Saltar al contenido

Cómo realizar una auditoría de seguridad de WordPress (Lista de verificación completa)

Easily perform a complete WordPress security audit

¿Desea realizar una auditoría de seguridad de WordPress para asegurarse de que su sitio web sea seguro?

WordPress fuera de la caja es muy seguro. Sin embargo, si sospecha que algo no está bien con su sitio web, es posible que desee realizar una auditoría de seguridad completa para asegurarse de que su sitio web sea seguro.

En este artículo, le mostraremos cómo realizar fácilmente una auditoría de seguridad de WordPress sin eliminar su sitio.

Realice fácilmente una auditoría de seguridad completa de WordPress

¿Qué es una auditoría de seguridad de WordPress?

La auditoría de seguridad de WordPress es el proceso de verificar su sitio web en busca de signos de una violación de seguridad. Puede realizar una comprobación de WordPress para buscar actividad sospechosa, código malicioso o una caída inusual en el rendimiento.

La seguridad básica de WordPress contiene pasos simples que puede realizar manualmente.

Para una auditoría más exhaustiva, puede usar una herramienta de auditoría de seguridad de WordPress para realizar las comprobaciones automáticamente.

También hay servicios de auditoría de seguridad de WordPress en línea que puede usar para evaluar la seguridad de su sitio web.

Si encuentra algo sospechoso, puede aislarlo, eliminarlo y arreglarlo.

¿Cuándo realizar una auditoría de seguridad de WordPress?

Debe realizar una auditoría de seguridad de WordPress al menos una vez por trimestre. Esto le permite estar al tanto de todo y cerrar las lagunas de seguridad incluso antes de que causen problemas.

Sin embargo, si ve algo sospechoso, debe realizar una auditoría de seguridad de inmediato.

Los siguientes son algunos de los signos que indican que puede necesitar una auditoría de seguridad.

  • Su sitio web de repente es demasiado lento y lento
  • Eres testigo de una caída en el tráfico del sitio web
  • Hay cuentas nuevas sospechosas, solicitudes de contraseña olvidadas o intentos de inicio de sesión en su sitio web
  • Ve aparecer enlaces sospechosos en su sitio web

Dicho esto, echemos un vistazo a cómo realizar fácilmente una auditoría de seguridad de WordPress en su sitio web.

Lista de verificación de auditoría de seguridad de WordPress

Los siguientes son algunos de los pasos que puede seguir para realizar una auditoría de seguridad básica de WordPress en su sitio web.

1. Actualizaciones de software

Las actualizaciones de WordPress son realmente importantes para la seguridad y estabilidad de su sitio web. Aplican parches a las vulnerabilidades de seguridad, aportan nuevas funciones y mejoran el rendimiento.

Asegúrese de que su software principal de WordPress, todos los complementos y temas estén actualizados. Puede hacerlo fácilmente visitando Panel de control »Actualizaciones página dentro del área de administración de WordPress.

Actualizaciones de WordPress

WordPress buscará si hay actualizaciones disponibles y luego las enumerará para que instales. Si necesita más ayuda, consulte nuestras guías sobre cómo actualizar correctamente WordPress y cómo actualizar correctamente los complementos de WordPress.

2. Verificar cuentas de usuario y contraseñas

A continuación, debe revisar las cuentas de usuario de WordPress visitando Usuarios »Todos los usuarios página. Buscará cuentas de usuario sospechosas que no deberían estar allí.

Si administra una tienda en línea, un sitio de membresía o vende cursos en línea, entonces puede tener cuentas de usuario para que sus clientes inicien sesión.

Sin embargo, si ejecuta un blog o un sitio web comercial, solo debería ver las cuentas de usuario para usted o para cualquier otro usuario que haya agregado manualmente.

Usuarios de WordPress

Si ve cuentas de usuario sospechosas, debe eliminarlas.

Ahora, si su sitio web no requiere que los usuarios creen una cuenta, entonces debe visitar Configuraciones »General página y asegúrese de que la casilla junto a la opción «Cualquier persona puede registrarse» no esté marcada.

Registro de usuario de WordPress

Como precaución adicional, debe cambiar su contraseña de administrador de WordPress. Recomendamos agregar una autorización de dos factores para fortalecer la seguridad de la contraseña en su sitio web.

3. Ejecute un análisis de seguridad de WordPress

IsItWP Security Scanner

El siguiente paso es revisar su sitio web en busca de vulnerabilidades de seguridad. Afortunadamente, hay varios escáneres de seguridad en línea que puede usar para verificar si hay malware.

