejores formas de implementar una gama completa de prácticas de endurecimiento es instalar un plugin de seguridad, lo que nos lleva a nuestro siguiente punto.
Tenemos un post dedicado a la personalización del archivo wp-config aquí.
7. Sin plugin de seguridad
Una de las cosas más importantes que puede hacer para asegurar su sitio web WordPress es instalar un plugin de seguridad.
Un plugin de seguridad añadirá una capa adicional de protección a su sitio web y puede ayudarle a solucionar rápidamente cualquier problema de seguridad que surja.
Y lo mejor de todo es que un plugin de este tipo no requiere intervención alguna: basta con configurarlo y su sitio estará protegido.
Cómo solucionarlo:
El primer paso es encontrar un buen plugin de seguridad para tu sitio web WordPress. Hay un montón de grandes opciones por ahí.
He aquí algunos de los más destacados:
Seguridad Sucuri
Este plugin es una gran opción para los propietarios de sitios web WordPress que buscan una solución de seguridad completa.
Incluye funciones como escaneado de malware, supervisión de listas negras y eliminación remota de malware.
MalCare
Otra gran opción es MalCare. Ofrece una amplia gama de funciones de seguridad, como escaneado completo de sitios, cortafuegos en tiempo real y herramientas de eliminación de malware. También ofrece estas funciones de protección sin comprometer la velocidad del sitio web.
Una vez que haya elegido un plugin, instálelo y configúrelo según las instrucciones del plugin.
8. Permisos de archivo incorrectos
Otro error de seguridad común que cometen los propietarios de sitios web WordPress es no establecer los permisos de archivo correctos.
Los permisos de archivo determinan quién puede leer, escribir y ejecutar un archivo. Si no están configurados correctamente, su sitio web WordPress puede ser vulnerable a ataques.
Cómo solucionarlo
El primer paso es conectarse a su sitio web de WordPress utilizando un Cliente FTP.
Una vez conectado, eche un vistazo a los permisos de los siguientes archivos y directorios:
- wp-admin
- wp-incluye
- wp-contenido
Estos archivos y directorios deben tener un permiso de 755.
Los números indican los permisos reales:
- 3 = (2 + 1) = Escribir + Ejecutar
- 5 = (4 + 1) = Leer + Ejecutar
- 6 = (4 + 2) = Lectura + Escritura
- 7 = (4 + 2 + 1) = Lectura + Escritura + Ejecución
Así que 755 da lectura + escritura + ejecución a cualquiera que sea un usuario registrado. Eso no es lo ideal.
A continuación, eche un vistazo a los permisos de los siguientes archivos:
- index.php
- wp-login.php
- wp-blog-header.php
Estos archivos deben tener un permiso de 644.
Más información sobre permisos de archivos.
9. Demasiados usuarios con privilegios de administrador
Dar privilegios de administrador a demasiados usuarios es otro error de seguridad crucial que puede poner en peligro su sitio.
Privilegios de administrador dan a un usuario control total sobre un sitio web WordPress. Si una cuenta de usuario con privilegios de administrador es pirateada, todo el sitio web puede quedar vulnerable.
Cómo solucionarlo
Asegúrese de que todos los usuarios de su sitio sólo tienen el nivel de permisos necesario para realizar su trabajo con eficacia. Aquí es donde entran en juego los roles de usuario.
Un contribuyente puntual no necesita ser administrador. En su lugar, seleccione Colaborador o Escritor al crear su cuenta.
Si necesita ajustar el rol de un usuario existente, simplemente vaya a Usuarios > Todos los usuarios en el panel de control de WordPress y, a continuación, haga clic en el nombre del usuario al que desea realizar los cambios.
Desplácese hacia abajo hasta que vea un menú desplegable junto a Papel. Haga clic en él y seleccione el rol de usuario apropiado para este usuario.
Cuando termine de hacer cambios, desplácese hasta la parte inferior de la página y haga clic en Actualizar usuario.
Más información sobre los roles de usuario en WordPress.
10. No utilizar registros de actividad
Mantener un registro de actividades es una de las mejores formas de supervisar su sitio web WordPress en busca de actividad sospechosa.
Un registro de actividad rastreará cada cambio que se realice en su sitio web WordPress. Y, si ocurre algo sospechoso, podrás identificarlo rápidamente y tomar medidas.
Por tanto, si no estás atento a su sitio web, podrías estar pasando por alto importantes amenazas para la seguridad.
Cómo solucionarlo
El primer paso es encontrar un buen plugin de registro de actividad para su sitio web WordPress.
Hay varias opciones excelentes, pero una de las mejores es el Registro de actividad de WP plugin.
Una vez que haya instalado y activado el plugin, comenzará a rastrear todos los cambios que se realicen en su sitio web de WordPress, lo que hace que sea mucho más fácil ver cuando algo malicioso está sucediendo.
11. Archivos del núcleo de WordPress desactualizados
Una de las cosas más importantes que puede hacer para mantener seguro su sitio web de WordPress es asegurarse de que los archivos principales estén siempre actualizados.
