Comprobación de seguridad del sitio web: proteja su sitio web contra malware y spam

No es de extrañar que la seguridad se haya convertido en una preocupación importante para los desarrolladores web y los propietarios de sitios. A medida que Internet se hizo popular y se convirtió en el nuevo método de comunicación, investigación y compras, las comprobaciones de seguridad de los sitios web son fundamentales para impedir la propagación de malware y spam.

Ya sea que tenga un pequeño blog personal o una gran tienda en línea multinacional, la amenaza de ser pirateado siempre está presente. Algunas personas desfigurarán su sitio e incorporarán malware en él, intentarán robar sus datos o los de sus clientes y eliminarán contenido importante de su servidor. Necesita protegerse y proteger su información confidencial.

Averigüemos exactamente qué tan seguro es su sitio en este momento. También ofreceremos algunos consejos para eliminar los programas maliciosos de fruta madura que aprovechan los autores. WordPress es seguro desde el primer momento, pero se necesita un poco de trabajo para arreglarlo por completo.

Comprobación de seguridad del sitio web: ¿Por qué es importante?

Puede pensar que su sitio web es tan pequeño y sin importancia que nadie se molestaría en apuntar a él. O tal vez nunca antes pensó en la seguridad y se dio cuenta de que no importa lo suficiente como para molestarse.

Pensando así, es por eso que, en 2013, más del 70% de las instalaciones de WordPress eran vulnerables a los ataques. Muchos de estos ataques se debieron a software desactualizado, porque la mayoría de las personas no saben lo suficiente o no les importa lo suficiente para proteger sus sitios, lo que provocó una ola masiva de piratas informáticos que atacan las instalaciones de WordPress.

Entonces, ¿qué podría suceder si su sitio experimenta una intrusión no deseada? No es solo una simple molestia que se resuelve fácilmente cambiando su contraseña.

• Su sitio podría tener un código insertado en él que haga que los visitantes se infecten con malware, que podría ser extremadamente difícil de localizar y eliminar.
• Sus páginas críticas pueden estar borradas, en blanco o rellenas de enlaces a sitios ilegales.
• Puede resultar en la eliminación de contenido como publicaciones y páginas de blogs.
• La información confidencial, como el inicio de sesión o la información de la tarjeta de crédito que le pertenece a usted, sus usuarios o sus clientes, puede ser robada y vendida en línea.
• Los ataques podrían extenderse a otros sitios web en su servidor.
• Si Google detecta algún malware en su sitio, bloqueará su acceso y lo eliminará de los resultados de búsqueda, destruyendo sus esfuerzos de optimización de motores de búsqueda (SEO).
• El nombre de usuario y la contraseña de la cuenta de administrador se pueden cambiar, lo que le impide acceder a su backend.

Los sitios pirateados pueden ser un gran problema si tiene una tienda de comercio electrónico.

Y aunque puede decir que su sitio no importa lo suficiente, no todos los ataques tienen como objetivo. Muchos ataques de WordPress están automatizados: un bot investiga su sitio en busca de vulnerabilidades e inicia un ataque sin intervención humana.

Es por eso que debe tomar medidas para proteger su sitio, pase lo que pase.

¿Por qué se piratea WordPress?

La piratería está muy extendida, pero ¿cuáles son las vulnerabilidades más comunes que aprovechan los piratas informáticos para irrumpir en su sitio?

Puede imaginar que ingresar a un sitio web es un proceso desafiante que requiere días o semanas de trabajo y un vasto conocimiento sobre computadoras, codificación y servidores. Esta situación podría ser cierta para los intentos específicos de romper las defensas de un sitio grande y bien protegido, pero la historia es muy diferente cuando se trata de pequeños dominios de WordPress.

La gran mayoría de los ataques a WordPress tienen éxito debido a que las personas usan contraseñas fáciles de adivinar y no actualizan sus temas y complementos. Los piratas informáticos irrumpen en la mayoría de estos sitios utilizando programas automatizados.

El descifrado de contraseñas es la forma más simple de pirateo posible, pero es muy común porque funciona. Muchas personas dejan su inicio de sesión de WordPress en el «administrador» predeterminado, eliminando la mitad de las conjeturas y luego usan una contraseña simple que se puede adivinar.

Cuando eso falla, los piratas informáticos aprovecharán las vulnerabilidades comunes en complementos populares o versiones desactualizadas de WordPress. Por eso es tan importante mantener todo actualizado.

