La seguridad en WordPress es un tema de mucha importancia para todos los propietarios de blogs y sitios web. Es por esto que Ayuda Hosting les presenta esta guía completa de seguridad para WordPress.
Google incluye diariamente en su lista negra más de 10.000 sitios web por contener malware y un aproximado de 50.000 cada semana por phishing. Por otra parte, Google reportó en marzo de 2016, que más de 50 millones de usuarios de sitios web fueron advertidos sobre la existencia de un sitio web, muy visitado, que podría contener malware o robar información.
Si para nosotros es importante nuestro sitio web, debemos prestarle atención a las mejores prácticas de seguridad de WordPress. En esta guía, compartiremos los más importantes consejos de seguridad de WordPress para ayudar a proteger nuestra web contra hackers y malware.
Si bien el software básico de WordPress es bastante seguro, y es auditado regularmente por cientos de desarrolladores, hay mucho que se puede hacer para mantener nuestro sitio más seguro.
En Ayuda Hosting, somos de la opinión que la seguridad no se trata solo de la reducción de los riesgos porque no es posible su eliminación total. Como propietarios de un sitio web, hay muchas cosas que podemos hacer para mejorar la seguridad de WordPress (incluso si no somos expertos en tecnología).
También te puede interesar nuestra guía sobre qué es un Proxy y cómo puede ayudarme.
Índice
- 1 ¿La seguridad de nuestro sitio web es realmente importante?
- 2 Cómo mejorar la seguridad de WordPress en pasos sencillos
- 3 Seguridad de WordPress para usuarios “Hágalo usted mismo” (DIY)
- 3.1 1. Cambiar el nombre de usuario «admin» predeterminado
- 3.2 2. Deshabilitar la edición de archivos
- 3.3 3. Deshabilitar la ejecución de archivos PHP para ciertos directorios de WordPress
- 3.4 4. Limitar los intentos de inicio de sesión
- 3.5 5. Añadir autenticación en dos pasos
- 3.6 6. Cambiar el prefijo de la base de datos de WordPress
- 3.7 7. Agregar contraseña de protección de WordPress Admin y página de inicio de sesión
- 3.8 8. Desconectar indexación de directorios y navegación por intrusos
- 3.9 9. Deshabilitar la función XML-RPC de WordPress
- 3.10 10. Cerrar automáticamente la sesión por inactividad en WordPress
- 3.11 11. Añadir una pregunta de seguridad al iniciar sesión en WordPress
- 3.12 12. Escaneo de malware y vulnerabilidades en WordPress
- 3.13 13. ¿Cómo arreglar un sitio de WordPress hackeado?
¿La seguridad de nuestro sitio web es realmente importante?
Una web de WordPress hackeada puede causar graves daños a nuestros ingresos y a la reputación de nuestra empresa. Los hackers informáticos pueden robar información de los usuarios, contraseñas, instalar software malintencionado y pueden distribuir malware hacia nuestros usuarios.
En algún caso, podríamos estar pagando «rescate» por ransomware (rogueware o scareware) a los hackers para poder recuperar nuestro blog o sitio web.
El ransomware es una variante de malware que imposibilita a los usuarios ingresar a su sistema o ficheros personales bloqueándolos, para luego exigir el pago de un rescate como condición para permitirles acceder nuevamente a ellos.
Si nuestro sitio web es un negocio, entonces debemos prestarle especial atención a la seguridad de WordPress.
Al igual que es responsabilidad de los propietarios de negocios la de proteger el local físico de su tienda, como propietario de un negocio en línea, es nuestra responsabilidad proteger el sitio web de nuestro negocio.
Proporcionaremos una serie de directrices que podemos aplicar para proteger nuestro sitio web contra vulnerabilidades de seguridad.
Mantener WordPress siempre actualizado
WordPress es un software gratuito que se actualiza de manera regular. Es un sistema de gestión de contenidos que se instala de forma automática con sucesivas actualizaciones menores. Para las versiones principales, debemos iniciar en forma manual la actualización.
WordPress incluye además miles de temas y complementos o plugins que pueden ser instalados en nuestro sitio web. Estos plugins y temas se mantienen actualizados por desarrolladores externos que también publican actualizaciones con regularidad.
Estas actualizaciones son fundamentales para mantener seguro y estable nuestro sitio de WordPress. Debemos asegurarnos que el núcleo de WordPress, los complementos y el tema estén actualizados.
