{"id":11704,"date":"2021-12-05T14:29:16","date_gmt":"2021-12-05T14:29:16","guid":{"rendered":"https:\/\/nieuw.wpprovider.nl\/5-consejos-de-seguridad-para-wordpress\/"},"modified":"2024-08-13T20:28:53","modified_gmt":"2024-08-13T20:28:53","slug":"5-consejos-de-seguridad-para-wordpress","status":"publish","type":"post","link":"https:\/\/nieuw.wpprovider.nl\/es\/5-consejos-de-seguridad-para-wordpress\/","title":{"rendered":"5 consejos de seguridad para WordPress"},"content":{"rendered":"\n

WordPress es uno de los principales sistemas de gesti\u00f3n de contenidos (CMS) desde hace m\u00e1s de una d\u00e9cada.\nMuchos de los blogs m\u00e1s grandes de Internet, as\u00ed como multitud de peque\u00f1os sitios individuales, funcionan con WordPress para publicar contenidos de texto, im\u00e1genes y v\u00eddeo. <\/p>\n\n

Un sitio web WordPress tiene una interfaz front-end y otra back-end.\nEl front-end proporciona una salida que los visitantes externos ver\u00e1n cuando carguen la p\u00e1gina web.\nEl back-end es accesible a los administradores del sitio y al personal responsable de redactar, dise\u00f1ar y publicar contenidos. <\/p>\n\n

Como cualquier otro sistema basado en Internet, WordPress es objetivo de intentos de pirateo y otras formas de ciberdelincuencia.\nEsto tiene sentido, ya que m\u00e1s del 32% de Internet funciona ahora con WordPress.\nEn este art\u00edculo, en WP Provider<\/a> hablaremos de algunos de los ataques m\u00e1s comunes contra el software de WordPress y, a continuaci\u00f3n, ofreceremos algunas sugerencias de seguridad. <\/p>\n\n

M\u00e9todos para ataques comunes a WordPress<\/h2>\n\n

En primer lugar, veamos los ataques m\u00e1s comunes que pueden sufrir los propietarios de WordPress.<\/p>\n\n

1. Inyecci\u00f3n SQL<\/h3>\n\n

La plataforma CMS WordPress depende de una capa de base de datos que almacena informaci\u00f3n de metadatos y otra informaci\u00f3n administrativa.\nPor ejemplo, una base de datos t\u00edpica de WordPress basada en SQL contiene informaci\u00f3n de usuario, informaci\u00f3n de contenido y datos de configuraci\u00f3n del sitio. <\/p>\n\n

Cuando un hacker realiza un ataque de inyecci\u00f3n SQL, utiliza un par\u00e1metro de solicitud, ya sea a trav\u00e9s de un campo de entrada o de una URL, para ejecutar un comando personalizado de la base de datos.\nUna consulta \u00abSELECT\u00bb permite al hacker ver informaci\u00f3n adicional de la base de datos, mientras que una consulta \u00abUPDATE\u00bb le permite modificar realmente los datos. <\/p>\n\n

En 2011, una empresa de seguridad de redes llamada Barracuda Networks fue v\u00edctima de un ataque de inyecci\u00f3n SQL.\nLos hackers ejecutaron una serie de comandos en todo el sitio web de Barracuda y acabaron encontrando una p\u00e1gina vulnerable que pod\u00eda utilizarse como portal a la base de datos principal de la empresa. <\/p>\n\n

2. Secuencias de comandos en sitios cruzados<\/h3>\n\n

Un ataque de cross-site scripting, tambi\u00e9n conocido como XSS, es similar a la inyecci\u00f3n SQL y acepta que se dirige a los elementos JavaScript de una p\u00e1gina web en lugar de a la base de datos que hay detr\u00e1s de la aplicaci\u00f3n.\nUn ataque exitoso puede comprometer la informaci\u00f3n privada de un visitante remoto. <\/p>\n\n

