Primero, no es solo WordPress. Todos los sitios web en Internet son vulnerables a los intentos de piratería.
La razón por la que los sitios de WordPress son un objetivo común es porque WordPress es el creador de sitios web más popular del mundo. Representa más del 31% de todos los sitios web, lo que significa cientos de millones de sitios web en todo el mundo.
Los piratas informáticos tienen diferentes tipos de motivos para piratear un sitio web. Algunos son principiantes que recién están aprendiendo a explotar sitios menos seguros.
Algunos piratas informáticos tienen intenciones maliciosas, como distribuir malware, usar un sitio para atacar otros sitios web o enviar spam a Internet.
Dicho esto, echemos un vistazo a algunas de las principales causas de que los sitios de WordPress sean pirateados y cómo evitar que su sitio web sea pirateado.
1. Uso de contraseñas débiles
Las contraseñas son las llaves de su sitio de WordPress. Debe asegurarse de que está utilizando una contraseña única y segura para cada una de las siguientes cuentas, ya que todas pueden proporcionar a un hacker acceso completo a su sitio web.
- Su cuenta de administrador de WordPress
- La cuenta del panel de control de su web hosting
- Las cuentas FTP
- Las bases de datos MySql utilizadas por su sitio WordPress
- Las casillas de email
Todas estas cuentas están protegidas por contraseñas. El uso de contraseñas débiles facilita que los piratas informáticos descifren las contraseñas utilizando algunas herramientas básicas de piratería.
2. Acceso desprotegido al administrador de WordPress (directorio wp-admin)
El área de administración de WordPress le da acceso a un usuario para realizar diferentes acciones en su sitio de WordPress. También es el área más comúnmente atacada de un sitio de WordPress.
Dejarlo desprotegido permite a los piratas informáticos probar diferentes enfoques para descifrar su sitio web. Puede dificultarles la tarea agregando capas de autenticación a su directorio de administración de WordPress.
Primero debe proteger con contraseña su área de administración de WordPress. Esto agrega una capa de seguridad adicional, y cualquier persona que intente acceder al administrador de WordPress deberá proporcionar una contraseña adicional.
Si ejecuta un sitio de WordPress de varios autores o usuarios múltiples, puede aplicar contraseñas seguras para todos los usuarios de su sitio. También puede agregar autenticación de dos factores para que sea aún más difícil para los piratas informáticos ingresar a su área de administración de WordPress.
3. Permisos de archivo incorrectos
Los permisos de archivo son un conjunto de reglas utilizadas por su servidor web. Estos permisos ayudan a su servidor web a controlar el acceso a los archivos de su sitio. Los permisos de archivo incorrectos pueden dar acceso a un pirata informático para escribir y cambiar estos archivos.
Todos sus archivos de WordPress deben tener un valor de 644 como permiso de archivo. Todas las carpetas en su sitio de WordPress deben tener 755 como permiso de archivo.
4. No actualizar WordPress
Algunos usuarios de WordPress tienen miedo de actualizar sus sitios de WordPress. Temen que hacerlo rompa su sitio web.
Cada nueva versión de WordPress corrige errores y vulnerabilidades de seguridad. Si no está actualizando WordPress, entonces está dejando su sitio vulnerable intencionalmente.
Si tiene miedo de que una actualización rompa su sitio web, puede crear una copia de seguridad completa de WordPress antes de ejecutar una actualización. De esta manera, si algo no funciona, puede volver fácilmente a la versión anterior.
5. No actualizar los complementos o el tema
Al igual que el software principal de WordPress, la actualización de su tema y complementos es igualmente importante. El uso de un complemento o tema desactualizado puede hacer que su sitio sea vulnerable.
Las fallas de seguridad y los errores a menudo se descubren en los complementos y temas de WordPress. Por lo general, los autores de temas y complementos los arreglan rápidamente. Sin embargo, si un usuario no actualiza su tema o complemento, no hay nada que pueda hacer al respecto.
Asegúrese de mantener actualizados su tema y complementos de WordPress.
6. Uso de FTP simple en lugar de SFTP/SSH
Las cuentas FTP se utilizan para cargar archivos en su servidor web mediante un cliente FTP. La mayoría de los proveedores de alojamiento admiten conexiones FTP utilizando diferentes protocolos. Puede conectarse usando FTP, SFTP o SSH.
Cuando se conecta a su sitio mediante FTP simple, su contraseña se envía al servidor sin cifrar. Puede ser espiado y robado fácilmente. En lugar de usar FTP, siempre debe usar SFTP o SSH.
No necesitarías cambiar tu cliente FTP. La mayoría de los clientes FTP pueden conectarse a su sitio web tanto en SFTP como en SSH. Solo necesita cambiar el protocolo a ‘SFTP – SSH’ cuando se conecte a su sitio web.
7. Usando Admin como nombre de usuario de WordPress
No se recomienda usar ‘admin’ como su nombre de usuario de WordPress. Si su nombre de usuario de administrador es admin, entonces debe cambiarlo inmediatamente a un nombre de usuario diferente.
8. Temas y complementos anulados (crackeados)
Hay muchos sitios web en Internet que distribuyen complementos y temas de WordPress de pago de forma gratuita. A veces es fácil tener la tentación de usar esos complementos y temas anulados en su sitio.
Descargar temas y complementos de WordPress de fuentes poco confiables es muy peligroso. No solo pueden comprometer la seguridad de su sitio web, sino que también pueden usarse para robar información confidencial.
Siempre debe descargar los complementos y temas de WordPress de fuentes confiables, como el sitio web de desarrolladores de complementos/temas o los repositorios oficiales de WordPress.
Si no puede pagar o no quiere comprar un complemento o tema premium, siempre hay alternativas gratuitas disponibles para esos productos. Es posible que estos complementos gratuitos no sean tan buenos como sus contrapartes pagas, pero harán el trabajo y, lo que es más importante, mantendrán su sitio web seguro.
9. No asegurar la configuración de WordPress (Archivo wp-config.php)
El archivo de configuración de WordPress wp-config.php contiene sus credenciales de inicio de sesión en la base de datos de WordPress. Si está comprometido, revelará información que podría dar a un pirata informático acceso completo a su sitio web.
Puede agregar una capa adicional de protección negando el acceso al archivo wp-config usando .htaccess. Simplemente agregue este pequeño código a su archivo .htaccess.
1 <files wp-config.php>
2 order allow,deny
3 deny from all
4 </files>
10. No cambiar el prefijo de tabla de WordPress
Muchos expertos recomiendan que cambie el prefijo predeterminado de la tabla de WordPress. De forma predeterminada, WordPress usa wp_ como prefijo para las tablas que crea en su base de datos. Tiene la opción de cambiarlo durante la instalación.
Se recomienda que utilice un prefijo que sea un poco más complicado. Esto hará que sea más difícil para los piratas informáticos adivinar los nombres de las tablas de su base de datos.
Fuente: https://www.wpbeginner.com/beginners-guide/reasons-why-wordpress-site-gets-hacked/