WordPress publica nuevas versiones de su software con regularidad. Cada nueva versión incluye correcciones de seguridad para cualquier vulnerabilidad conocida.
Si no está ejecutando la última versión de WordPress, su sitio web podría ser vulnerable a un ataque.
Cómo solucionarlo
La forma más sencilla de actualizar los archivos del núcleo de WordPress es iniciar sesión en el panel de control de WordPress y, a continuación, hacer clic en el botón Actualizaciones en la parte superior de la pantalla.
Si hay alguna actualización disponible, verás un mensaje diciendo que hay una nueva versión de WordPress disponible.
Haga clic en el botón Actualizar ahora para actualizar los archivos de WordPress. Siempre recomendamos copia de seguridad del sitio antes de actualizar, por si acaso.
12. Temas y plugins obsoletos
Además de mantener actualizados los archivos principales de WordPress, también debe asegurarse de que sus temas y plugins estén siempre al día.
Al igual que el núcleo de WordPress, los temas y plugins se actualizan periódicamente para corregir vulnerabilidades de seguridad y añadir nuevas funciones.
Si utiliza un tema o un plugin obsoletos, su sitio web podría estar en peligro.
Cómo solucionarlo
Inicie sesión en su panel de WordPress y haga clic en el botón Actualizaciones en la barra lateral izquierda.
Si hay actualizaciones disponibles para tus temas o plugins, verás un mensaje diciendo que hay una nueva versión disponible.
13. Temas y plugins mal codificados
A veces, ninguna actualización puede solucionar un problema con un plugin o un tema. En primer lugar, debes tener cuidado con los temas y plugins que utilizas.
Algunos temas y plugins están mal codificados y pueden introducir vulnerabilidades de seguridad en su sitio web WordPress.
Cómo solucionarlo
Para evitarlo, descarga sólo temas y plugins de fuentes fiables. El mejor lugar para encontrar temas y plugins de confianza son los directorios de temas y plugins de WordPress.org.
También puede acceder a ellos a través de desarrolladores de gran prestigio en el sector, como nosotros aquí en Brainstorm Force.
Si no estás seguro de la reputación del desarrollador de los plugins o temas que utilizas, lo mejor es que busques una alternativa.
De hecho, ofrecemos numerosos recomendaciones para los plugins que desee consultar.
14. No eliminar temas y plugins no utilizados
Otra vulnerabilidad es tener demasiados plugins o temas instalados.
Si alguno de los temas y plugins que no utilizas tiene vulnerabilidades de seguridad, tu sitio web podría estar en peligro. Esto es aún más probable cuando no los utilizas, ya que es menos probable que realices actualizaciones.
Cómo solucionarlo
Revisa todos los temas y plugins que tienes instalados en tu sitio web WordPress. Si hay alguno que no estés utilizando, elimínalo.
Esto también mantiene ordenada la base de datos, por lo que tiene otras ventajas.
15. Sin copias de seguridad
No importa lo bien que proteja su sitio web WordPress, siempre existe la posibilidad de que algo vaya mal.
Por ejemplo, podrías borrar accidentalmente archivos importantes o tu sitio web podría ser pirateado.
Si algo así ocurre y no tienes una copia de seguridad de tu sitio web, podrías perder todo tu contenido.
Por eso es importante crear copias de seguridad periódicas de su sitio web WordPress. Así, si algo va mal, podrás restaurar tu sitio web.
Cómo solucionarlo
Hay muchos plugins de WordPress que pueden ayudarle a crear copias de seguridad de su sitio web. Las opciones más populares incluyen:
UpdraftPlus
UpdraftPlus es uno de los plugins más populares de WordPress para crear copias de seguridad. Te permite crear copias de seguridad de los archivos, bases de datos y plugins de tu sitio web.
Si algo va mal, puede restaurar su sitio web a partir de estas copias de seguridad.
UpdraftPlus también dispone de otras funciones, como la posibilidad de realizar copias de seguridad automáticas programadas.
Kinsta
También puede utilizar una opción de alojamiento gestionado de WordPress que incluya copias de seguridad periódicas como parte de su servicio. Kinsta es nuestra opción favorita que ofrece esto.
Le recomendamos que disponga de su propio mecanismo de copia de seguridad, independientemente de si utiliza copias de seguridad alojadas o no. Nunca se es demasiado precavido.
16. Acceso limitado a los archivos de WordPress
Otro riesgo de seguridad de usar alojamiento compartido de WordPress es que puede que no tenga acceso completo a sus archivos de WordPress.
Algunos proveedores de alojamiento limitan el acceso de sus clientes a los archivos de WordPress. Esto puede dificultar la protección adecuada de su sitio web.
Cómo solucionarlo
La mejor manera de evitar este problema es utilizar un proveedor de alojamiento de WordPress que le dé acceso completo a sus archivos de WordPress.
17. No utilizar un cortafuegos
Un cortafuegos es un programa informático que ayuda a proteger su sitio web de los ataques. Lo hace bloqueando el tráfico entrante que considera malicioso.