Crear contraseñas robustas y permisos de usuario
Los intentos de penetración por hackers en WordPress más comunes utilizan contraseñas robadas. Podemos dificultarles el acceso usando contraseñas más seguras, haciéndolas más robustas y únicas para nuestro sitio web. No solo para el área de administración de WordPress, sino también para la base de datos, las cuentas FTP, la cuenta de hosting y las cuentas de correo electrónico personalizadas que usan el nombre de dominio de nuestro sitio.
A muchos usuarios no les gusta usar contraseñas seguras porque son difíciles de recordar. Lo bueno es que ya no necesitas recordar las contraseñas. Puedes utilizar un administrador de contraseñas.
Otra forma de reducir riesgos es restringir por completo el ingreso a nuestra cuenta de administrador de WordPress. Si tenemos un equipo de trabajo grande o autores invitados, debemos asegurarnos de comprender los roles y capacidades de cada uno de los usuarios en WordPress antes de agregar nuevas cuentas de usuarios y autores a nuestro sitio de WordPress.
El papel de WordPress Hosting
El servicio de alojamiento de WordPress juega el papel más importante en la seguridad de nuestro sitio de WordPress.
Una buena compañía de alojamiento web trabaja en segundo plano para proteger sus sitios web y datos.
- Continuamente monitorean su red para detectar actividades sospechosas.
- Todas las buenas compañías de alojamiento tienen herramientas para prevenir ataques DDoS a gran escala.
- Mantienen actualizados el software y el hardware de sus servidores para evitar que los piratas informáticos aprovechen cualquier vulnerabilidad de seguridad conocida en una versión anterior.
- Están listos en todo momento para implementar planes de contingencia ante ataques o pérdida de información, lo que les permite proteger nuestros datos en caso de un incidente grave.
En un plan de alojamiento compartido, compartimos los recursos del servidor con muchos otros clientes. Esto aumenta el riesgo de contaminación entre sitios donde un hacker informático puede usar un sitio vecino para atacar nuestro sitio web.
El uso de un servicio de alojamiento de WordPress gestionado proporciona una plataforma más segura para su sitio web. Las compañías de alojamiento de WordPress administradas ofrecen copias de seguridad automáticas, actualizaciones automáticas de WordPress y configuraciones de seguridad más avanzadas para proteger nuestro sitio web.
Cómo mejorar la seguridad de WordPress en pasos sencillos
Sabemos que mejorar la seguridad de WordPress puede ser una actividad un tanto problemática para los usuarios. Especialmente si no se es técnico. Pero no es difícil y podremos llevarte de la mano.
Estas premisas ayudarán a muchos usuarios a fortalecer su seguridad de WordPress.
Les mostraremos cómo podemos mejorar la seguridad de WordPress con solo unos pocos clics (no se requiere codificación).
1. Generar copias de seguridad de WordPress
Las copias de seguridad son su primera defensa contra cualquier ataque de WordPress. Recordemos que nada es 100% seguro. Si los sitios web del gobierno pueden ser hackeados, también lo pueden hacer con los nuestros.
Las copias de seguridad nos permiten restaurar rápidamente nuestro sitio de WordPress en caso de que algo malo suceda.
Existen muchos plugins de copia de seguridad de WordPress gratuitos y muy fáciles de usar. Lo más importante que debemos conocer cuando se trata de copias de seguridad es que debemos guardar las copias de seguridad de todo el sitio web en una ubicación remota (no en nuestra cuenta de alojamiento).
Recomendamos almacenarlo en un servicio de nube como Amazon, Dropbox o nubes privadas como Stash.
Según la frecuencia con la que actualicemos nuestra web, la configuración ideal puede ser una vez al día o copias de seguridad en tiempo real.
Afortunadamente, esta tarea la podemos hacer con facilidad mediante el uso de plugins como VaultPress o UpdraftPlus. Ambos son confiables y, lo que es más importante, fáciles de usar (no se necesita codificación).
2. Tener un buen Plugin de Seguridad de WordPress
Después de las copias de seguridad, lo siguiente que debemos hacer es configurar un sistema de auditoria y monitoreo que le haga seguimiento de todo lo que sucede en nuestro sitio web.
Esto incluye cualquier monitoreo de integridad de archivos, intentos fallidos de inicio de sesión, escaneo de malware, etc.
Afortunadamente, todo esto puede ser atendido por uno de los mejores plugins gratuitos de seguridad de WordPress, Sucuri Scanner.
