Actualizaciones de seguridad de WordPress (guía completa)

contact-form
3.4 (96%) 36 votes

¿Se pregunta cómo implementar de forma segura las actualizaciones de seguridad en su sitio web de WordPress?

Las actualizaciones de seguridad son extremadamente importantes. Los retrasos en la implementación de actualizaciones pueden provocar que su sitio web sea pirateado. Sin embargo, las actualizaciones a menudo pueden causar problemas de compatibilidad que pueden dañar su sitio web.

Es una situación atrapante 22.

Afortunadamente, hay una manera de actualizar su sitio web sin dañarlo. Todo lo que necesita hacer es usar un sitio provisional para probar las actualizaciones y luego implementarlas en el sitio en vivo.

En este artículo, lo guiaremos a través de cada paso de la actualización segura de su sitio web.

TL; DR

Utilice el complemento BlogVault Backup & Staging para actualizar de forma segura su sitio web. Se crea una copia de su sitio en vivo (llamado sitio de preparación). En el sitio de preparación, puede probar actualizaciones de WordPress, Theme y Plugin sin afectar su sitio en vivo. Cuando esté satisfecho de que todo funciona bien, puede impulsar los cambios desde la implementación a su sitio en vivo.

¿Qué son las actualizaciones de seguridad? ¿Por qué son importantes?

Las actualizaciones son una nueva versión de software que reemplaza a la anterior. Al igual que cualquier otro software, WordPress y sus temas, así como los complementos, reciben actualizaciones periódicas.

Hay 5 tipos de actualizaciones: parches de seguridad, correcciones de errores, nuevas características, compatibilidad y actualizaciones de rendimiento.

Todas las actualizaciones traen beneficios a su sitio web. Sin embargo, las actualizaciones de seguridad son las más importantes.

Esto se debe a que el software, sin importar qué tan bien construido esté, desarrolla vulnerabilidades con el tiempo que pueden explotarse para hackear un sitio web. Si los desarrolladores del software se enteran, corregirán rápidamente la vulnerabilidad y lanzarán un parche que contiene información sobre una actualización de seguridad.

Si los propietarios de sitios web posponen complementos, temas o las actualizaciones principales de WordPress, la vulnerabilidad permanece y los hackers pueden explotarla. Por lo tanto, es importante mantener actualizado su sitio web.

Para comprender la importancia de las actualizaciones de seguridad en WordPress, debe corregir las vulnerabilidades generales de WordPress que afectan a los sitios web de WordPress.

Agujeros de seguridad comunes en WordPress:

Las vulnerabilidades más comunes de WordPress son las siguientes:

YO. Vulnerabilidades en la inyección SQL

En cada sitio web de WordPress hay campos de entrada como un formulario de contacto, un área de comentarios, una búsqueda, etc. Estos campos a menudo son activados por un complemento. Después de que un visitante inserta datos en estos campos, se almacenan en la base de datos del sitio web. Para garantizar la seguridad de la base de datos, los campos de entrada garantizan que los datos se verifiquen y limpien antes de enviarlos a la base de datos.

Por ejemplo, un formulario de contacto idealmente debería aceptar un nombre, un número de teléfono y una dirección de correo electrónico. Sin embargo, si no está configurado correctamente para limpiar los datos ingresados ​​por los visitantes, se vuelve vulnerable a las inyecciones de SQL.

Formulario de contacto

Esto significa que un hacker puede pretender ser un visitante e insertar código malicioso que se almacena en la base de datos. El hacker puede ejecutar el siguiente código para robar información de la base de datos y obtener acceso a su sitio web.

ii) Vulnerabilidades en scripts de sitios cruzados

Similar a una inyección SQL, los complementos pueden desarrollar vulnerabilidades XSS para secuencias de comandos entre sitios. Aunque los piratas informáticos utilizan esta vulnerabilidad para tomar el control de su sitio web, también puede extraer datos de sus visitantes.

Suponga que una vulnerabilidad de secuencias de comandos entre sitios en el complemento de comentarios permite a un hacker insertar un enlace malicioso en su sitio. Si un visitante que no es consciente de la intención maliciosa del enlace hace clic en él, le pide al visitante que acceda a las cookies de su navegador.

Para el visitante, puede parecer que el sitio web solicita permiso. Es muy probable que caigan en la trampa y permitan el acceso a las cookies de su navegador. Las cookies contienen información confidencial, como información de inicio de sesión, información de inicio de sesión de banca electrónica, etc.

iii) Explotaciones de hacks farmacéuticos

Las hazañas de piratería farmacéutica se utilizan para vender o promover drogas ilegales.

Los hackers usan un agujero de seguridad en un complemento o tema o en el núcleo de su sitio web para obtener acceso a su sitio web. Luego encuentran sus páginas más altas y anuncian drogas ilegales como Viagra, Cialis, Levitra, etc.

ejemplo de pirateo farmacéutico

Sus sitios pronto comenzarán a clasificar las drogas ilegales.

