WordPress es un excelente gestor de contenido, sin embargo, como con todas las aplicaciones web, que requieren ciertos ajustes por parte del usuario para dejarlo a prueba de las amenazas web más comunes.
Si su sitio de WordPress ha sido comprometido o sólo estás buscando algunas formas prácticas de asegurarlo te invitamos a revisar los motivos que pueden afectar la seguridad de tu sitio web.
-Tu versión de WordPress está desactualizada
El uso de una versión antigua de WordPress puede abrir todo un mundo de vulnerabilidades. El núcleo de WordPress es frecuentemente actualizado con parches de seguridad para mejorar y endurecer la seguridad de tu sitio de WordPress. Asegúrate de revisar continuamente que tu sitio esté actualizado, para eso, te recomendamos suscribirte a la lista de correo de actualizaciones WordPress para que puedas ser notificado cuando una nueva versión se libere.
-Estás difundiendo tu versión de WordPress
WordPress, por defecto, emite su versión el “generator” meta tag. Además, también incluye otros dos identificadores, un archivo ‘readme.html’ y un archivo ‘license.html’. En combinación, pueden ser una gran noticia para los robots que escanean en busca de sitios específicos.
-Está utilizando prefijos de tabla WordPress predecible
A lo largo del proceso de instalación, se te pedirá que especifiques un prefijo de tabla, en donde ‘wp_ ” es el predeterminado. Los atacantes pueden aprovechar el prefijo de tabla por defecto de WordPress en un ataque de inyección SQL para intervenir tu sitio web WordPress.
-Estás usando plugins de WordPress inseguras
Hay miles de plugins de WordPress inseguros. Tienes que ser muy cautelosos con los plugins que instalas, ya que podría estar mal desarrollado y disponerte a una serie de vulnerabilidades graves. Asegúrate de revisar siempre la fecha de liberación, críticas, descargas y si hay vulnerabilidades asociadas.
-No bloqueaste la carpeta de WordPress wp-admin
Tu carpeta de administración de WordPress es algo que no debes exponer. Bloquea tu carpeta wp-admin para evitar intentos no deseados de fuerza bruta, mediante el uso de directorios protegidos por contraseña o un plugin como Limit Login Attempts para mantener control sobre passwords o nombres de usuario incorrectos.
-Estás concediendo todos los privilegios en tu usuario de base de datos
En el caso de que tu sitio sea hackeado, lo último que queremos es que el atacante tenga privilegios de base de datos completos, es decir, la capacidad de eliminar por completo la base de datos o tablas específicas. Para asegurar que esto no suceda, sólo se debe permitir ‘INSERT’, ‘CREATE’, ‘ALTER “,” UPDATE” y ” SELECT ” para el usuario de base de datos de WordPress.
-Tu plantilla de WordPress es insegura
Asegúrese de hacer su investigación antes de decidirte por una plantilla de WordPress. También puedes cotejar la plantilla con las últimas mejores de WordPress con un plugin como el Theme – Check.
-Tus inicios de sesión de WordPress son débiles y predecibles
Usando el nombre de usuario por defecto “admin” estás tomando el camino corto a una base de datos hackeada. Asegúrate de pensar en un nombre de usuario y una contraseña única para reducir al mínimo las posibilidades de comprometer tu información.