Fortalecimiento de WordPress: cómo mantener seguro su sitio de WordPress
Publicado: 2022-06-30Si alguna vez te han pirateado, sabes qué pesadilla puede ser. Puede ser difícil entender qué pasos de seguridad de WordPress ayudarán a mantener seguro su sitio web de WordPress.
Siga leyendo para aprender cómo mantener seguro su sitio de WordPress. Aprenda los pasos adecuados para fortalecer WordPress y obtenga una lista de verificación de seguridad del sitio web de WordPress.
¿Qué es el endurecimiento de WordPress?
WordPress representa alrededor del 40% de todos los sitios web. Debido a esto, las personas que saben cómo explotar WordPress pueden encontrar fácilmente muchos objetivos. Afortunadamente, hay muchas cosas que puede hacer para que el trabajo sea mucho más difícil para ellos. Esto se conoce como endurecimiento de WordPress.
Por qué la seguridad de WordPress es importante
No solo es vergonzoso ser pirateado, sino que puede provocar tiempo de inactividad, pérdida de datos e información filtrada. Esto puede traducirse en pérdida de ventas y mala reputación de marca. Además de esto, puede llevar mucho trabajo hacer que todo vuelva a funcionar.
Fortalecimiento de WordPress: 10 pasos de seguridad de WordPress a seguir
Hay cuatro formas principales en que los piratas informáticos pueden obtener acceso para piratear su sitio de Wordpress:
- Obtener su contraseña o sesión e iniciar sesión.
- A través de accesos indirectos como FTP, SSH o la base de datos.
- Al descubrir información en su raíz web.
- A través de vulnerabilidades en el código de WordPress o plugins.
La forma más sencilla de obtener acceso a su sitio es simplemente iniciando sesión. Aquí hay algunas formas de proteger WordPress contra los ladrones de contraseñas.
1. Asegure la máquina desde la que se está conectando
Una cosa importante que es fácil pasar por alto es la computadora desde la que se está conectando. Si no es seguro, eso también puede hacer que su servidor sea vulnerable. Por eso es muy importante contar con un escáner de virus y un firewall, mantener su computadora actualizada y practicar hábitos de navegación seguros.
2. Asegure la conexión al servidor
Incluso si su computadora es segura, su contraseña o sus sesiones aún pueden ser robadas en el camino hacia el servidor. Para evitar esto, es importante asegurarse de que está utilizando HTTPS al iniciar sesión en su backend de WordPress.
Lectura relacionada: Guía para principiantes sobre la optimización del rendimiento de WordPress >>
Es preferible conectarse siempre a su servidor utilizando la conexión por cable de su hogar o empresa o una conexión Wi-Fi que use una contraseña de Wi-Fi larga y aleatoria. Si debe conectarse mediante un punto de acceso público, definitivamente querrá invertir en una VPN.
3. Evite que las personas adivinen su contraseña
Cuando un atacante usa un script para probar rápidamente diferentes combinaciones de nombre de usuario y contraseña hasta que acierta, esto se denomina ataque de fuerza bruta. Para evitar ataques de fuerza bruta, utilice una contraseña larga que contenga letras mayúsculas y minúsculas, números y caracteres especiales.
Para hacer que esta técnica sea aún más difícil, puede obtener complementos que lo ayudarán. Busque complementos de autenticación de dos factores, complementos que agreguen un captcha al formulario de inicio de sesión y complementos que limiten la cantidad de intentos incorrectos que puede realizar.
4. No use el administrador
Otra forma de prevenir ataques de fuerza bruta y otros métodos de robo de contraseñas es nombrar su cuenta de administrador de otra manera. Si no pueden adivinar su nombre de usuario, tampoco podrán adivinar su contraseña. Cualquier cuenta de administrador adicional debe eliminarse cuando ya no sea necesaria. Cualquier cuenta nueva que cree solo debe tener tanto acceso como sea necesario.