Cuando los visitantes visitan su sitio web, hacen clic en el anuncio y son dirigidos al sitio web del hacker.

Los piratas informáticos secuestran sus esfuerzos de SEO y alejan a sus visitantes.

iv. Hazañas de puerta trasera

Las puertas traseras son un punto de entrada oculto en su sitio web. Por lo general, se encuentra en complementos y temas pirateados.

Muchos propietarios de sitios web usan copias pirateadas porque no pueden pagar la versión original. Sin embargo, el software pirateado a menudo se envía con una puerta trasera preinstalada. Dicho esto, si instala el software en su sitio, proporciona un punto de entrada para los piratas informáticos.

v. Habilidades de phishing

Los piratas informáticos utilizan ataques de phishing para obtener acceso a su sitio web y enviar correos electrónicos no deseados. El propósito de los correos electrónicos es tentar a las personas a compartir información confidencial como tarjetas de crédito o datos bancarios.

Los servicios de correo electrónico tienen medidas estrictas contra el phishing. Si descubren que su sitio web envía correos electrónicos no deseados, su sitio web aparecerá en la lista negra.

phishing-email-example

Estas son las vulnerabilidades de WordPress más comunes. ¡Debes haber notado un tema en curso en ellos! Son causados ​​por agujeros de seguridad en el software instalado en su sitio.

Esto muestra lo importante que es implementar actualizaciones de seguridad tan pronto como se publiquen.

Sin embargo, sabemos que las actualizaciones se usan con frecuencia. Es difícil mantener una visión general. En la siguiente sección, le mostraremos cómo mantener sus actualizaciones actualizadas.

¿Cómo verifico las actualizaciones de seguridad de WordPress?

Hay dos formas de buscar actualizaciones de seguridad:

    1. Comprobación manual a través del panel de WordPress (ideal para un solo sitio)
    2. Verifique esto con un complemento de administración de sitios (ideal para múltiples sitios).

1) Verificar manualmente en el panel de WordPress

Actualizar manualmente los sitios web de WordPress es lo mejor para los propietarios de sitios web individuales. Todo lo que tienes que hacer es:

→ Inicie sesión en su sitio web.

→ Vaya a Panel de control> Actualizaciones en el menú.

alertas de actualización de wordpress

→ En la página «Actualizaciones» encontrará el software desactualizado (núcleo, complemento y tema), así como detalles sobre la nueva versión. Si hace clic en el enlace «Ver detalles de la versión», se muestra información sobre la actualización. Si la actualización contiene parches de seguridad de wp, esto se menciona en los detalles de la versión.

wordpress-update-view-details

→ En los detalles de la versión, a menudo encontrará que los desarrolladores han introducido diferentes tipos de cambios en una sola actualización. Por ejemplo, en un complemento actualizado recientemente, encontramos que la actualización corrige errores y problemas de compatibilidad.

detalles de actualización de WordPress

→ De vez en cuando, las actualizaciones traen nuevas funciones y parches de seguridad. Esto puede ser un poco difícil. Incluso si no desea las nuevas funciones, deberá actualizar su WordPress para asegurarse de que no sea vulnerable.

2do Verifique el uso de un complemento de administración del sitio

El seguimiento de actualizaciones en un solo sitio es bastante difícil. El seguimiento de actualizaciones en varios sitios web es una pesadilla.

Sin embargo, con un complemento como BlogVault, puede verificar las actualizaciones para múltiples sitios de WordPress desde un solo tablero.

→ Inicie sesión en BlogVault y agregue sus sitios web al tablero.

→ Puede ver de inmediato cuántos complementos y diseños están pendientes en cada sitio.

blogvault-update-alert

→ Para conocer los detalles de la actualización, debe seleccionar el sitio web y luego hacer clic en Administrar.

Función de gestión de blogvaualt

→ Luego, simplemente haga clic en las nuevas versiones para mostrar los detalles de la actualización.

blogvault-update-plugin

Ahora estamos al final de la búsqueda de actualizaciones. Ahora examinemos cómo las actualizaciones de seguridad se implementan de manera segura.

¿Cómo puedo realizar de forma segura una actualización de seguridad de WordPress?

Hay dos formas de hacer actualizaciones de seguridad. Esos son:

    1. Actualización del sitio de ensayo (seguro)
    2. Actualizar directamente a través del panel de control (inseguro)

Se sabe que la actualización directa desde el panel del sitio web hace que los sitios web se corrompan. La reparación y restauración de un sitio roto es un proceso difícil y que requiere mucho tiempo. Por lo tanto, evitaremos eso y nos concentraremos en el método más seguro.

1) Actualizado en el sitio de preparación

Paso 1: Crear un sitio de ensayo de WordPress

Un sitio de ensayo es una réplica exacta de su sitio web.

