La encuesta de seguridad de WordPress muestra que conocemos los riesgos, entonces, ¿por qué no actuamos?
Publicado: 2024-09-09WordPress es el sistema de gestión de contenidos más popular del mundo, pero esa popularidad conlleva un riesgo importante. Si ejecuta un sitio de WordPress, está más expuesto a ataques de lo que piensa.
Un sorprendente 72% de los sitios de WordPress administrados por los encuestados de los resultados de la encuesta de seguridad Melapress 2024 han experimentado al menos una violación de seguridad. Estos números son una llamada de atención y muestran que proteger su sitio no es opcional: es esencial.
En este artículo, analizaré algunos de los hallazgos de la encuesta de seguridad y recomendaré los pasos simples que puede seguir para proteger su sitio web y evitar que se convierta en una estadística más.
Los números no mienten: es hora de actuar.
Más del 72% de los sitios de WordPress han sido vulnerados
Si su sitio aún no ha sido atacado, considérese afortunado, pero no se confíe.
Los piratas informáticos utilizan herramientas automatizadas para buscar vulnerabilidades en los sitios de WordPress, lo que significa que usted podría ser un objetivo sin siquiera darse cuenta. Las contraseñas débiles, los complementos obsoletos o una versión de WordPress sin parches son como puertas abiertas para los ciberdelincuentes.
Para evitar formar parte de esta preocupante estadística, asegúrese de que su sitio esté protegido. Actualizar periódicamente su versión y complementos de WordPress es un buen primer paso, pero recuerde, eso es solo una capa.
¿Están sus preocupaciones de seguridad alineadas con sus acciones?
Es posible que ya conozca los riesgos de seguridad que conlleva la administración de un sitio de WordPress (contraseñas débiles, complementos obsoletos o falta de 2FA), pero saberlo no es suficiente.
Siempre hemos visto una brecha entre las preocupaciones y la implementación real de las mejores prácticas. Es fácil reconocer los riesgos, pero muchos propietarios de sitios no toman medidas hasta que es demasiado tarde. Nosotros mismos hemos sido culpables de esto en el pasado y no es una experiencia divertida.
Simplemente consulte los hallazgos de Melapress en su encuesta:
Está claro que una gran parte de nosotros somos conscientes de los riesgos de seguridad y sabemos lo que debemos hacer para protegernos, pero no siempre hacemos lo que debemos hacer.
No espere a que las cosas salgan mal para actuar. Aquí hay una cita de Robert Abela, fundador de Melapress, con su opinión sobre los hallazgos de la encuesta.
Los resultados de la encuesta de seguridad de WordPress de este año destacan tendencias alentadoras y áreas donde se necesita más atención. Está claro que muchos administradores están adoptando fuertes medidas de seguridad, como la autenticación de dos factores. Sin embargo, aún queda trabajo por hacer en la capacitación de equipos y la implementación de planes integrales de recuperación. Confío en que estos conocimientos nos guíen a nosotros y a muchos otros en el desarrollo de soluciones que aborden estos desafíos.
Robert Abela, fundador de Melapress
Recomendaciones prácticas para proteger su sitio de WordPress
Hemos escrito sobre la seguridad de WordPress varias veces en WP Mayor y hemos contado con expertos en seguridad, incluido el propio Robert, que compartieron sus opiniones y consejos. Aquí están nuestras recomendaciones prácticas para proteger su sitio de WordPress.
Instalar un complemento de seguridad de WordPress
Es posible que ahora sienta que sabe lo suficiente sobre seguridad como para implementar medidas usted mismo, pero subcontratar esta parte vital de ejecutar un sitio de WordPress a su proveedor de alojamiento o a algún otro tercero no siempre es la mejor idea.
Es bueno que dediques algo de tiempo a familiarizarte con los conceptos básicos y a implementar algunas medidas de seguridad. Para ir un paso más allá, recomendamos elaborar un plan de recuperación para cuando algo salga mal, porque seamos realistas, lo más probable es que así sea.
Consulte nuestras recomendaciones sobre los complementos de seguridad esenciales de WordPress, así como nuestras comparaciones de complementos de seguridad para comenzar.
Implementar la autenticación de dos factores (2FA)
Es esencial agregar una capa adicional de seguridad a su experiencia de inicio de sesión en WordPress. Con 2FA, que significa autenticación de dos factores, incluso si una contraseña está comprometida, un segundo factor (como una aplicación de teléfono como Google Authenticator o un código enviado por SMS) bloqueará el acceso no autorizado.
