Plugins de seguridad WordPress : 9 señales de que uno es genial

por InMotion Hosting

9 minutos y 50 segundos para leer

Plugins de seguridad WordPress : 9 señales de que uno es genial

Hay un plugin para todo tipo de funciones: Seguridad de WordPress , optimización de motores de búsqueda (SEO), accesibilidad, expresar la afición a Phil Collins e incluso engendrar unicornios. Ciñéndonos a la seguridad de los sitios web, hay muchos vectores de ataque a disposición de los ciberdelincuentes, entre ellos:

Además, tu riesgo cibernético puede aumentar por los plugins que utilices o por tener demasiados plugins. Cualquiera de los dos casos puede deteriorar el rendimiento general y aumentar tu superficie de ataque, es decir, la cantidad de formas en que un atacante puede infiltrarse en un sistema. Por eso es una buena práctica controlar cuidadosamente el uso de plugins. Sólo instala plugins que realicen funciones que no puedas hacer tú mismo de forma más eficiente.

Un plugin de seguridad WordPress con todas las funciones es una de ellas. Dado que las infracciones pueden ser obra de personas o de robots automatizados, necesitas algo que te ayude a proteger los datos de forma proactiva, de modo que pases menos tiempo reaccionando a los intentos de intrusión. Los mejores plugins de seguridad llegan hasta donde llega la seguridad del servidor. A continuación cubriremos:

Índice

Qué deben hacer los plugins de seguridad WordPress

Mientras lees, ten en cuenta que es posible que no encuentres un único plugin que haga bien todas estas cosas. Te explicaremos cuándo es éste el caso junto con opciones reputadas, pero deberías leer hasta el final para comprender mejor qué es lo mejor para tus necesidades.

Copias de seguridad

¿Por qué copias de seguridad el primero de esta lista, te preguntarás? Porque nada más abajo importa una vez que un hacker obtiene acceso no autorizado dentro de tu sistema. Algunas funciones como el análisis de registros y el geo-bloqueo pueden ralentizarlas. Sin embargo, en la mayoría de los casos para un único servidor web Linux, es mejor que restaures una copia de seguridad conocida y audites tusmedidas de seguridad WordPress . De lo contrario, podrían simplemente monitorizar tus intentos de eliminación en tiempo real y ajustar su plan de juego en consecuencia.

Los mejores plugins de copia de seguridad te permitirán:

  • Crear copias de seguridad manualmente
  • Descargar copias de seguridad completas WordPress
  • Programa las copias de seguridad en horas de poco tráfico (normalmente por la noche)

Como hay muchos aspectos importantes en las copias de seguridad, puede ser mejor utilizar un plugin dedicado a ellas, como Total Upkeep o UpdraftPlus.

Backup Manager es la forma más fácil de proteger tus datos

Adelántate a los problemas inesperados del sitio web. Backup Manager mantiene automáticamente tus archivos, bases de datos y correos electrónicos seguros y recuperables.

Obtener Backup Manager

Autenticación multifactor (AMF)

Las tablas arco iris son bases de datos de contraseñas que se pueden utilizar para ataques de fuerza bruta a contraseñas y para saber con qué frecuencia se utiliza una contraseña. Son fáciles de encontrar. El mejor ejemplo de sombrero blanco que conozco es HaveIBeenPwned.com (HIBP), que te permite ver cuántas violaciones incluyeron tu dirección de correo electrónico, dominio y contraseña.

La autenticación de dos factores (TFA) garantiza que incluso si alguien adivina correctamente tu nombre de usuario y contraseña WordPress , necesitará acceder a un segundo vector de ataque para reanudar el ataque. Éste suele ser una cuenta de correo electrónico o un dispositivo móvil configurado para recibir contraseñas de un solo uso basadas en el tiempo (TOTP). TFA / MFA ayuda cuando la seguridad de la contraseña no es lo suficientemente alta.

Sólo recuerda ser consciente de las estafas de phishing MFA.

