• Tiempo de lectura:9 minutos de lectura

WordPress es el CMS (sistema de gestión de contenidos) más utilizado en el mundo para crear sitios web, lo que también lo convierte en el objetivo favorito de los hackers. Se calcula que WordPress se enfrenta a unos 90.000 ataques cada minuto. En este artículo, te explicaré cómo proteger un sitio web de WordPress fácilmente. Todos estos métodos y plugins son complementarios, por lo que puedes aplicarlos todos sin ningún problema.

Proteger su sitio web desde su alojamiento web

Instalación de un certificado SSL

Un certificado SSL (Secure Sockets Layer) es una tecnología de seguridad que establece un enlace cifrado entre un servidor web y un navegador. Este enlace garantiza que todos los datos intercambiados entre el servidor y el navegador permanezcan confidenciales y seguros. SSL protege la información sensible del usuario, como números de tarjetas de crédito, datos de acceso y otros datos personales.

La mayoría de los proveedores de alojamiento ofrecen una sencilla instalación de SSL a través de su panel de control.

Redirigir todas las peticiones HTTP a HTTPS

La redirección HTTP a HTTPS es un proceso que garantiza que todas las solicitudes realizadas a una URL HTTP (insegura) se redirijan automáticamente a la URL HTTPS (segura) correspondiente. Los usuarios que accedan a un sitio a través de una conexión insegura (HTTP) serán transferidos automáticamente a una conexión segura (HTTPS).

Muchos proveedores de alojamiento ofrecen opciones para activar automáticamente la redirección HTTP a HTTPS a través de su panel de control.

Configuración manual mediante el archivo .htaccess

El archivo .htaccess (Hypertext Access) es un archivo de configuración utilizado por el servidor web Apache y sus derivados. Permite modificar la configuración del servidor directamente desde el directorio donde se encuentra, sin necesidad de acceder a los archivos de configuración principales del servidor.

Puede añadir reglas de redirección al archivo .htaccess de su sitio WordPress.

<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] </IfModule>

Activar el protocolo HSTS (HTTP Strict Transport Security)

HTTP Strict Transport Security (HSTS) es una norma de seguridad web que protege los sitios contra diversas formas de ataque a la red, como el secuestro de cookies y los ataques Man-in-the-Middle (MITM). Al informar a los navegadores de que utilicen siempre HTTPS en lugar de HTTP para todas las comunicaciones con el servidor, HSTS refuerza la seguridad de los usuarios y de los datos intercambiados.

Configuración manual mediante el archivo .htaccess

Para activar HSTS en un sitio de WordPress es necesario modificar el archivo de configuración del servidor web.

  1. Añada la siguiente directiva HSTS a su archivo .htaccess :
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>
  • max-age=31536000: Define el tiempo que el navegador debe recordar que este sitio sólo es accesible a través de HTTPS, en este caso 31.536.000 segundos (1 año).
  • includeSubDomains : Aplica esta política a todos los subdominios.
  • preload : Indica a los navegadores que precarguen esta regla, añadiendo su sitio a la lista de precarga HSTS que mantienen los navegadores (requiere registro aparte).
  1. Una vez que haya activado HSTS y comprobado que todo funciona correctamente, deberá enviar su sitio a la lista de precarga de HSTS.

Esta lista es utilizada por los navegadores para aplicar HSTS incluso antes de la primera visita del usuario a su sitio.

Proteger su sitio web desde WordPress

WordPress es muy popular por sus plugins, que facilitan la creación y gestión de sitios web. Entre los muchos plugins disponibles, Wordfence y WPS Ocultar inicio de sesión destacan por su facilidad de uso.

Wordfence actúa como un antivirus para su sitio web

Wordfence es uno de los plugins de seguridad más populares para WordPress. Ofrece una amplia gama de funciones para proteger tu sitio web frente a las amenazas:

Plugin de seguridad para WordPress Wordfence
  • Cortafuegos (WAF ): Wordfence utiliza un cortafuegos que identifica y bloquea las amenazas en tiempo real, antes incluso de que lleguen a su sitio. Se actualiza constantemente para hacer frente a nuevas vulnerabilidades.
  • Escáner de malware : El escáner de Wordfence analiza todos los archivos de su sitio (núcleo, temas, plugins) para detectar y eliminar software malicioso, URL maliciosas y modificaciones de archivos.
  • Protección contra ataques de fuerza bruta: Wordfence supervisa y limita los intentos de conexión para evitar ataques de fuerza bruta. Bloquea automáticamente las direcciones IP sospechosas tras varios intentos fallidos.
  • Autenticación dual (2FA) : Wordfence ofrece autenticación dual, añadiendo una capa extra de protección para las conexiones de usuario.

Sustituye la URL de inicio de sesión por WPS Hide Login

WPS Hide Login es un plugin más simple que reemplaza la URL predeterminada de la página de inicio de sesión de WordPress. Al cambiar esta URL, puedes reducir significativamente el riesgo de ataques automatizados en tu página de inicio de sesión:

WPS Hide Login
  • Cambiar la URL de inicio de sesión : Por defecto, la URL de inicio de sesión de WordPress es tu-sitio .com/wp-login.php o tu-sitio.com/wp-admin. Al cambiar esta URL con WPS Hide Login, haces que sea más difícil para los atacantes acceder a tu página de inicio de sesión a través de scripts automatizados.