Ir directamente al contenido

Seguridad en WordPress.com: guía para desarrolladores

Como desarrollador, es esencial garantizar la seguridad de tus webs para proteger tanto tu trabajo como la satisfacción de tus clientes. Los sitios alojados en WordPress.com están diseñados con sólidas medidas de seguridad, automatizando muchos de los procedimientos de protección que otros proveedores de hosting suelen dejar en manos de los propietarios de la web. 

En esta guía exploraremos las funciones de seguridad integrales que ofrece WordPress.com, profundizando en cómo nuestra plataforma protege tu web de diversas amenazas y qué pasos puedes tomar activamente para mejorar la seguridad de tu web.

Riesgos de seguridad de una web

Cualquier web que esté disponible públicamente corre el riesgo de que algún hacker intenten hacer caer el sitio o acceder a información personal. No utilizar medidas de seguridad en una web de WordPress puede conllevar consecuencias graves, como:

  • Alteraciones de la web: Los hackers pueden cambiar la apariencia de una web, normalmente para reemplazar contenido con sus propios mensajes.
  • Pérdida de control: Los hackers que acceden a tu cuenta de administrador pueden bloquearte el acceso a tu propia web.
  • Daño a la reputación: Una web comprometida puede dañar la reputación de la organización o el individuo al que representa, así como la del desarrollador que la gestiona.
  • Filtraciones de datos: Los datos personales de los usuarios, como direcciones de correo electrónico, contraseñas y otra información confidencial, pueden ser robados.
  • Contenido de spam: Los hackers pueden usar tu web para distribuir correos electrónicos o insertar contenido de spam, lo que puede significar el bloqueo de proveedores de correo electrónico y motores de búsqueda.
  • Infecciones de malware: Los visitantes de tu web pueden descargar malware involuntariamente, propagando la infección.
  • Ataques de phishing: Los hackers pueden crear páginas falsas en tu web para engañar a los usuarios y que compartan información confidencial, como credenciales de acceso y números de tarjetas de crédito.
  • Ransomware: Los hackers pueden cifrar los datos de tu web y exigir un rescate por su descifrado tomando tu web como rehén.
  • Penalizaciones en los motores de búsqueda: Google y otros motores de búsqueda pueden penalizar o desindexar tu web si ha sido comprometida, afectando gravemente tu clasificación en las búsquedas.

Las sólidas medidas de seguridad que veremos en el resto de esta guía pueden ayudar a mitigar estos riesgos y proteger tu web de WordPress.com de una amplia gama de amenazas.

Revisa tu web en busca de vulnerabilidades

Jetpack Scan monitoriza automáticamente todos los sitios de WordPress.com en busca de vulnerabilidades y comprueba los siguientes archivos diariamente:

  • Todos los archivos en los directorios plugins, mu-plugins, themes y uploads.
  • Archivos seleccionados del directorio raíz de WordPress, como wp-config.php.
  • Otros archivos seleccionados dentro del directorio wp-content.

Jetpack Scan busca amenazas que incluyen lo siguiente:

  • Shells encontrados en archivos que dan acceso a los atacantes para ejecutar código malicioso (malware), eliminar archivos y hacer cambios en tu base de datos. Jetpack Scan elimina cualquier archivo infectado y lo reemplaza con una versión limpia de tu copia de seguridad.
  • Plugins con vulnerabilidades de seguridad conocidas que actualizaremos (si una versión más reciente del plugin ha solucionado la amenaza) o eliminaremos para garantizar la seguridad del sitio.

Como propietario o administrador de la web, no tienes que hacer nada sobre las amenazas de seguridad que hayamos identificado. Nuestro equipo de seguridad dedicado trabaja para eliminar malware y abordar posibles riesgos de seguridad que surjan a través de Jetpack Scan. Cuando se identifica algún punto débil, nos encargamos de resolver rápidamente los problemas, actualizando o revirtiendo archivos según sea necesario.