Si no utiliza un cortafuegos en su sitio web WordPress, será más vulnerable a los ataques.
Cómo solucionarlo
Hay muchos plugins de WordPress que pueden ayudarle a añadir un cortafuegos a su sitio web.
Las opciones más populares son:
Algunas opciones son gratuitas, otras premium. Te sugerimos que leas los comentarios y compruebes las funciones para tomar una decisión.
18. Objetivo principal de los ataques DDoS
Los sitios web de WordPress suelen ser objeto de ataques DDoS.
Los ataques DDoS son un tipo de ataque en el que el atacante intenta sobrecargar su servidor con tráfico para dejar su sitio web fuera de línea.
Si no está preparado para un ataque DDoS, puede dejar su sitio web fuera de servicio durante un periodo de tiempo.
Cómo solucionarlo
La mejor forma de proteger su sitio web WordPress de ataques DDoS es utilizar un proveedor de alojamiento WordPress que ofrezca protección DDoS o un CDN como Cloudflare.
19. Objetivo principal de los ataques de secuencia de comandos en sitios cruzados (XSS)
Los ataques de secuencias de comandos en sitios cruzados (XSS) son un tipo de ataque en el que el atacante intenta inyectar código malicioso en su sitio web.
Si tiene éxito, este código puede utilizarse para robar información de los visitantes de su sitio web.
Cómo solucionarlo
La mejor manera de proteger su sitio web WordPress de ataques XSS es utilizar un plugin de seguridad WordPress que incluya protección XSS.
Puede más información sobre XSS y la amenaza que representa aquí.
Prevenir la vulnerabilidad XSS es una opción excelente y sencilla para esta tarea.
20. Objetivo principal para la inyección de malware
El malware es un tipo de software diseñado para dañar o inutilizar su sitio web.
Se puede inyectar en su sitio web de varias maneras, incluso a través de plugins y temas inseguros.
Si su sitio web infectado con malwarepuede ser difícil de eliminar. Y en algunos casos, puede ser necesario reconstruir completamente su sitio web.
Cómo solucionarlo
La mejor manera de proteger su sitio web WordPress contra el malware es utilizar un plugin de seguridad WordPress que incluya escaneado de malware y retirada. MalCarees ideal para esto.
21. Formularios de contacto inseguros
Los formularios de contacto son una característica común de los sitios web de WordPress y a menudo se utilizan para recopilar información confidencial, como números de tarjetas de crédito y direcciones.
Si sus formularios de contacto no están debidamente protegidos, esta información puede ser robada por piratas informáticos.
Cómo solucionarlo
Su sitio debe tener un Certificado SSL para que procese correctamente la información sensible a través de los formularios de contacto. Una vez que tengas eso, puedes utilizar un plugin de seguridad de WordPress para ayudar a asegurar tus formularios de contacto también.
Aquí está más información sobre la creación de formularios de contacto seguros.
22. Página de acceso no segura
En página de acceso es una de las páginas más importantes de su sitio web WordPress. También es una de las más vulnerables.
Si su página de inicio de sesión no está bien protegida, los piratas informáticos pueden acceder a su sitio web adivinando su nombre de usuario y contraseña.
Cómo solucionarlo
Puede hacer que el inicio de sesión de su sitio sea más seguro moviendo su URL. De esta forma, no será tan fácil de encontrar para los hackers. Puedes hacerlo utilizando un plugin de seguridad de WordPress o añadiendo unas líneas de código a la URL de tu sitio web. .htaccess archivo.
Una vez conectado a su sitio a través de FTP, vaya a la sección /wp-content/ directorio. Dentro de este directorio, busque un archivo llamado .htaccess. Si no lo ves, asegúrate de que tu cliente FTP está configurado para mostrar archivos ocultos.
Añada el siguiente código al principio de su .htaccess file:
RewriteEngine Activado
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$
RewriteRule ^(.*)$ -
Guarde los cambios y vuelva a subir el archivo a su servidor.
Tenemos un post entero dedicado a tu página de inicio de sesión de WordPress aquí mismo.
Proteja su sitio WordPress de los intentos de pirateo y disfrute de la seguridad del sitio
En este artículo, hemos enumerado 22 formas en las que WordPress puede ser hackeado. También hemos proporcionado consejos sobre cómo solucionar estas vulnerabilidades.
Si sigue estos consejos, podrá proteger su sitio web WordPress de los intentos de pirateo. Y podrás disfrutar de la tranquilidad de saber que tu sitio está seguro.
¡Buena suerte!
Divulgación: Este blog puede contener enlaces de afiliados. Si realiza una compra a través de uno de estos enlaces, es posible que recibamos una pequeña comisión. Leer información. Tenga la seguridad de que sólo recomendamos productos que hemos utilizado personalmente y que creemos que aportarán valor a nuestros lectores. Gracias por su apoyo.
Gracias
Muchas gracias por la profundidad maravilloso artículo que resultó aquí.