Recientemente, uno de nuestros lectores nos preguntó por qué los sitios de WordPress son pirateados. Es frustrante descubrir que tu sitio de WordPress ha sido pirateado. En este artículo, compartiremos las razones principales por las que el sitio de WordPress es pirateado, para que usted pueda evitar estos errores y proteger su sitio.

¿Por qué es WordPress objetivo de los hackers?

Primero, no es sólo WordPress. Todos los sitios web en Internet son vulnerables a intentos de piratería informática.

La razón por la que los sitios de WordPress son un objetivo común es porque WordPress es el constructor de sitios web más popular del mundo. Controla más del 31% de todos los sitios web, lo que significa cientos de millones de sitios web en todo el mundo.

Esta inmensa popularidad le da a los hackers una manera fácil de encontrar sitios web que son menos seguros, para que puedan explotarlos.

Los hackers tienen diferentes tipos de motivos para piratear un sitio web. Algunos son principiantes que están aprendiendo a explotar sitios menos seguros.

Algunos hackers tienen intenciones maliciosas como distribuir malware, usar un sitio para atacar otros sitios web o enviar spam a Internet.

Dicho esto, echemos un vistazo a algunas de las causas principales de que los sitios de WordPress sean pirateados, y cómo evitar que su sitio web sea pirateado.

1. Alojamiento Web Inseguro

Como todos los sitios web, los sitios de WordPress están alojados en un servidor web. Algunas empresas de alojamiento no protegen adecuadamente su plataforma de alojamiento. Esto hace que todos los sitios web alojados en sus servidores sean vulnerables a intentos de piratería informática.

Esto puede evitarse fácilmente eligiendo el mejor proveedor de alojamiento de WordPress para su sitio web. Garantiza que su sitio esté alojado en una plataforma segura. Los servidores adecuadamente seguros pueden bloquear muchos de los ataques más comunes en los sitios de WordPress.

Si desea tomar precauciones adicionales, le recomendamos que utilice un proveedor de alojamiento de WordPress administrado.

2. Uso de contraseñas débiles

Contraseña débil.

Las contraseñas son las claves de su sitio WordPress. Debe asegurarse de que está utilizando una contraseña única y segura para cada una de las siguientes cuentas, ya que todas ellas pueden proporcionar un acceso completo a su sitio web por parte de un hacker.

  • Tu cuenta de administrador de WordPress
  • Cuenta de panel de control de alojamiento web
  • Cuentas FTP
  • Base de datos MySQL utilizada para su sitio WordPress
  • Cuentas de correo electrónico utilizadas para la cuenta de administración o alojamiento de WordPress.

Todas estas cuentas están protegidas por contraseñas. El uso de contraseñas débiles facilita a los hackers el descifrar las contraseñas utilizando algunas herramientas básicas de hacking.

Puede evitarlo fácilmente utilizando contraseñas únicas y sólidas para cada cuenta.

3. Acceso sin protección a WordPress Admin (Directorio wp-admin)

El área de administración de WordPress da acceso a un usuario para realizar diferentes acciones en su sitio de WordPress. También es el área más comúnmente atacada de un sitio de WordPress.

Dejarlo desprotegido permite a los hackers probar diferentes enfoques para descifrar su sitio web. Puede dificultarles las cosas añadiendo capas de autenticación a su directorio de administración de WordPress.

Primero debes proteger con contraseña tu área de administración de WordPress. Esto añade una capa de seguridad adicional, y cualquiera que intente acceder al administrador de WordPress tendrá que proporcionar una contraseña adicional.

Si ejecuta un sitio WordPress de varios autores o usuarios, puede aplicar contraseñas seguras para todos los usuarios de su sitio. También puede añadir dos factores de autenticación para que sea aún más difícil para los hackers entrar en su área de administración de WordPress.

4. Permisos de archivo incorrectos

Permisos de archivos via FTP.

Los permisos de archivo son un conjunto de reglas utilizadas por su servidor web. Estos permisos ayudan a su servidor web a controlar el acceso a los archivos de su sitio. Los permisos de archivo incorrectos pueden dar acceso a un hacker para escribir y cambiar estos archivos.

Todos tus archivos de WordPress deberían tener un valor de 644 como permisos de archivo. Todas las carpetas de tu sitio de WordPress deberían tener 755 como su permiso de archivo.

