11 razones principales por las que los sitios de WordPress son hackeados (y cómo prevenirlo)

Recientemente, uno de nuestros lectores nos preguntó por qué los sitios de WordPress son hackeados. Es frustrante descubrir que su sitio de WordPress ha sido pirateado. En este artículo, compartiremos las principales razones por las que se piratea el sitio de WordPress, para que pueda evitar estos errores y proteger su sitio.


¿Por qué los sitios de WordPress son hackeados?

¿Por qué WordPress está dirigido por hackers??

Primero, no es solo WordPress. Todos los sitios web en Internet son vulnerables a los intentos de piratería.

La razón por la cual los sitios de WordPress son un objetivo común es porque WordPress es el creador de sitios web más popular del mundo. Alimenta más del 31% de todos los sitios web, lo que significa cientos de millones de sitios web en todo el mundo.

Esta inmensa popularidad ofrece a los piratas informáticos una manera fácil de encontrar sitios web que son menos seguros, para que puedan explotarlo..

Los hackers tienen diferentes tipos de motivos para hackear un sitio web. Algunos son principiantes que están aprendiendo a explotar sitios menos seguros.

Algunos hackers tienen intenciones maliciosas como distribuir malware, usar un sitio para atacar a otros sitios web o enviar spam a Internet.

Dicho esto, echemos un vistazo a algunas de las principales causas de pirateo de sitios de WordPress y cómo evitar que su sitio web sea pirateado.

1. Alojamiento web inseguro

Como todos los sitios web, los sitios de WordPress están alojados en un servidor web. Algunas empresas de alojamiento no aseguran adecuadamente su plataforma de alojamiento. Esto hace que todos los sitios web alojados en sus servidores sean vulnerables a los intentos de piratería.

Esto se puede evitar fácilmente eligiendo el mejor proveedor de alojamiento de WordPress para su sitio web. Asegura que su sitio esté alojado en una plataforma segura. Los servidores adecuadamente seguros pueden bloquear muchos de los ataques más comunes en los sitios de WordPress.

Si desea tomar precauciones adicionales, le recomendamos utilizar un proveedor de alojamiento de WordPress administrado.

2. Usando contraseñas débiles

Usar contraseñas débiles

Las contraseñas son las claves de su sitio de WordPress. Debe asegurarse de utilizar una contraseña única y segura para cada una de las siguientes cuentas, ya que todas pueden proporcionar a un hacker acceso completo a su sitio web..

  • Tu cuenta de administrador de WordPress
  • Cuenta de panel de control de alojamiento web
  • Cuentas FTP
  • Base de datos MySQL utilizada para su sitio de WordPress
  • Cuentas de correo electrónico utilizadas para la cuenta de administrador o hosting de WordPress

Todas estas cuentas están protegidas por contraseñas. El uso de contraseñas débiles facilita a los piratas informáticos descifrar las contraseñas utilizando algunas herramientas básicas de piratería.

Puede evitar esto fácilmente utilizando contraseñas únicas y seguras para cada cuenta. Vea nuestra guía sobre la mejor manera de administrar contraseñas para principiantes de WordPress para aprender cómo administrar todas esas contraseñas seguras.

3. Acceso desprotegido al administrador de WordPress (directorio wp-admin)

El área de administración de WordPress le da acceso al usuario para realizar diferentes acciones en su sitio de WordPress. También es el área más atacada de un sitio de WordPress.

Dejarlo desprotegido permite a los piratas informáticos probar diferentes enfoques para descifrar su sitio web. Puede dificultarles agregar capas de autenticación a su directorio de administración de WordPress.

Primero debe proteger con contraseña su área de administración de WordPress. Esto agrega una capa de seguridad adicional, y cualquiera que intente acceder al administrador de WordPress tendrá que proporcionar una contraseña adicional.

Si ejecuta un sitio de WordPress multi-autor o multiusuario, puede forzar contraseñas seguras para todos los usuarios en su sitio. También puede agregar autenticación de dos factores para que sea aún más difícil para los hackers ingresar al área de administración de WordPress.

4. Permisos de archivo incorrectos

Permisos de archivo

Los permisos de archivo son un conjunto de reglas utilizadas por su servidor web. Estos permisos ayudan a su servidor web a controlar el acceso a los archivos en su sitio. Los permisos de archivo incorrectos pueden dar acceso a un hacker para escribir y cambiar estos archivos.

Todos sus archivos de WordPress deben tener un valor 644 como permiso de archivo. Todas las carpetas en su sitio de WordPress deben tener 755 como su permiso de archivo.

Consulte nuestra guía sobre cómo solucionar el problema de carga de imágenes en WordPress para aprender cómo aplicar estos permisos de archivo.

5. No actualizar WordPress

Algunos usuarios de WordPress tienen miedo de actualizar sus sitios de WordPress. Temen que hacerlo rompa su sitio web.

Cada nueva versión de WordPress corrige errores y vulnerabilidades de seguridad. Si no está actualizando WordPress, está dejando intencionalmente vulnerable su sitio.

