11 razones principales por las que los sitios de WordPress son pirateados (y cómo prevenirlo)

Recientemente, uno de nuestros lectores nos preguntó por qué se piratean los sitios de WordPress. Es frustrante descubrir que su sitio de WordPress ha sido pirateado. En este artículo, compartiremos las principales razones por las que el sitio de WordPress es pirateado, para que pueda evitar estos errores y mantener su sitio seguro.

¿Por qué WordPress es el objetivo de los piratas informáticos?

Primero, no es solo WordPress. Todos los sitios web de Internet son vulnerables a los intentos de piratería. La razón por la que los sitios de WordPress son un objetivo común es porque WordPress es el creador de sitios web más popular del mundo. Funciona con más del 31% de todos los sitios web, o cientos de millones de sitios web en todo el mundo. Esta inmensa popularidad ofrece a los piratas informáticos una forma fácil de encontrar sitios web menos seguros para poder explotarlos. Los piratas informáticos tienen diferentes tipos de motivaciones para piratear un sitio web. Algunos son principiantes que recién están aprendiendo a operar sitios menos seguros. Algunos piratas informáticos tienen intenciones maliciosas, como distribuir malware, utilizar un sitio para atacar otros sitios web o enviar spam a Internet. Dicho esto, echemos un vistazo a algunas de las principales causas del secuestro de sitios de WordPress y cómo evitar que su sitio web sea pirateado.

1. Alojamiento web no seguro

Como todos los sitios web, los sitios de WordPress están alojados en un servidor web. Algunas empresas de alojamiento no protegen adecuadamente su plataforma de alojamiento. Esto hace que todos los sitios web alojados en sus servidores sean vulnerables a los intentos de piratería. Esto se puede evitar fácilmente eligiendo el mejor proveedor de alojamiento de WordPress para su sitio web. Esto asegura que su sitio esté alojado en una plataforma segura. Los servidores debidamente protegidos pueden bloquear la mayoría de los ataques más comunes en los sitios de WordPress. Si desea tomar precauciones adicionales, le recomendamos que utilice un proveedor de alojamiento de WordPress administrado.

2. Uso de contraseñas débiles

Las contraseñas son las claves de su sitio de WordPress. Debe asegurarse de utilizar una contraseña única y segura para cada una de las siguientes cuentas, ya que todas pueden proporcionar a un pirata informático acceso completo a su sitio web.

• Su cuenta de administrador de WordPress
• Cuenta del panel de control de alojamiento web
• Cuentas FTP
• Base de datos MySQL utilizada para su sitio de WordPress
• Cuentas de correo electrónico utilizadas para la cuenta de administración o alojamiento de WordPress

Todas estas cuentas están protegidas con contraseña. El uso de contraseñas débiles facilita a los piratas informáticos descifrar contraseñas utilizando algunas herramientas básicas de piratería. Puede evitarlo fácilmente mediante el uso de contraseñas únicas y seguras para cada cuenta. Consulte nuestra guía sobre la mejor manera de administrar contraseñas para principiantes de WordPress para aprender a manejar todas esas contraseñas seguras.

3. Acceso sin protección al administrador de WordPress (directorio wp-admin)

El área de administración de WordPress le da al usuario acceso para realizar varias acciones en su sitio de WordPress. También es el área más atacada de un sitio de WordPress. Dejarlo desprotegido permite a los piratas informáticos probar diferentes enfoques para piratear su sitio web. Puede hacerlo más difícil para ellos agregando capas de autenticación a su directorio de administración de WordPress. En primer lugar, debe proteger con contraseña su área de administración de WordPress. Esto agrega una capa adicional de seguridad, y cualquier persona que intente acceder al administrador de WordPress deberá proporcionar una contraseña adicional. Si está ejecutando un sitio de WordPress de varios autores o usuarios, puede aplicar contraseñas seguras para todos los usuarios de su sitio. También puede agregar autenticación de dos factores para que sea aún más difícil para los piratas informáticos obtener acceso a su área de administración de WordPress.

4. Permisos de archivo incorrectos

Los permisos de archivo son un conjunto de reglas que utiliza su servidor web. Estos permisos ayudan a su servidor web a controlar el acceso a los archivos de su sitio. Los permisos de archivo incorrectos pueden dar acceso a un atacante para escribir y modificar estos archivos. Todos sus archivos de WordPress deben tener un valor de 644 como permiso de archivo. Todas las carpetas de su sitio de WordPress deben tener 755 como permiso de archivo. Consulte nuestra guía sobre cómo solucionar el problema de carga de imágenes de WordPress para saber cómo aplicar estos permisos de archivo.

5. No actualice WordPress

Algunos usuarios de WordPress tienen miedo de actualizar sus sitios de WordPress. Temen que rompa su sitio web. Cada nueva versión de WordPress corrige errores y vulnerabilidades de seguridad. Si no actualiza WordPress, está dejando su sitio vulnerable intencionalmente. Si le preocupa que una actualización rompa su sitio web, puede crear una copia de seguridad completa de WordPress antes de ejecutar una actualización. De esa manera, si algo no funciona, puede volver fácilmente a la versión anterior.

