Una de las preguntas más frecuentes que nos hacen a ideaWeb es por qué se jaquean las páginas web construidas con WordPress ya que les resulta muy frustrante, como no podía ser de otra manera, que hayan pirateado una página web. Por este motivo hemos decidido hacer esta entrada en la que te diremos cuáles son las principales razones por las que una página web de WordPress es jaqueada y cómo protegerla para evitarlo.
Resumen:
¿Por qué WordPress es un objetivo para los hackers?
Cabe destacar que todas las páginas web que están ejecutándose en servidores de dominio público son vulnerables a los intentos de piratería. En este caso hablamos de WordPress, entre otros factores, porque es el gestor de contenido web más popular del mundo. Según recientes estadísticas potencia a más del 31% de todos las páginas webs, lo que suponen cientos de miles de plataformas digitales en todo el mundo.
Por lo tanto, la popularidad de WordPress hace que los piratas informáticos puedan explotar las debilidades de páginas web de WordPress que no han tenido en cuenta una mínima y básica seguridad. Los motivos de los hackers para atacar páginas web son muy variados. No obstante, en ideaWeb te vamos a contar algunas de las principales causas por las que muchas páginas web de WordPress son jaqueadas y cómo evitar que esto te ocurra a ti.
Alojamiento web en un servidor inseguro
Todas las páginas web están alojadas en un servidor y hay algunas empresas de hosting que, si bien ofrecen garantías, no siempre aseguran adecuadamente la seguridad de sus servidores. Esto es un grave problema que afectaría a todas las páginas web que estuvieran alojadas en dichos servidores. Por tanto, desde ideaWeb recomendamos contratar empresas de alojamiento web contrastadas.
Uso de contraseñas débiles
Uno de los errores más comunes (no solamente en páginas web) es el uso de contraseñas débiles; esto es, que se compongan por numeraciones intuitivas de tipo 1234 o fechas de nacimiento, por ejemplo. Las contraseñas son fundamentales en cualquier sistema por lo que los piratas informáticos intentan, como primera medida, sustraerlas por diversos medios técnicos y, por supuesto, si las contraseñas son sencillas lo tienen mucho más fácil.
Otra de la importancia con respecto a las contraseñas es utilizar una diferente y difícil para cada una de las cuentas que tengas (redes sociales, banco, tiendas online, páginas web, etc.) ya que todas ellas pueden proporcionar información y, por lo tanto, un acceso completo a tu sitio web por parte de un hacker. Por lo tanto, te recomendamos que para cada una de las siguientes cuentas utilices contraseñas diferentes y complejas:
- Cuentas de protocolo de transferencia de archivos
- Cuenta del panel de administración de WordPress
- Cuenta del CPanel o panel de control de alojamiento web
- Base de datos MySQL relacionada con tu página web
- Cuentas de correo electrónico
Así pues, el uso de contraseñas débiles hace que sea más fácil el acceso a los piratas informáticos y más si se utiliza esa misma contraseña para las cuentas anteriormente mencionadas. Para evitarlo debes elaborar una contraseña única para cada cuenta y que no sea sencilla de descifrar (que tenga letras, números, símbolos, mayúsculas, minúsculas, etc.).
Acceso al panel de administración (wp-admin) no protegido
Para acceder al panel de administración de una página web desarrollada con WordPress se accede por defecto añadiendo al dominio principal wp-admin y es algo conocido por todos por lo que a los piratas informáticos tampoco se les escapa. El panel de administración le ofrece al usuario la posibilidad de realizar diferentes acciones estéticas, de funcionalidad, etc. por lo que tenerla bien protegida y fuera del alcance de los usuarios externos a la página web es fundamental para evitar problemas de jaqueo.
Aunque el panel de administración de cualquier página web de WordPress está protegido por contraseñas, los piratas informáticos pueden probar diferentes enfoques para descifrarlas por lo que otra medida de seguridad para prevenir el jaqueo de tu página web de WordPress es modificar wp-admin por cualquier otra palabra o código. De esta forma el pirata informático tendrá otra barrera de seguridad que superar y le pondrás las cosas un poco más difíciles.
Por otro lado, en el caso de que tengas una página web con funciones en las que sea necesario que otros usuarios accedan al panel de administración con el rol que sea, puedes imponer contraseñas seguras para todos estos usuarios de tu página web. Y, para mayor seguridad, otra opción es agregar la famosa autentificación de dos pasos para que así sea aún más complicado para los hackers ingresar en tu área personal con objetivos maliciosos.
Por último, cabe destacar que una brecha de seguridad muy importante que se puede llegar a producir es utilizar como nombre de usuario la palabra “admin” o el mismo nombre con el que estás registrado en el sistema ya que los hackers podrán acceder más fácilmente. Por lo tanto, tanto las contraseñas como los nombres de usuarios no deberán ser las mismas y nunca con la palabra “admin”.
Permisos de archivos incorrectos
Otra de las opciones por las que un hacker puede acceder a tu página web de WordPress. Los permisos de archivos son un conjunto de normas que se utilizan por tu servidor web y que ayudan a dicho servidor a controlar el acceso a los archivos que componen tu página web. Los permisos de archivos que sean incorrectos pueden darle acceso a cualquier pirata informático para escribir y cambiarlos., algo realmente peligroso para el usuario.
