How to perform a website security check
The first step to securing your website: determine how secure your website is. Are there any glaring vulnerabilities in your backend that you need to patch immediately, or are there any simple fixes you can make now?
Use an online tool
A quick and easy way to check your website for malware and vulnerabilities is to use an online scanner. These scan your site remotely and identify the most common issues. It's very convenient as it doesn't require any software or plugins and only takes a few seconds.
There are dozens of scanners to choose from online, and we'll list a few others in our tools section below, but for now, we'll pick a popular one that's easy to use: Sucuri SiteCheck .
Screenshot of Sucuri's homepage showing
Sucuri SiteCheck.
This tool is a good option as you can install the Sucuri plugin and start troubleshooting any issues it detects.
Once you scan your site, Sucuri will check it against blocklists, look for obvious issues like injected spam or outdated software, and briefly scan any code you can access for malware. It also offers some suggestions for hardening your site against attacks.
Scan a website with the Sucuri plugin.
Scan a website with the Sucuri plugin.
Tools like this are a great starting point for detecting hidden malware and other issues.
Scan your website with a WordPress plugin
While online scanners work pretty well, it's even better to install a plugin that's able to dig deep into your code's root and catch vulnerabilities or hard-to-detect malware.
We’ve already mentioned Sucuri as an option. There are also two even more popular security plugins: All in One WP Security & Firewall , and the most downloaded one in the repository, Wordfence Security .
Once you've installed the plugin of your choice, it will likely prompt you to run a scan immediately. The advantage of these plugins over remote scanners is that they can remove malware and make changes automatically.
Look for strange changes
If you suspect or know that your website has been infected with malware, locating the source can sometimes be a challenge. Below are some unexplained changes you may notice, as well as the files that typically attract hackers:
Sudden links to strange websites that you didn't add yourself
New articles and pages that you haven't created, or the content of existing pages that suddenly changes
Configuration changes you haven't made
A new user, especially one with high-level privileges, that you have not added
Plugins or themes you haven't installed
Malware can often inject malicious code into your files. Check plugin and theme files, the wp-content/uploads folder , WordPress core files located in the wrong directory, wp-config.php and .htaccess . You should backup your site and be familiar with the code before making any sensitive changes.
If you connect to your site with FTP , you can sort through recently modified files looking for code that shouldn't be there.
If your site is periodically infected with malware and you can't find any cause in the files, the problem may be on your server or somewhere else on your server.
Make sure everything is up to date
As we’ve already mentioned, outdated software is by far the most common infection vector in WordPress. If there’s just one thing you can do to keep your site safe, it should be to keep WordPress up to date .
The easiest way to check the status of all your site's software is to go to Dashboard > Updates , which will alert you if your core, theme, or plugins are out of date.
WordPress Updates
WordPress Updates
Since WordPress now performs automatic updates since version 5.5, nothing should be out of date unless you have an outdated version of WordPress. If you don't, you can update everything from this screen.
If you know there is a new version of WordPress, but it isn't showing up, click the Check Again button under Current Version .
You can also check for updates on the Plugins > Installed Plugins or Appearance > Themes pages .
Important
It is essential to keep PHP up to date , especially if you are using a version older than 7.3, as it may have significant security vulnerabilities.
Secure accounts and passwords
Una contraseña débil en tu cuenta principal hace que sea fácil para cualquiera entrar en tu sitio con programas de fuerza bruta, dándoles acceso de administrador y la capacidad de cambiar cualquier cosa.
Mientras que una contraseña complicada puede ser ardua de recordar, haciendo que el inicio de sesión sea menos conveniente, es aún más inconveniente tener que recuperar su sitio de un hack. Merece la pena utilizar una contraseña más segura, aunque tengas que llevarla escrita.
Tu contraseña debe utilizar una mezcla de letras mayúsculas y minúsculas, números y símbolos. Lo mejor sería que no la basaras en palabras del diccionario o en información personal que se pueda adivinar, como tu dirección o el nombre de un familiar.
En el mejor de los casos, tu contraseña sería una larga y enmarañada cadena de caracteres especiales. Te recomendamos encarecidamente que utilices un gestor de contraseñas. Utiliza un sitio como 1Password o LastPass para generar una contraseña segura e indescifrable.
Generate a secure password with LastPass.
Generar una contraseña segura con LastPass.
