Las 15 razones por las que tu WordPress puede ser pirateado

Desgraciadamente tener una página web pirateada no es algo infrecuente, pero es algo que tiene solución. Aquí te voy a explicar las razones por las que tu página web puede sufrir problemas de seguridad y las consecuencias que esto tiene.

Para empezar vamos a ver las consecuencias más habituales que suceden cuando tu página web es pirateada:

  • A los usuarios que visiten tu web se les mostrará SPAM.
  • La información confidencial de tu página web será robada, por ejemplo los datos de tus clientes.
  • Tu web seguirá funcionando con normalidad, pero tendrá código malicioso para fines ilícitos.
  • Se borrarán todos los archivos y la base de datos de tu web, por lo que tu web dejará de existir.

El objetivo en la mayoría de los casos es ganar dinero con tu página web, ya sea aprovechándose de tu tráfico web o utilizando información obtenida de manera ilícita, en ciertos casos hay chantajes de por medio.

Si aprecias tu negocio, no descuides la seguridad. Más vale prevenir que curar, ya que los daños pueden ser elevados.

Algunos clientes me preguntan si WordPress es inseguro y mi respuesta corta es no, WordPress no es inseguro. Cuando detectan algún tipo de vulnerabilidad de seguridad, lo solucionan rápidamente. Pero no siempre es así cuando se trata de los temas y plugins que utilizamos en nuestra web, aquí estamos a merced de los autores de dichos componentes y no siempre lo solucionan a tiempo.

Es muy importante instalar sólo los temas y plugins imprescindibles, no más. Así como también utilizar componentes de autores de confianza, que ante una vulnerabilidad respondan rápidamente.

Por eso yo siempre recomiendo tener contratado un mantenimiento web profesional, para así evitar quebraderos de cabeza y pérdidas económicas. En un mantenimiento web profesional por ejemplo deben estar incluidas las actualizaciones periódicas, revisiones de seguridad diarias, copias de seguridad diarias… En caso de no ser así, es probable que antes o después los problemas surjan.

Aquí me voy a centrar en la prevención, para así evitar que nuestra web sea pirateada. Suena bien, ¿verdad?

Usa contraseñas seguras

Te pondrías las manos a la cabeza si vieses algunas de las contraseñas que me envían, excepto seguras son de todo.

Recomiendo utilizar contraseñas seguras que tengan lo siguiente:

  • Números
  • Letras
  • Mayúsculas y minúsculas
  • Signos, como por ejemplo el dólar ($)

Si la imaginación para crear una contraseña no es lo tuyo, puedes utilizar la herramienta DashLane.

Y si utilizas una contraseña como te recomiendo, no será sencilla de recordar y no es cuestión de anotarla en un sitio de fácil acceso. Para esto te recomiendo utilizar LastPass.

Activa la autenticación en 2 pasos

Sé que te estoy pidiendo mucho, pero es porque realmente me importas y quiero que tu web esté segura.

La autenticación en 2 pasos consiste en introducir la contraseña habitual y posteriormente un código de verificación, para esto puede utilizar el plugin Two-Factor.

Con eso será mucho más difícil conseguir el acceso de manera ilícita por parte de los piratas informáticos.

Bloquea los ataques de fuerza bruta

Uno de los modos más habituales de atacar una web es hacerlo de modo automático, esto consiste en adivinar la contraseña de los usuarios probando numerosas combinaciones. Por esto es importante utilizar una contraseña segura y no por ejemplo “admin”.

Lo ideal es limitar lo errores de contraseña equivocada, para así prevenir este tipo de ataque. Un modo sencillo es utilizando el plugin "Limit Login Attempts". Si utilizas Cloudflare no hace falta este plugin, ya que dentro de sus medidas de seguridad incluye la prevención de ataques de fuerza bruta.

Utiliza usuarios seguros

Cuando accedemos a una web introducimos el usuario y contraseña, anteriormente te he hablado de la contraseña y ahora toca que nos centremos en el usuario. Si aún utilizas el clásico usuario “admin”, ya estás tardando para en cambiarlo.

Recomiendo que el nombre de usuario tenga números y letras, por ejemplo “umw1632”. Como ves este nombre de usuario no sigue ningún patrón establecido, invéntate uno y utilízalo.

