Cómo hacer que su sitio web sea seguro: 10 consejos de seguridad de WordPress | JustLearnWP.com
Publicado: 2019-11-13WordPress ahora está potenciando millones de sitios web. Es muy fácil crear más de 30 tipos diferentes de sitios web con WordPress, comenzar con WordPress es fácil.
Pero la desventaja de la popularidad es que lo convierte en un objetivo más importante para los piratas informáticos. En este artículo, voy a enumerar algunas de las mejores prácticas para hacer que WordPress sea más seguro y seguro. Aprenderá cómo hacer que su sitio web sea seguro y protegido con algunas de las mejores prácticas y complementos de WordPress.
WordPress en sí mismo es un sistema de gestión de contenido muy seguro y seguro. Los desarrolladores de WordPress lanzan la nueva versión cada pocos meses. Pero a veces los piratas informáticos pueden acceder a su sitio web basado en WordPress.
Los laboratorios de Sophos han descubierto que cada día se piratean 30 000 nuevos sitios web y puede leer ¿Cómo recuperar un sitio web de WordPress pirateado? aprender más.
La versión obsoleta de WordPress, los temas y los complementos pueden ser muy peligrosos. Algunas veces, los planes de alojamiento compartido baratos también pueden causar daños. Una contraseña débil y un nombre de usuario fácil de adivinar o demasiado común también son una razón para lograr hackeos exitosos.
Los 10 mejores consejos de seguridad de WordPress para hacer que su sitio web sea seguro
Estas son algunas de las mejores prácticas que debe seguir absolutamente para aumentar la seguridad de su sitio web de WordPress.
1. Usa la última versión de WordPress
La versión obsoleta de WordPress es muy peligrosa. Instale siempre la última versión de WordPress. Descargue la última versión de WordPress desde el sitio web oficial de WordPress. Si tiene varios sitios web basados en WordPress, actualícelos periódicamente.
2. Deshabilite la función de edición de archivos PHP desde el Panel de WordPress.
La mayoría de los usuarios necesitarán acceso al área de administración de WordPress, pero no siempre necesitarán acceso a los archivos de complementos o archivos de temas.
Si desea evitar que cualquier usuario tenga acceso para editar el tema de WordPress o los archivos del complemento en el área de administración de WordPress. Puede agregar la siguiente línea de código al archivo wp-config.php para evitar que alguien tenga acceso al modo de edición de archivos en WordPress.
define( 'DISALLOW_FILE_EDIT', true);
3. Habilite la autenticación de dos factores
La autenticación de dos factores de WordPress puede hacer que su sitio web sea más seguro. Hay muchos complementos gratuitos disponibles para habilitar la autenticación de dos factores.
La verificación en dos pasos puede hacer que su sitio web de WordPress sea más resistente contra los ataques de fuerza bruta, incluso si su nombre de usuario y contraseña de WordPress se ven comprometidos, no será posible iniciar sesión en su sitio web sin el código de seis dígitos.
Puede instalar Google Authenticator para WordPress. Es un complemento gratuito. Este complemento utiliza la aplicación Google Authenticator disponible en Google Playstore.
4. Deshabilite el inicio de sesión en el panel para sus clientes/suscriptores
Hay varias razones por las que es posible que desee mantener a las personas fuera de su tablero. Por ejemplo, en un sitio de membresía, puede deshabilitar el acceso al panel de administración de WP.
Hay muchos complementos gratuitos disponibles. WP Hide Dashboard and Remove Dashboard Access le permite restringir el acceso al Dashboard solo a administradores o usuarios con una capacidad específica y ocultar el menú del Dashboard, la sección de Opciones personales y el enlace de Ayuda.
Lectura adicional: ¿Cómo recuperar un sitio web de WordPress pirateado?
5. Cambiar la URL de inicio de sesión del panel
Si es posible, cambie la URL de inicio de sesión del panel, por defecto es www.yoursite.com/wp-admin, cámbiela por otra. Hay varios complementos de WordPress disponibles para esta tarea.
