consejos | Blog SitiosHispanos.Com

Cómo impedir el acceso de bots de inteligencia artificial a tu sitio web

En la actualidad, muchos administradores de sitios web están tomando medidas para evitar que los bots de inteligencia artificial (IA) accedan y recopilen contenido sin autorización. Plataformas como OpenAI, DeepSeek y otras utilizan estos bots para recolectar información con el objetivo de entrenar modelos avanzados de lenguaje, muchas veces sin ofrecer crédito ni compensación a los creadores del contenido original.

A diferencia de los rastreadores de motores de búsqueda tradicionales, cuyo propósito es indexar y mejorar la visibilidad de los sitios, estos bots de IA solo buscan extraer datos para alimentar sus sistemas, sin aportar ningún beneficio a los propietarios del sitio web.

Si querés evitar que este tipo de tecnologías acceda a tu contenido, existen formas efectivas de limitar su actividad. En esta guía, te mostramos cómo hacerlo, principalmente a través de archivos como robots.txt y .htaccess.

Restringir bots de IA con el archivo robots.txt

Una manera sencilla de intentar evitar que estos bots accedan a tu sitio es mediante el uso del archivo robots.txt. Este archivo sirve como una guía para los rastreadores web, indicando qué partes del sitio pueden o no pueden explorar.

Aunque no todos los bots obedecen estas reglas —especialmente los más agresivos—, los bots bien intencionados suelen respetarlas. Por eso, es un buen primer paso. Solo tienes que agregar una lista de instrucciones y colocar el archivo en el directorio raíz de tu sitio web.

Aquí un ejemplo actualizado de un archivo robots.txt que bloquea los principales bots de inteligencia artificial para el entrenamiento de modelos, incluyendo los de OpenAI, Anthropic, Google, Perplexity, y otros.

# Bloqueo de bots de inteligencia artificial y modelos de lenguaje
User-agent: GPTBot
Disallow: /

User-agent: ChatGPT-User
Disallow: /

User-agent: Google-Extended
Disallow: /

User-agent: GoogleOther
Disallow: /

User-agent: CCbot
Disallow: /

User-agent: anthropic-ai
Disallow: /

User-agent: ClaudeBot
Disallow: /

User-agent: PerplexityBot
Disallow: /

User-agent: cohere-ai
Disallow: /

User-agent: Gemini
Disallow: /

User-agent: HuggingFace
Disallow: /

User-agent: Bytespider
Disallow: /

User-agent: DeepSeek
Disallow: /

User-agent: Amazonbot
Disallow: /

User-agent: Amazon Bedrock
Disallow: /

# Opcional: bloquea todos los bots menos los principales motores de búsqueda
User-agent: *
Disallow: /
Allow: /$
Allow: /robots.txt
Allow: /sitemap.xml

Recomendaciones:

Ubicación: colocá este archivo en la raíz pública de tu sitio web (https://tudominio.com/robots.txt).
Revisión: podés verificar que está bien cargado accediendo a la URL directamente o usando herramientas como Google Search Console.
Actualización regular: estos bots y sus nombres cambian, por lo que conviene revisarlo cada ciertos meses.

🧠 Recordá: esto no impide el acceso técnico, solo indica formalmente que no se debe acceder. Los bots “éticos” lo respetan; los maliciosos o no regulados, no siempre.

Bloqueo más estricto con Apache y .htaccess

Si buscás una solución más robusta, especialmente frente a bots que ignoran las indicaciones de robots.txt, podés implementar restricciones directamente en el servidor utilizando el archivo .htaccess (para sitios que usan Apache).

Con este método, cualquier intento de acceso de los bots listados será directamente rechazado. Estas reglas usan mod_rewrite para denegar el acceso directamente desde el servidor. Aquí un ejemplo de configuración:

# Bloquear bots de inteligencia artificial por User-Agent
<IfModule mod_rewrite.c>
RewriteEngine On

# Lista de User-Agents de bots de IA a bloquear
RewriteCond %{HTTP_USER_AGENT} (GPTBot|ChatGPT-User|ClaudeBot|anthropic-ai|PerplexityBot|Google-Extended|GoogleOther|Bytespider|DeepSeek|cohere-ai|Amazonbot|Amazon\ Bedrock|Gemini|HuggingFace) [NC]

# Denegar acceso
RewriteRule ^.* - [F,L]
</IfModule>

Este enfoque garantiza un mayor nivel de protección, ya que impide la carga del contenido para bots con los user-agents especificados, sin depender de que sigan instrucciones voluntarias.

Cómo aplicarlo

Ubicación: Pega esto al inicio o final del archivo .htaccess, ubicado en la raíz pública de tu sitio (generalmente public_html/).
Permisos: Asegúrate de que el archivo tenga permisos adecuados (644).