Cuidado con los privilegios de administrador

Sólo deben tener acceso como administrador las personas realmente necesarias, al resto de usuarios se les puede asignar otro rol con menos privilegios que sea suficiente para desempeñar su trabajo. La mayoría de las webs no necesita más de 1 o 2 usuarios administradores.

Debes borrar todos los usuarios administradores que no utilices.

Actualiza WordPress

Parece obvio, pero la dejadez es muy peligrosa y muchas personas no actualizan WordPress desde hace bastante. Por lo que las vulnerabilidades de seguridad pueden ser numerosas y el riesgo de ser pirateado aumenta considerablemente.

En ocasiones puede que cierto tema o plugin deje de funcionar con cierta actualización, en estos casos es necesario encontrar una solución, pero nunca dejar WordPress sin actualizar.

Si alguna actualización de WordPress ha provocado fallos en tu web, ponte en contacto conmigo y veo cómo te puedo ayudar.

Actualiza los temas y plugins que utilices

Al igual que con las actualizaciones de WordPresss, actualizar los temas y plugins que utilices en tu web es muy necesario.

Las actualizaciones de seguridad te recomiendo hacerlas cada día y el resto de actualizaciones, normalmente con 1 vez a la semana es suficiente. Es muy recomendable hacer copias de seguridad antes de cualquier actualización, así podremos restaurar la web si surgen problemas.

Contrata un alojamiento web seguro

Si tu web realmente te interesa, no escatimes en el alojamiento de tu página web, ya que te puedes arrepentir. Yo te recomiendo SiteGround, es donde tengo alojada mi web y el proveedor de hosting que suelo recomendar a mis clientes.

En ocasiones podemos sufrir problemas de seguridad y no precisamente por nuestra web, sino por brechas de seguridad del propio hosting. Un buen proveedor de alojamiento web tiene numerosas medidas de seguridad y corrige a diario todas las vulnerabilidades que surgen, mientras que otros dejan bastante que desear.

Yo me he encontrado con este problema y el primer paso para solucionarlo siempre ha sido el mismo, cambiar la web a un hosting profesional y seguro.

Deja de usar el protocolo FTP

Si te gusta subir o editar archivos a través del FTP con Filezilla u otros programas similares, te recomiendo que dejes de conectarte por FTP. Ya que es un protocolo desactualizado y poco seguro, si lo utilizas estás poniendo en peligro tu página web.

Los piratas informáticos están pendientes del tráfico FTP para capturar los datos de conexión, ya que éstos se transfieren sin cifrar y una vez los consigan, podrán acceder fácilmente a tu servidor y hacer lo que les plazca.

Como alternativa te recomiendo usar SFTP o SSH, esto te permitirá una conexión segura.

No utilices componentes inseguros

No compres ni descargues ningún tema o plugin de fuentes no oficiales, así como tampoco de autores que no conozca nadie.

Últimamente está muy de moda las webs que revenden componentes para WordPress sin actualizaciones y por un módico precio, es legal, pero no muy ético que digamos. Ya que se están aprovechando del trabajo de otras personas y sin pagar una licencia multisitio. Además nadie puede asegurarnos que el código de estos componentes no ha sido modificado, por lo que la seguridad de nuestra web se puede ver perjudicada.

Y sal corriendo de sitios que ofrecen temas y plugins premium sin costo, esto huele muy mal, no te la juegues.

Por otro lado, también nos podemos encontrar en la situación que necesitamos un plugin para una funcionalidad muy específica y lo encontramos en una de las tantas webs de Internet, pero es una web que no genera confianza y las referencias brillan por su ausencia. Mi recomendación es que no lo compres, ya que no sabemos nada de ese desarrollador y puede venir con regalo incluido, es decir, con código malicioso.

Usa las Salts de WordPress

Las Salts de WordPress no es más que una función de seguridad que ayuda por ejemplo en el cifrado de las contraseñas, ésta esta compuesta por diferentes claves y se encuentran en el archivo “wp-config.php”.

Si en el archivo “wp-config.php” no encuentras “AUTH_KEY”, “SECURE_AUTH_KEY”… te recomiendo encarecidamente que añadas estas claves justo después de los datos de conexión a la base de datos. Para generar estas claves haz clic aquí y añádelas en el lugar que te he indicado.