Puedes actualizar tu contraseña y correo electrónico en WordPress yendo a Usuarios > Todos los usuarios o directamente a Usuarios > Tu Perfil. Desplázate hacia abajo y encuentra el correo electrónico en Información de contacto, y la nueva contraseña en Gestión de cuentas.
Set a new password in WordPress
Establecer una nueva contraseña en WordPress
Mientras estás en la página de Usuarios, echa un vistazo a todos tus usuarios y asegúrate de que no hay ninguno que no reconozcas o que tenga permisos inapropiados. Debes eliminar inmediatamente cualquier usuario no identificado con permisos de administrador.
También te animamos a que mires esta guía sobre cómo restringir los permisos de los usuarios para que solo tu cuenta pueda cambiar los archivos sensibles de tu sitio.
Comprueba tu certificado SSL
Si tu certificado SSL está caducado, normalmente lo sabrás al instante; los navegadores como Google Chrome bloquearán el acceso a tu sitio con una enorme advertencia sobre el certificado caducado. Si no estás seguro o ya recibes este error, comprueba tu certificado SSL para ver si está actualizado y si estás utilizando la última versión de SSL/TLS.
Cuando visites un sitio web, verás un icono de candado en la barra de direcciones en la mayoría de los navegadores. Si tu certificado está caducado, este candado puede ser de color rojo o tener una barra atravesada.
Haz clic en el icono del candado y, a continuación, vuelve a hacer clic para ver la información del certificado, incluida su fecha de caducidad.
Checking a website's SSL certificate.
Comprobación del certificado SSL de un sitio web.
También puedes utilizar un comprobador de certificados SSL para escanear tu sitio y asegurarte de que tu certificado no ha caducado y de que no hay vulnerabilidades en tu protocolo SSL.
Vulnerabilidades comunes
Muchos sitios de WordPress están llenos de pequeños vectores de ataques que pueden parecer inocuos pero que pueden proporcionar más información de la que se quiere compartir.
Tener una versión visible de WordPress en tu frontend le dice a los hackers exactamente qué vulnerabilidades están presentes en tu sitio. Especialmente si estás usando una versión obsoleta de WordPress, es posible que quieras ocultar esta información.
Verás que los editores de archivos están en Apariencia > Editor de temas y en Plugins > Editor de plugins en tu backend.
Adding code to the theme editor
Añadir código al editor de temas
Si bien estas herramientas son muy convenientes, también hace que cualquier persona que hackea tu sitio pueda romper algo, por lo que es posible que desee desactivarlas. Puedes hacerlo añadiendo esta función a wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );
Las inyecciones SQL son una forma común de entrar en un sitio. Si tienes formularios u otras entradas de usuario, restringe el uso de caracteres especiales y permite que solo se carguen tipos de archivos seguros y comunes.
Por último, para una capa adicional de protección, puedes proteger con directorios de archivos.
Cómo proteger tu sitio web: Consejos y herramientas
Si tu sitio tiene malware, un buen plugin de seguridad debería ser suficiente para eliminarlo. Y hemos cubierto más arriba algunas vulnerabilidades que querrás comprobar.
Mira Nuestro Videotutorial para Asegurar tu Sitio Web
Reproducir vídeo
Tenemos algunos otros consejos rápidos para asegurar tu sitio web y prevenir la infección antes de que pueda ocurrir. Puedes aplicar la mayoría de estos consejos en cuestión de minutos, por lo que deberían ser fáciles de configurar incluso si no estás familiarizado con WordPress y la seguridad web.
Elige un alojamiento seguro
Cuando los piratas informáticos buscan una forma de entrar en tu sitio, a menudo se dirigen al servidor en busca de exploits. Hay muchos alojamientos baratos, pero no siempre invierten en los servidores más seguros.
El alojamiento compartido puede ser un vector de infección. Si un sitio web se infecta con malware, puede extenderse potencialmente a todos los sitios del servidor. Así que podrías terminar con un sitio lleno de virus y spam de SEO, y ni siquiera sería tu culpa.
Por eso es fundamental investigar y elegir un alojamiento que se preocupe por la seguridad e invierta en servidores seguros. Tendrás que seguir trabajando para asegurar tu sitio web, pero a nivel de servidor, tus datos estarán seguros.