Conclusión

Proteger tu sitio del uso no autorizado de contenido por parte de bots de inteligencia artificial es cada vez más importante. Aunque robots.txt puede ser un buen punto de partida, las reglas aplicadas en .htaccess ofrecen una defensa mucho más efectiva. De este modo, podés tomar el control sobre qué agentes acceden a tu contenido y evitar que tu información sea utilizada sin consentimiento.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram, además de LinkedIn.

WordPress: Cómo detectar código malicioso en un tema

Revisar si un tema de WordPress contiene código malicioso es una medida esencial para proteger tu sitio web. Aunque es poco común encontrar software malicioso en temas premium obtenidos legalmente, nunca está de más tomar precauciones. Los desarrolladores responsables de temas de pago suelen enfocarse en ofrecer productos seguros y bien optimizados.

La situación cambia cuando se trata de temas gratuitos o versiones premium descargadas desde sitios no oficiales. En estos casos, aumenta significativamente la probabilidad de que el código incluya elementos dañinos, lo cual puede afectar tanto la integridad de tu sitio como la experiencia de tus usuarios.

Por eso, antes de instalar cualquier tema, es clave saber cómo examinarlo correctamente para evitar comprometer tu web.

¿Por qué se incluye código malicioso en algunos temas?

La presencia de código malicioso no es accidental. Existen diferentes motivaciones por las cuales ciertos desarrolladores o ciberdelincuentes insertan código oculto en los archivos del tema. Algunas de las razones más frecuentes incluyen:

Obtener enlaces forzados hacia otros sitios.
Mostrar anuncios sin autorización.
Redirigir a los visitantes a páginas fraudulentas o con contenido indeseado.
Crear accesos ocultos para tomar control del sitio más adelante.

Estas acciones no solo dañan el rendimiento del sitio, sino que también afectan tu reputación digital y pueden hacer que los motores de búsqueda marquen tu web como peligrosa.

Por ello, es crucial tomar medidas de prevención antes de instalar cualquier plantilla en tu WordPress.

Pasos para identificar código malicioso en un tema WordPress

Antes de activar un nuevo tema en tu sitio, especialmente si no proviene del repositorio oficial de WordPress o de una fuente reconocida, te recomendamos seguir estos pasos:

1. Verificá la fuente desde donde descargarás el tema

Un primer filtro útil es hacer una búsqueda en Google sobre la página que ofrece el tema. Por ejemplo, podés buscar:

nombredelsitio malware
nombredelsitio código malicioso

Esto puede darte pistas sobre si otros usuarios han tenido problemas con ese sitio o si existen advertencias en foros o blogs.

Ejemplo: si estás considerando descargar desde un dominio como temasgratispro.com, buscá frases como:

"temasgratispro.com" malware
"temasgratispro.com" problemas de seguridad

Si hay comentarios negativos o alertas, lo más seguro es evitar ese sitio.

2. Escanea el archivo ZIP del tema antes de instalarlo

Si ya descargaste el tema, no lo instales directamente. Primero, analizá el archivo comprimido con herramientas como VirusTotal. Este servicio permite subir archivos para comprobar si contienen virus, troyanos o fragmentos de código sospechoso.

Aunque este tipo de escaneo no siempre detecta amenazas avanzadas, representa un primer filtro importante para evitar infecciones.

Otras formas de revisar un tema antes de usarlo

Además de escanear el archivo descargado, podés aplicar estas estrategias adicionales para detectar posibles amenazas:

3. Usar servicios online para escanear archivos o URLs

Una vez que tengas el tema descargado o instalado en un sitio de pruebas, podés usar plataformas como:

Estas herramientas te permiten analizar en tiempo real si el tema incluye malware, redirecciones, código inyectado u otras anomalías.

4. Instalar el tema en un entorno de pruebas

Siempre que sea posible, utilizá una instalación de WordPress en un entorno aislado (como un subdominio o un servidor local) para verificar el comportamiento del tema antes de aplicarlo en tu sitio principal.

Esto te dará la oportunidad de detectar comportamientos extraños, como redirecciones automáticas o aparición de enlaces no deseados, sin poner en riesgo tu web principal.

Aquí tenés una versión reescrita y original, con el mismo mensaje esencial pero redactada desde cero para evitar problemas de derechos de autor:

5. Complementa con plugins de seguridad en WordPress

Además de los mecanismos que ofrece tu hosting, puedes reforzar la seguridad desde el propio panel de administración de WordPress utilizando plugins especializados. Algunos de los más conocidos son:

Wordfence Security
Sucuri Security

Estos plugins permiten escanear los archivos del sitio en busca de malware, scripts ocultos o alteraciones sospechosas. Aunque no siempre son la solución más ligera para todos los sitios, pueden resultar útiles como complemento, especialmente si no cuentas con herramientas más avanzadas.

Eso sí, no sustituyen un análisis manual ni las precauciones previas al instalar un tema.