Con un ataque XSS, el pirata inform\u00e1tico a\u00f1ade c\u00f3digo JavaScript a un sitio web a trav\u00e9s de un campo de comentarios u otra entrada de texto y, a continuaci\u00f3n, ese script malicioso se ejecuta cuando otros usuarios visitan la p\u00e1gina.\nEl JavaScript fraudulento suele dirigir a los usuarios a un sitio web fraudulento que intentar\u00e1 robar su contrase\u00f1a u otros datos identificativos. <\/p>\n\n

Incluso sitios web populares como eBay pueden ser objeto de ataques XSS.\nEn el pasado, los hackers han a\u00f1adido con \u00e9xito c\u00f3digo malicioso a p\u00e1ginas de productos y han convencido a los clientes para que inicien sesi\u00f3n en una p\u00e1gina web falsa. <\/p>\n\n

3. Inyecci\u00f3n de comandos<\/h3>\n\n

Las plataformas como WordPress funcionan en tres capas principales: el servidor web, el servidor de aplicaciones y el servidor de bases de datos.\nPero cada uno de estos servidores se ejecuta en hardware con un sistema operativo espec\u00edfico, como Microsoft Windows o Linux de c\u00f3digo abierto, y eso es un \u00e1rea potencialmente vulnerable independiente. <\/p>\n\n

Con un ataque de inyecci\u00f3n de comandos, un hacker insertar\u00e1 informaci\u00f3n maliciosa en un campo de texto o URL, de forma similar a la inyecci\u00f3n SQL.\nLa diferencia es que el c\u00f3digo contiene un comando reconocido s\u00f3lo por los sistemas operativos, como el comando \u00abls\u00bb.\nCuando se ejecute, mostrar\u00e1 una lista de todos los archivos y carpetas del servidor anfitri\u00f3n. <\/p>\n\n

Algunas c\u00e1maras de Internet parecen ser especialmente vulnerables a los ataques de inyecci\u00f3n de comandos.\nSu firmware puede exponer falsamente la configuraci\u00f3n del sistema a usuarios remotos cuando se emite un comando fraudulento. <\/p>\n\n

4. Inclusi\u00f3n de archivos<\/h3>\n\n

Los lenguajes de c\u00f3digo habituales para la web, como PHP y Java, permiten a los programadores hacer referencia a archivos y scripts externos desde dentro de su c\u00f3digo.\nEl comando \u00abinclude\u00bb es el nombre gen\u00e9rico de este tipo de actividad. <\/p>\n\n

En determinadas situaciones, un hacker podr\u00eda manipular la URL de un sitio web para comprometer la secci\u00f3n include del c\u00f3digo y obtener acceso a otras partes del servidor de aplicaciones.\nSe ha descubierto que ciertos plug-ins para la plataforma WordPress son vulnerables a ataques de inclusi\u00f3n de archivos.\nCuando se producen estos ataques, el infiltrado puede obtener acceso a todos los datos del servidor de aplicaciones principal. <\/p>\n\n

Consejos para la protecci\u00f3n<\/h2>\n\n

Ahora que ya sabes qu\u00e9 debes tener en cuenta, aqu\u00ed tienes algunas formas sencillas de mejorar la seguridad de tu WordPress.\nObviamente, hay muchas m\u00e1s formas de asegurar tu sitio que las que se enumeran a continuaci\u00f3n, pero estos son m\u00e9todos relativamente sencillos para empezar que dar\u00e1n unos beneficios impresionantes a los hackers frustrados. <\/p>\n\n

1. Consigue un buen anfitri\u00f3n<\/h3>\n\n

La plataforma WordPress puede ejecutarse desde un servidor local o gestionarse a trav\u00e9s de un entorno de alojamiento en la nube.\nPara mantener un sistema seguro, es preferible la opci\u00f3n alojada.\nLos mejores alojamientos de WordPress<\/a> del mercado ofrecen encriptaci\u00f3n SSL y otras formas de protecci\u00f3n de la seguridad. <\/p>\n\n

Al configurar un entorno WordPress alojado, es crucial habilitar un cortafuegos interno que asegure las conexiones entre tu servidor de aplicaciones y otras capas de la red.\nUn cortafuegos comprueba la validez de todas las peticiones entre capas para garantizar que s\u00f3lo se permite procesar las peticiones leg\u00edtimas. <\/p>\n\n