Necesitamos instalar y activar el plugin gratuito de seguridad de Sucuri. Para obtener más detalles, consulte nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Tras activarlo, debemos ir al menú Sucuri en nuestro administrador de WordPress. Lo primero que se nos pedirá que hagamos es generar una clave API gratuita. Esto permite el registro de auditoria, la verificación de integridad, las alertas de correo electrónico y otras características importantes.
Lo siguiente que debemos hacer es seleccionar la pestaña Hardening Options en el menú de Settings. Nos desplazaremos a través de cada opción y hacemos clic en el botón Apply Hardening.
Estas opciones nos ayudan a bloquear las áreas clave que los hackers informáticos suelen utilizar en sus ataques.
Después de la parte de refuerzo, la configuración predeterminada del plugin es lo suficientemente buena para la mayoría de los sitios web y no necesita ningún cambio. Lo único que recomendamos personalizar son las Alertas de correo electrónico.
La configuración de alerta predeterminada puede saturar su bandeja de entrada con correos electrónicos. Recomendamos recibir alertas para acciones clave como cambios en los plugins, registro de nuevos usuarios, etc. Podemos configurar las alertas en Settings de Sucuri en la pestaña Alerts.
Este plugin de seguridad de WordPress es muy poderoso, así que recomendamos navegar por todas las pestañas y configuraciones para ver todo lo que hace. Veremos que realiza análisis de malware, hace registros de auditoria, seguimiento de intentos de inicio de sesión fallidos, etc.
3. Habilitar firewall de aplicaciones web (WAF)
La forma más fácil de proteger nuestro sitio web y confiar en nuestra seguridad de WordPress es mediante el uso de un servidor de seguridad de aplicación web (WAF).
El firewall de un sitio web bloquea todo el tráfico malicioso incluso antes de que llegue a nuestro sitio web.
- Cortafuegos de sitios web de nivel DNS: estos cortafuegos dirigen el tráfico de nuestro sitio mediante de servidores proxy en la nube. Esto permite enviar solo tráfico limpio a nuestro servidor web.
- Firewall a nivel de aplicación: los complementos de este firewall verifican el tráfico cuando llega a nuestro servidor y lo hace antes de ejecutar gran parte de los scripts de WordPress. Este procedimiento no es tan eficiente como el anterior para disminuir la carga del servidor.
Es recomendable el uso de Sucuri como el mejor cortafuegos de aplicaciones web para WordPress.
Lo mejor del firewall de Sucuri es que también incluye la opción de limpieza de malware y la garantía de eliminación de la lista negra. Básicamente, si fuésemos hackeados bajo la supervisión de Sucuri, ellos nos garantizan que arreglarán nuestro sitio web (sin importar cuántas páginas tengamos).
Esta es una garantía bastante atractiva y deseada porque la reparación de sitios web hackeados es costosa.
Sucuri no es el único proveedor de firewall de nivel DNS que existe. Uno de los competidores más fuertes es Cloudflare.
4. Mover nuestro sitio de WordPress a SSL/HTTPS
SSL (Secure Sockets Layer) es un protocolo de seguridad que cifra la transferencia de datos entre nuestro sitio web y el navegador de los usuarios. Este cifrado hace que sea más difícil para cualquier atacante web rastrearnos y robarnos información.
Una vez que habilitemos SSL, nuestro sitio web utilizará HTTPS en lugar de HTTP, también veremos un signo de candado junto a la dirección de nuestro sitio web en el navegador.
Los certificados SSL generalmente los emiten las autoridades de certificación, y sus precios van desde unos $80 hasta cientos de dólares por año. Debido al alto costo adicional, la mayoría de los propietarios de sitios web optan por seguir utilizando protocolos inseguros.
Para solucionar este problema, una organización sin fines de lucro llamada Let’s Encrypt decidió ofrecer certificados SSL gratuitos a los propietarios de sitios web. Su proyecto está respaldado por Google Chrome, Facebook, Mozilla y muchas otras compañías reconocidas ampliamente.
Ahora es más fácil usar SSL para todos los sitios web de WordPress. Muchas empresas de alojamiento ahora ofrecen un certificado SSL gratuito para los sitios web de WordPress. Pregúntale a tu proveedor de hosting.
Seguridad de WordPress para usuarios “Hágalo usted mismo” (DIY)
Si hacemos todo lo mencionado hasta el momento, entonces ya estamos bastante adelantados en cuento a seguridad se refiere.
Pero como siempre, hay más que podemos hacer para fortalecer nuestra seguridad de WordPress.
Algunos de los siguientes pasos pueden requerir conocimientos de codificación.