6. Verifica si el tema presenta vulnerabilidades conocidas

Antes de instalar cualquier tema, incluso si proviene de fuentes oficiales, conviene investigar si existen fallos de seguridad asociados con él. Sitios como PatchStack ofrecen bases de datos públicas donde podés ingresar el nombre del tema y ver si se han registrado vulnerabilidades en sus versiones.

Esto te permite detectar si existen problemas graves como:

Brechas de seguridad explotables.
Accesos no autorizados (backdoors).
Fallos que podrían permitir inyecciones de código.

Además, estos portales también indican si el desarrollador ha corregido el problema mediante actualizaciones, lo que te ayuda a tomar una decisión informada antes de instalar el tema.

7. Revisa si hay presencia de código ofuscado

Una señal de alerta común en temas maliciosos es la presencia de código ofuscado. Esta técnica consiste en alterar el código para que sea difícil de leer y entender, lo cual suele utilizarse para ocultar funciones dañinas como:

Llamadas a servidores externos desconocidos.
Inyecciones de anuncios o scripts.
Creación de accesos ocultos (backdoors).

Para identificar este tipo de código, puedes revisar los archivos PHP y JavaScript del tema en busca de fragmentos sospechosos, como cadenas codificadas en Base64, funciones sin nombres claros, o bloques largos de texto incomprensible.

Aunque no siempre indica algo malicioso, el uso de ofuscación en un tema que debería ser transparente es, al menos, motivo de desconfianza. En caso de duda, es mejor optar por otro tema más claro y confiable.

¿Mi tema es seguro? Checklist final

Si completaste todos los pasos anteriores —revisaste la fuente del tema, lo analizaste con herramientas, comprobaste posibles vulnerabilidades y descartaste código sospechoso—, puedes tener una buena certeza de que el tema no presenta código malicioso.

Aun así, seguí estas buenas prácticas para reforzar tu seguridad:

✅ Descargá temas solo desde el repositorio oficial de WordPress.org, donde pasan por una revisión manual.
✅ Comprá temas directamente en los sitios oficiales de los desarrolladores. Evita revendedores o páginas no verificadas.
❌ No instales versiones “gratuitas” de temas premium. Estas versiones pirateadas suelen incluir malware escondido.
✅ Probá el tema en un entorno de pruebas antes de activarlo en tu sitio principal. Usa herramientas online y escáneres para validar su seguridad.

Aplicando estas medidas, reducirás considerablemente el riesgo de que un tema comprometa la seguridad de tu sitio WordPress.

WordPress: Cómo desactivar el fichero wp-cron.php

WordPress destaca como una plataforma robusta para la gestión de contenido, empleando el archivo wp-cron para la ejecución de tareas programadas vitales. En el presente artículo, ahondaremos en la naturaleza del archivo wp-cron.php, examinaremos su propósito y debatiremos las ventajas asociadas con su desactivación. Además, proporcionaremos una guía detallada sobre el procedimiento para llevar a cabo esta acción.

wp-cron.php: Qué es y cuál es su función principal

wp-cron.php es el cron de WordPress, una parte fundamental encargada de llevar a cabo tareas automatizadas en momentos específicos. Estas tareas comprenden desde la actualización de plugins hasta la programación de la publicación de contenidos, desempeñando un papel crucial en el mantenimiento de la operación sin contratiempos de tu sitio.

La tarea principal de wp-cron.php es llevar a cabo tareas programadas cada vez que alguien accede a tu sitio. Este proceso se activa con cada carga de página, generando solicitudes a wp-cron.php para verificar y ejecutar las acciones pendientes.

Los beneficios de desactivar wp-cron.php

Optimización del rendimiento: Deshabilitar wp-cron.php aligera la carga en el servidor, mejorando la eficiencia general del sitio al evitar ejecuciones frecuentes con cada visita.
Minimización de solicitudes HTTP: La inactividad de wp-cron.php reduce el número de solicitudes HTTP en cada carga de página, contribuyendo así a una experiencia de usuario más fluida y eficaz.
Gestión manual de tareas cron: Al desactivar wp-cron.php, se obtiene un control total sobre las tareas cron, posibilitando la configuración manual a nivel del servidor.

Cómo inhabilitar wp-cron.php en WordPress

Para desactivar wp-cron.php, sigue estos pasos:

Accede al archivo wp-config.php: Emplea un editor de texto o el gestor de archivos de tu servidor para abrir el archivo wp-config.php en tu instalación de WordPress.
- Agrega la siguiente línea de código:

define('DISABLE_WP_CRON', true);

Establece una tarea cron a nivel del servidor: Ingresa al panel de control de tu servidor o utiliza la línea de comandos para configurar una tarea cron que ejecute wp-cron.php en intervalos predefinidos. Puedes lograrlo ejecutando el siguiente comando:

*/5 * * * * curl -s http://tudominio.com/wp-cron.php?doing_wp_cron

Asegúrate de reemplazar «tudominio.com» con la URL de tu sitio.