Desde ideaWeb queremos destacar que todos los archivos de WordPress deben de tener un valor de 644 como permiso de archivo y todas las carpetas que componen tu página web deben tener un valor de 755 como permiso de archivo. Si desconoces este sistema de protección de archivos te instamos que te pongas en contacto con una empresa especialista en el diseño de páginas web de WordPress como nosotros, ya que de esta forma solucionarás este tipo de brechas de seguridad que pueden provocar una situación desagradable.
No actualizar WordPress, temas o plugins
En primer lugar debemos ser claros en esto: no se puede tener miedo a actualizar tu página web de WordPress. Si tienes una página web desarrollada por expertos no es posible que tu página web se rompa. No obstante, si crees que puedes ser perjudicado por una actualización es recomendable realizar una copia de seguridad, de esta forma te asegurarás de que si algo ocurre puedas volver a restaurar tu página web sin problemas.
Una de las principales razones por las que un usuario malicioso pueda acceder a nuestra página web es porque tengas tu versión de WordPress, tema o plugins desactualizados. Cada nueva versión corrige errores y vulnerabilidades de seguridad por lo que si no actualizas por temor a que tu página web se rompa, en realidad estás dejando tu página web a merced de los piratas informáticos.
Utilizar FTP en lugar de SFTP / SSH
Las cuentas FTP se utilizan para cargar archivos a los hosting y la mayoría de las empresas de alojamiento web admiten conexiones FTP utilizando diferentes protocolos: FTP plano, SFTP o SSH. Cuando un usuario se conecta a través de FTP plano la contraseña y todas las credenciales se envía al servidor sin cifrar por lo que puedes ser espiado y fácilmente jaqueado
Por lo tanto, desde ideaWeb recomendamos que utilices siempre los protocolos de seguridad SFTP o SSH para evitar este tipo de robos en el proceso de subida de los archivos de tu página web de WordPress a tu servidor. Por supuesto para llevar a cabo este proceso de manera segura no es necesario cambiar tu cliente FTP ya que la mayoría de clientes pueden conectarse a su página web en SFTP y SSH simplemente cambiando la opción correspondiente en opciones.
Utilización de temas y plugins de fuentes no fiables
En Internet existen diversas páginas web que distribuyen temas o plugins para WordPress totalmente gratuitos y, por supuesto, todo el mundo es tentado a descargar este tipo de archivos. Sin embargo, muchas veces descargar productos gratuitos de fuentes no fiables puede acarrear serios problemas de seguridad ya que no se puede saber si los archivos que instalas en tu WordPress son lo que prometen o por el contrario son maliciosos. Todos los plugins y temas WordPress Nulled o piratas tienen un bicho, todos sin duda alguna…
Es decir, los temas o plugins que puedas descargarte en Internet libremente no sólo pueden comprometer la seguridad de la página web sino que también pueden usarse para robar información y datos confidenciales. Por lo tanto, desde ideaWeb siempre recomendamos que descargues los temas y plugins de fuentes fiables como las páginas web de desarrolladores de plugins o temas oficiales de WordPress. De esta forma te asegurarás no instalar archivos maliciosos en tu página web.
Por lo contrario, si tu economía te impide adquirir plugins o temas de pago (normalmente son los que mejor soporte y prestaciones más completas ofrecen) siempre tendrás alternativas gratuitas disponibles en las páginas oficiales de WordPress. Es muy probable que estos productos no sean tan buenos como los de pago pero según para qué funcionalidades pueden servirte para salir del paso manteniendo tu página web de forma segura.
No cambiar el prefijo de la base de datos de tu WordPress
Otra de las medidas a tener en cuenta para la seguridad de tu página web de WordPress es el cambio del prefijo predeterminado que viene por defecto en las tablas de la base de datos de WordPress (wp_) por cualquier cadena de texto y números que no tengan nada que ver con la página web y siempre teniendo en cuanta que un prefijo excesivamente largo puede dar lugar a un problema serio en la base de datos de tu página web de WordPress.
De esta forma interpondremos otra barrera de seguridad de cara a los piratas informáticos. El cambio del prefijo de la base de datos se debe realizar en la instalación de WordPress con tan sólo introducir los caracteres deseados en el campo habilitado para tal fin. No obstante, si tienes alguna duda o no sabes cómo proceder puedes ponerte en contacto con nosotros y te ayudaremos con la instalación de tu página web de WordPress según tus necesidades.
Ahora vamos a darte el mejor consejo que te puede nadie dar ante un ataque a una web WordPress: ten una copia de seguridad, es lo único que te salvará de cualquier problema, si tienes una copia de seguridad te evitarás cualquier problema ante un hackeo.
Por último, queremos destacar que en ideaWeb somos expertos en el diseño de páginas web de WordPress en Madrid desde hace muchos años y contamos con especialistas altamente cualificados y experimentados. Nuestras oficinas están ubicadas en el Ensanche de Vallecas, cerca del metro de La Gavia, no obstante prestamos todos nuestros servicios de diseño de páginas web en todo el territorio nacional.