Cómo prevenir que su sitio WordPress sea vulnerado

Lea estas recomendaciones y tome las medidas necesarias para evitar que su sitio sea vulnerado o crackeado.


Para protegerse de las vulnerabilidades es fundamental que mantenga su instalación de WordPress actualizada SIEMPRE a la última versión disponible. Lo mismo aplica para plugins y temas (themes).

Además de lo anterior, es importante eliminar plugins y temas que no estén en uso. En el caso de los temas, basta con dejar el que esté activo y uno más, preferentemente uno de los nativos de WordPress, pues es seguro que estos se mantienen actualizados.

Es muy fácil actualizar los componentes. Debe acceder al escritorio de WordPress, y buscar en la parte superior de la barra lateral izquierda, la sección Actualizaciones. Allí se indicará todo lo que está desactualizado (núcleo de WordPress, plugins, temas y traducciones). En la sección de Plugins y en Apariencia -> Temas podrá también actualizar los unos y los otros.

Indicadores de actualizaciones disponibles

TENGA CUIDADO: Antes de elegir un plugin o un tema verifique que tenga fecha reciente de actualización, ya que eso ofrece cierta garantía de que los desarrolladores lo están manteniendo y subsanando vulnerabilidades que se hayan detectado.

Actualizaciones automáticas a través de Softaculous

Si Ud. instaló WordPress a través de la herramienta Softaculous del CPANEL puede dirigirse allí y modificar la instalación indicándole a Softaculous que se ocupe de mantener todo actualizado… pero con eso no alcanza…

Plugins de seguridad

Es importante que instale y active plugins que contribuyan a la seguridad el sistema, como Cerber Security, Wordfence (ambos proveen escaneo de malware) o Jetpack. Puede utilizar otros si encuentra buenas referencias en internet, tiene actualizaciones recientes y muchas instalaciones. Antes de decidir, visite las páginas de cada uno para saber qué hace. Aun los que tienen versión de pago proveen seguridad suficiente en la versión gratuita. Asegúrese de que el correo electrónico del usuario administrador sea válido para recibir las notificaciones vinculadas al estado de su sitio.

Además de fecha reciente de actualización, vea que tenga muchas instalaciones previas y cantidad interesante valoraciones positivas de los usuarios. Un plugin muy usado tiende a ser un indicador bastante confiable de calidad. La cantidad de estrellas no es suficiente, vea que sea sobre muchos usuarios, porque podrían haberlo votado favorablemente la mamá, la abuela y las hermanas del desarrollador 😉

Google Search Console (GSC)

GSC es la herramienta de webmasters de Google, y nos importa porque es ESA herramienta la que lo va a notificar a Ud. en caso de que Google detecte contenido malicioso en su sitio (también de otros aspectos de los que aquí no nos vamos a ocupar). Si al entrar a su web no ve ningún cartel rojo de alerta, es porque Google no detectó inconvenientes.

La parte que nos interesa de GSC es descripción general, pues en caso de que su sitio sí tenga el horrible cartel rojo, allí se indicarán los motivos: suele ser la lista de archivos maliciosos detectados. También allí tendrá la posibilidad de solicitar la revisión del sitio una vez subsanados los inconvenientes.

Antivirus del servidor

OJO: que GSC o la consulta a Safe Browsing no informen inconvenientes, no significa que su sitio no tenga vulnerabilidades. Con cierta frecuencia el escáner de virus del servidor detecta sitios con archivos maliciosos y los pone en cuarentena sin que Google se entere. Eso ya es síntoma grave, y se lo informaremos tan pronto tengamos noticia para que Ud. tome las medidas necesarias para asegurarlo.

Resumiendo:

  • Revise periódicamente el estado de actualizaciones de su sitio con WordPress;
  • Mantenga todo actualizado, y elimine lo que no está en uso;
  • Asegúrese de utilizar plugins y temas con actualizaciones activas y muchas instalaciones y buena valoración de los usuarios;
  • Instale y configure algún plugin de seguridad, y asegúrese de recibir notificaciones por correo electrónico (depende del plugin, pero suelen dirigirse al correo electrónico del usuario administrador);
  • Tenga su sitio apuntado en Google Search Console.

RECUERDE: más vale PREVENIR que REPARAR.