Consideraciones Importantes

Configuración Manual Esencial: Deshabilitar wp-cron.php requiere la configuración manual de las tareas cron en tu servidor. Si no se realiza de manera adecuada, algunas funciones automatizadas de WordPress podrían dejar de funcionar.
Impacto en la Puntualidad de las Tareas: La inactivación de wp-cron.php implica que las tareas programadas dependerán de tu configuración manual, lo que podría afectar su puntualidad.

Conclusiones

La desactivación de wp-cron.php en WordPress puede ofrecer beneficios significativos para mejorar el rendimiento del sitio, pero es crucial llevar a cabo una configuración cuidadosa. Siguiendo los pasos proporcionados, puedes lograr un equilibrio efectivo entre eficiencia y funcionalidad automática. Es importante tener en cuenta que al asumir el control manual de las tareas cron, se debe garantizar una configuración adecuada para evitar posibles interrupciones en las funciones automatizadas de WordPress.

WordPress: Cómo limpiar tu sitio y mejorar su rendimiento

Eliminar imágenes no utilizadas en WordPress es una de las mejores prácticas para optimizar el rendimiento, liberar espacio en el servidor y mantener una biblioteca de medios más ordenados. A lo largo del tiempo, es común que los sitios acumulen imágenes duplicadas, versiones redimensionadas o archivos que ya no están vinculados a ningún contenido. En este artículo, te mostramos cómo detectar y eliminar imágenes innecesarias en WordPress de manera segura y eficiente.

¿Por qué es importante eliminar imágenes no utilizadas en WordPress?

Aunque no afectan directamente la velocidad de carga del sitio para los visitantes, las imágenes sin uso impactan en el rendimiento general del servidor, dificultan la gestión del contenido y aumentan los costos de hosting. Estas son algunas de las ventajas de mantener una biblioteca optimizada:

1. Mejor organización del contenido

Una biblioteca de medios libre de archivos obsoletos facilita la búsqueda y selección de imágenes, mejorando el flujo de trabajo en el panel de administración.

2. Reducción del consumo de almacenamiento

Los archivos innecesarios ocupan espacio valioso. Eliminar imágenes no utilizadas permite aprovechar mejor los límites de almacenamiento de tu plan de hosting.

3. Copias de seguridad más rápidas y livianas

Un sitio con menos archivos puede respaldarse más rápidamente, lo que agiliza tareas de mantenimiento y reduce tiempos de restauración.

4. Menor riesgo de errores

Las imágenes antiguas o duplicadas pueden causar conflictos en el contenido. Mantener solo los archivos activos garantiza coherencia visual y evita enlaces rotos.

5. Migraciones más eficientes

Al trasladar un sitio web, una biblioteca más ligera acelera el proceso de migración y minimiza la posibilidad de errores.

¿Sabías que WordPress crea múltiples copias de cada imagen?

Cada vez que subís una imagen a WordPress, el sistema genera varias versiones en distintos tamaños (miniatura, mediana, grande, etc.), dependiendo del tema y configuración activa. Aunque esta funcionalidad mejora la experiencia del usuario en distintos dispositivos, también puede duplicar o triplicar el espacio ocupado por una sola imagen.

Por ejemplo, un archivo de 3 MB puede convertirse en más de 6 MB al generarse versiones adicionales. Si estas copias no se utilizan realmente, lo ideal es eliminarlas para evitar sobrecargar el servidor.

Cómo encontrar imágenes no utilizadas en WordPress

Antes de eliminar imágenes, es recomendable hacer una limpieza general del sitio: desinstalar plugins y themes inutilizados, eliminar páginas en desuso y revisar entradas antiguas.

Muchos usuarios confían en el campo «Adjunto a» dentro de la biblioteca de medios. Sin embargo, esta referencia solo indica dónde se cargó originalmente el archivo, no si se sigue utilizando en otros lugares del sitio.

Consulta SQL para detectar imágenes sin uso

Para obtener un análisis más preciso, puedes utilizar esta consulta SQL en tu base de datos:

SELECT ID, post_title, post_date 
FROM wp_posts 
WHERE post_type = 'attachment' 
AND post_mime_type LIKE 'image/%' 
AND ID NOT IN (
    SELECT meta_value FROM wp_postmeta WHERE meta_key = '_thumbnail_id'
) 
AND ID NOT IN (
    SELECT ID FROM wp_posts WHERE post_content LIKE CONCAT('%', wp_posts.guid, '%')
);

Esta consulta busca imágenes que no estén definidas como imagen destacada ni aparezcan en el contenido de entradas o páginas.