2. Mant\u00e9n actualizados los temas y plug-ins<\/h3>\n\n

La comunidad de WordPress est\u00e1 llena de desarrolladores externos que trabajan constantemente en nuevos temas y complementos para aprovechar la potencia de la plataforma CMS.\nEstos complementos pueden ser gratuitos o de pago.\nLos plug-ins y los temas siempre deben descargarse directamente del sitio web WordPress.org. <\/p>\n\n

Los complementos y temas externos pueden ser arriesgados porque contienen c\u00f3digo que se ejecuta en tu servidor de aplicaciones.\nConf\u00eda s\u00f3lo en complementos que procedan de una fuente y un desarrollador de confianza.\nAdem\u00e1s, actualiza los complementos y temas con regularidad, ya que los desarrolladores publicar\u00e1n mejoras de seguridad. <\/p>\n\n

En la consola del administrador de WordPress, la pesta\u00f1a \u00abActualizaciones\u00bb se encuentra en la parte superior de la lista del men\u00fa \u00abPanel de control\u00bb.<\/p>\n\n

3. Instala un antivirus y una VPN<\/h3>\n\n

Si utilizas WordPress en un entorno local o tienes acceso total al servidor a trav\u00e9s de tu proveedor de alojamiento, debes asegurarte de que en tu sistema operativo est\u00e1 activo un antivirus robusto.\nLas herramientas gratuitas para escanear tu sitio WordPress, como Virus Total, comprobar\u00e1n todas las fuentes en busca de vulnerabilidades. <\/p>\n\n

Cuando te conectes a tu entorno WordPress desde una ubicaci\u00f3n remota, debes utilizar siempre un cliente de red privada virtual (VPN), que garantice que toda la comunicaci\u00f3n de datos entre tu ordenador local y el servidor est\u00e9 totalmente encriptada.<\/p>\n\n

4. Bloqueo contra ataques de Fuerza Bruta<\/h3>\n\n

Uno de los ataques m\u00e1s populares y comunes a WordPress adopta la forma de los llamados ataques de fuerza bruta.\nEsto no es m\u00e1s que un programa automatizado desencadenado por un hacker en la \u00abpuerta principal\u00bb.\nSe sienta all\u00ed y prueba miles de combinaciones diferentes de contrase\u00f1as y, a menudo, tropieza con las correctas para que valga la pena. <\/p>\n\n

La buena noticia es que existe una forma sencilla de impedir la fuerza bruta.\nLa mala noticia es que demasiados propietarios de sitios web no aplican la soluci\u00f3n.\nEcha un vistazo a All-in-One WP security and firewall.\nEs gratuito y te permite establecer un l\u00edmite duro para los intentos de inicio de sesi\u00f3n.\nPor ejemplo, despu\u00e9s de tres intentos, el plug-in bloquea el sitio por esa direcci\u00f3n IP durante un tiempo preestablecido contra nuevos inicios de sesi\u00f3n.\nTambi\u00e9n recibir\u00e1s una notificaci\u00f3n por correo electr\u00f3nico de que se ha activado la funci\u00f3n de bloqueo. <\/p>\n\n

5. Autenticaci\u00f3n de dos factores<\/h3>\n\n

Este c\u00f3modo m\u00e9todo de proteger tu sitio web depende del hecho de que es poco probable que un pirata inform\u00e1tico pueda apoderarse de dos de tus dispositivos al mismo tiempo.\nPor ejemplo, un ordenador Y un tel\u00e9fono m\u00f3vil.\nLa autenticaci\u00f3n de dos factores (2FA) convierte el inicio de sesi\u00f3n en tu sitio web en un proceso de dos pasos.\nComo de costumbre, te conectas de la forma normal, pero luego se te pide que introduzcas un c\u00f3digo adicional que se env\u00eda a tu tel\u00e9fono. <\/p>\n\n