Si tu web tiene un plan Business o Commerce de WordPress.com, puedes ver un registro de todas las amenazas que han sido identificadas y detenidas en tu sitio. Para ver el historial de Jetpack Scan, sigue estos pasos:

  1. Visita el escritorio de tu web.
  2. Navega a Jetpack → Scan.
  3. Desplázate por las amenazas de seguridad, donde puedes expandir la sección para ver más detalles sobre la amenaza. Las amenazas se pueden filtrar por el estado «solucionado» o «ignorado».
Historial de análisis de Jetpack resaltando las vulnerabilidades solucionadas

Otras funciones de seguridad de WordPress.com

Además del análisis automatizado y la eliminación de amenazas, tu web de WordPress.com incluye las siguientes funciones y procesos integrados para proteger tu sitio:

Actualizaciones automáticas

El software de WordPress se actualiza continuamente con las últimas características y protocolos de seguridad. Si la versión de WordPress que utiliza tu web se quedara desactualizada, tu sitio sería vulnerable a riesgos de seguridad. Por esta razón, mantenemos automáticamente la versión de WordPress siempre actualizada en todos las webs que se alojan en WordPress.com.

Certificado SSL gratuito

Incluimos SSL gratuito con todos los dominios que se utilicen en un sitio de WordPress.com, independientemente de si el dominio está registrado en WordPress.com o conectado desde otro registrador. Nuestro certificado SSL lleva tu web de HTTP a HTTPS sin ningún coste extra.

Protección con firewall

Un firewall es una capa esencial de protección contra ataques de denegación de servicio distribuidos (DDoS) y otros intentos de hackeo. Nuestro Firewall de Aplicaciones Web (WAF) examina el tráfico que entra en todos los sitios de WordPress.com y decide si lo permite o lo bloquea según diversas reglas (como direcciones IP sospechosas, bots maliciosos y actividad de tráfico inusual).

Si estás creando una aplicación personalizada que requiere una conexión de firewall, en la página de reglas de firewall tienes una lista con los protocolos y puertos permitidos.

Prevención de ataques de fuerza bruta

Los ataques de fuerza bruta son un método que utilizan los hackers para intentar acceder a tu web utilizando miles de combinaciones diferentes de nombres de usuario y contraseñas hasta encontrar la correcta. La protección contra ataques de fuerza bruta en WordPress.com bloquea intentos de inicio de sesión no deseados de ataques de acceso por fuerza bruta tanto tradicionales como distribuidos. 

Monitorización del tiempo de inactividad

La monitorización del tiempo de inactividad en WordPress.com vigila constantemente tu web y te avisa en el momento en que se detecta inactividad. Con un 99,999 % de tiempo de actividad en WordPress.com, es poco probable que haya inactividad debido al hosting, los servidores, brechas de seguridad o picos de tráfico en comparación con otros proveedores, pero nuestro monitor automatizado te avisará si detecta tiempo de inactividad.

Registro de actividad en tiempo real

El registro de actividad de Jetpack registra todas las actividades y eventos de la web para que puedas hacer un seguimiento de cualquier cambio o evento inesperado.

¿Es necesario instalar un plugin de seguridad?

En otros hosting de WordPress, los propietarios de la web suelen instalar un plugin de seguridad para monitorizar el sitio, analizarlo en busca de malware y bloquear ataques de fuerza bruta e intentos de acceso. Las opciones más populares son Wordfence y Sucuri Security.

Sin embargo, los beneficios que ofrecen estos plugins ya están integrados en la plataforma de WordPress.com. WordPress.com es un servicio de hosting gestionado que proporciona todas las funciones y características clave que cualquier sitio autoalojado pueda necesitar resolver por su cuenta, incluida la seguridad. 

Por esta razón, en WordPress.com no es necesario instalar ningún plugin de seguridad y, de hecho, algunos plugins de seguridad pueden interferir con los procesos de seguridad integrados que ya funcionan en tu web. Ahorra tiempo y dinero aprovechando las funcionalidades de seguridad que hemos visto en esta guía. 

Si tienes alguna preocupación sobre la seguridad de tu web, ¡no dudes en ponerte en contacto con nosotros!

Protege tu web

Si bien las funcionalidades de seguridad integradas en la plataforma de WordPress.com gestionan la mayor parte del trabajo, tú, como administrador del sitio, también debes seguir algunos pasos para proteger tus webs:

Utiliza una contraseña segura y la autenticación en dos pasos

Una web de WordPress puede disponer de la mejor protección de seguridad disponible, pero si utilizas una contraseña fácil de adivinar, eso es lo único que necesita un hacker para acceder y hacer lo que quiera con tu web. Por esta razón, es esencial proteger tu cuenta con una contraseña segura y habilitar la autenticación de dos pasos con tu teléfono o una clave de seguridad física para añadir más capas a la seguridad.