Si los piratas informáticos no pueden acceder a su cuenta de administrador directamente, es posible que puedan acceder a su sitio indirectamente a través de SSH, FTP o la base de datos. Todo lo mencionado sobre mantener segura su PC local, elegir contraseñas seguras y usar una VPN mientras está en Internet público también se aplica a SSH, FTP y conexiones a la base de datos, pero aquí hay algunas consideraciones adicionales.
5. Usa SFTP o FTPS
FTP transmite sus datos y contraseñas a través de Internet en texto sin formato, lo que significa que cualquiera que pueda interceptar sus datos puede ver sus contraseñas y sus datos. SFTP y FTPS cifran sus datos.
6. Cerrar o limitar el acceso a los puertos
Generalmente, si su base de datos y su sitio web están en el mismo servidor, no necesita tener el puerto de su base de datos abierto al público. Si puede administrar su base de datos a través del portal o desde dentro del servidor, esta es generalmente una mejor opción porque brinda a los atacantes una forma menos de explotar su sitio web.
Lectura relacionada: Cuando WordPress necesita un impulso: consejos, herramientas y estrategia de ajuste >>
Del mismo modo, con FTP, si puede usar SFTP para conectarse al servidor, no es necesario tener el puerto FTP abierto. Si necesita usar uno de estos puertos para conectarse a su servidor, puede ser una buena idea limitar los puertos solo a su dirección IP.
Si su dirección IP cambia mucho, puede ser un inconveniente tener que llamar para obtener acceso a su servidor cada vez que cambia su dirección IP. Una forma de evitar esto es usar una VPN. Una VPN no solo encripta las conexiones entre usted y el servidor, sino que lo hace para que pueda usar una dirección IP estática que puede agregar a su firewall para evitar que cualquier otra persona acceda a los puertos.
Un error que comete mucha gente es almacenar archivos y volcados de bases de datos en la raíz web. Recuerde que cualquier cosa en su raíz web es accesible para cualquier persona en Internet y no debe tener nada que no le gustaría que nadie tuviera.
7. Elimine todo lo innecesario de su raíz web
Vale la pena revisar la raíz de su web y asegurarse de que no haya nada almacenado en él que sea innecesario para que su sitio funcione.
Por ejemplo, puede ser conveniente volcar la base de datos a webroot para que pueda descargarla más tarde. Pero recuerde que su base de datos contiene los hashes de su contraseña y podría contener otra información que no desea que sea pública.
Una mejor idea sería volcar la base de datos en otro lugar y usar SFTP para descargarla. Si desea mantenerlo en el servidor como una copia de seguridad, simplemente puede moverlo un nivel hacia arriba o colocarlo en cualquier lugar excepto en la raíz web.
Del mismo modo, las copias comprimidas del código del sitio web se pueden usar para conocer su código y cualquiera puede descargarlas en Internet. Otra práctica común es hacer una copia de seguridad de un archivo como el .htaccess o un archivo de código antes de modificarlo.
Sin duda, es una buena idea hacer una copia de seguridad de sus archivos antes de modificarlos, pero si planea mantenerlos en la raíz web, debe cambiar los permisos para que no se pueda acceder a ellos.
Lectura relacionada: Desacreditando los mitos de seguridad del alojamiento de WordPress >>
Por ejemplo, puede escribir chmod 000 .htaccess. Finalmente, incluso los archivos README o cualquier otra cosa que pueda exponer los números de versión deben ser seguros para eliminar, y eliminarlos puede mejorar la seguridad.
Lo último a considerar es el código en sí. La seguridad del código de aplicaciones web es un tema muy complejo con libros completos escritos sobre el tema. Ya que está utilizando WordPress, la inmensa tarea de mantener el código seguro está hecha para usted, todo lo que tiene que hacer es instalar los parches.
Si está alojando con Nexcess, nos encargamos de actualizar el núcleo de WordPress por usted, pero los temas y complementos también pueden contener vulnerabilidades.
