Jul 27, 2021 鈥 5 min read

0 comentarios

Plugins de seguridad WordPress imprescindibles para mantener a los hackers a raya

Hacer que tu sitio web sea seguro no es cosa de una sola acci贸n. No es un interruptor que puedas cambiar a “SEGURO” y luego no volver a preocuparte por 茅l. La seguridad web est谩 integrada en capas. El objetivo de cada capa es conseguir que a los malos entrar les sea un poco m谩s dif铆cil. Nuestro objetivo es colocar las capas suficientes para que se rindan y se vayan a por otra web con menos capas.

Exactamente, 驴qu茅 es la “seguridad WordPress”?

Muchos propietarios de sitios web con los que hablo piensan que la seguridad de WordPress es un plugin que instalan o un servicio que compran. Nada mas lejos de la realidad. La seguridad es una forma de pensar, no es algo espec铆fico. Es algo en lo que debes pensar en cada decisi贸n que tomes sobre tu sitio web.

  • 驴Quieres un tema nuevo? 驴Cu谩l es la reputaci贸n de los desarrolladores de temas en cuanto a seguridad?
  • 驴Quieres agregar un nuevo plugin? 驴C贸mo es de seguro es? 驴Se ha informado de alguna vulnerabilidad en 茅l?
  • 驴Quieres contratar a un nuevo desarrollador? 驴Qu茅 tienen los dem谩s que decir sobre su trabajo? 驴Su c贸digo es seguro?

Cada decisi贸n que tomes debe estar envuelta en la pregunta “驴C贸mo afectar谩 esto a la seguridad de mi web?” Si no puedes decir con certeza que la respuesta a esa pregunta es aumentarla o al menos no da帽arla, entonces necesitas reconsiderar la decisi贸n.

La otra analog铆a que uso mucho es que la seguridad no es una acci贸n espec铆fica, sino una serie de capas que a帽ades en tu sitio.

  • La capa superior es un firewall de red.
  • La siguiente capa es el firewall de tu aplicaci贸n (en WordPress, esto suele ser un complemento)
  • La siguiente capa son las contrase帽as seguras.
  • La siguiente capa es la verificaci贸n de dos pasos
  • La siguiente capa es mover tu directorio wp-admin a un nombre diferente.
  • La siguiente capa, no usar el nombre “admin” para iniciar sesi贸n.
  • La pr贸xima capa es deshabilitar XML-RPC.

Ninguna de estas cosas por s铆 sola har谩 que tu sitio sea seguro. Sin embargo, todas juntas pueden hacer que tu sitio est茅 suficientemente protegido para que los malos se vayan a por otra web con menos seguridad. Otra buena noticia es que hoy en d铆a puedes proteger f谩cilmente tu sitio web aloj谩ndolo en un hosting de alta calidad que est茅 comprometido con la seguridad.

La instalaci贸n de un certificado SSL no est谩 en la lista anterior porque tener un certificado SSL no es una medida de seguridad, es algo que debes hacer s铆 o s铆 cuando configuras todos y cada uno de tus sitios web. Mejoran su seguridad y su clasificaci贸n en los motores de b煤squeda. Dado que ahora son gratuitos, no hay absolutamente ninguna raz贸n para que un sitio web se ejecute sin uno. Adem谩s, para hac茅rtelo a煤n m谩s f谩cil, en SiteGround instalan en tu web de forma gratuita el certificado SSL por ti poco tiempo despu茅s de crearla dentro de su hosting.

>> Si te interesa saber m谩s sobre la seguridad WordPress, desc谩rgate ahora nuestro eBook gratuito 21 Consejos para mantener tu WordPress seguro <<

驴Cu谩les son los mejores plugins de seguridad WordPress para proteger cada capa de tu web WordPress?

La mayor铆a de las personas necesitar谩n algo de tiempo para crear la configuraci贸n en capas descrita anteriormente. Como mencion茅 anteriormente, casi todo se puede lograr en estos d铆as aunque no seas un webmaster t茅cnico. Dicho esto, si pensar c贸mo proteger tu web te pone nervioso o no est谩s seguro de tu capacidad para dedicar tiempo a hacer las cosas bien, contrata a alguien en quien conf铆es para que lo haga por ti.