Los propios Melapress ofrecen un complemento llamado WP 2FA que le ayuda a hacer exactamente esto de forma gratuita. También hay algunos otros complementos de seguridad 2FA disponibles de forma gratuita si quieres echar un vistazo.
Cualquiera que sea el complemento que elija, esta es una de las medidas más simples y críticas para comenzar a proteger su sitio de WordPress.
Fortalezca sus políticas de contraseñas
Las contraseñas débiles son un punto de entrada común para los piratas informáticos y todavía me sorprende que tantos propietarios de sitios utilicen contraseñas básicas o predeterminadas. Atrás quedaron los días en los que se utilizaban nombres o fechas de nacimiento como contraseña. Necesitas ponérselo un poco más difícil a los piratas informáticos.
Establecer pautas de contraseñas sólidas para todos los usuarios de su sitio web, incluidas políticas de longitud, complejidad y vencimiento, es esencial para mantener su sitio seguro.
El propio WordPress proporciona una lista de mejores prácticas para contraseñas, y hemos ido un paso más allá con algunas otras pautas de seguridad de contraseñas que querrás tomar nota.
Y si se pregunta cómo recordará una contraseña como la que se muestra arriba, no es así. Utilice un administrador de contraseñas como 1Password para almacenar todos sus inicios de sesión y solo necesitará recordar una única contraseña.
Utilice CAPTCHA para prevenir el spam
Los CAPTCHA son muy eficaces para impedir que los robots de spam inunden sus formularios o ataquen su sitio. Al agregar CAPTCHA a sus secciones de inicio de sesión o comentarios, puede reducir significativamente el tráfico no deseado.
CAPTCHA 4WP es un complemento que ofrece una gran cantidad de funciones para hacer esto. Aún mejor, tiene un montón de integraciones listas para usar con WooCommerce, Contact Form 7 y mucho más. Consulte nuestra guía completa sobre cómo implementar CAPTCHA para su sitio de WordPress.
Asegure sus formularios
Los formularios son una vulnerabilidad común en muchos sitios de WordPress. Garantizar una validación de entrada adecuada, utilizar el CAPTCHA que mencioné anteriormente y limitar las tasas de envío de formularios pueden ayudar a proteger contra la fuerza bruta y los ataques de spam.
Hemos elaborado la guía definitiva para la seguridad de los formularios de WordPress que explica cómo los piratas informáticos utilizan los formularios web para acceder a su sitio y le mostramos cómo proteger sus formularios de WordPress para mantener los datos de su sitio seguros y protegidos.
Proteger páginas con contraseña
Proteger las páginas de WordPress con contraseña puede ser una solución menos conocida y, en verdad, no todo el mundo la necesitará.
Si tiene contenido confidencial en su sitio, como páginas que solo deberían ser visibles para ciertas personas, asegúrese de que solo sea accesible para quienes lo necesitan configurando una protección con contraseña.
Mantenga un registro del comportamiento del usuario
Implementar medidas de seguridad es su primer trabajo. Una vez hecho esto, es hora de realizar un seguimiento de cómo se comportan sus usuarios (y los posibles piratas informáticos) en su sitio. Aquí es donde entran en juego los registros de actividad.
Tenemos una serie de tres partes sobre registros de actividad que deberías consultar:
- Cómo los registros de auditoría de WordPress mejoran la responsabilidad del usuario
- Uso de registros de actividad de WordPress para solucionar problemas técnicos del sitio
- El papel vital de los registros en la seguridad de WordPress
No espere una infracción
Los datos de la encuesta de Melapress son una llamada de atención para cualquiera que administre un sitio de WordPress. Ya sea actualizando complementos, asegurando formularios de inicio de sesión o usando 2FA, tomar medidas hoy es la mejor manera de proteger su sitio para que no se convierta en una estadística más.
Hemos confiado en el equipo de Melapress para obtener asesoramiento sobre seguridad durante muchos años y por una buena razón. Puede consultar nuestra entrevista con el fundador de Melapress, Robert Abela, de 2019 para conocer todo sobre sus antecedentes y por qué puede confiar en sus consejos sobre seguridad.
Por último, pero no menos importante, si cree que su sitio está comprometido, aquí hay cinco cosas que debe hacer una vez que su sitio sea pirateado.