Inteligente, \u00bfverdad?\nEste paso adicional aumenta exponencialmente la seguridad de tu sitio al separar el inicio de sesi\u00f3n en varios pasos.\nConsulta esta lista de plug-ins gratuitos que te ayudar\u00e1n a configurar la 2FA.\nLos piratas inform\u00e1ticos que pensaban manipular tu sitio probablemente ya hayan cambiado de opini\u00f3n. <\/p>\n\n

Conclusi\u00f3n<\/h2>\n\n

Aunque no existe un sitio web 100% seguro, puedes tomar muchas medidas para protegerlo.\nUtilizar un buen cortafuegos, mantener actualizados tus temas y plug-ins y realizar peri\u00f3dicamente un an\u00e1lisis de virus puede ser de gran importancia. <\/p>\n\n

Puede ser \u00fatil pensar en la seguridad de los sitios web como un eterno proceso iterativo.\nNunca debe llegar un momento en el que des un paso atr\u00e1s y pienses que est\u00e1 \u00abcompleta\u00bb, porque el juego entre los piratas inform\u00e1ticos y los defensores de los sitios web nunca se detendr\u00e1, e incluso los actores en l\u00ednea oficialmente autorizados entrar\u00e1n en el negocio de la vigilancia en l\u00ednea.\nS\u00f3lo manteni\u00e9ndote al d\u00eda de las \u00faltimas amenazas y defendi\u00e9ndote de ellas podr\u00e1s mantener la ciberseguridad y la privacidad en l\u00ednea. <\/p>\n\n

Es lamentable que el mundo tenga que ser as\u00ed, pero ac\u00e9ptalo y sigue adelante.\nSi no lo has hecho nunca, ahora ser\u00eda un buen momento para encontrar algunos sitios respetados de noticias sobre ciberseguridad.\nSuscr\u00edbete a su bolet\u00edn o, al menos, vis\u00edtalos con regularidad.\nEmpieza por buscar en Google (o en el motor de b\u00fasqueda que prefieras) \u00abnoticias sobre ciberseguridad\u00bb. <\/p>\n\n

\u00bfTienes alguna pregunta o m\u00e1s consejos que a\u00f1adir?\nDeja un comentario y d\u00ednoslo. <\/p>\n","protected":false},"excerpt":{"rendered":"

WordPress es uno de los principales sistemas de gesti\u00f3n de contenidos (CMS) desde hace m\u00e1s de una d\u00e9cada. Muchos de los blogs m\u00e1s grandes de Internet, as\u00ed como multitud de peque\u00f1os sitios individuales, funcionan con WordPress para publicar contenidos de texto, im\u00e1genes y v\u00eddeo. Un sitio web WordPress tiene una interfaz front-end y otra back-end. […]<\/p>\n","protected":false},"author":1,"featured_media":11152,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[13],"tags":[],"class_list":["post-11704","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categorizar"],"acf":[],"_links":{"self":[{"href":"https:\/\/nieuw.wpprovider.nl\/es\/wp-json\/wp\/v2\/posts\/11704","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nieuw.wpprovider.nl\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nieuw.wpprovider.nl\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nieuw.wpprovider.nl\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nieuw.wpprovider.nl\/es\/wp-json\/wp\/v2\/comments?post=11704"}],"version-history":[{"count":1,"href":"https:\/\/nieuw.wpprovider.nl\/es\/wp-json\/wp\/v2\/posts\/11704\/revisions"}],"predecessor-version":[{"id":11706,"href":"https:\/\/nieuw.wpprovider.nl\/es\/wp-json\/wp\/v2\/posts\/11704\/revisions\/11706"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/nieuw.wpprovider.nl\/es\/wp-json\/wp\/v2\/media\/11152"}],"wp:attachment":[{"href":"https:\/\/nieuw.wpprovider.nl\/es\/wp-json\/wp\/v2\/media?parent=11704"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nieuw.wpprovider.nl\/es\/wp-json\/wp\/v2\/categories?post=11704"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nieuw.wpprovider.nl\/es\/wp-json\/wp\/v2\/tags?post=11704"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}