Hay muchas formas más complicadas y complejas de ingresar a un sitio web. Aún así, la mayoría de los ataques de WordPress hacen uso del fruto fácil de una contraseña insegura y un software obsoleto que hace que sea extremadamente fácil ingresar a un sitio.

Cómo realizar una verificación de seguridad del sitio web

El primer paso para proteger su sitio web: determinar qué tan seguro ya es su sitio web. ¿Existe alguna vulnerabilidad evidente en su backend que necesite parchear de inmediato, o alguna solución fácil que pueda hacer ahora?

Utilice una herramienta en línea

Una forma rápida y sencilla de comprobar su sitio en busca de malware y vulnerabilidades es utilizar un escáner en línea. Estos escanean de forma remota su sitio e identifican problemas comunes. Es muy conveniente ya que no requiere ningún software ni complementos y solo toma unos segundos.

Hay docenas de escáneres para elegir en línea, y enumeraremos algunos otros en nuestra sección de herramientas a continuación, pero por ahora, escojamos uno popular que sea fácil de usar: Sucuri SiteCheck.

Esta herramienta es una buena opción, ya que puede instalar el complemento Sucuri y solucionar cualquier problema que detecte.

Una vez que escanee su sitio, Sucuri lo comparará con las listas de bloqueo, buscará problemas obvios como spam inyectado o software desactualizado, y escaneará brevemente cualquier código al que pueda acceder en busca de malware. También ofrece algunas sugerencias para fortalecer su sitio contra ataques.

Herramientas como esta son un excelente punto de partida para detectar malware oculto y otros problemas.

Escanee su sitio web con un complemento de WordPress

Si bien los escáneres en línea funcionan lo suficientemente bien, es incluso mejor instalar un complemento que sea capaz de profundizar en la raíz de su código y detectar vulnerabilidades o malware difícil de detectar.

Ya hemos mencionado a Sucuri como una opción. También hay dos complementos de seguridad aún más populares: All in One WP Security & Firewall, y el más descargado en el repositorio, Wordfence Security.

Una vez que haya instalado el complemento de su elección, es probable que le indique que ejecute un escaneo de inmediato. La ventaja de estos complementos sobre los escáneres remotos es que pueden eliminar el malware y realizar cambios automáticamente.

Busque cambios extraños

Si sospecha o sabe que su sitio ha sido infectado con malware, identificar la fuente a veces puede ser un desafío. Aquí hay algunos cambios inexplicables que puede notar, así como los archivos que suelen atraer a los piratas informáticos:

• Enlaces repentinos a sitios web extraños que no agregó usted mismo
• Nuevos artículos y páginas que no creó, o el contenido de las páginas existentes cambia repentinamente
• Cambios en la configuración que no hiciste
• Un nuevo usuario, especialmente uno con privilegios de alto nivel, no agregó
• Complementos o temas que no instaló
• El malware a menudo puede inyectar código malicioso en sus archivos. Compruebe los archivos de plugins y temas, wp-content / uploads carpeta, archivos centrales de WordPress ubicados en un directorio incorrecto, wp-config.php, y .htaccess. Debe realizar una copia de seguridad de su sitio y comprender el código antes de realizar cambios sensibles.

Si se conecta a su sitio con FTP, puede ordenar los archivos modificados recientemente en busca de código que no debería estar allí.

Si su sitio se infecta periódicamente con malware y no puede encontrar ninguna causa en los archivos, el problema puede estar en su servidor u otro sitio en su servidor.

Asegúrese de que todo esté actualizado

Como ya hemos mencionado, el software desactualizado es, con mucho, el vector de infección más común en WordPress. Si solo hay una cosa que puede hacer para mantener su sitio seguro, debería ser mantener actualizado WordPress.

La forma más sencilla de comprobar el estado de todo el software de su sitio es ir a Tablero > Actualizaciones, que le avisará si su núcleo, tema o complementos están desactualizados.

Como WordPress ahora realiza actualizaciones automáticas desde la versión 5.5, nada debería estar desactualizado a menos que tenga una versión desactualizada de WordPress. Si no lo hace, puede actualizar todo desde esta pantalla.

Si sabe que hay una nueva versión de WordPress, pero no aparece, haga clic en el Revisar otra vez boton de abajo Versión actual.