Revisa los permisos de usuario

Uno de los muchos beneficios de WordPress es que puedes invitar a otros usuarios a trabajar en una web contigo. WordPress incluye diferentes niveles de acceso según los permisos que necesite cada persona, desde colaboradores (que pueden escribir entradas) hasta administradores (que tiene acceso completo a todo). 

Al añadir usuarios, otórgales solamente el nivel de permiso más alto que necesiten. También es una buena idea revisar regularmente los usuarios de tu web y eliminar aquellos que ya no necesiten tener acceso.

Revisa los plugins regularmente

Los plugins y temas de tu sitio necesitan actualizaciones regulares para prevenir brechas de seguridad y proteger tu web, su contenido y sus visitantes. En WordPress.com, puedes activar las actualizaciones automáticas de plugins y temas.

Cuantos más temas y plugins tengas instalados en tu sitio, más oportunidades tiene un hacker de aprovecharse de ellos. Elimina plugins y temas que ya no sean necesarios en tu sitio, lo que, además, tiene el beneficio de mejorar el rendimiento de tu sitio.

Aprende a utilizar las copias de seguridad

Si tu web tiene un plan Business o Commerce de WordPress.com, Jetpack VaultPress Backup realiza automáticamente una copia de seguridad de tu sitio una vez al día, así que no tienes que preocuparte por hacer copias de seguridad manualmente o instalar otros plugins para asegurarte de tener copias de seguridad de tu web.

Para ver el historial de análisis de tu sitio, navega a Jetpack → Registro de actividad en el escritorio.

Dicho esto, si tu web ha sido afectada por malware, no deberías restaurar manualmente una versión de copia de seguridad de tu sitio, ya que existe el riesgo de volver a introducir el malware en tu web.

Mantén actualizada tu dirección de correo electrónico

Tenemos equipos dedicados a monitorizar activamente los análisis de tu web para ayudar a resolver cualquier problema. Estas soluciones incluyen eliminar código malicioso, eliminar plugins o temas peligrosos y, cuando sea posible, reemplazar plugins comprometidos por una versión segura. También intentamos mitigar problemas de seguridad importantes de plugins y temas de terceros para que no se puedan utilizar las vulnerabilidades ya conocidas incluso si el software no ha sido actualizado.

Si detectamos malware en tu web, actuaremos rápidamente para eliminar los archivos o directorios afectados. Esto puede resultar en cambios en la apariencia o funcionalidad de tu sitio, así que te notificaremos por correo electrónico cuando esto suceda

Por esta razón, es importante mantener tu dirección de correo electrónico de WordPress.com siempre actualizada. Si necesitas cambiarla por alguna razón, sigue estas instrucciones

Si una amenaza de malware proviene de un plugin o tema de terceros de tu sitio, te recomendamos informar del problema al desarrollador de dicho plugin o tema, ya que puede proporcionar una versión actualizada que no contenga código malicioso.

Si hackean tu web

Si descubres que tu web ha sido hackeada, sigue los siguientes pasos para resolver el problema:

  1. Revisa el registro de actividad de tu sitio en WordPress.com para ver quién ha iniciado sesión, qué cambios se han realizado y cuándo sucedieron dichos cambios.
  2. Revisa Jetpack Scan en busca de malware u otras pruebas de hackeo.
  3. Revisa los registros de supervisión del sitio para ver si hay solicitudes HTTP específicas a endpoints en plugins o para identificar la cronología de cuándo se introdujo el malware.
  4. Contacta con el servicio de soporte para que nuestro equipo pueda ayudarte a resolver el problema. Proporciona tanta información como sea posible para agilizar la conversación y la asistencia.
  5. Actualiza tus plugins y temas para blindar cualquier vulnerabilidad que el hacker pudiera haber aprovechado.
  6. Restablece la contraseña de tu cuenta y la contraseña local del wp-admin en wp-admin/users.php, e insta a los demás usuarios a hacer lo mismo.
  7. Activa la autenticación de dos factores en WordPress.com y Jetpack.
  8. Restablece tu contraseña de SFTP/SSH.
  9. Si tu web fue bloqueada, vuelve a enviarla a Google a través de Google Search Console

Con las potentes características de seguridad de WordPress.com puedes proteger tu web de manera fiable contra una amplia gama de amenazas. Sigue las recomendaciones y utiliza las herramientas a tu disposición para garantizar una experiencia fluida y segura tanto para ti como para tus visitantes.

Última actualización: noviembre 21, 2024

¡Lánzate! Empieza ahora con WordPress.com

Comenzar