Si tiene miedo de que una actualización rompa su sitio web, puede crear una copia de seguridad completa de WordPress antes de ejecutar una actualización. De esta manera, si algo no funciona, puede volver fácilmente a la versión anterior.

6. No actualizar complementos o temas

Al igual que el software principal de WordPress, actualizar su tema y complementos es igualmente importante. El uso de un complemento o tema obsoleto puede hacer que su sitio sea vulnerable.

Las fallas y errores de seguridad a menudo se descubren en los complementos y temas de WordPress. Por lo general, los autores de temas y complementos son rápidos para solucionarlos. Sin embargo, si un usuario no actualiza su tema o complemento, entonces no hay nada que pueda hacer al respecto.

Asegúrese de mantener actualizados su tema de WordPress y sus complementos.

7. Uso de FTP simple en lugar de SFTP / SSH

SFTP en lugar de FTP

Las cuentas FTP se utilizan para cargar archivos a su servidor web utilizando un cliente FTP. La mayoría de los proveedores de alojamiento admiten conexiones FTP utilizando diferentes protocolos. Puede conectarse mediante FTP simple, SFTP o SSH.

Cuando se conecta a su sitio mediante FTP simple, su contraseña se envía al servidor sin cifrar. Puede ser espiado y fácilmente robado. En lugar de usar FTP, siempre debe usar SFTP o SSH.

No necesitaría cambiar su cliente FTP. La mayoría de los clientes FTP pueden conectarse a su sitio web en SFTP y SSH. Solo necesita cambiar el protocolo a “SFTP – SSH” cuando se conecta a su sitio web.

8. Uso de Admin como nombre de usuario de WordPress

No se recomienda usar “admin” como su nombre de usuario de WordPress. Si su nombre de usuario administrador es admin, entonces debe cambiarlo inmediatamente a un nombre de usuario diferente.

Para obtener instrucciones detalladas, consulte nuestro tutorial sobre cómo cambiar su nombre de usuario de WordPress.

9. Temas y complementos anulados

Malware

Hay muchos sitios web en Internet que distribuyen plugins y temas pagos de WordPress de forma gratuita. A veces es fácil sentirse tentado a usar esos complementos y temas anulados en su sitio.

Descargar temas y complementos de WordPress de fuentes poco confiables es muy peligroso. No solo pueden comprometer la seguridad de su sitio web, sino que también pueden usarse para robar información confidencial.

Siempre debe descargar complementos y temas de WordPress desde fuentes confiables como el sitio web de desarrolladores de complementos / temas o repositorios oficiales de WordPress.

Si no puede pagar o no desea comprar un complemento o tema premium, siempre hay alternativas gratuitas disponibles para esos productos. Es posible que estos complementos gratuitos no sean tan buenos como sus contrapartes pagas, pero harán el trabajo y lo más importante mantendrán su sitio web seguro.

También puede encontrar descuentos para muchos de los productos populares de WordPress en la sección de ofertas en nuestro sitio web.

10. No asegurar la configuración de WordPress wp-config.php File

El archivo de configuración de WordPress wp-config.php contiene las credenciales de inicio de sesión de la base de datos de WordPress. Si se ve comprometido, revelará información que podría dar a un hacker acceso completo a su sitio web..

Puede agregar una capa adicional de protección al negar el acceso al archivo wp-config usando .htaccess. Simplemente agregue este pequeño código a su archivo .htaccess.

orden permitir, negar
Negar todo

11. No cambiar el prefijo de tabla de WordPress

Muchos expertos recomiendan que cambie el prefijo predeterminado de la tabla de WordPress. Por defecto, WordPress usa wp_ como prefijo para las tablas que crea en su base de datos. Tienes la opción de cambiarlo durante la instalación.

Se recomienda que use un prefijo que sea un poco más complicado. Esto hará que sea más difícil para los hackers adivinar los nombres de las tablas de la base de datos..

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo cambiar el prefijo de la base de datos de WordPress para mejorar la seguridad.

Limpiar un sitio pirateado de WordPress

Limpiar un sitio pirateado de WordPress puede ser realmente doloroso. Sin embargo, se puede hacer.

Aquí hay algunos recursos para comenzar a limpiar un sitio pirateado de WordPress:

  • Guía para principiantes para arreglar su sitio pirateado de WordPress
  • Cómo escanear su sitio de WordPress en busca de código potencialmente malicioso
  • cómo encontrar una puerta trasera en un sitio de WordPress pirateado y solucionarlo
  • Qué hacer cuando está bloqueado el administrador de WordPress (wp-admin)
  • Guía para principiantes: cómo restaurar WordPress desde la copia de seguridad

Consejo de bonificación

Para una seguridad sólida, utilizamos Sucuri en todos nuestros sitios de WordPress. Sucuri proporciona servicios de detección y eliminación de malware, así como un firewall de sitio web que protegerá su sitio web contra las amenazas más comunes.

Vea cómo Sucuri nos ayudó a bloquear 450,000 ataques de WordPress en 3 meses

Esperamos que este artículo te haya ayudado a conocer las principales razones por las que se piratea el sitio de WordPress. Es posible que también desee ver nuestra guía de seguridad definitiva de WordPress para proteger su sitio de WordPress.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map