La protección de los sistemas de gestión de contenido (más conocidos como CMS), instalados en un servidor de alojamiento es crucial en la red mundial que se encuentra en constante crecimiento hoy en día, teniendo en cuenta que hay que protegerlo, pues, con base a las estadísticas de uso de los sistemas de gestión de contenido donde se analiza el malware y los sitios web pirateados realizadas por Sucuri, se puede ver la importancia de un refuerzo de seguridad de estas plataformas.
En estas estadísticas, se puede reflejar que uno de los CMS más populares a nivel mundial, siendo el que tiene una cuota de mercado de 64,3%,, WordPress fue vulnerable en un 94% en infecciones, debido al poco aseguramiento que se tenía de cada sitio web, pero ¿Cómo puedo proteger mi sitio web de WordPress con un presupuesto razonable?
Hay muchas opciones disponibles frente a esto, pero puede ser un poco complejo tomar la alternativa correcta para asegurar tu sitio web que se ajuste a tu presupuesto. En este artículo podrás ver los conceptos básicos para asegurar de manera eficiente tu sitio web de WordPress sin costo alguno.
Escáneres de malware y vulnerabilidades
Encontrar el escáner adecuado para tu sitio web puede parecer un poco complicado al principio por la gran cantidad de opciones disponibles.
El escáner gratuito para WordPress de sucuri es una buena opción, donde podrás programar un marco de tiempo para realizar escaneos regulares y se dará una alerta frente a cualquier comportamiento sospechoso.
Con respecto a los escaneos de vulnerabilidades, es importante asegurarse de que un escáner tenga una detección óptima con respecto a temas, plugins y software. Garantizar que las actualizaciones se realicen regularmente es crucial para la seguridad del sitio web. La actualización de un plugin puede causar problemas en el sitio si no se testea localmente primero.
Sin embargo, la creación de copias de seguridad serán útiles en caso de que algo pueda salir mal.
Protección de inicio de sesión
La protección del panel de inicio de sesión de administrador sigue siendo imprescindible para cualquier sitio web. El primer error de los usuarios de sitios web, es usar las mismas contraseñas débiles en múltiples plataformas. Claro, esto puede ser fácil de recordar, pero supongamos que uno de esos muchos sitios en los que se registró realiza violación de datos. Su contraseña ahora es visible para que cualquier pirata informático que la obtenga.
Las contraseñas generadas que son seguras ayudarán a reducir los riesgos de que uno de estos piratas informáticos use las contraseñas más débiles y recurrentes, lo que en última instancia evitará cualquier riesgo de phishing, suplantación de identidad, etc.
Te recomendamos instalar un administrador de contraseñas y almacenar la clave de tu sitio WordPress en un lugar seguro y privado.
La configuración de direcciones IP en listas permitidas y listas bloqueadas para tu panel de inicio de sesión ayudará a evitar que IP extrañas accedan a tu panel de administración. Sin embargo, el panel del administrador por defecto es /wp-admin, en el que los piratas informáticos generalmente intentarán entrar a la fuerza. Debes cambiar tu URL de inicio de sesión de WordPress a algo más específico para tu marca lo cual ayudará a evitar esto.
Agregar preguntas de seguridad a su sitio en WordPress también es útil. El administrador principal no debe usar “admin” como nombre de usuario de forma predeterminada porque los piratas informáticos suelen predecir esto al intentar realizar un ataque.
Limitar los intentos de inicio de sesión también ayuda a prevenir estos ataques. Asegúrate de que los usuarios adicionales solo tengan los acceso netamente necesarios y elimina los que no se utilicen.
La configuración de un CAPTCHA para las secciones del sitio web que incluyen formularios y paneles de inicio de sesión garantizará que los bots no inyecten código malicioso. Sin embargo, revisa que los plugins de CAPTCHA instalados sean confiables, como cualquier otro plugin, tema o extensión.
Claramente, también es demasiado útil mantener una copia de seguridad antes de instalar estas cosas adicionales. Sin embargo, estas instalaciones se deben mantener al mínimo.
Certificados SSL
Instalar un certificado SSL es bastante simple, puedes acceder al blog de sucuri: Cómo agregar SSL y mover WordPress de HTTP a HTTPS. De hecho, un certificado SSL se ha vuelto tan crucial en la actualidad que la clasificación SEO de un sitio puede verse afectada por el uso exclusivo de HTTP.
Supervisión de la actividad del usuario
Es importante controlar regularmente la actividad de los usuarios de tu sitio web. Hay muchas opciones gratuitas que lo harán por ti y te enviarán alertas de cualquier cosa que se encuentre sospechosa. Por supuesto, el monitoreo es solo el paso inicial. Si observa tráfico malicioso asociado con un ataque de denegación de servicio (DDoS) o un ataque de fuerza bruta, se recomienda enfáticamente que invierta en un servicio de protección de firewall.
Revisiones del hosting
Esta sin duda es la base de escaneo del sitio web, proteger la sección de inicio de sesión, garantizar que los datos transmitidos estén encriptados y monitorear la actividad del usuario. Aunque todavía hay ajustes en el back-end que se pueden hacer. Estas son algunas revisiones que puedes hacer:
- Evitar las bibliotecas JS vulnerables
- Deshabilitar informes de PHP
- Desactivar edición de archivos
- Limitar el acceso a .htaccess
- Revisar el prefijo wp_ en la base de datos
- Deshabilitar XML-RPC
- Ocultar versión de WordPress
- Administrar permisos de archivo
- Deshabilitar la indexación y exploración de directorios
En conclusión
Estas sugerencias y consejos deberían brindarte una mejor visión general de los conceptos básicos de la seguridad de tu sitio web. Es importante que recuerdes que nada es 100% seguro, las vulnerabilidades o ataques de día cero aparecen de vez en cuando, pero es útil mantenerte al tanto de las correcciones de errores y alertas pueden surgir.
Si actualmente estás experimentando un ataque que necesita ser remediado, no dudes en solicitar que lo arreglemos por ti, en Cibergenios le damos la mejor seguridad a tu sitio web.
Tomado de Sucuri y modificado.