6. No actualice los complementos ni el tema

Al igual que el software básico de WordPress, la actualización de su tema y complementos es igualmente importante. El uso de un complemento o tema desactualizado puede hacer que su sitio sea vulnerable. Las vulnerabilidades de seguridad y los errores a menudo se descubren en los complementos y temas de WordPress. Por lo general, los autores de temas y complementos se apresuran a solucionarlos. Sin embargo, si un usuario no actualiza su tema o complemento, no hay nada que pueda hacer al respecto. Asegúrese de mantener su tema de WordPress y sus complementos actualizados.

7. Usar FTP simple en lugar de SFTP / SSH

Las cuentas FTP se utilizan para cargar archivos a su servidor web mediante un cliente FTP. La mayoría de los servidores web admiten conexiones FTP utilizando diferentes protocolos. Puede conectarse mediante FTP, SFTP o SSH simples. Cuando se conecta a su sitio mediante un simple FTP, su contraseña se envía al servidor sin cifrar. Puede ser espiado y robado fácilmente. En lugar de usar FTP, siempre debe usar SFTP o SSH. No es necesario que cambie su cliente FTP. La mayoría de los clientes FTP pueden conectarse a su sitio web a través de SFTP y SSH. Solo necesita cambiar el protocolo a "SFTP - SSH" cuando se conecte a su sitio web.

8. Usando admin como nombre de usuario de WordPress

No se recomienda utilizar `` admin '' como nombre de usuario de WordPress. Si su nombre de usuario de administrador es admin, debe cambiarlo inmediatamente a otro nombre de usuario. Para obtener instrucciones detalladas, consulte nuestro tutorial sobre cómo cambiar su nombre de usuario de WordPress.

9. Temas y complementos nulos

Hay muchos sitios web en Internet que distribuyen complementos y temas de WordPress pagados de forma gratuita. A veces es fácil tener la tentación de utilizar estos complementos y temas cancelados en su sitio. Descargar temas y complementos de WordPress de fuentes que no son de confianza es muy peligroso. No solo pueden comprometer la seguridad de su sitio web, sino que también pueden usarse para robar información confidencial. Siempre debe descargar los complementos y temas de WordPress de fuentes confiables, como el sitio web de desarrolladores de complementos / temas o los repositorios oficiales de WordPress. Si no puede pagar o no desea comprar un complemento o tema premium, siempre hay alternativas gratuitas disponibles para estos productos. Es posible que estos complementos gratuitos no sean tan buenos como sus contrapartes pagadas, pero harán el trabajo y, lo más importante, mantendrán su sitio web seguro. También puede encontrar descuentos para muchos productos populares de WordPress en la sección de ofertas de nuestro sitio web.

10. No proteja el archivo wp-config.php de configuración de WordPress

El archivo de configuración de WordPress wp-config.php contiene la información de conexión de su base de datos de WordPress. Si se ve comprometido, revelará información que podría darle a un pirata informático acceso completo a su sitio web. Puede agregar una capa adicional de protección al denegar el acceso al archivo wp-config usando .htaccess. Simplemente agregue este pequeño código a su archivo .htaccess.

orden permitir, rechazar rechazar todo

11. No cambie el prefijo de la tabla de WordPress

Muchos expertos recomiendan cambiar el prefijo predeterminado de la tabla de WordPress. Por defecto, WordPress usa wp_ como prefijo para las tablas que crea en su base de datos. Tiene la opción de cambiarlo durante la instalación. Se recomienda utilizar un prefijo un poco más complicado. Esto dificultará que los piratas informáticos adivinen los nombres de las tablas de su base de datos. Para obtener instrucciones paso a paso, consulte nuestra guía sobre cómo cambiar el prefijo de la base de datos de WordPress para mejorar la seguridad.

Limpiar un sitio de WordPress pirateado

Limpiar un sitio de WordPress pirateado puede ser realmente doloroso. Sin embargo, se puede hacer. Aquí hay algunos recursos para ayudarlo a limpiar un sitio de WordPress pirateado:

Consejo de bonificación

Para una seguridad sólida, usamos Sucuri en todos nuestros sitios de WordPress. Sucuri proporciona servicios de detección y eliminación de malware, así como un firewall de sitios web que protegerá su sitio web contra las amenazas más comunes. Descubra cómo Sucuri nos ayudó a bloquear 450.000 ataques de WordPress en 3 meses. Esperamos que este artículo le haya ayudado a descubrir las principales razones por las que el sitio de WordPress es pirateado. También puede consultar nuestra guía de seguridad definitiva de WordPress para proteger su sitio de WordPress. Si le gustó este artículo, suscríbase a nuestro canal de YouTube para ver tutoriales en video de WordPress. También puede encontrarnos en Twitter y Facebook.