1. Cambiar el nombre de usuario «admin» predeterminado
En los viejos tiempos, el nombre de usuario de administrador predeterminado de WordPress era admin. Dado que los nombres de usuario constituyen la mitad de las credenciales de inicio de sesión, esto facilitó a los hackers informáticos realizar ataques de fuerza bruta.
Afortunadamente, WordPress ha modificado esto y ahora requiere que seleccionemos un nombre de usuario personalizado al momento de instalar WordPress.
Sin embargo, algunos instaladores de WordPress con un solo clic, aún establecen el nombre de usuario de administrador predeterminado en admin. Si ese es el caso, entonces probablemente sea una buena idea cambiar nuestro alojamiento web.
Ya que WordPress no nos permite cambiar los nombres de usuario por defecto, hay tres métodos que podemos usar para cambiar el nombre de usuario.
- Crear un nuevo nombre de usuario de administrador y eliminar el antiguo.
- Usar el plugin de cambio de nombre de usuario.
- Actualizar el nombre de usuario desde phpMyAdmin.
Nota: estamos hablando del nombre de usuario llamado admin, no del rol de administrador.
2. Deshabilitar la edición de archivos
WordPress viene con un editor de códigos incorporado que nos permite editar nuestros temas y archivos de complementos directamente desde el área de administración de WordPress. En manos equivocadas, esta función puede ser un riesgo para la seguridad, por lo que recomendamos desactivarla.
Esto se puede hacer fácilmente agregando el siguiente código en nuestro archivo wp-config.php.
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
De modo similar, podemos hacer esto con un clic utilizando la función de Hardening en el complemento gratuito de Sucuri que hemos mencionado anteriormente.
3. Deshabilitar la ejecución de archivos PHP para ciertos directorios de WordPress
Otra forma de fortalecer la seguridad de WordPress es deshabilitando la ejecución de archivos PHP en directorios donde no hace falta, como / wp-content / uploads /.
Podemos hacerlo abriendo un editor de texto como Notepad y pegando el siguiente código:
<Files *.php> deny from all </Files>
Seguidamente, debemos guardarlo como .htaccess y subirlo a / wp-content / uploads / folder en nuestro sitio web utilizando un cliente FTP .
También de la misma forma, se puede lograr el mismo efecto haciendo clic en la función de Hardening del complemento gratuito de Sucuri mencionado anteriormente.
4. Limitar los intentos de inicio de sesión
De forma predeterminada, WordPress permite que los usuarios intenten iniciar sesión tantas veces como lo deseen. Esto deja nuestro sitio de WordPress vulnerable a los ataques de fuerza bruta. Los hackers informáticos intentarán descifrar las contraseñas al tratar de iniciar sesión con diferentes combinaciones.
Esto puede solucionarse fácilmente limitando los intentos fallidos de inicio de sesión que un usuario puede realizar. Si estamos utilizando el servidor de seguridad de la aplicación web mencionada anteriormente, esto se podrá solucionar automáticamente.
Sin embargo, si no tenemos la configuración del firewall, continuaremos con los siguientes pasos:
Primero, debemos instalar y activar el plugin de inicio de sesión de bloqueo o Login LockDown.
Después de la activación, entramos en Settings -> Login LockDown para configurar el complemento.
5. Añadir autenticación en dos pasos
La técnica de autenticación mediante dos factores requiere que los usuarios inicien sesión utilizando algún método de autenticación en dos pasos (Two Step Auth). El primero es el nombre de usuario y la contraseña, y el segundo paso requiere que se autentique utilizando un dispositivo o una aplicación por separado.
La mayoría de los principales sitios web en línea, como Google, Facebook, Twitter, permiten habilitarlo para nuestras cuentas. También podemos agregar la misma funcionalidad a nuestro sitio de WordPress.
Primero, necesitamos instalar y activar el plugin de Two Factor Authentication (TFA). Tras la activación del plugin, debemos hacer clic en el enlace Autenticación en dos factores en la barra lateral de administración de WordPress.
A continuación, debemos instalar y abrir una aplicación de autenticación en nuestro móvil o teléfono celular. Hay varios de ellos disponibles, como Google Authenticator, Authy o LastPass Authenticator.
Recomendamos usar LastPass Authenticator o Authy porque ambos nos permiten hacer una copia de seguridad de nuestras cuentas en la nube. Esto es muy útil en caso de que nuestro móvil se extravíe, reinicie o lo cambiemos. De esta forma, todos los inicios de sesión de nuestra cuenta serán fácilmente restaurados.