Cómo evitar eliminar imágenes importantes

Las imágenes pueden estar en uso fuera del contenido visible. Algunos ejemplos:

Logos, íconos y favicons
Constructores visuales (como Elementor, Divi o WPBakery)
Campos personalizados (como los de ACF)
Widgets, sliders, menús o shortcodes

Para evitar borrar archivos esenciales, es clave hacer una verificación completa o utilizar herramientas especializadas.

Herramientas recomendadas para eliminar imágenes no utilizadas

Eliminar imágenes manualmente puede ser una tarea larga y propensa a errores. Por eso, existen plugins que simplifican el proceso.

Plugin recomendado: Image Source Control

Este plugin permite:

Verificar dónde se usan las imágenes
Identificar archivos sin referencias
Eliminar imágenes de forma individual o masiva

En el panel de administración, se agrega una sección específica donde se listan las imágenes posiblemente no utilizadas. Desde allí podés revisar y limpiar tu biblioteca de forma segura.

Buenas prácticas para mantener tu sitio optimizado

Realiza limpiezas periódicas (cada 3 a 6 meses)
Haz copias de seguridad antes de eliminar archivos
Revisá temas, plugins y constructores visuales para detectar imágenes ocultas
Usá entornos de staging para hacer pruebas antes de aplicar cambios en producción

Conclusión

Eliminar imágenes no utilizadas en WordPress no solo mejora el rendimiento del sitio, sino que también ayuda a mantener una biblioteca de medios más limpia y funcional. Al aplicar buenas prácticas y utilizar herramientas adecuadas, podés ahorrar espacio, reducir errores y simplificar la administración de tu sitio.

¿Quieres mantener tu WordPress más rápido y eficiente? Empieza hoy con una limpieza de imágenes y nota la diferencia.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.

Cómo armar un sitio web que sea “SEO Friendly” desde cero

Crear un sitio web no se trata solo de diseño y contenido. Si quieres que tu página aparezca en los resultados de búsqueda y atraiga tráfico orgánico, es fundamental que tu sitio esté optimizado para SEO (Search Engine Optimization). En esta nota, te explico paso a paso cómo armar un sitio web SEO friendly, desde la estructura básica hasta los detalles técnicos.

¿Qué significa que un sitio sea “SEO friendly”?

Un sitio SEO friendly está diseñado y desarrollado de forma tal que los motores de búsqueda como Google puedan rastrear, indexar y comprender su contenido fácilmente. Esto aumenta significativamente la posibilidad de que aparezca en los primeros resultados de búsqueda para palabras clave relevantes.

Paso 1: Planificación de la estructura del sitio

Antes de abrir un editor de código o un CMS, lo primero es pensar en la arquitectura del sitio:

Mapa del sitio lógico: Organiza las secciones en categorías claras (ej: Inicio, Servicios, Blog, Contacto).
URL amigables: Por ejemplo, tusitio.com/servicios/diseño-web en lugar de tusitio.com/?page=123.
Navegación simple: Menú principal, claro y accesible desde todas las páginas.

Consejo técnico: asegurate de que las URLs se generen de forma "limpia" en tu CMS (por ejemplo, en WordPress configurá los enlaces permanentes).

Paso 2: Elección del CMS o plataforma

Hoy en día no necesitas programar todo desde cero para tener un sitio SEO friendly. Plataformas como WordPress, Webflow, Hugo o incluso Site.Pro permiten construir sitios optimizados.

WordPress: Ideal si vas a trabajar con contenido dinámico y quieres usar plugins como Yoast SEO o Rank Math.
Static sites (Hugo, Jekyll): Ultrarápidos y seguros, excelentes para sitios informativos.
Constructores visuales (Webflow, Wix): Buenos para sitios pequeños si se configuran correctamente.

Recomendación: asegurate de tener control sobre el title, la meta description y la estructura de encabezados (<h1>, <h2>, etc.).

Paso 3: Contenido optimizado para SEO

El contenido es el corazón del SEO. Aquí algunos principios clave:

Palabras clave relevantes: investiga qué busca tu público y úsalas naturalmente en títulos y párrafos.
Encabezados bien estructurados: usa etiquetas <h1> para el título principal y <h2>, <h3> para secciones y subsecciones.
Contenido original y útil: Google premia la calidad y penaliza el contenido duplicado.
Longitud apropiada: los artículos informativos suelen posicionar mejor cuando tienen al menos 800-1000 palabras.

Tip: incluí preguntas frecuentes y respuestas cortas (útil para aparecer en featured snippets).

Paso 4: SEO técnico básico

Aunque no seas desarrollador, hay ciertos puntos técnicos clave que debés cuidar:

Velocidad del sitio: Usá herramientas como PageSpeed Insights para medir tiempos de carga.
Diseño responsive: Tu sitio debe verse y funcionar bien en móviles. Google lo considera un factor de ranking.
Etiquetas meta bien configuradas:
- <title>: Título que aparece en el navegador y en Google.
- <meta name="description">: Breve resumen para resultados de búsqueda.
Archivo robots.txt y sitemap.xml: Aseguran un buen rastreo por parte de los bots.
Uso de datos estructurados (schema): Mejoran cómo se muestra tu sitio en los resultados (rich snippets).