Cambiar el nombre de wp-login.php es un popular complemento gratuito para cambiar wp-login.php a lo que quieras. Este complemento gratuito también es compatible con cualquier complemento que se enganche en el formulario de inicio de sesión, incluidos BuddyPress, bbPress, Limitar intentos de inicio de sesión y Cambio de usuario.
Peter's Login Redirect es un complemento gratuito y popular. Este complemento gratuito redirige a los usuarios a diferentes ubicaciones después de iniciar y cerrar sesión.
6. Aloja tu sitio en servidores dedicados
Elegir un buen alojamiento web realmente importa. Hay miles de proveedores de alojamiento web disponibles, pero no todos ofrecen un gran servicio. Si se toma en serio su negocio de blogs, elija un buen proveedor de alojamiento con servidores dedicados.
7. Restrinja el número de intentos de inicio de sesión
Brute Force Attack tiene como objetivo ser el tipo de método más simple para obtener acceso a un sitio: prueba los nombres de usuario y las contraseñas, una y otra vez, hasta que ingresa. Hay muchos complementos gratuitos para limitar los intentos de inicio de sesión en su sitio web de WordPress.
El complemento WP Limit Login Attempts limita la tasa de intentos de inicio de sesión y bloquea la IP temporalmente. Está detectando bots por verificación de captcha.
Limit Attempts de BestWebSoft le permite limitar la tasa de intentos de inicio de sesión por IP y crear una lista blanca y una lista negra.
8. Almacene el archivo wp-config.php un nivel por encima de la instalación de WordPress
¡Sí! Puede mover el archivo wp-config.php al directorio sobre su instalación de WordPress. Esto significa que para un sitio instalado en la raíz de su espacio web, puede almacenar wp-config.php fuera de la carpeta webroot.
Puedes leer ¡El consejo de seguridad de WordPress más fácil de todos! en SitePoint para obtener más información.
9. Habilitar HTTPS para todos los inicios de sesión y wp-admin
HTTPS suele ser sinónimo de carritos de compras y banca por Internet, pero en realidad, debe usarse cada vez que un usuario pasa información confidencial al servidor web y viceversa.
Para asegurarse de que las credenciales de inicio de sesión estén encriptadas durante el tránsito al servidor web, defina la siguiente constante en wp-config.php.
define('FORCE_SSL_LOGIN', true);
Para asegurarse de que los datos confidenciales en tránsito (como las cookies de sesión) se cifren al usar el panel de administración de WordPress, defina la siguiente constante en wp-config.php.
define('FORCE_SSL_ADMIN', true);
Para obtener más información, puede visitar la página Administración de WordPress sobre SSL.
También puede usar el complemento WP Force SSL para redirigir todo el tráfico de HTTP a HTTPS a todas las páginas de su sitio web de WordPress.
10. Elija sabiamente temas y complementos de terceros
Recuerde siempre que no hay razón para mantener temas y complementos sin usar. ¿Por qué abrir su sitio a problemas cuando ni siquiera está usando temas y complementos?
Siempre descargue e instale complementos de desarrolladores y mercados confiables. Elimine todos los temas obsoletos e innecesarios. Hemos creado una lista de los mejores lugares para comprar temas premium de WordPress de desarrolladores y mercados de confianza.
El directorio de temas de WordPress es el mejor lugar para encontrar temas gratuitos y, si desea utilizar temas premium, compre siempre a desarrolladores y mercados de renombre.
Lectura adicional: Cómo elegir un tema de WordPress gratuito o premium perfecto
Ultimas palabras
Sé que esta no es la lista completa, pero he tratado de compartir algunos consejos rápidos y mejores prácticas. También puede leer esta guía detallada sobre la seguridad de WordPress en Kinsta. Siéntase libre de compartir sus pensamientos en los comentarios a continuación.