Usaremos LastPass Autenticador para nuestro tutorial. Sin embargo, las instrucciones son similares para todas las demás aplicaciones de autenticación. Abrimos nuestra aplicación de autenticación y hacemos clic en Agregar.
Se nos preguntará si deseamos escanear un sitio manualmente o escanear el código de barras. Seleccionamos la opción de escanear el código de barras y luego apuntaremos la cámara de nuestro móvil al código QR que se muestra en la página de configuración del complemento.
Eso es todo, nuestra aplicación de autenticación ahora lo guardará. La próxima vez que iniciemos sesión en nuestro sitio web, se nos pedirá el código de autenticación de dos factores después de ingresar nuestra contraseña.
Simplemente abriremos la aplicación de autenticación en nuestro móvil e ingresamos el código que veremos en ella.
6. Cambiar el prefijo de la base de datos de WordPress
De forma predeterminada, WordPress usa wp_ como el prefijo para todas las tablas de nuestra base de datos de WordPress. Si nuestro sitio utiliza el prefijo de la base de datos predeterminado, entonces los hackers podrán adivinar cuál es el nombre de la tabla. Por eso recomendamos cambiarlo.
Nota: Esto puede dañar nuestro sitio si no se hace correctamente. Solo proceda, si se siente cómodo con sus habilidades de codificación.
7. Agregar contraseña de protección de WordPress Admin y página de inicio de sesión
Generalmente, los hackers informáticos intentan ingresar a la carpeta wp-admin y a la página de inicio de sesión sin no encuentran ninguna restricción. Esto les permite probar sus trucos de hackeo o ejecutar ataques DDoS.
Podemos agregar una protección de contraseña adicional en el nivel del lado del servidor, lo que efectivamente bloqueará esas solicitudes de entrada.
cPanel tiene una interfaz lo suficientemente sencilla como para agregar directorios protegidos por contraseña.
Iniciamos sesión en cPanel. Nos desplazamos hacia abajo hasta que veamos la pestaña Security. Hacemos clic en en Password Protect Directories.
Cuando hagamos clic, aparecerá una ventana emergente solicitando la ubicación del directorio. Simplemente hacemos clic en la raíz web y una vez que estemos allí, navegaremos hacia la carpeta donde está alojado nuestro WordPress. Luego hacemos clic en la carpeta / wp-admin / y veremos una pantalla como esta:
Ahora marcamos la casilla para proteger con contraseña el directorio. Luego creamos un usuario para el directorio. A continuación, cuando intentemos acceder a nuestro directorio wp-admin, deberíamos ver un cuadro de autenticación requerido como este:
Los atacantes informáticos pueden utilizar la navegación por directorios para averiguar si tenemos algún archivo con vulnerabilidades conocidas, de modo que puedan aprovechar estos archivos para obtener acceso.
El rastreo de directorios puede ser utilizado por otras personas con el fin de examinar nuestros ficheros, averiguar nuestra estructura de directorios, copiar imágenes y cualquier otra información vulnerable. Por esta razón, se recomienda desactivar la indexación y navegación de directorios.
Debemos conectar nuestra web a través de FTP o del administrador de archivos de cPanel. Seguidamente, localizaremos el fichero .htaccess en el directorio raíz de nuestra web.
Después de eso, debemos agregar el siguiente texto al final del fichero .htaccess:
Options -Indexes
No olvidemos guardar y cargar el fichero .htaccess de nuevo en nuestro sitio.
9. Deshabilitar la función XML-RPC de WordPress
XML-RPC es una especificación y un conjunto de inserciones que permiten que el software se ejecute en diferentes sistemas operativos y en diferentes entornos para realizar llamadas de procedimientos a través de Internet.
Es un procedimiento remoto que utiliza HTTP como transporte y XML como codificación. XML-RPC está diseñado para ser lo más simple posible, al tiempo que permite la transmisión, el procesamiento y la devolución de estructuras de datos complejas.
La función XML-RPC estaba desactivada en WordPress de forma predeterminada originalmente. Desde la versión 3.5, esta funcionalidad está activada por defecto. Fue concebida para ayudar a WordPress a conectar con móviles y aplicaciones para la web.
Debido a su naturaleza, XML-RPC puede amplificar enormemente las arremetidas de fuerza bruta.
Por ejemplo, si un pirata informático quisiera probar 500 claves diferentes en su web, tendría que realizar 500 intentos de inicio de sesión diferentes que serán detectados y bloqueados por el complemento de bloqueo de inicio de sesión.