También puede consultar su Complementos > Complementos instalados o Apariencia > Temas páginas para actualizaciones.

Cuentas y contraseñas seguras

Una contraseña débil en su cuenta principal hace que sea fácil para cualquiera ingresar a su sitio con programas de fuerza bruta, dándoles acceso de administrador y la capacidad de cambiar cualquier cosa.

Si bien una contraseña complicada puede ser difícil de recordar, lo que hace que iniciar sesión sea menos conveniente, es aún más inconveniente tener que recuperar su sitio de un pirateo. Definitivamente vale la pena usar una contraseña más segura, incluso si tiene que mantenerla escrita.

Su contraseña debe usar una combinación de letras mayúsculas y minúsculas, números y símbolos. Sería mejor si no lo basara en palabras del diccionario o información personal que se pueda adivinar, como su dirección o el nombre de un miembro de la familia.

En el mejor de los casos, su contraseña sería una cadena larga y enredada de caracteres aleatorios. Le recomendamos encarecidamente que utilice un administrador de contraseñas. Utilice un sitio como 1Password o LastPass para generar una contraseña segura e imposible de adivinar.

Puede actualizar su contraseña y correo electrónico en WordPress yendo a Usuarios > Todos los usuarios o directamente a Usuarios > Perfil. Desplácese hacia abajo y busque Correo electrónico debajo Datos de contacto, y Nueva contraseña debajo Administración de cuentas.

Mientras estás en el Usuarios página, eche un vistazo a todos sus usuarios y asegúrese de que no haya nadie allí a quien no reconozca o que tenga permisos inapropiados. Debe eliminar de inmediato a cualquier usuario no identificado con permisos de administrador.

También le recomendamos que consulte esta guía sobre la restricción de permisos de usuario para que solo su cuenta pueda cambiar archivos confidenciales en su sitio.

Verifique su certificado SSL

Si su certificado SSL está desactualizado, generalmente lo sabrá al instante; Los navegadores como Google Chrome bloquearán el acceso a su sitio con una gran advertencia sobre el certificado caducado. Si no está seguro o ya recibe este error, verifique su certificado SSL para ver si está actualizado y si está utilizando la última versión de SSL / TLS.

Cuando visite un sitio web, verá un icono de candado en la barra de direcciones en la mayoría de los navegadores. Si su certificado está vencido, este candado puede ser rojo o tener una barra diagonal.

Haga clic en el icono de candado y, a continuación, vuelva a hacer clic para ver la información del certificado, incluida su fecha de vencimiento.

También puede usar un verificador de certificados SSL para escanear su sitio y asegurarse de que su certificado no esté vencido y que no haya vulnerabilidades presentes en su protocolo SSL.

Vulnerabilidades comunes

Muchos sitios de WordPress están llenos de pequeños vectores de ataques que pueden parecer inocuos, pero pueden proporcionar más información de la que desea compartir.

Tener una versión de WordPress visible en su interfaz le dice a los piratas informáticos exactamente qué vulnerabilidades están presentes en su sitio. Especialmente si está utilizando una versión desactualizada de WordPress, es posible que desee ocultar esta información.

Notarás editores de archivos debajo Apariencia > Editor de temas y Complementos > Editor de complementos en tu backend.

Si bien estas herramientas son muy convenientes, también las hace adecuadas para que cualquiera que piratee su sitio rompa algo, por lo que es posible que desee desactivarlas. Puede hacerlo agregando esta función a wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Las inyecciones de SQL son una forma común de irrumpir en un sitio. Si tiene algún formulario u otra entrada de usuario, restrinja el uso de caracteres especiales y permita que solo se carguen tipos de archivos comunes y seguros.

Finalmente, para una capa adicional de protección, puede proteger con contraseña los directorios de archivos.

Cómo proteger su sitio web: consejos y herramientas

Si su sitio tiene malware, un buen complemento de seguridad debería ser suficiente para eliminarlo. Y hemos cubierto anteriormente algunas vulnerabilidades que querrá verificar.

Tenemos algunos otros consejos rápidos para proteger su sitio web y prevenir infecciones antes de que ocurran. Puede aplicar la mayoría de estos consejos en minutos, por lo que deberían ser fáciles de configurar incluso si no está familiarizado con WordPress y la seguridad web.