Paso 5: Indexación y monitoreo

Una vez online, asegurate de que Google pueda ver tu sitio:

Google Search Console: Subí tu sitemap y verificá errores de cobertura.
Herramientas como Ahrefs, SEMrush o Screaming Frog: Para auditorías técnicas más profundas.
Verifica los status code HTTP: Evita errores 404 y asegúrate de redirigir correctamente si cambiás URLs.

Bonus: Buenas prácticas SEO continuas

Blog activo: Publica contenido regularmente.
Backlinks de calidad: Intentá conseguir enlaces desde otros sitios confiables.
Actualizá el contenido viejo: Google valora el contenido actualizado.
Mantené limpio tu código: HTML semántico y sin scripts innecesarios.

Conclusión

Crear un sitio SEO friendly no es algo que se logre solo con instalar un plugin. Es un enfoque integral que combina buena arquitectura, contenido útil, experiencia de usuario y optimización técnica. Si vas a invertir tiempo en un sitio web, hazlo bien desde el principio. ¡Google y tus visitas te lo van a agradecer!

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.

Comprendiendo los Ataques CSRF

Cross-Site Request Forgery (CSRF), conocido en español como falsificación de petición en sitios cruzados, es una de las amenazas más insidiosas para sitios web modernos, incluyendo aquellos basados en WordPress y alojados en servidores con cPanel. Este artículo explica cómo funciona CSRF, su impacto específico en WordPress y las mejores prácticas para prevenirlo.

¿Qué es un ataque CSRF?

Un ataque CSRF ocurre cuando un atacante logra que un usuario autenticado realice, sin saberlo, acciones no autorizadas en un sitio web en el que está logueado. El truco está en aprovechar la confianza que el sitio tiene en el navegador del usuario: si el usuario está autenticado, el navegador enviará las cookies de sesión en cualquier petición, incluso si la petición fue originada maliciosamente desde otro sitio.

Ejemplo práctico:

Imagina que eres administrador de un sitio WordPress y recibes un correo sospechoso con un enlace. Si haces clic en ese enlace mientras sigues autenticado en tu sitio, podrías ejecutar una petición que cambie la configuración del sitio o cree un nuevo usuario administrador, todo sin darte cuenta.

CSRF en WordPress

WordPress, por su popularidad y extensibilidad, es un blanco frecuente para ataques CSRF. Muchos plugins y temas han presentado vulnerabilidades por no implementar correctamente las protecciones necesarias, como los tokens de seguridad. De hecho, según reportes recientes, CSRF ha sido una de las vulnerabilidades más comunes en plugins de WordPress

Errores comunes en plugins WordPress:

Un error típico es el mal uso de la función check_ajax_referer(). Si no se implementa correctamente, el plugin puede aceptar peticiones sin verificar la autenticidad del usuario, permitiendo así que el ataque CSRF tenga éxito.

¿Cómo Prevenir Ataques CSRF?

Actualizar plugins, temas y el core: Mantener todo el software actualizado reduce el riesgo de vulnerabilidades conocidas.
Revisar permisos y roles: Limitar el acceso a funciones críticas solo a usuarios de confianza.
Auditoría de plugins: Utilizar herramientas como WPScan para identificar vulnerabilidades en plugins instalados.
Cerrar sesión al terminar: Es fundamental salir de la sesión cuando no se esté utilizando para evitar que comandos maliciosos se ejecuten en segundo plano.
Evitar hacer clic en enlaces sospechosos: No interactuar con correos o enlaces de origen dudoso mientras se está autenticado en el panel de control o WordPress.

Resumen

CSRF es un ataque que explota la confianza entre el navegador del usuario y el sitio web, permitiendo ejecutar acciones no autorizadas sin el consentimiento del usuario. Tanto WordPress como cPanel han sido objetivos frecuentes, pero con la implementación de nonces, cookies SameSite y actualizaciones constantes, es posible mitigar significativamente este riesgo. La seguridad es una responsabilidad compartida entre desarrolladores, administradores y usuarios finales.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.

Perfect Forward Secrecy: Qué es y como activarlo en cPanel (Como root)

La ciberseguridad es un campo en constante evolución, con nuevas amenazas, lagunas y exploits que se descubren y abordan continuamente.

¿Qué es Perfect Foward Secrecy?

El acrónimo PFS significa “secreto directo perfecto“, que es una característica de seguridad relativamente reciente para sitios web. Su objetivo es evitar que futuras vulnerabilidades y brechas de seguridad comprometan la comunicación, la información o los datos actuales o pasados al aislar el cifrado de cada transacción.