5. No actualizar WordPress

Algunos usuarios de WordPress tienen miedo de actualizar sus sitios de WordPress. Ellos temen que al hacerlo se rompería su sitio web.

Cada nueva versión de WordPress corrige errores y vulnerabilidades de seguridad. Si no estás actualizando WordPress, entonces estás dejando tu sitio vulnerable intencionalmente.

Además las nuevas versiones optimizan la velocidad de tu WordPress lo que te puede ayudar a aumetar el tráfico.

Si temes que una actualización rompa tu sitio web, entonces puedes crear una copia de seguridad completa de WordPress antes de ejecutar una actualización. De esta manera, si algo no funciona, puede volver fácilmente a la versión anterior.

6. No actualizar plugins o temas

Al igual que el software central de WordPress, actualizar tu tema y los plugins es igualmente importante. El uso de un plugin o tema obsoleto puede hacer que su sitio sea vulnerable.

Los defectos y errores de seguridad se descubren a menudo en los plugins y temas de WordPress. Por lo general, los autores de los temas y los plugins los arreglan rápidamente. Sin embargo, si un usuario no actualiza su tema o plugin, entonces no hay nada que pueda hacer al respecto.

Asegúrate de mantener el tema y los plugins de WordPress actualizados.

7. Uso de FTP simple en lugar de SFTP/SSHH

Protocolo FTP vs SFTP.

Las cuentas FTP se utilizan para subir archivos a su servidor web utilizando un cliente FTP. La mayoría de los proveedores de hosting soportan conexiones FTP utilizando diferentes protocolos. Puede conectarse utilizando FTP simple, SFTP o SSH.

Cuando usted se conecta a su sitio usando FTP simple, su contraseña es enviada al servidor sin encriptar. Puede ser espiado y robado fácilmente. En lugar de usar FTP, siempre debe usar SFTP o SSH.

No es necesario que cambie su cliente FTP. La mayoría de los clientes FTP pueden conectarse a su sitio web tanto en SFTP como en SSH. Sólo tiene que cambiar el protocolo a’SFTP – SSH’ cuando se conecte a su sitio web.

8. Usar Admin como nombre de usuario de WordPress

No se recomienda usar ‘admin’ como nombre de usuario de WordPress. Si su nombre de usuario de administrador es admin, deberá cambiarlo inmediatamente por otro nombre de usuario.

9. Temas y plugins anulados

Peligro de Malware.

Hay muchos sitios web en Internet que distribuyen gratuitamente plugins y temas de WordPress de pago. A veces es fácil caer en la tentación de usar esos plugins y temas nulos en tu sitio.

Descargar temas y plugins de WordPress de fuentes poco fiables es muy peligroso. No sólo pueden comprometer la seguridad de su sitio web, sino que también pueden utilizarse para robar información confidencial.

Siempre debe descargar los plugins y temas de WordPress de fuentes confiables como el sitio web de desarrolladores de plugins/temas o los repositorios oficiales de WordPress.

Si no puede o no quiere comprar un plugin o tema premium, siempre hay alternativas gratuitas disponibles para esos productos. Estos plugins gratuitos pueden no ser tan buenos como sus contrapartes pagadas, pero harán el trabajo y, lo más importante, mantendrán su sitio web seguro.

10. No asegurar la configuración de WordPress en ARCHIVO wp-config.php

El archivo de configuración de WordPress wp-config.php contiene sus credenciales de acceso a la base de datos de WordPress. Si está comprometida, entonces revelará información que podría darle a un hacker acceso completo a su sitio web.

Puede añadir una capa extra de protección negando el acceso al archivo wp-config usando .htaccess. Simplemente agrega este pequeño código a tu archivo .htaccess.null

<files wp-config.php>
order allow,deny
deny from all
</files>

11. No cambiar el prefijo de la tabla WordPress

Muchos expertos recomiendan que cambie el prefijo predeterminado de la tabla de WordPress. Por defecto, WordPress usa wp_ como prefijo para las tablas que crea en su base de datos. Tiene la opción de cambiarla durante la instalación.

Se recomienda utilizar un prefijo que sea un poco más complicado. Esto hará más difícil para los hackers adivinar los nombres de las tablas de la base de datos.


Espero que este artículo le haya ayudado a conocer las razones principales por las que el sitio de WordPress es pirateado.

Si le ha gustado este artículo, suscríbase a mi boletín para más novedades directas en su buzón.