Elija un host seguro

Cuando los piratas informáticos están buscando una forma de ingresar a su sitio, a menudo recurrirán al servidor para buscar vulnerabilidades. Hay un montón de alojamiento barato, pero no siempre invierten en los servidores más seguros.

El alojamiento compartido puede ser un vector de infección. Si un sitio web está infectado con malware, potencialmente se puede propagar a todos los sitios del servidor. Por lo tanto, podría terminar con un sitio lleno de virus y spam de SEO, y ni siquiera sería culpa suya.

Por eso es vital investigar y elegir un host que se preocupe por la seguridad e invierta en servidores seguros. Aún tendrá que esforzarse para proteger su sitio web, pero a nivel del servidor, sus datos están seguros.

Activar la autenticación en dos pasos (2FA)

La autenticación de dos pasos (también conocida como autenticación de dos factores o 2FA) agrega otro paso de inicio de sesión. Además del nombre de usuario y la contraseña, usted o cualquier persona que pretenda serlo también necesitará otra información: un código adicional único.

Podría ser un código numérico enviado a su teléfono, lo que puede hacer que su cuenta de WordPress sea casi imposible de descifrar a través de la fuerza bruta. Alternativamente, puede requerir una verificación por correo electrónico o una información que solo usted conozca.

Si bien no hay una forma incorporada de habilitar la autenticación de dos factores, muchos complementos agregan la funcionalidad a WordPress.

Kinsta ofrece autenticación de dos factores a todos los clientes. Sin embargo, si no es un usuario de Kinsta, el complemento de seguridad de Wordfence que mencionamos anteriormente viene con 2FA incorporado. También puede probar otras herramientas de seguridad de sitios web, como el complemento Two-Factor para códigos de correo electrónico o Duo para configurar la autenticación telefónica de dos factores a través de una aplicación.

Realice copias de seguridad todos los días

Hacer una copia de seguridad de su sitio no puede salvarlo de las personas que intentan entrar, pero si alguna vez sucede algo, tener una copia de seguridad será invaluable. Puede significar la diferencia entre perder semanas o incluso años de trabajo y simplemente restaurar a una copia de seguridad de antes del ataque.

Si está con Kinsta, lo cubriremos con copias de seguridad automáticas diarias que se almacenan durante dos semanas (30 días para aquellos con el Programa de socios de agencias de Kinsta). Además, puede crear cinco copias de seguridad manuales y una copia de seguridad descargable por semana, y hay complementos opcionales para realizar copias de seguridad cada hora o exportar a la nube.

Los complementos como UpdraftPlus también pueden ayudar. Es mejor elegir un servicio que realice copias de seguridad diarias como mínimo para minimizar la pérdida de datos.

Utilice un firewall de aplicaciones web

Un firewall de aplicaciones web, o WAF, utiliza reglas estrictas para filtrar el tráfico entrante, bloqueando las direcciones IP que se sabe que están asociadas con piratería o ataques DDoS. Evita que muchos ataques lleguen a su servidor.

Si bien puede aplicar WAF a nivel de servidor, es más fácil comprar un servicio basado en la nube como el proporcionado por Cloudflare o Sucuri.

Conéctese a través de SSH o SFTP

A veces necesita conectarse a su sitio con FTP para agregar o modificar archivos allí. Siempre es mejor usar SFTP sobre FTP; la diferencia es simple: SFTP es seguro y FTP no lo es.

Con FTP, sus datos no están encriptados. Si alguien logra interceptar la conexión entre usted y su servidor, podría ver todo, desde sus credenciales de inicio de sesión de FTP hasta cualquier archivo que cargue. Conéctese siempre con SFTP.

También puede considerar usar el acceso SSH, que le permite conectarse a un símbolo del sistema y administrar su sitio de manera más directa. Es seguro, seguro y puede manejar tareas simples de forma remota. Nuestra guía de SSH puede ayudarlo si está atascado.

Prevenir ataques DDoS

Los ataques DDoS ralentizan su sitio web a un ritmo lento al enviar spam a su servidor con miles de solicitudes falsas, lo que impide que los lectores o clientes potenciales accedan a él. Aquí hay algunos consejos para detenerlos antes de que sucedan:

• Tenga un plan para cuando ocurra un ataque DDoS. Tu no quieres ser entrar en pánico cuando necesita alertar a su proveedor de alojamiento web y detener el ataque.
• Utilice un firewall de aplicaciones web que pueda detectar tráfico falso.
• Utilice software anti-DDoS diseñado específicamente.
• Deshabilite xmlrpc.php para evitar que aplicaciones de terceros usen su servidor.
• Deshabilite la API REST para usuarios generales.