Tradicionalmente, los datos cifrados estarían protegidos por una única clave de cifrado privada mantenida por el servidor, que podría usar para descifrar toda la comunicación histórica con el servidor usando una clave pública. Esto presenta un riesgo de seguridad potencial en el futuro, ya que un atacante puede pasar semanas, meses o años escuchando el tráfico cifrado, almacenando los datos y esperando su momento.

Es un método criptográfico para garantizar la seguridad de las transacciones de datos entre un cliente y un servidor.
Si bien PFS ofrece un alto grado de seguridad, no es un método infalible y es vulnerable a infracciones en el contexto de un ataque de intermediario (MITM).

Con Perfect Forward Secrecy, la verificación de SSL tendrá una mejor puntuación, más seguridad y además puede impactar en el ranking de SEO.

Cómo habilitarlo en cPanel

Para poder configurar y activar Perfect Forward Secrecy en cPanel es necesario, primero y antes que nada, tener acceso al servidor con credenciales root.

Dentro de “cPanel Web Services Configuration” debemos configurar la lista de TLS/SSL ciphers que podemos utilizar. Esta opción se encuentra en el WHM del servidor, en Service Configuration => cPanel Web Services Configuration.

El parámetro a editar es TLS/SSL Cipher List.

Los valores recomendados a utilizar son:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK

Luego, en Apache Configuration => Include Editor => Pre Main Include => All Versions, debemos configurar SSLHonorCipherOrder, agregando en la configuración global de apache las siguientes líneas:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

Luego de aplicar los cambios, debemos reiniciar Apache (Lo hacemos desde Restart Services => HTTP Server (Apache)) y verificarlo utilizando por ejemplo un sitio web como SSLLABS.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.

WordPress: Qué es WP-CLI y cómo usarlo desde consola SSH

Si tenés un sitio en WordPress y escuchaste hablar de “WP-CLI” o de “acceder por SSH”, puede que suene un poco técnico o intimidante. Pero no te preocupes: en esta nota te explico de forma simple qué es, para qué sirve y cómo puedes empezar a usarlo, paso a paso.

¿Qué es WP-CLI?

WP-CLI es una herramienta para administrar sitios WordPress desde la línea de comandos, es decir, desde una terminal o consola. En lugar de hacer clic en botones del panel de WordPress, puedes ejecutar comandos que hacen las mismas tareas, ¡pero mucho más rápido!

Con WP-CLI puedes:

Actualizar plugins y temas.
Instalar WordPress.
Crear usuarios.
Exportar la base de datos.
Limpiar la caché.
¡Y mucho más!

¿Qué es la consola SSH?

SSH (Secure Shell) es un protocolo que te permite conectarte a tu servidor de forma segura, como si estuvieras “dentro” del servidor escribiendo directamente en él. Para usar WP-CLI necesitas este acceso.

¿Cómo saber si tenés acceso SSH?

Muchos hostings lo ofrecen, pero tienes que revisar si está habilitado en tu plan. En general, deberías tener datos como:

Servidor / Hostname
Usuario
Contraseña o clave SSH
Puerto (por lo general es el 22)

En Sitios Hispanos no activamos el acceso SSH por defecto, pero si nos escribís para indicarnos que lo necesitas para usar WP-CLI, te lo activaremos enseguida.

Paso a paso para usar WP-CLI desde SSH

1. Conectarte por SSH a tu servidor

Si estás en Windows, puedes usar una app como PuTTY o el terminal de Windows (CMD) si tienes Windows 10 o superior. En Mac o Linux, puedes usar directamente la terminal.

Ejemplo de conexión:

ssh usuario@tusitio.com

(Si usás un puerto distinto al 22, agrega -p 2222 al comando)

2. Verificar si WP-CLI está instalado

Una vez dentro del servidor, escribí:

wp --info

Si aparece información como la versión de WP-CLI, ¡todo está listo!

Si no, puede que tengas que instalarlo (o pedirle al soporte del hosting que lo hagan).

3. Navegar hasta la carpeta de tu sitio WordPress

Usá el comando cd para moverte a la carpeta donde está instalado tu WordPress. Por ejemplo:

cd public_html

cd /home/usuario/tuweb.com

Depende del panel de control que tengas en tu servicio de alojamiento.

4. Probar un comando útil

Por ejemplo, para ver los plugins instalados:

wp plugin list

Para actualizar todos los plugins:

wp plugin update --all

Para vaciar la caché (si usás WP Super Cache):

wp super-cache flush

¿Por qué usar WP-CLI?

Aunque al principio puede parecer complejo, WP-CLI es súper poderoso y rápido. Ideal si tenés varios sitios, si hacés tareas repetitivas o simplemente querés aprender a manejar WordPress como un pro.