8. Eliminar cualquier código no utilizado
Una manera fácil de mantener seguro su sitio de WordPress es simplemente eliminar cualquier cosa que no esté usando. Mire todos sus complementos y elimínelos si no agregan ningún valor a su sitio.
Lectura relacionada: La guía esencial para los complementos de WordPress >>
Esto no solo mejora la seguridad, sino que también puede acelerar WordPress y mejorar la estabilidad de su sitio. Tenga en cuenta que, en algunos casos, incluso los complementos que están deshabilitados pueden introducir errores o proporcionar una superficie de ataque para los piratas informáticos.
Si tiene algún tema de WordPress que no esté utilizando, también debe desinstalarlo, aunque es posible que desee considerar dejar el tema de WordPress predeterminado más actualizado para solucionar problemas más adelante.
Por último, es muy importante eliminar las instalaciones antiguas que no esté utilizando. Si tiene un subdirectorio completo con un blog antiguo o una versión antigua del sitio web que ya no usa, es muy importante eliminarlo de la raíz web. Si desea guardarlo como una copia de seguridad, puede almacenarse de forma segura sobre la raíz web.
9. Asegúrese de que todos sus complementos y temas se mantengan activamente
Todos los días se descubren nuevas vulnerabilidades y, una vez conocidas, pueden ser explotadas rápidamente por scripts en masa en todo Internet. Por eso es importante asegurarse de contar con programadores expertos que estén respondiendo activamente a cualquier falla que se encuentre en su código y que estén lanzando parches regularmente para cerrar las vulnerabilidades.
10. Aplicar los parches
Dado que las vulnerabilidades se encuentran en WordPress todo el tiempo y dado que las vulnerabilidades de WordPress se explotan tan rápida y completamente, es muy importante aplicar parches tan pronto como estén disponibles. Es muy importante hacer esto para evitar el tiempo de inactividad.
Sin embargo, existe cierto riesgo de que uno de los parches no sea compatible con el resto de su código, por lo que la mejor manera de hacerlo es realizar una copia de seguridad con regularidad, luego aplicar manualmente los parches y luego probar su sitio.
Si encuentra algo que no funciona, puede recuperar la copia de seguridad y recuperar su sitio rápidamente. Si tiene los recursos, un método aún mejor es mantener una copia de su sitio web y aplicar primero todos los parches en la copia. Esto evita cualquier tiempo de inactividad y le permite solucionar cualquier problema antes de que los parches se apliquen al sitio en vivo.
Lista de verificación de seguridad del sitio web de WordPress
- Mantenga su PC segura
- Usa protocolos seguros
- Usa una contraseña segura
- Use complementos para que sea más difícil adivinar su contraseña
- Cambiar el nombre de la cuenta de administrador
- Cierra o limita el acceso a los puertos en tu firewall
- Limpie los volcados de bases de datos, las copias de seguridad y especialmente el código antiguo de su raíz web
- Elija complementos y temas con cuidado y elimine los que no use
- Lo más importante es mantenerlos actualizados
Nexcess mantiene su sitio de WordPress seguro
Hackear su sitio puede ser un desastre. No solo lo hace quedar mal, sino que puede provocar un tiempo de inactividad prolongado o incluso la pérdida de pedidos.
El alojamiento de WordPress con Nexcess es un primer gran paso para mantener seguro su sitio de WordPress.
Nexcess proporciona una plataforma segura desde la cual alojar su sitio web de WordPress. Con Nexcess, obtiene monitoreo de seguridad siempre activo, copias de seguridad diarias gratuitas, certificados SSL e IThemes Security Pro.
Y con un equipo de expertos en WordPress y profesionales de soporte disponibles las 24 horas para ayudarlo con cualquier pregunta que tenga, siempre tendrá los recursos que necesita las 24 horas del día, los 7 días de la semana.
Explore nuestros planes de alojamiento de WordPress completamente administrados para comenzar hoy.