Hostings.info
Por paísesAMÉRICA Mejor en generalEE. UU. Canadá EUROPA Hosting EspañaReino Unido Países Bajos Alemania Francia ASIA Mejor en generalIndia Pakistán Singapur Filipinas Hong Kong Indonesia Malasia ÁFRICA Mejor en generalSudáfrica Nigeria Valoraciones TIPO DE HOSTING Registradores de dominios Hosting Compartido VPS/VDSServidores dedicados Alojamiento en la nube HOSTING PARA Comercio electrónicoJuegos Sitios web para adultos Sitio web de portafolio Blog Sitio web corporativo Portal web PRECIO DEL HOSTING Hosting baratoRelación calidad-precio Alojamiento costoso Alojamiento VPS barato Alojamiento gratuito OTRO WordPress Criptomoneda Alojamiento a prueba de balas Windows Linux Hosting ecológicoCreador de sitios web Reseñas MEJORES HOSTINGS Hostingerhosting.com BluehostFastCometKamateraREGISTRADORES DE DOMINIOS DreamHostHostGator1&1 IONOSWeb.com ResellerclubCREADORES DE SITIOS WEB GoDaddyWixWeeblyJimdoWebliumConsejos Asesor (para principiantes) Comparar planes de hosting Elige un plan de precios Pregunta - Respuesta Dominios Cupones Cupones UltaHostCupones CloudwaysCupones Name.comCupones HostGatorEnglishУкраїнськаSpanish
Escuela
...
Seguridad de WordPress

Seguridad de WordPress

Evgeniy Burovinskiy
Evgeniy Burovinskiy
Experto en Hosting(experiencia de 10 años )
1772
4 minutos

Tenga en cuenta que las medidas de seguridad descritas en este artículo no pueden garantizar que su sitio web esté 100% protegido frente a hackeos. La principal preocupación es el valor de los datos de su sitio web. Si valen millones de dólares, definitivamente necesitará un equipo experimentado de webmasters para desarrollar y mantener la seguridad del sitio. Si el valor es menor (en torno a varios miles de dólares), los consejos de abajo pueden ayudar a proteger su sitio de WordPress de los hackers.

¡Nota! Recomendamos encarecidamente consultar las recomendaciones generales de seguridad también, porque no se mencionarán en este artículo. Son aplicables a todos los sitios, independientemente del CMS utilizado. Este artículo describe recomendaciones específicamente para la seguridad de sitios web construidos con WordPress.

¿Cómo proteger su sitio web creado con WordPress?

1. Actualizaciones

Revise con la mayor frecuencia posible el sitio web oficial en busca de actualizaciones del CMS o de sus extensiones. Allí puede encontrar y descargar diversos parches que ayudan a corregir vulnerabilidades, errores y otros problemas. Por ejemplo, un hacker encuentra cierta vulnerabilidad que le permite vulnerar el CMS. Como ese CMS se usó para crear miles de sitios web, puede obtener acceso a cualquiera de ellos. Una vez que se informa de esa vulnerabilidad, los desarrolladores la corrigen y suben un parche al sitio web oficial. Por eso recomendamos encarecidamente actualizar el propio CMS y todos los componentes y temas posibles de forma regular. Solo recuerde que todos los componentes y sus actualizaciones deben descargarse únicamente del sitio web oficial de WordPress.

2. Extensiones de terceros

No instale extensiones o módulos de terceros sospechosos. En el mejor de los casos funcionarán de forma incorrecta y causarán problemas con alguna función. Sin embargo, es más probable que contengan código malicioso que permita obtener acceso a sus sitios. Después, esos llamados desarrolladores pueden chantajearle o vender información confidencial a terceros (en el mercado negro). Además, aunque el plugin no contenga código malicioso, eso no significa que sea muy seguro ni que esté libre de vulnerabilidades. Por ello, recomendamos descargar extensiones solo del sitio oficial o investigar a fondo antes de instalar un plugin en particular.