Recomendamos usar IsItWP Security Scanner que verifica su sitio web en busca de malware y otras vulnerabilidades de seguridad.

Estas herramientas son buenas, pero solo pueden escanear las páginas públicas de su sitio web. Le mostraremos cómo realizar auditorías más profundas más adelante en este artículo.

4. Verifique el análisis de su sitio web

El análisis del sitio web lo ayuda a realizar un seguimiento del tráfico de su sitio web. También son un buen indicador de la salud de su sitio web.

Si su sitio web ha sido incluido en la lista negra por los motores de búsqueda, verá una caída repentina en el tráfico de su sitio web. Si su sitio web es lento o no responde, entonces las vistas generales de su página también disminuirán.

Recomendamos usar MonsterInsights para rastrear el tráfico de su sitio web. No solo muestra sus páginas vistas generales, sino que también puede usarlas para rastrear usuarios registrados, sus clientes de WooCommerce, conversiones de formularios y más.

5. Compruebe o configure las copias de seguridad de WordPress

Si aún no lo ha hecho, debe configurar inmediatamente un complemento de copia de seguridad de WordPress. Esto garantiza que siempre tenga una copia de seguridad disponible en caso de que algo salga mal.

Por otro lado, muchos principiantes se olvidan de su complemento de respaldo de WordPress después de configurarlo. A veces, los complementos de respaldo pueden dejar de funcionar sin previo aviso. Es una buena idea asegurarse de que su complemento de copia de seguridad todavía funcione y guarde copias de seguridad.

Realizar automáticamente la auditoría de seguridad de WordPress

La lista de verificación anterior le permite pasar por los aspectos más importantes de una auditoría de seguridad. Sin embargo, no es un proceso muy completo, lo que significa que su sitio web aún puede ser vulnerable.

Por ejemplo, es difícil mantener un registro manual de toda la actividad del usuario, diferencias de archivos, códigos sospechosos y más. Aquí es donde necesita un complemento para automatizar la auditoría de seguridad y mantener un registro de todo.

Puede automatizar este proceso con la ayuda de algunos complementos de seguridad y monitoreo de WordPress.

1. Registro de auditoría de seguridad de WordPress

Registro de auditoría de seguridad de WP

WordPress Security Audit Log es el mejor complemento de monitoreo de actividad de WordPress en el mercado.

Le permite realizar un seguimiento de toda la actividad del usuario en su sitio web. Puede ver todos los inicios de sesión de los usuarios, las direcciones IP y lo que hicieron en su sitio web.

Visor de registro de auditoría

Puede realizar un seguimiento de los usuarios, editores, autores y otros miembros de WooCommerce que tienen una cuenta en su sitio web.

También puede activar los eventos que desea rastrear y desactivar los eventos que no desea monitorear.

Seguimiento de eventos en el registro de auditoría de seguridad de WP

El complemento también le muestra una vista en vivo de todos los usuarios conectados a su sitio web. Si ve una cuenta sospechosa, puede finalizar su sesión de inmediato y bloquearla.

Para obtener más detalles, consulte nuestra guía sobre cómo monitorear la actividad del usuario en WordPress utilizando el registro de auditoría de seguridad de WP.

2. Sucuri

Sucuri

Sucuri es el mejor complemento de firewall de WordPress en el mercado, y también es la mejor solución de seguridad de WordPress todo en uno que puede obtener para su sitio web.

Proporciona protección en tiempo real contra ataques DDoS al bloquear la actividad sospechosa incluso antes de que llegue a su sitio web. Esto elimina la carga de su servidor y mejora la velocidad / rendimiento de su sitio web.

Viene con un complemento de seguridad incorporado que comprueba los archivos de WordPress en busca de código sospechoso. También obtiene una visión detallada de la actividad del usuario en su sitio web.

Lo más importante es que Sucuri ofrece eliminación de malware de forma gratuita con todos sus planes pagos. Esto significa que, incluso si su sitio web ya está afectado, sus expertos en seguridad lo limpiarán por usted.

Esperamos que este artículo lo haya ayudado a aprender cómo realizar una auditoría de seguridad de WordPress en su sitio web. También puede consultar nuestra guía de seguridad completa de WordPress para obtener instrucciones paso a paso sobre cómo proteger su sitio web.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para ver videos tutoriales de WordPress. También nos puede encontrar en Twitter y Facebook.

.