Geo-bloqueo

MFA es más fuerte cuando también puedes bloquear los intentos de inicio de sesión en función de la dirección IP y la geolocalización. Una función de cortafuegos para autenticar dónde estás ofrece una opción alternativa a los métodos habituales de autenticación de tres factores:

  • Algo que sabes
  • Algo que tienes
  • Algo que eres

Cambiar la página de inicio de sesión

El malware de WordPress suele tener como objetivo el código "/wp-admin" y "/wp-login" porque es la página de inicio de sesión por defecto. Un buen plugin de seguridad WordPress te permitirá bloquear estas páginas y las IP que intenten acceder a ellas. Entonces podrás crear una URL de inicio de sesión personalizada y oscura en su lugar. Loginizer es popular por centrarse en esta función.

Errores en la página de inicio de sesión WordPress
Los errores de inicio de sesión WordPress pueden exponer la información del usuario

Evitar la Enumeración de Usuarios

La enumeración de usuarios es un intento de descubrir los nombres de usuario de inicio de sesión. La forma más sencilla de hacerlo en WordPress es con las páginas de autor (/?author=[número]) y la API REST. Hay formas de evitar la enumeración de usuarios sin plugins, por lo que esta función no es imprescindible. Sin embargo, merece la pena considerar un plugin de seguridad WordPress que facilite esta tarea y redirija los intentos a una página 404.

Puntos extra si el plugin de seguridad de WordPress elimina la notificación de error de inicio de sesión que verifica si existe un nombre de usuario.

Análisis antivirus (AV)

Aunque tomes medidas para proteger tu PC, puede que tu escáner antivirus no lo detecte todo. Otras personas con acceso para subir archivos a tu sitio web pueden no tener ningún escáner de archivos. Un escáner de seguridad de WordPress puede complementar o incluso sustituir a tu escáner antivirus del servidor, si puede hacerlo:

  • Realiza comprobaciones de integridad con la gestión de cambios de archivos (normalmente mediante sumas de comprobación
  • Pon en cuarentena los archivos sospechosos y repara los archivos del núcleo de WordPress
  • Ignora los archivos que se modifican regularmente
  • Mostrar el historial de resultados de exploraciones anteriores
  • Programa las exploraciones en momentos en los que no se estén realizando copias de seguridad y la carga del servidor siga siendo baja 

De forma similar a las copias de seguridad, puede ser beneficioso instalar un plugin de escáner dedicado como WPScan. Conecta con WPvulnDB.com para recopilar informes de vulnerabilidades relacionadas de diversas fuentes, incluidas las Vulnerabilidades y Exposiciones Comunes (CVE).

Protección antispam

Los comentarios, los formularios de contacto y los foros son formas fáciles de incrustar código malicioso si no hay validación de la entrada de datos. Akismet y las opciones nativas de moderación de comentarios son buenas. La posibilidad de añadir reCAPTCHA o hCaptcha sin un plugin independiente: mejor.

Permisos

Se trata de una función poco frecuente, pero algunos plugins te permiten ajustar los permisos de los archivos en el nivel raíz de tu sitio sin tener que iniciar sesión en Secure Shell(SSH) o en cPanel. La ventaja es que puedes restringir los archivos de los agentes de usuario malintencionados como control de acceso obligatorio (MAC).

Información de Seguridad y Gestión de Eventos (SIEM) 

Por último, tu paquete de seguridad WordPress debe incluir funciones de análisis de registros para rastrear los cambios relacionados con las funciones mencionadas anteriormente. Esto es independiente de las aplicaciones y plugins de análisis web, que rastrean principalmente las acciones de los visitantes en tu sitio web.

Alta Disponibilidad (HA) significa simplemente que no es completamente tolerante a fallos. Si hay un problema en tu servidor web, tu sitio web puede caerse. Tienes un problema que requiere atención si tu sitio web se cae constantemente con el infame error WordPress : 

Error al establecer una conexión a la base de datos

Puedes resolverlo configurando tu archivo wp-config.php para que repare automáticamente la base de datos. Sin embargo, deberías hacer un seguimiento de cuándo y con qué frecuencia ocurren este y otros problemas similares para determinar los patrones que provocan el tiempo de inactividad. Esto puede ayudarte a decidir si necesitas limpiar tu base de datos, actualizar tu plan de alojamiento web o configurar el almacenamiento en caché.