En el caso que no sepas como hacerlo, no te preocupes, puedes contratar mi servicio de "Asistencia Técnica" y yo me encargo. Tendrás 60 minutos para realizar pequeñas tareas en tu web y puedes utilizar éste tiempo durante 1 año.

Securiza tu WordPress

Es posible que te preguntes qué es esto de securizar WordPress, pues bien no es más que mejorar la seguridad de WordPress. Vamos lo que se conoce coloquialmente como una optimización de seguridad.

Esto consiste en realizar diferentes tareas que mejoren la seguridad y por ello las posibilidades de sufrir un pirateo informático se reduzcan. Algunas de las mejoras que podemos realizar son deshabilitar el editor de archivos, usar permisos seguros, cambiar la url de acceso, etc.

Ten el Dominio y Hosting separados

Podemos tener el dominio y el hosting con el mismo proveedor, pero yo personalmente siempre recomiendo tenerlo en proveedores diferentes. Por ejemplo, el dominio en DonDominio y el hosting en SiteGround.

Si por alguna circunstancia queremos cambiar de hosting, pues simplemente cambiamos la web y actualizamos las DNS del dominio. Además en los proveedores especializados en dominios solemos tener mayor variedad de extensiones (“.es”, “.com”, “.eu”, etc) y el costo anual es menor.

Y esperemos que no, pero si surgen problemas con tu proveedor de hosting nunca perderás tu dominio. Desgraciadamente conozco varios casos de personas que han perdido sus dominios y es una situación bastante desagradable. Con un hosting profesional tipo SiteGround, no es normal que esto suceda, pero aún así, prefiero tenerlo por separado.

Un consejo final, asegúrate que tú figuras como titular del dominio.

Utiliza HTTPS

Si aún tu web trabaja con HTTP, ya es hora de que la pases a HTTPS. Esto te permitirá tener una web más segura, generarás más confianza a tus potenciales clientes y también te ayudará a mejorar tu posicionamiento en Google. Así que ya sabes lo que toca 😉

Te recomiendo utilizar un certificado SSL gratuito llamado Let’s Encrypt, hoy en día la mayoría de las empresas de alojamiento web lo ofrecen y se encargan de renovarlo periódicamente. Así que una vez tu web trabaje con HTTPS, ya no te tendrás que preocupar por nada.

Para pasar una web de HTTP a HTTPS de un modo correcto no es algo que pueda hacer todo el mundo, ya que requiere de ciertos conocimientos técnicos. En ocasiones me llegan clientes que lo han intentado y la han liado parda, al final les ha salido más caro el collar que el perro.

Si necesitas de mi ayuda, puedes contratar mi servicio de "Asistencia Técnica".

Cuidado con los registros inseguros

En ocasiones los servidores y ciertos plugins tienen registros habilitados, puede que en ciertas ocasiones sea necesario, pero no siempre. Y lo realmente peligroso es que estos registros sean públicos y cualquiera pueda acceder, en este caso la brecha de seguridad sería muy importante.

Te recomiendo revisarlo, para asegurarte de que no tienes este problema.

Y ya para terminar, como ves hay que tener bastantes cosas en cuenta para tener una web segura y aún así, es imposible garantizarlo al 100%. Pero si sigues los pasos que te he indicado y realizas un correcto mantenimiento, lo más probable es que tu web esté segura en todo momento.

Si quieres centrarte en tu negocio y delegar el mantenimiento web, yo te puedo ayudar y por un módico precio.

Picture of Sobre mí

Sobre mí

¡Hola! Me llamo Jose AMD, vivo en Sevilla y soy Desarrollador Web. Estoy aquí para ayudarte a crear y mejorar tu página web, para que así puedas convertir tus grandes ideas en realidad. ¡Infórmate!

Déjame un mensaje

Me gustaría saber más sobre ti, tus proyectos y cómo crees que puedo ayudarte con tu página web. Puedes contactar conmigo enviándome un email a info@joseamd.es o rellenando el siguiente formulario, como prefieras 😉

  • Este campo es un campo de validación y debe quedar sin cambios.