Como se mencionó anteriormente, las actualizaciones pueden hacer que sus sitios web se bloqueen. Puede usar un entorno de ensayo para probar las actualizaciones antes de implementarlas en su sitio en vivo.

Hay muchos complementos que puede usar para crear un entorno de ensayo. Nuestro complemento BlogVault ofrece un entorno de almacenamiento gratuito de WordPress y es muy fácil de configurar.

Suponiendo que ya ha iniciado sesión en BlogVault y ha agregado sus sitios web al panel de control:

→ Vaya a la sección Puesta en escena y haga clic en Agregar puesta en escena.

blogvault-add-staging

→ BlogVault le pide que elija la copia de seguridad y la versión PHP que prefiera.

versión de copia de seguridad de puesta en escena de blogvault

→ Se tarda unos minutos en crear un sitio de preparación. Una vez hecho esto, puede comenzar a probar las actualizaciones.

Paso 2: Probar actualizaciones en el sitio de preparación

Para probar las actualizaciones, debe iniciar sesión en el sitio provisional que acaba de crear. La URL del sitio de preparación debería verse así: https://yoursite.d.wpstage.net/

Puede iniciar sesión en su sitio de preparación utilizando sus credenciales de usuario habituales. Sin embargo, si abre la URL provisional, encontrará que está protegida con contraseña. Tiene una contraseña para garantizar que su sitio de preparación sea privado y no sea accesible al público ni a un motor de búsqueda.

blogvault-staging-http-auth

Deberá volver al panel de control de BlogVault y obtener su nombre de usuario y contraseña en la sección «Puesta en escena». Use esta opción para acceder a su sitio de preparación.

blogvault-staging-username-password

→ Para acceder a la página de inicio de sesión de su sitio provisional, debe agregar / wp-admin / al final de la URL provisional de la siguiente manera: https://yoursite.d.wpstage.net/wp-admin

→ Use sus credenciales de usuario habituales para iniciar sesión en el panel de WordPress.

→ Para implementar actualizaciones, vaya a Panel> Actualizaciones.

alertas de actualización de wordpress

→ En la página «Actualizaciones» encontrará todo el software desactualizado y detalles sobre la nueva versión. Para implementar actualizaciones, solo tiene que seleccionar los complementos o temas o el núcleo y hacer clic en el botón Actualizar.

plugins de actualización de wordpress

→ Después de implementar las actualizaciones, debe verificar que su sitio web funcione correctamente. Recomendamos verificar todas las páginas y funciones importantes. Esto incluye su página de inicio, blogs, páginas de carrito de compras, páginas de pago, etc.

Cuando esté listo, pasaremos al siguiente paso.

Paso 3: Actualizar sitio en vivo

Si encuentra que las actualizaciones de su sitio no lo han perjudicado, puede aplicar las mismas actualizaciones al sitio en vivo.

No tiene que iniciar sesión en su sitio en vivo y volver a implementar las actualizaciones. Puede combinar fácilmente el sitio de preparación con el sitio en vivo.

→ Vaya a la sección Puesta en escena del panel de BlogVault y haga clic en Combinar.

blogvault-staging-merge

→ BlogVault comienza a sincronizar el sitio en vivo con el sitio de ensayo. Al final, se genera una página en la que puede ver las diferencias entre el sitio de ensayo y el sitio en vivo. No tiene que fusionar todo el sitio. Simplemente seleccione los complementos, temas y núcleo que acaba de probar y haga clic en Siguiente.

blogvault-update-plugin-details

→ Luego ingrese sus credenciales FTP y su sitio provisional se fusionará con el sitio en vivo.

Nota: Si no conoce sus credenciales FTP, puede encontrarlas usando estos videos o contactando a sus hosts de WordPress y sus plataformas de alojamiento.

Ahora estamos al final de la implementación segura de las actualizaciones.

Qué sigue?

Como ya se mencionó, las actualizaciones de software corrigen todas las vulnerabilidades y protegen su sitio web de hackers y bots. Sin embargo, las vulnerabilidades de software no son la única amenaza a la que está expuesto un sitio web de WordPress. Hay otras vulnerabilidades que un hacker puede usar para infiltrarse en su sitio web. Tome credenciales de usuario débiles, por ejemplo.

Para proteger su sitio web de todo tipo de agujeros de seguridad y ataques de piratería (como ataques DDoS, ataques de fuerza bruta, etc.), recomendamos utilizar una actualización de WordPress y un complemento de seguridad de WordPress como MalCare.

El complemento protege su sitio con un firewall y limita los intentos de inicio de sesión con medidas de protección de inicio de sesión. Esto le ayuda a implementar medidas de fortalecimiento del sitio. Y escanee su sitio web todos los días. Si se descubre actividad maliciosa, se le notificará de inmediato.

Instale MalCare para proteger su sitio 24/7

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *