7 formas de proteger tu sitio web al usar plugins en WordPress

Reading time aprox: 5 minutes, 42 seconds

7 formas de proteger tu sitio web al usar plugins en WordPress.

Hay miles de plugins que pueden mejorar tu instalación de WordPress con nuevas funciones. Desafortunadamente, también pueden exponer tu sitio web a piratas informáticos (Cuidado con la palabra «hacker»). De hecho, casi todas las vulnerabilidades de WordPress están relacionadas con plugins.

Afortunadamente, no tienes que elegir entre crear tu sitio web sin la ayuda de los plugins de WordPress o mantenerlo seguro. Puedes aprovechar los beneficios de esas herramientas mientras previenes los ciberataques, tomando algunas precauciones simples.

Introducción a la seguridad de los plugins de WordPress

Hay un plugin de WordPress para ayudarte a realizar casi cualquier tarea y resolver cualquier problema relacionado con tu sitio web. Puede ayudarte a añadir la autenticación de dos factores (2FA) a tu página de inicio de sesión, crear una tienda de comercio electrónico, atraer opiniones de clientes y mucho más.

Hay plugins de WordPress que se adaptan a todas las necesidades y presupuestos (muchos hasta gratuitos), incluidos:

  • Plugins de seguridad como Sucuri, Jetpack, y All In One WP Security & Firewall.
  • Plugins de optimización del rendimiento que incluyen W3 Total Cache y WP Rocket.
  • Plugins de comercio electrónico como WooCommerceEasy Digital Downloads, y Ecwid.
  • Plugins de membresía como son WooCommerce Memberships y MemberPress.
  • Plugins de construcción de páginas como son Elementor, Divi, y Beaver Builder.

Sin embargo, incluso los plugins gratuitos tienen un coste. Las extensiones agregan más código a tu sitio web, lo que significa potencialmente, más puntos débiles que los piratas informáticos pueden aprovechar. Según estudios, el 98 por ciento de las vulnerabilidades de WordPress están relacionadas con plugins.

La tarea de ignorar los plugins es una labor inútil y casi imposible a menos que estés ejecutando el blog más simple posible. En cambio, la solución a este problema es seguir las mejores prácticas de seguridad de plugins, para minimizar las grietas que los piratas informáticos podrían aprovechar.

7 formas de proteger tu sitio web al usar plugins en WordPress

Afortunadamente, no necesitas elegir entre la enorme colección de de plugins de WordPress y bloquear tu sitio web. Aquí hay siete consejos que pueden ayudarte a mantener seguros tu contenido y tus visitantes.

1. Instala solo plugins de fuentes de confianza.

Algunos plugins pueden contener malware, virus y otras amenazas digitales. Para ayudar a proteger tu sitio web, debes instalar productos de fuentes de confianza, únicamente, como el repositorio oficial de plugins de WordPress o mercados conocidos como CodeCanyon.

Siempre que sea posible, te recomiendo utilizar el repositorio oficial de plugins de WordPress. La plataforma tiene pautas de seguridad estrictas para todas las extensiones que aparecen en su sitio web, por lo que puedes estar seguro de que las herramientas disponibles a través de esta fuente han sido examinadas a fondo.

Si se descubre un problema de seguridad, WordPress.org trabajará con el desarrollador del plugin para intentar resolverlo. Si no pueden llegar a una resolución, es posible que el plugin se elimine del directorio o que otros miembros de la comunidad tomen medidas para corregir la vulnerabilidad ellos mismos.

2. Investiga el historial y las reseñas de tus plugins.

Incluso cuando estés instalando un plugin desde una fuente de confianza, aún debes investigar. Te recomiendo que consultes las reseñas del plugin, en particular las más recientes.:

7 Formas de Proteger tus Plugins en WordPress - Consulta las reseñas
7 Formas de Proteger tus Plugins en WordPress – Consulta las reseñas

También debes verificar la fecha de la actualización más reciente del plugin. Si el desarrollador no ha lanzado una nueva versión en los últimos seis meses, es posible que desees utilizar una alternativa, ya que es más probable que el código no actualizado contenga vulnerabilidades.:

7 Formas de Proteger tus Plugins en WordPress - Fecha de actualización
7 Formas de Proteger tus Plugins en WordPress – Fecha de actualización

Las reseñas no son el único lugar donde los usuarios pueden debatir sobre un plugin. También puedes comprobara si alguien se queja de una herramienta específica en foros o blogs de terceros. La búsqueda en plataformas de redes sociales populares como Twitter y Facebook también puede ser útil.

3. Mantén tus plugins actualizados

Las nuevas versiones a menudo incluyen «parches» para exploits y vulnerabilidades, por lo que es importante mantener tus plugins actualizados. Si se queda atrás, tu sitio web podría estar expuesto a ataques.

Para buscar actualizaciones, inicia sesión en la administración de WordPress y haz clic en Escritorio -> Actualizaciones en el menú de la barra lateral. A continuación, puedes seleccionar la casilla de verificación adjunta de cada plugin y hacer clic en Actualizar plugins:

7 Formas de Proteger tus Plugins en WordPress - Actualiza plugins
7 Formas de Proteger tus Plugins en WordPress – Actualiza plugins

Es muy probable que quieras instalar todas las actualizaciones disponibles, a menos que tengas una razón específica para no hacerlo:

7 Formas de Proteger tus Plugins en WordPress - Actualizar todos
7 Formas de Proteger tus Plugins en WordPress – Actualizar todos

En ocasiones, la actualización de un plugin puede generar un conflicto, ya que los productos que anteriormente coexistían felizmente pueden volverse incompatibles.

Ya te expliqué como se pueden revertir las actualizaciones, mediante el uso de un plugin como WP Rollback.

Con la opción «Safe Updates» de «ManageWP» (https://es.wordpress.org/plugins/worker/) , puedes actualizar todos tus plugins sin tener que preocuparte por los conflictos de los plugins.

Si ocurre algún conflicto, la función de «Actualizaciones seguras» crea un punto de restauración, para que puedas deshacer fácilmente los cambios y solucionar el problema sin causar tiempo de inactividad en tu sitio.

4. Eliminar plugins no utilizados.

Si has dejado de usar un plugin, no es suficiente con desactivarlo. El código de la herramienta seguirá estando incluido en los archivos de tu sitio y, por lo tanto, los piratas informáticos aún pueden explotarlo. Por ejemplo, los ciberdelincuentes suelen atacar archivos PHP1 individuales dentro de un plugin específico.

El menú de plugin, sin necesidad de ninguna herramienta adicional, te permite saber de un vistazo, cuantos plugin desactivados tienes:

7 Formas de Proteger tus Plugins en WordPress - Pligins desactivados
7 Formas de Proteger tus Plugins en WordPress – Pligins desactivados

Si lo deseas, puedes eliminar fácilmente todos estos plugins de tu sitio haciendo clic en Seleccionar todo -> Eliminar. Alternativamente, puedes eliminar uno específico seleccionando la casilla de verificación a la izquierda de ese plugin y luego haciendo clic en Eliminar.

5. Mantente actualizado sobre la seguridad de WordPress,

Los piratas informáticos crean más de 350.000 nuevas piezas de malware todos los días, por lo que es importante seguir los últimos avances en materia de seguridad. Hay muchos sitios web que publican actualizaciones de seguridad de WordPress, quizá los más populares (en inglés) incluyen Security Boulevard, The Hacker News y Help New Security. También recomiendo leer la sección de seguridad del blog oficial de es.WordPress.org.

Debes verificar si tus plugins tienen sitios web, blogs o cuentas de redes sociales que puedas seguir. A menudo, estos son los mejores lugares para aprender sobre problemas de seguridad relacionados con productos específicos. Si un desarrollador tiene un boletín informativo o una lista de correo, deberías considerar agregar tu nombre.