Tu plugin de seguridad WordPress debe tener la capacidad de alertarte por correo electrónico indicando: 

  • Cuando tu sitio se cayó
  • Cuando volvió a subir
  • Cuánto tiempo estuvo parada
  • Una breve explicación de por qué puede estar caído

Dependiendo del error, puede que tengas que ajustar la configuración de la caché, ponerte en contacto con tu proveedor de alojamiento sobre ataques DoS o tomar otras medidas proactivas para asegurar tus datos.

Di adiós a los tiempos de carga lentos y hola a los sitios web de alto rendimiento con nuestros nuevos planes de alojamiento VPSWordPress . Experimenta velocidades de carga de páginas WordPress 40 veces más rápidas en servidores especialmente diseñados que garantizan un tiempo de actividad del 99,99%.

marca de verificaciónVPS de alto rendimiento marca de verificaciónAsistencia totalmente gestionada marca de verificaciónSSL gratuito e IP dedicada marca de verificaciónCaché de servidor avanzado

WordPress gestionado

Revisión del Plugin

Aquí tienes algunos factores que debes tener en cuenta cuando busques plugins de seguridad WordPress .

¿Está actualizado?

Cuando revises las páginas del plugin de seguridad de WordPress , comprueba las líneas "Última actualización" y "Comprobado hasta". El plugin WP Content Security te permite crear una cabecera HTTP CSP. Sin embargo, a partir de enero de 2021, la página del plugin indica:

Este plugin no ha sido probado con las 3 últimas versiones principales de WordPress. Es posible que ya no reciba mantenimiento ni soporte y que tenga problemas de compatibilidad cuando se utilice con versiones más recientes de WordPress.

Eso es potencialmente el valor de tres versiones de vulnerabilidades de seguridad del núcleo de WordPress , y los beneficios no merecen la pena. En este caso, deberías utilizar en su lugar el plugin Cabeceras HTTP.

Reputación 

¿Cuántas instalaciones activas tiene el plugin? ¿Qué dicen las críticas? ¿Cuántos temas de los foros se resuelven o al menos se responden? Estos factores ayudan a determinar si el desarrollador mantiene activamente el plugin.

Premium o Gratuito

Si un plugin de seguridad WordPress WordPress tiene una versión gratuita y otra de pago, esto debería significar que el desarrollador está recibiendo una compensación lo suficientemente buena como para mantener ambas versiones durante mucho tiempo. Puesto que hay grandes plugins de seguridad gratuitos, la pregunta es: ¿qué tiene de especial la versión de pago de un plugin?

Las características premium pueden incluir: 

  • Ayuda para la limpieza de malware
  • Asistencia en respuesta a incidentes tras un hackeo
  • Auditoría de seguridad en profundidad
  • Actualizaciones más rápidas de las firmas antivirus

Entonces, tienes que preguntarte hasta qué punto puedes confiar al equipo de desarrollo tu información personal identificable (IPI), la información de tu tarjeta de débito y tus datos privados. Además, es posible que ya tengas una suscripción para gestionar esto, como el cortafuegos de aplicaciones web (WAF) Sucuri.

Prueba en la etapa

El lugar mejor y más seguro para hacer una revisión del plugin es un sitio de ensayo o un entorno de desarrollo local. Si no dispones de uno de ellos, prueba el plugin durante el tiempo de inactividad o en una sesión de mantenimiento programada. Comprueba si el plugin entra en conflicto con otros plugins que hayas instalado:

  • Los elementos de la página no se comportan como es debido
  • "Página blanca de la muerte"
  • Errores ocultos

Puedes resolver los problemas en privado antes de integrarlo en tu sitio en vivo.

Los mejores plugins de seguridad WordPress

En general, no deberías utilizar más de un plugin de seguridad WordPress . Sin embargo, como se ha mencionado con los escáneres y los gestores de copias de seguridad, puede ser beneficioso utilizar varios plugins que mejoren la seguridad pero de formas no relacionadas.