Activar la autenticación en dos pasos (2FA)
La autenticación en dos pasos (también conocida como autenticación de dos factores o 2FA) añade otro paso de inicio de sesión. Además del nombre de usuario y la contraseña, tú o cualquiera que se haga pasar por ti necesitará otro dato: un código único adicional.
Puede ser un código numérico enviado a tu teléfono, que puede hacer que tu cuenta de WordPress sea casi imposible de descifrar mediante fuerza bruta. También puede requerir una verificación por correo electrónico o un dato que solo tú conoces.
Aunque no hay una forma integrada de activar la autenticación de dos factores, muchos plugins añaden la funcionalidad a WordPress.
Kinsta ofrece autenticación de dos factores a todos los clientes. Sin embargo, si no eres usuario de Kinsta, el plugin de seguridad Wordfence que mencionamos antes viene con 2FA incorporado. También puedes probar otras herramientas de seguridad de sitios web, como el plugin Two-Factor para códigos de correo electrónico o Duo para configurar la autenticación telefónica de dos factores a través de una aplicación.
Duo Two-Factor Authentication Plugin
Plugin de autenticación de dos factores Duo
Crea copias de seguridad todos los días
Hacer una copia de seguridad de tu sitio no puede salvarlo de que alguien intente entrar, pero si alguna vez ocurre algo, tener una copia de seguridad será de gran valor. Puede significar la diferencia entre perder semanas o incluso años de trabajo y simplemente restaurar a una copia de seguridad de antes del hackeo.
Si estás con Kinsta, te cubrimos con copias de seguridad diarias automatizadas que se almacenan durante dos semanas (30 días para los que tienen Programa de Socios de Agencia de Kinsta). Además, puedes crear cinco copias de seguridad manuales y una copia de seguridad descargable a la semana, y hay complementos opcionales para hacer copias de seguridad cada hora o exportarlas a la nube.
Plugins como UpdraftPlus también pueden ayudar. Lo mejor es elegir un servicio que haga copias de seguridad diarias como mínimo para minimizar la pérdida de datos.
Utilicza un cortafuegos de aplicaciones web
Un cortafuegos de aplicaciones web, o WAF, utiliza reglas estrictas para filtrar el tráfico entrante, bloqueando las IPs que se sabe que están asociadas con la piratería o los ataques DDoS. Evita que muchos ataques lleguen a tu servidor.
Aunque se pueden aplicar WAFs a nivel de servidor, lo más fácil es adquirir un servicio basado en la nube como el que proporcionan Cloudflare o Sucuri.
Conectar a través de SSH o SFTP
A veces necesitas conectarte a tu sitio conFTP para añadir o modificar archivos allí. Siempre es mejor usar SFTP que FTP; la diferencia es simple: SFTP es seguro, y FTP no lo es.
Con el FTP, tus datos no están encriptados. Si alguien logra interceptar la conexión entre ti y tu servidor, podría ver todo, desde tus credenciales de acceso al FTP hasta los archivos que subas. Conéctate siempre con SFTP.
También puedes considerar el uso de acceso SSH, que te permite conectarse a un símbolo del sistema y gestionar tu sitio más directamente. Es seguro, protegido y puede manejar remotamente tareas simples. Nuestra guía sobre SSH puede ayudarte si estás atascado.
Prevenir los ataques DDoS
Los ataques DDoS ralentizan tu sitio web al inundar tu servidor con miles de peticiones falsas, impidiendo que los lectores o clientes potenciales accedan a él. Aquí tienes algunos consejos para detenerlos antes de que se produzcan:
Ten un plan para cuando se produzca un ataque DDoS. No querrás que cunda el pánico cuando tengas que alertar a tu proveedor de Internet y detener el ataque.
Utiliza un cortafuegos de aplicaciones web que pueda detectar el tráfico falso.
Utiliza un software anti-DDoS específicamente adaptado.
Desactive xmlrpc.php para evitar que aplicaciones de terceros utilicen tu servidor.
Desactivar la API REST para los usuarios generales.
Evitar los ataques de fuerza bruta
Los ataques de fuerza bruta pueden ser similares a los ataques DDoS, pero el objetivo es adivinar tu contraseña de administrador y entrar en el sitio en lugar de hacer caer tu servidor. Dicho esto, estos también pueden ralentizar tu sitio.
Una vez más, un WAF puede filtrar el tráfico de bots y los intentos descarados de fuerza bruta.