Si todo esto suena demasiado lento y tedioso, te recomiendo al menos seguir la base de datos de vulnerabilidades de WordPress de «WPScan». Mantiene una base de datos disponible públicamente de vulnerabilidades conocidas de WordPress Core, Temas y Plugins. Puedes seguir «WPScan» en Twitter o registrarte para recibir alertas por correo electrónico.

Por otro lado, el plugin «ManageWP» te muestra, en su panel de control, toda la información de la base de datos de «WPScan».

6. Supervise tu sitio web para detectar comportamientos sospechosos.

No es inusual que los desarrolladores eviten anunciar públicamente una vulnerabilidad de seguridad hasta que la hayan abordado con éxito. Esto ayuda a limitar la cantidad de daño causado, ya que dichas notificaciones también podrían alertar a los piratas informáticos malintencionados sobre oportunidades para robar datos o instalar «malware». Sin embargo, tu sitio web seguirá siendo vulnerable hasta que se solucione el problema.

Evita esperar a que un tercero te notifique sobre un plugin inseguro. Puedes monitorizar activamente tu sitio web utilizando herramientas como el «Control de seguridad» de «ManageWP». Esta función buscará automáticamente «malware» y controlará si tu sitio está en la lista negra de servicios centrados en la seguridad como «Google Safe Browsing y Norton Safe Web. Si descubres un problema de seguridad, puedes alertarlo por correo electrónico o Slack.

Si usas el plugin «ManageWP», obtendrás notificaciones por correo, si tu sitio deja de funcionar. Hay muchos problemas de rendimiento y seguridad que pueden hacer que tu sitio web esté fuera de línea, por lo que el tiempo de inactividad no indica automáticamente un problema con sus plugins. Sin embargo, cualquier interrupción es un problema grave que se debe investigar más a fondo.

7. Informar sobre cualquier problema de seguridad del plugin.

Si descubres un problema con uno de tus plugins, nunca debes publicarlo abiertamente. Llamar la atención sobre una vulnerabilidad de seguridad no parcheada brinda a los piratas informáticos la oportunidad de explotarla. Al quejarte abiertamente, podría convertir tu sitio web en un objetivo principal.

En su lugar, siempre debes intentar comunicarte directamente con el desarrollador del plugin. Si descargaste el plugin del repositorio oficial de plugins de WordPress, puedes consultar su lista para obtener detalles de contacto.

Si la información de contacto del desarrollador no está disponible públicamente, puedes verificar el código fuente del plugin. Los desarrolladores a veces incluyen información de contacto allí. Si has descubierto una vulnerabilidad grave y no puedes ponerte en contacto con el desarrollador, WordPress.org te aconseja que te pongas en contacto con el equipo de plugins.

Conclusión

Los plugins son una de las mayores fortalezas de WordPress, pero también pueden dejar tu sitio web vulnerable a los piratas informáticos. Si sigues algunas precauciones de seguridad sencillas, aún puedes utilizar este componente clave de la plataforma sin poner en peligro tu sitio.

Además de evaluar la calidad de los plugins antes de instalarlos, es vital que los mantengas actualizados. Elimina siempre las extensiones no utilizadas y controla tu sitio para detectar signos de violaciones de seguridad.

Publiqué anteriormente, una lista de los mejores plugin de seguridad, si no usas ninguno, te recomiendo encarecidamente que lo hagas de inmediato. Muchos de esos plugin de seguridad, te brindan herramientas para «blindar» la seguridad de tu sitio.

Recuerda, #UsaMascarilla y #LávateLasManos, juega, experimenta y, sobre todo, ¡divertirte!


¡Gracias por leernos!


¡Tus comentarios y preguntas nos ayudan a mejorar, por favor comenta!


  1. Personal Home Page 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

doce − 5 =

Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones.    Más información
Privacidad