Seguridad Cerber - Anteriormente conocido como WP Cerber, la versión gratuita cubre las funciones de seguridad mencionadas anteriormente y más. Incluye antispam, reCAPTCHA, escaneos y mucho más. En la versión de pago obtienes las funciones esperadas.

Wordfence - Este plugin cubre las mismas funciones que Cerber Security, pero con una interfaz más fácil de usar. En la versión de pago obtienes las funciones esperadas y actualizaciones en tiempo real de la configuración de la lista negra y del cortafuegos.

VaultPress - Este plugin es un plugin de seguridad y copia de seguridad de pago popular por su facilidad de uso. Los menús y las pantallas son fáciles de navegar para los usuarios no técnicos. Sin embargo, no es una gran elección para multisitios (MU) por dos razones. En primer lugar, cada sitio requiere la compra de una licencia independiente. En segundo lugar, el plugin sólo hace copias de seguridad de los archivos comunes cuando se trata de una red con varios sitios.

Jetpack - Jetpack no sólo se integra con VaultPress, sino que también es una gran opción para muchas funciones diferentes. Jetpack puede ayudarte a crear y diseñar tu sitio, optimizarlo para clientes móviles y mantenerlo seguro. En cuanto a la seguridad, Jetpack es estupendo para detener ataques de fuerza bruta y también te informará del tiempo de inactividad del sitio web, que puedes controlar para ver si se debe a problemas del servidor o a un pirateo real.

Seguridad Sucuri - Una de las características que hacen de éste una gran elección es que te permite escanear continuamente (y de forma remota) en busca de problemas de malware en tu sitio web. A diferencia de muchos plugins, también te proporciona acciones que puedes llevar a cabo si un hacker consigue pasar.

Cortafuegos BBQ - Anteriormente conocido como "Bloquear malas consultas", simplemente bloquea las peticiones maliciosas, como las URL, incluidas las inyecciones SQL y los ejecutables (.exe). Funciona bien con otras suites de seguridad, pero puede ser innecesario dependiendo de tu plugin de seguridad principal.

Cabeceras HTTP - Como ya hemos mencionado, este plugin te ayuda a crear y gestionar cabeceras HTTP para mejorar la seguridad, la privacidad y el rendimiento sin necesidad de editar el archivo .htaccess. Al igual que BBQ Firewall, funciona perfectamente con otros plugins de seguridad. Para anular el propósito de este plugin, tendrías que modificar manualmente tu archivo .htaccess.

Mi recomendación: 

Lee más sobre los plugins de seguridad recomendados WordPress . O infórmate sobre otras posibilidades en nuestros otros tutoriales deWordPress .

Guía definitiva para sitios WordPress de alto rendimiento

Comparte este artículo
Artículos relacionados
Cómo proteger un VPS de ataques DDoS
La interrupción de AWS lo deja claro: la diversidad de infraestructuras importa
Agencia de marketing Ciberseguridad: protección de los sitios web de los clientes a gran escala
Arquitectura Zero Trust: guía práctica para entornos alojados y equipos digitales en crecimiento
Fortalecimiento de servidores: Un Marco Completo
La Guía Definitiva para la Seguridad de Sitios Web WordPress : Protege tu sitio como un profesional
Plugins obsoletos: Guía completa para proteger y actualizar tu sitio web WordPress
Día de Internet Segura - Pon en orden tu juego de seguridad
Por qué necesitas hacer una copia de seguridad de tu sitio web
Qué hacer si tu sitio web es víctima de un ransomware

Deja una respuesta

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.

 

Nuevos contenidos y ofertas especiales
Obtenga alojamiento web fiable

Chat: Chatee con Ventas
Correo electrónico: [email protected]
Llame al 757-416-6575 x1

Obtenga alojamiento web que crece con su negocio. Nuestra plataforma de alojamiento "todo en uno" le ofrece todo lo que su sitio web necesita para crecer, para que pueda centrarse en lo más importante para usted y su negocio.