Con XML-RPC, un hacker informático usará la función system.multicall para ingresar utilizando una infinidad de contraseñas con solo varias decenas de solicitudes.
Por esta razón, si no se está utilizando XML-RPC, recomendamos deshabilitarlo.
Hay varias formas de deshabilitar XML-RPC en WordPress, pero el método .htaccess es el mejor porque requiere un menor uso de recursos.
En esos casos, es posible que deshabilitemos todas las solicitudes xmlrpc.php del archivo .htaccess antes de que la solicitud pase a WordPress.
Simplemente, pegamos el siguiente código en nuestro archivo .htaccess:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>
De esta manera, la función XML-RPC queda deshabilitada de forma predeterminada.
Si estamos utilizando el servidor de seguridad de la aplicación Sucuri, esto puede ser resuelto por el servidor de seguridad.
10. Cerrar automáticamente la sesión por inactividad en WordPress
Los usuarios registrados, a veces, pueden alejarse de la pantalla y esto supone un riesgo para la seguridad. Cualquiera puede secuestrar su sesión, modificar a conveniencia contraseñas o hacer algún cambio en la cuenta.
Por esta razón, muchos sitios de bancos y de empresas financieras cierran automáticamente la sesión de los usuarios inactivos después de cierto tiempo. También podemos implementar una funcionalidad similar en nuestro sitio de WordPress.
Debemos instalar y activar el plugin de cierre de sesión inactivo o Inactive Logout. Tras la activación, visitamos la página de Settings -> Inactive Logout para configurar los ajustes del plugin.
Simplemente configuraremos la duración y agregaremos un mensaje de cierre de sesión. No debemos olvidar hacer clic en el botón Guardar cambios para almacenar nuestra configuración.
11. Añadir una pregunta de seguridad al iniciar sesión en WordPress
Poder incluir una pregunta de seguridad en el inicio de sesión de WordPress logra dificultar aún más el obtener un acceso no autorizado.
Podemos incluir alguna pregunta de seguridad mediante el plugin WP Security Question. Después de la activación, debemos visitar la página de Configuración -> Preguntas de seguridad para configurar los ajustes del complemento.
12. Escaneo de malware y vulnerabilidades en WordPress
Si tenemos instalado un plugin de seguridad de WordPress, podremos comprobar de forma rutinaria si hay malware y signos de violaciones de seguridad.
Sin embargo, si vemos una caída repentina en el tráfico del sitio web o en los rankings de búsqueda, es posible que deseemos ejecutar un análisis manualmente. Podemos usar nuestro plugin de seguridad de WordPress, o usar cualquier otro escáner en linea para WordPress (Sucuri SiteCheck, IsItWP Security Scanner, Google Safe Browsing, entre otros).
La ejecución de estos escaneos en línea es bastante sencilla, simplemente ingresamos las URL de nuestro sitio web y los rastreadores revisan el sitio para buscar malware conocido y códigos maliciosos.
Debemos tener en cuenta que la mayoría de los escáners de seguridad de WordPress pueden escanear nuestro sitio, pero no pueden eliminar el malware ni limpiar un sitio de WordPress hackeado.
Esto nos lleva a la siguiente sección, limpieza de malware y sitios hackeados de WordPress.
13. ¿Cómo arreglar un sitio de WordPress hackeado?
La mayoría de los usuarios de WordPress no se percatan de la importancia de tener almacenadas copias de seguridad de su sitio web hasta que es hackeado.
Limpiar una web de WordPress es en muchos casos muy difícil y lleva mucho tiempo. Nuestro primer consejo sería dejar que un profesional se encargue de ello.
Los piratas informáticos colocan puertas traseras en los sitios infectados, y si las vulnerabilidades dejadas adrede por ellos no se arreglan en forma correcta, es probable que nuestro sitio sea hackeado nuevamente.
Permitir que una empresa de seguridad profesional como Sucuri arregle nuestro sitio web asegurará que el sitio sea seguro para usarlo nuevamente. También nos preservará de futuros ataques.
Eso es todo por el momento, esperamos que este artículo te ayude a conocer los mejores hábitos de seguridad de WordPress, así como encontrar los mejores complementos de seguridad de WordPress para tu web.
Si te ha gustado este artículo, te invitamos a visitarnos en Ayuda Hosting donde encontrarás otras guías y artículos de mucho interés para los usuarios de WordPress.