Firewall de red

Si est谩 utilizando un proveedor de hosting de buena reputaci贸n como SiteGround, ellos se encargar谩n de configurarlo por ti. Si no est谩s seguro de si tu hosting te brinda este servicio, preg煤ntale. Si no obtienes un “S铆, le proporcionamos un firewall a nivel de red”, muy claro. Considera buscar un nuevo hosting que s铆 lo tenga.

Firewall de aplicaci贸n

En el ecosistema de WordPress, un Firewall de aplicaci贸n generalmente significa un plugin. Hay varios buenos con una s贸lida reputaci贸n para elegir. Por lo general, no recomiendo plugins espec铆ficos porque tan pronto como lo hago, alguien me escribe para decirme en qu茅 est谩n equivocadas mis recomendaciones. A煤n as铆, dado que muchos usuarios me han pedido recomendaciones sobre plugins de seguridad, voy a romper mi regla y hacer algunas. Es importante tener en cuenta que estos no est谩n en ning煤n orden en particular.

Por cierto, la mayor铆a de estos plugins hacen mucho m谩s que simplemente ser un Firewall a nivel aplicaci贸n, como por ejemplo:

  • Escaneo de malware
  • Auditor铆as de seguridad
  • Endurecimiento de la seguridad
  • Firewall del sitio web

Algunas de las empresas detr谩s de estos plugins tambi茅n ofrecen eliminaci贸n de malware y limpieza de sitios pirateados. Si buscas tranquilidad, es una gran caracter铆stica.

Jetpack

Jetpack es el plugin 贸mnibus de Automattic. Tiene muchas funciones y la mayor铆a no se ocupan de la seguridad. Sin embargo, tiene algunas caracter铆sticas de seguridad integradas. Si ya tienes Jetpack instalado, considera comprar las funciones de seguridad.

Si actualmente no tienes Jetpack instalado y no necesitas ninguna de las otras funciones, es posible que esta no sea la mejor soluci贸n.

Sucuri Security

Sucuri tiene ya experiencia y una gran reputaci贸n. Adem谩s de ofrecer un firewall de aplicaciones web, Sucuri ofrece muchas otras caracter铆sticas:

  • Eliminaci贸n de malware y limpieza de pirateo
  • Mitigaci贸n avanzada de DDoS
  • Frecuencia de escaneo de malware y pirater铆a

Estas tres caracter铆sticas son importantes y est谩n cubiertas por su nivel b谩sico.

iThemes Security Pro

Actualmente no lo estoy usando, pero cuando s铆 lo hac铆a era uno de los mejores, si no el mejor, del mercado. (Es importante tener en cuenta que no creo que el plugin fuese a peor de ninguna manera, simplemente mis necesidades cambiaron).

Lo 煤nico que recuerdo sobre este plugin es que su p谩gina de administraci贸n es compleja. Aseg煤rate de reservar algunas horas durante un par de d铆as para leer y comprender todas las opciones disponibles para que puedas tomar las decisiones correctas. Este consejo es igualmente aplicable a todos los plugins de seguridad.

A diferencia de otros plugins, iThemes te ofrece todas las funciones en todos los niveles de precios. La diferencia de precio se basa en la cantidad de sitios que desees proteger.

Contrase帽as seguras

Aunque hay plugins disponibles para esta capa, afortunadamente el soporte de contrase帽as est谩 integrado en el n煤cleo de WordPress. Te recomiendo encarecidamente que apliques contrase帽as seguras a cualquier usuario que tenga una seguridad superior a Invitado o Suscriptor en tu web. Si pueden administrar algo, deber铆an tener al menos una contrase帽a segura.

WP 2FA

La verificaci贸n en dos pasos (2FA) es una de las tecnolog铆as m谩s nuevas que han llegado a la web, pero es importante. Los inicios de sesi贸n y las contrase帽as se pueden robar online, pero un tel茅fono no. Al a帽adir 2FA como una capa a tu seguridad, haces imposible que alguien acceda a tu sitio web solo porque consigui贸 tu nombre de usuario y contrase帽a.

