¿Cómo evitar hackeos a Wordpress?

Esta guía está orientada para todos aquellas personas que tienen un sitio web con WordPress y el mismo ha sido hackeado y suspendido por esa razón, o bien para todos aquellos que quieran aprender a asegurar su WordPress para evitar hackeos.

WordPress es una de las plataformas más utilizadas por millones de sitios web de todo el mundo para construir y administrar sitios webs y blogs.

WordPress posee varios miles de líneas de código (programación) en PHP y MySQL, por lo tanto, al ser una aplicación de gran distribución a nivel mundial, todos los días se descubren vulnerabilidades y fallas nuevas debido a tanta cantidad de código.

Existen también miles de atacantes alrededor del mundo que aprovechan esas fallas de seguridad para infectar los sitios web de WordPress con malware. El malware puede facilitar la creación por ejemplo de una página de phishing para robar tarjetas de crédito, cuentas de Paypal a través de tu sitio web, realizar envío de spam o también para utilizar los recursos disponibles en el hosting como “bot” y realizar posteriores denegaciones de servicio hacia sitios web o servidores de empresas, instituciones u organizaciones diversas.

Es decir, un WordPress vulnerable se transforma en un medio para que un atacante lleve a cabo diversos delitos con prácticamente total anonimato.

Las buenas prácticas internacionales indican que los sitios web que tienen WordPress y han sido hackeados para subir phishing o algún tipo de malware, deben ser suspendidos por el proveedor de hosting inmediatamente para evitar que se sigan causando daños a usuarios u organizaciones indefensas.

Dado que es muy importante que tu sitio web esté siempre seguro, te facilitamos una serie de consejos:

Si tu WordPress no ha sido vulnerado o hackeado:

  • Si inicias una instalación de WordPress, es fundamental que la termines, no debe existir ningún directorio “/install” o archivos “install.php” visibles en tu cuenta de web hosting.
  • Nunca utilices “admin” como usuario principal, es mejor utilizar otro usuario para dificultar que encuentren tu usuario.
  • Mantén siempre la última versión de Wordpress, themes y plugins. Con auto-update activado.
  • Las contraseñas deben ser lo más seguras posibles: Incluir números, letras minúsculas y mayúsculas, carateres especiales como !”·$%&/()=?; además es recomendable que tenga más de 15 caracteres.
  • Es fundamental que cambies tu contraseña al menos cada 180 días.
  • Si instalas un theme (diseño), descárgalo siempre del sitio web original de su creador o de http://wordpress.org/themes/. Nunca descargues themes desde sitios que aparentan ser completamente gratuitos porque suelen tener malware y virus, o por ejemplo dejar puertas traseras para que luego cualquiera tome control de tu blog.
  • No ingreses tus claves en computadoras de público acceso (por ejemplo ciber-cafés o locutorios).
  • No compartas tu clave con nadie.
  • No ingreses tu clave en ningún sitio que no sea el tuyo.
  • Utiliza claves diferentes.
  • Si vas a instalar plugins para agregarle funcionalidades a tu WordPress, suscribite al newsletter del autor del plugin y mantenelo siempre actualizado. Los plugins son una gran puerta de acceso a los atacantes.
  • Realiza frecuentemente (30 dias minimo) copias de seguridad de tu sitio web y descargalas a tu computadora, luego elimínalas del hosting.
  • Manten siempre actualizado el WordPress en la última versión, lo mismo con los plugins.

Si tu WordPress está vulnerado o hackeado en este momento:

Aviso importante: Si nuestro sistema de seguridad suspendió tu cuenta porque tu WordPress estaba haciendo phishing, spam, DDoS o simplemente recibimos una denuncia por alojar contenido como malware que podría dar lugar a todas las acciones anteriores, el sistema te suspenderá la cuenta automáticamente para evitar seguir generando daño a otras personas y organizaciones. Entendemos mucho tu preocupación pero no desesperes, la práctica habitual es aislar el contenido que genera daño para que no perjudique al resto de los sitios web de la red de Neolo.

Para rehabilitarlo, es necesario que un programador contratado por ti, se contacte con nosotros, o bien, si tienes conocimientos, puedes probárnoslos y hacerlo tu mismo, y determinar con nuestro staff técnico un horario particular para rehabilitar tu sitio durante 1 hora y mostrarnos que o bien eliminaste el contenido y lo subes fresco, limpio y actualizado, o bien que tu técnico encontró la falla (nos la debe mostrar) y parchear el WordPress.

  • Instala en las computadoras desde las que administras el WordPress, un antivirus nuevo y actualizado para escanear toda tu computadora en busca de virus y malware.
  • Modificá la contraseña de FTP, cPanel y la de todos los usuarios del WordPress. También la de MySQL.
  • Considera eliminar todo el contenido de tu sitio (todo lo que está dentro de /public_html) y la base de datos, subir un backup anterior, será importantísimo ahora tener en cuenta todos los pasos anteriores.
  • Parchear un WordPress en vez de instalar de cero es complejo dado que requiere habilidades técnicas en programación y seguridad informática, inicialmente habrá que identificar por dónde ingresó el atacante, corregir el problema de seguridad y luego securizar el resto de las posibles puertas de ingreso. Sugerimos que contrates a un experto para realizarlo correctamente o bien, tal como te indicamos, que elimines todo el contenido y lo subas nuevamente pero con una nueva instalación actualizada y siguiendo los consejos anteriores.

Más recursos:

  • Email, SSL
  • 28 Los Usuarios han Encontrado Esto Útil
¿Fue útil la respuesta?

Related Articles

¿Cómo instalar WordPress y elegir un diseño web?

Instalar WordPress y comenzar a desarrollar tu sitio web es más que simple, por esta razón en...

¿Cómo optimizar Wordpress?

WordPress es la plataforma de contenidos para sitios web que más ha crecido en los últimos años....

El sitio web carga lento o a poca velocidad

Tanto en WordPress, Joomla, Magento como otros CMS, suele suceder que el sitio web pueda cargar...

Instalar WordPress en una URL temporal

Muchas veces por una u otra razón necesitamos utilizar URL's temporales, ya sea por que...

¿Cómo aumentar el límite permitido por WordPress para subir archivos?

Muchas veces es necesario extender el límite que tiene WordPress para subir archivos. Esto se...