Prevenir ataques de fuerza bruta

Los ataques de fuerza bruta pueden ser similares a los ataques DDoS, pero el objetivo es adivinar su contraseña de administrador e irrumpir en el sitio en lugar de hacer caer su servidor. Dicho esto, estos también pueden ralentizar su sitio.

• Una vez más, un WAF puede filtrar el tráfico de bots y los intentos flagrantes de fuerza bruta.
• Utilice la autenticación de dos pasos en su cuenta de administrador.
• Configure un registro de actividad y esté atento a los intentos de inicio de sesión no autorizados.
• Cambie la URL de la página de inicio de sesión y limite el número de intentos de inicio de sesión.
• Proteja con contraseña su página de inicio de sesión.
• Utilice una contraseña larga generada aleatoriamente y cámbiela aproximadamente cada año.

Herramientas de seguridad del sitio web que necesita conocer

Además de las que ya hemos mencionado, aquí hay algunas herramientas de seguridad en línea más que lo ayudarán a bloquear su sitio web:

• Intruder.io: busque las últimas vulnerabilidades.
• Prueba de servidor SSL: herramienta de desarrollo que analiza su certificado SSL e identifica debilidades.
• Purificador de HTML: filtra el código malicioso / XSS, excelente si tiene un código infectado que necesita limpiar.
• Observatorio Mozilla: consejos prácticos para purgar su código de vulnerabilidades comunes.
• sqlmap: una herramienta de prueba de penetración para identificar vulnerabilidades en su código SQL.
• Detectar: ​​escanee sus aplicaciones web con la ayuda de piratas informáticos éticos.
• WPScan: un escáner de WordPress basado en CLI.
• SonarQube: escriba código compatible con los estándares sin vulnerabilidades de seguridad.

Lista de verificación de seguridad del sitio web

¿Está su sitio web a salvo de ataques? Asegúrese de haber marcado casi todo en esta lista de verificación:

• ¿Utiliza un entorno de alojamiento seguro y de alta calidad?
• ¿Ha escaneado su sitio con un complemento o un escáner en línea para buscar virus?
• ¿Ha instalado un registro de actividad y lo está controlando para detectar cambios inusuales?
• ¿Usan usted y algún usuario con privilegios de alto nivel contraseñas seguras y autenticación de dos factores? ¿Son correctos todos los correos electrónicos?
• ¿Están actualizados WordPress, sus temas y complementos, y los sistemas subyacentes como PHP?
• ¿Su certificado SSL es seguro y está actualizado?
• ¿Ha verificado cambios inexplicables, eliminación o adición de contenido, o enlaces que no agregó en sus páginas web, configuraciones o archivos?
• ¿Su página de inicio de sesión está protegida por una contraseña e intentos de inicio de sesión limitados?
• ¿Ha buscado nuevos usuarios que no agregó?
• ¿Están protegidos los formularios, los cuadros de comentarios y otras fuentes de entrada del usuario? (No permita los caracteres especiales y restrinja la carga de archivos a tipos de archivos conocidos).
• Has discapacitado xmlrpc.php y la API REST para prevenir ataques DDoS?
• ¿Ha desactivado la edición de temas y complementos en el panel de control?
• ¿Tiene un servicio de respaldo diario en su lugar?
• ¿Tiene un firewall de aplicaciones web configurado?

Resumen

La seguridad del sitio web no es un problema menor, por lo que si aún no está al tanto, ahora es el momento de convertirlo en una prioridad. Ser pirateado no solo molesta: puede terminar en un SEO dañado, una devastadora pérdida de datos, pérdida de la confianza del usuario y malware que regresa una y otra vez.

No es necesario que sea un desarrollador experimentado para realizar algunos pasos adicionales para proteger su sitio. Y eso comienza con una verificación de seguridad adecuada del sitio web. Incluso algo tan simple como elegir una contraseña mejor o cambiar a un host más seguro podría marcar la diferencia.

¿Necesitas más consejos de seguridad? Obtenga más información sobre 19 formas más de proteger su sitio. ¡Y siéntete libre de compartir tus sugerencias en los comentarios a continuación!