Un plugin que he usado durante a帽os para implementar la verificaci贸n en dos pasos es WP 2FA. Solo hace eso. Si ya tienes un firewall de aplicaciones que implementa la verificaci贸n en dos pasos, 煤salo, pero si no lo hace, WP 2FA es una buena opci贸n.

鈥 el resto

Las otras capas a煤n necesitan ayuda. Prob茅 combinaciones de docenas de plugins diferentes para implementarlos y cada vez algo diferente no sali贸 bien. Si bien me encanta el concepto de “un plugin, una funci贸n” A veces los plugins no funcionan bien entre s铆 y luego terminas con un l铆o entre tus manos.

Es por eso que me emocion茅 cuando SiteGround lanz贸 su propio plugin de seguridad WordPress, SiteGround Security. Envuelve muchas capas de seguridad en un solo plugin.

隆Correo electr贸nico de inicio de sesi贸n enviado!

Suscribirse a
m谩s contenido incre铆ble

Suscr铆bete para recibir nuestra newsletter mensual con contenido 煤til y ofertas de SiteGround.

隆Gracias!

Por favor, revisa tu correo electr贸nico para confirmar la suscripci贸n.

SiteGround Security: el plugin todo en uno para la seguridad WordPress

Este es un reci茅n llegado al grupo, pero ya se ha convertido en mi plugin de seguridad favorito. Ya lo tengo instalado en 4 de mis instalaciones de WordPress, solo una de ellas est谩 alojada en SiteGround.

SiteGround Security viene con muchas caracter铆sticas de seguridad. Cada una de ellas se puede activar o desactivar en un clic sin interferir con el resto de funciones. Mis 4 caracter铆sticas favoritas del plugin son las siguientes:

  • Autenticaci贸n de dos factores
  • Deshabilitar XML-RPC
  • Deshabilitar el nombre de inicio de sesi贸n “admin”
  • Bloquear y proteger las carpetas del sistema

He instalado plugins independientes que hac铆an cada una de estas cosas y siempre terminaba eliminando el plugin porque no hac铆a el trabajo como yo quer铆a o se convert铆a en “abandonware” y retrasaba la actualizaci贸n de mi sistema.

En cambio, SiteGround Security integra las cuatro funciones importantes en un solo plugin y, debido a que fue creado por SiteGround, s茅 que no se abandonar谩.

Hace mucho m谩s que estas 4 cosas, pero estas son las m谩s importantes para m铆. Para ver todo lo que puede hacer, 隆lo mejor es que lo instales y lo compruebes por ti mismo/a! Est谩 disponible tanto para webs alojadas en SiteGround, donde el plugin viene preinstalado en las nuevas instalaciones de WordPress, como para webs alojadas en otros proveedores de hosting.

Concluyendo sobre la seguridad WordPress

Dedicar tiempo a pensar en mantener tu web segura siempre es tiempo bien invertido. Es a煤n m谩s importante ahora que estamos en tiempo de vacaciones. Asegurarte de estar actualizado/a y lo m谩s protegido/a posible significa que puedes dedicar menos tiempo a preocuparte por tu web y tener m谩s tiempo para disfrutar de tus vacaciones.

Recuerda, el objetivo de la seguridad no es bloquear el sistema firmemente para que nadie pueda acceder a 茅l, porque entonces 鈥 bueno, nadie podr铆a entrar. El objetivo de la seguridad es hacerlo lo suficientemente dif铆cil para que los malos se vayan a por otra web en la que sea m谩s f谩cil entrar.

“La seguridad es un viaje, no un destino.”

Cal Evans

avatar del autor

Cal Evans

Evangelista PHP

Una de las personas m谩s admiradas de la comunidad PHP, que ha dedicado m谩s de 16 a帽os a construir la incre铆ble comunidad PHP y asesorar a la pr贸xima generaci贸n de desarrolladores. Nos sentimos extremadamente honrados de que 茅l tambi茅n sea un amigo muy especial de SiteGround.

Iniciar discusi贸n

Art铆culos relacionados

Ha llegado el momento de practicar

Ha llegado el momento de practicar

Elige el proveedor de alojamiento que te ayude a comenzar de manera f谩cil, a construir r谩pidamente y a crecer fuerte. Est谩 libre de riesgos con nuestra garant铆a de devoluci贸n de dinero de 30 d铆as.