Utiliza la autenticación en dos pasos en tu cuenta de administrador.
Establece un registro de actividad y vigila los intentos de inicio de sesión no autorizados.
Cambia la URL de la página de acceso y limitar el número de intentos de acceso.
Protege a tu página de acceso con una contraseña.
Utiliza una contraseña larga y generada aleatoriamente y cámbiala cada año aproximadamente.
Herramientas de seguridad para sitios web que debes conocer
Además de las que ya hemos mencionado, aquí hay otras herramientas de seguridad en línea que le ayudarán a bloquear su sitio web:
Intruder.io: Busca las últimas vulnerabilidades.
SSL Server Test: Herramienta para desarrolladores que analiza su certificado SSL e identifica los puntos débiles.
HTML Purifier: Filtra el código malicioso/XSS, ideal si tienes código infectado que necesitas limpiar.
Mozilla Observatory: Consejos prácticos para purgar tu código de las vulnerabilidades más comunes.
sqlmap: Una herramienta de pruebas de penetración para identificar exploits en su código SQL.
Detectify: Escanea tus aplicaciones web con la ayuda de hackers éticos.
WPScan: Un escáner de WordPress basado en CLI.
SonarQube: Escriba código conforme a los estándares y libre de vulnerabilidades de seguridad.
Lista de verificación de la seguridad del sitio web
¿Está tu sitio web a salvo de ataques? Asegúrate de que has marcado casi todo en esta lista de comprobación:
¿Utiliza un entorno de alojamiento seguro y de alta calidad?
¿Has escaneado su sitio con un plugin o un escáner en línea para comprobar si hay virus?
¿Has instalado un registro de actividad y lo supervisa para detectar cambios inusuales?
¿Tú y cualquier usuario con privilegios de alto nivel utilizan contraseñas seguras y autenticación de dos factores? ¿Son correctos todos los correos electrónicos?
¿Están actualizados WordPress, tus temas y plugins, y los sistemas subyacentes como PHP?
¿Tu certificado SSL es seguro y está actualizado?
¿Has comprobado si hay cambios inexplicables, eliminación o adición de contenido, o enlaces que no has añadido en tus páginas web, configuraciones o archivos?
¿Tu página de acceso está protegida por una contraseña y tiene limitados los intentos de acceso?
¿Has comprobado si hay nuevos usuarios que no has añadido?
¿Están protegidos los formularios, los cuadros de comentarios y otras fuentes de entrada del usuario? (No permita caracteres especiales y restrinja la carga de archivos a tipos de archivo conocidos).
¿Ha desactivado xmlrpc.php y la API REST para evitar ataques DDoS?
¿Has desactivado la edición de temas y plugins en el panel de control?
¿Dispones de un servicio de copias de seguridad diarias?
¿Tienes configurado un cortafuegos de aplicaciones web?
Resumen
La seguridad de los sitios web no es un asunto menor, así que si aún no estás al tanto de ella, es el momento de convertirla en una prioridad. Ser hackeado no solo molesta, sino que puede acabar con un SEO dañado, una pérdida de datos devastadora, la pérdida de confianza de los usuarios y un malware que vuelve una y otra vez.
No es necesario ser un desarrollador experimentado para tomar algunas medidas adicionales para asegurar tu sitio. Y eso comienza con una adecuada comprobación de la seguridad del sitio web. Incluso algo tan sencillo como elegir una mejor contraseña o cambiar a un alojamiento más seguro puede marcar la diferencia.
¿Necesitas más consejos de seguridad? Conozce otras sweden whatsapp number data 19 formas de proteger tu sitio web. Y no dudes en compartir tus sugerencias en los comentarios de abajo.
Potencia tu sitio con el alojamiento Administrado de WordPress de Kinsta, diseñado para ofrecer velocidad, seguridad y simplicidad. Con Kinsta, obtienes:
Control simplificado a través del panel MyKinsta
Migraciones gratuitas ilimitadas, gestionadas por nuestro equipo de expertos en migraciones
Soporte 24/7/365 de expertos en WordPress
Infraestructura premium de Google Cloud
Seguridad de nivel empresarial mediante la integración con Cloudflare
Alcance mundial con 37 centros de datos
¡Disfruta de tu primer mes gratis!
A Complete Introduction to Web Components in 2025
-
mouakter13
- Posts: 138
- Joined: Mon Dec 23, 2024 4:09 am