Además, muchos comandos te permiten resolver problemas que desde el panel de WordPress serían más difíciles de solucionar.

Consejos para empezar

Probá primero en un entorno de prueba si tenés miedo de romper algo.
Siempre hacé un backup antes de ejecutar comandos importantes.
Podés buscar todos los comandos disponibles en la documentación oficial de WP-CLI.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.

WordPress: Habilitar el registro Debug para ver errores

WordPress ofrece una herramienta de depuración que puede ayudarte a identificar la causa de un error en tu sitio web. Aunque esta herramienta puede mostrar información directamente en tu sitio activo, no es aconsejable hacerlo en un sitio accesible al público. En su lugar, se sugiere generar un archivo de registro de depuración. Puedes revisar este archivo para encontrar la causa del problema que necesitas solucionar.

Este artículo te orienta sobre cómo activar el modo de depuración y registrar la información en un archivo sin afectar tu sitio web en vivo.

Habilitar el modo DEBUG

Inicia sesión en tu dominio conectándote a FTP o utilizando el Administrador de Archivos.
Es necesario editar el archivo wp-config.php. Abra el archivo y cerca del final del mismo encontrará la siguiente línea:

define('WP_DEBUG', false);

Va a ser necesario editar dicha línea y agregar dos más al archivo. Debería quedar así:

define( 'WP_DEBUG', true );
define( 'WP_DEBUG_DISPLAY', false );
define( 'WP_DEBUG_LOG', true );

Es recomendable no cambiar WP_DEBUG_DISPLAY a true (verdadero). Esto se debe a que cualquier error se mostrará en tu sitio web en vivo.

Cuando se produce un error en WordPress, se escribirá en un archivo llamado debug.log. Este archivo se encuentra dentro de tu directorio /wp-content/.
Este archivo puede revisarlo desde FTP o el administrador de archivos de su panel de control.

Gracias a este archivo, podrás diagnosticar cualquier problema que pueda surgir en el funcionamiento de tu sitio web hecho en WordPress.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.

Por qué tener tu alojamiento web con pago anual es una buena idea

Pagar tu plan de hosting anualmente es una excelente idea. El pago anual te ahorra tiempo y dinero. Y sobre todo, ayuda a que no tengas que andar ocupándote de asuntos administrativos o recordándote acerca de la facturación de tu cuenta a cada rato.
Entre los beneficios podemos destacar:

Te protege cambios de precio en tu plan mes a mes

En un mundo en donde los servicios tecnológicos, insumos y licencias de software tienden a revalorizarse, es importante que puedas bloquear el costo de tu plan por todo un año. Esto te evitará que si hay un cambio en el precio de tu servicio de alojamiento en los siguientes meses, conseguirás bloquear el valor hasta la siguiente renovación. Cuando realizas el pago por adelantado anual de tu hosting, lo que ocurre es que cancelas meses y no “saldo”, con lo que si has comprado tu plan hoy y lo pagaste como anual, no tendrás variación de precio ni que pagar proporcionales hasta su fecha de renovación.

Pagar anualmente tu hosting te ahorra dinero

Es normal que, además de bloquear tu abono por 12 meses, recibas un descuento. En Sitios Hispanos el descuento que te ofrecemos en tu plan de hosting es el equivalente a un mes del servicio que estás comprando o que ya tienes activo. Esto quiere decir que pagarás 11 meses en lugar de 12 meses en tu plan con ciclo anual.

El pago anual te ahorra tiempo

Nada de estar detrás del pago de una factura todos los meses. Te ocupas del pago del servicio una sola vez y te quitas este trabajo de encima por 12 meses.
Además, si llevas adelante un negocio u organización, será una factura más para contabilizar todos los meses. Más “papeles” para tu contador, y más dolor de cabeza para ti, cuando deberías estar pensando en otra cosa.

Te proporciona la paz mental que necesitas

El hecho de no tener que estar pensando “¿Recibí mi factura?”, “¿Habrá pasado el vencimiento?”, o “¿Pagué mi abono este mes?”, es un problema resuelto. Si bien al generarse cada factura recibirás una serie de avisos y notificaciones para que no se te pase de fecha, esto ocupa lugar en tu mente y no te permite pensar en otras cosas.

Te permite sincronizar la fecha de renovación con la de tu dominio

Si al momento de comprar tu plan de hosting adquiriste también un nombre de dominio, la fecha de renovación de tu hosting y tu dominio se sincronizarán dentro del mismo mes. Esto significa que sólo tendrás en tu agenda uno o dos vencimientos al año referentes a tu página web.

En conclusión:

Estos son los beneficios de pagar anual tu plan de hosting. Si bien deberás desembolsar un poco más de dinero por adelantado, lo invertirás en previsibilidad de tu abono, recibirás un descuento, paz mental y otros beneficios adicionales.