3. Proveedor de hosting de confianza

Cuando hablamos de seguridad de un sitio web, nos referimos a un conjunto que abarca tanto la seguridad del CMS como la del hosting. El software instalado en el servidor tiene sus propias vulnerabilidades y también puede ser atacado. Por lo tanto, es necesario actualizarlo. Lamentablemente, no todos los proveedores de hosting actualizan su software con la frecuencia suficiente. Además, si el nivel de seguridad del servidor es bajo, sus sitios pueden quedar fuera de servicio si su “vecino” de servidor sufre un ataque DDoS. Por ello, asegúrese de que el proveedor de hosting que ha elegido sea seguro (ofrezca protección anti-DDoS, antivirus y escáner de malware, monitorización de servidores y actualizaciones de software). Recomendamos considerar empresas con buenas reseñas y muchos clientes. Puede encontrar diferentes clasificaciones en nuestro pie de página.

4. Credenciales de acceso

No use ‘admin’ como nombre de usuario para su panel de administración. Además, asegúrese de que su contraseña sea difícil de adivinar y contenga letras, dígitos, caracteres especiales y mayúsculas y minúsculas. No proporcione sus credenciales de acceso a nadie. Si necesita cambiar alguna configuración, es mejor buscarlo en Google que pedir a alguien que lo haga por usted. Además, editar la configuración de WordPress no requiere conocimientos profundos de programación.

5. Intentos de inicio de sesión

Si un hacker utiliza un ataque de fuerza bruta (enviando muchas contraseñas o frases de contraseña con la esperanza de acertar), podría lograr su objetivo si no se limitan los intentos de inicio de sesión. Por eso recomendamos limitar los intentos de inicio de sesión desde una IP determinada. Puede usar Limit Login Attempts o Login LockDown plugins para este propósito. Solo recuerde esta limitación al iniciar sesión.

6. Temas

Antes de instalar un tema, investigue toda la información posible sobre la empresa (o persona) que lo desarrolló. Leer reseñas y revisar foros también es una buena idea. Seguro encontrará personas que hayan usado ese tema durante cierto tiempo y podrá preguntarles si enfrentaron problemas tras instalarlo. Además, una vez instalado el tema, es mejor desactivar la edición de temas. Esto puede ayudar en caso de que un hacker obtenga acceso a su panel de administración a través del tema instalado. Para desactivar la edición, debe añadir la siguiente línea al archivo wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

7. Claves de cifrado

Recomendamos cambiar las claves de cifrado, ya que existe la posibilidad de que los hackers ya conozcan las estándar. Para hacerlo, debe visitar esta sección del sitio oficial de WordPress, copiar los valores indicados y pegarlos en el archivo wp-config.php. Alternativamente, puede introducir sus propios valores.

8. Módulos de seguridad

No dude en utilizar las siguientes extensiones para reforzar la seguridad de su sitio web:

  • Better WP Security - uno de los plugins de seguridad más populares, con muchas funciones diferentes;
  • WP Security Scan - utiliza muchos criterios diferentes para comprobar la seguridad de su sitio web. Sin embargo, tenga en cuenta que no se ha actualizado desde hace 4 años. Por lo tanto, es bastante útil, pero le recomendamos usarlo junto con otro plugin, ya que este podría contener vulnerabilidades;
  • WP Antivirus - escanea su sitio en busca de vulnerabilidades e intentos de inicio de sesión no autorizados. Si encuentra algo sospechoso, recibirá una notificación por correo electrónico. Este plugin tiene el mismo problema que el anterior: no se ha actualizado desde hace 3 años. Por lo tanto, puede que no detecte nuevas firmas de virus y vulnerabilidades;
  • Sucuri Scanner - escáner de malware y herramienta anti-hacking. Este plugin se actualiza con una frecuencia más o menos regular (se actualizó hace un mes), por lo que puede considerarse confiable.

9. Mover el archivo wp-config.php

Es mejor sacar el archivo wp-config.php de la carpeta public_html. Puede colocarlo en una carpeta que esté un nivel por encima en la jerarquía de archivos. Aquí puede encontrar las instrucciones.

10. Restricción de IP para el acceso

Restringa el acceso al área de administración por dirección IP. Para bloquear todas las IP excepto una, debe introducir el siguiente texto en el archivo .htaccess:

order deny,allow
allow from xxx.xx.xxx.xx
deny from all

Debe sustituir xxx.xx.xxx.xx por la dirección IP que utiliza para iniciar sesión en el panel de administración.

11. Permisos de archivos

Configure los siguientes valores de permisos: 755 para carpetas y 644 para todos los archivos. A veces se establece 777 para la carpeta wp-content; sin embargo, recomendamos reemplazarlo por 755 (esto significa que otros usuarios no podrán añadir contenido a su sitio web).

12. Análisis de virus

No siga enlaces sospechosos, no abra correos de remitentes desconocidos (y sospechosos) ni instale software de terceros. Incluso si es cuidadoso y no hace nada de esto, aun así le recomendamos actualizar su antivirus y realizar análisis de virus de forma regular.

Si tiene alguna sugerencia relacionada con la seguridad de sitios web en WordPress, no dude en dejarla en la sección de comentarios y con gusto la añadiremos al artículo.

¿No hay respuesta a su pregunta?

Haga su pregunta y reciba una respuesta de un experto, un miembro de nuestro soporte técnico, en su correo electrónico

Nuestros expertos
nuestro experto Nickola Naous
Nickola Naous
nuestro experto Oliver Salo
Oliver Salo
nuestro experto László Kovács
László Kovács
nuestro experto Maxim Malacili
Maxim Malacili
nuestro experto Oleg Jaritinov
Oleg Jaritinov
nuestro experto Pavan Nikam
Pavan Nikam
nuestro experto Md Billal Hossain Sarker
Md Billal Hossain Sarker
nuestro experto Zion Owelle
Zion Owelle
nuestro experto Banko Stoyanov
Banko Stoyanov

37 expertos están listos para ayudarle a tomar la decisión correcta

Valoraciones de proveedores de hosting por categorías
OVH.com
Squarespace.com
GoDaddy.com
HostGator.com
DreamHost.com
Cloudways.com
WPEngine.com
Namecheap.com
Bluehost.com
A2Hosting.com
Servidor dedicado
Servicios CDN
Alojamiento en la nube
Colocación
Alojamiento compartido
VPS-VDS
Personalizado
cPanel
Parallels Plesk
DirectAdmin
ISPmanager
ColdFusion
PHP
ASP.NET
MySQL
Java
SSD
SSD NVMe
Disco duro
Certificado SSL
Dominio gratis
Registradores de dominios
Período de prueba
Reembolso
Centros de datos chinos
Centros de datos neerlandeses
Centros de datos alemanes
Centros de datos rusos
Centros de datos del Reino Unido
Centros de datos ucranianos
Centros de datos en EE. UU.
Asia
África
Europa
América del Sur
América del Norte
Argentina
Australia
Austria
Bangladés
Bielorrusia
Brasil
Canadá
China
Colombia
Egipto
Finlandia
Francia
Alemania
Hong Kong
Italia
India
Israel
Indonesia
Japón
Kazajistán
Corea
Kirguistán
Letonia
Malasia
México
Países Bajos
Nueva Zelanda
Nigeria
Noruega
Pakistán
Filipinas
Polonia
Rusia
Arabia Saudita
Singapur
Sudáfrica
España
Suecia
Suiza
Turquía
Ucrania
Reino Unido
Estados Unidos
Vietnam
Sitio web de portafolio
Portal web
Foro
Sitios web para adultos
Comercio electrónico
Minecraft
Sitio web corporativo
Blog
Juegos
Correo electrónico
Alojamiento VPS económico
Alojamiento web gratuito
Alojamiento web barato
Relación calidad-precio
Alojamiento caro
TYPO3
Drupal
Magento
MODX
vBulletin
WordPress
Joomla
Windows
Linux
Alojamiento a prueba de balas
Hosting ilimitado
Alojamiento seguro
Protección contra DDoS
Mejores proveedores de VPS para contenido para adultos
Creador de sitios web
Alojamiento ecológico
Lista negra
Hosting para revendedores
Criptomoneda
Visa o MasterCard
Transferencia bancaria
PayPal
Hosting VPS/VDS en Turquía
Alojamiento VPS/VDS en Alemania
Hosting VPS/VDS en Rusia
Hosting VPS/VDS en Asia
Hosting VPS/VDS en los Países Bajos
Alojamiento VPS/VDS en Estados Unidos
Alojamiento VPS/VDS en Suecia
Alojamiento VPS/VDS en Polonia
Hosting VPS/VDS en China
Alojamiento VPS/VDS en Hong Kong
Alojamiento VPS/VDS en Europa
Hosting VPS/VDS en Corea del Sur
Alojamiento VPS/VDS en Japón