Cómo proteger su sitio web de WordPress

Los servicios de alojamiento administrados de WordPress (como Pressidium) normalmente ponen un énfasis significativo en la seguridad de su plataforma de alojamiento. Se implementa una variedad de funciones para ayudar a mantener seguros los sitios web de WordPress alojados en estos sistemas.

Sin embargo, hay mucho que un host de WordPress puede hacer para garantizar la seguridad de un sitio web de WordPress. Los propietarios de sitios web tienen su propio papel que desempeñar para asegurarse de que sus sitios web permanezcan seguros. En este artículo, veremos los pasos que puede seguir para proteger su sitio web de WordPress.

Cómo mantener su sitio web seguro: una descripción general

Muchos hackeos de sitios web ocurren como resultado directo de acciones (o inacciones) realizadas por propietarios de sitios web. Cosas como no actualizar los complementos a la última versión o usar una contraseña débil dan como resultado debilidades explotables en su sitio que los piratas informáticos apuntarán. La buena noticia es que hay una serie de pasos simples que puede seguir para ayudar a mantener seguro su sitio web de WordPress. Éstos incluyen:

• Asegúrese de que usted y cualquier otro usuario del sitio web estén usando contraseñas seguras
• Usa un mecanismo Captcha
• Utilice la autenticación de dos factores (2FA)
• Eliminar usuarios inactivos
• Utilice un sistema de "limitación de intentos de inicio de sesión"
• Mantenga siempre sus archivos principales, complementos y temas actualizados a su última versión
• Cambiar su URL de inicio de sesión predeterminada
• Evite el uso de temas y complementos anulados

Echemos un vistazo más de cerca a algunos de estos pasos y descubramos cómo puede aplicarlos a su sitio web.

Asegúrese de que sus usuarios utilicen contraseñas seguras

No existe un firewall del lado del servidor u otro sistema de seguridad de alojamiento que pueda proteger su sitio web de WordPress de una contraseña débil. A pesar de los problemas conocidos con el uso de una contraseña débil, las estadísticas sugieren que un sorprendente 35% de los usuarios todavía usan contraseñas débiles para proteger su sitio web de WordPress a pesar de que WordPress les pide que elijan una contraseña más segura.

Quizás la conclusión que se puede sacar de esto es que algunos usuarios simplemente no son conscientes de cuán vulnerable se vuelve su sitio web cuando se usa una contraseña débil. Desafortunadamente, los piratas informáticos descubrieron hace mucho tiempo cómo aprovecharse de los usuarios que eligen contraseñas predecibles que siguen ciertos patrones (como una fecha de nacimiento o el nombre de una mascota).

Otros, aunque son conscientes de la vulnerabilidad de las contraseñas débiles, continúan utilizándolas quizás porque es lo más fácil de hacer. Después de todo, recordar una contraseña simple es mucho más fácil que una más compleja que se construye con letras, números y símbolos aleatorios.

Sin duda, su contraseña ofrece una línea crítica de defensa contra los piratas informáticos. Cuanto más fuerte sea, mejor. Idealmente, una contraseña debería ser única, generada aleatoriamente y actualizada periódicamente.

Utilice un mecanismo Captcha en el formulario de inicio de sesión

El propósito de un captcha es distinguir a los humanos de los 'bots', que son aplicaciones de software que realizan tareas automatizadas. Los piratas informáticos pueden hacer uso de estos para intentar obtener acceso a sitios web a través de la página de inicio de sesión instruyendo al bot para que realice intentos continuos utilizando datos aleatorios para acceder a un sitio web. Un captcha está diseñado para ayudar a prevenir este tipo de ataques en un sitio al distinguir entre humanos y bots. Los captchas se han utilizado durante tres décadas y aún se implementan en innumerables sitios web para ayudar a protegerlos contra la actividad de los bots.

Se puede agregar un captcha a su sitio web de WordPress con el objetivo de bloquear los intentos de inicio de sesión de bots. Una manera fácil de hacer esto es instalando el complemento Login no Captcha reCaptcha que aprovecha el sistema captcha de Google.

Cuando esté instalado, verá que aparece la casilla de verificación reCaptcha familiar debajo del panel de inicio de sesión. Marque esto y estará fuera (¡suponiendo que sepa el nombre de usuario y la contraseña correctos de todos modos!).

Para que el complemento funcione, deberá registrarse para obtener una cuenta gratuita de Google reCaptcha que luego le permitirá generar una clave de sitio y una clave secreta.

Cómo generar el sitio y la clave secreta:

1. Inicie sesión en su cuenta de Google (deberá registrarse para obtener una si aún no tiene una). Dirígete a la página de Google reCaptcha y haz clic en "Consola de administración" que aparece en la parte superior derecha.
2. Haga clic en el ícono 'Más +' que se encuentra nuevamente en la parte superior derecha para registrar un nuevo sitio web. Complete la información requerida.
3. Presiona el botón enviar y verás una página como esta:

Luego deberá pegar estos valores en los cuadros en la configuración del complemento como se promociona.

Autenticación de dos factores (2FA)

El uso de un proceso de autenticación de dos factores agregará una capa adicional de seguridad a las páginas de inicio de sesión de sus sitios web al evitar lo que se conoce como un ataque de "fuerza bruta". En este tipo de ataques, un bot intenta iniciar sesión continuamente en su sitio web utilizando contraseñas y nombres de usuario que se han adivinado (normalmente siguiendo algunas listas predefinidas que aprovechan las contraseñas "débiles" conocidas, como 123password, etc.). continúe tratando de acceder a su sitio hasta que tenga éxito, lo cual es una mala noticia en dos frentes Primero, si obtiene la contraseña correcta, su sitio web ahora ha sido pirateado En segundo lugar, estos intentos continuos de inicio de sesión pueden aumentar la carga del servidor y, por lo tanto, ralentizar su sitio web para fines legítimos usuarios

Afortunadamente, hay complementos de terceros disponibles que pueden ayudar a detener esto.

Complemento de dos factores

El complemento de dos actores de Plugin Contributors es un complemento útil y fácil de usar que brinda a los sitios web una protección de dos factores al obligar a los usuarios a proporcionar un código de autenticación junto con sus credenciales de inicio de sesión normales. Este código puede enviarse por correo electrónico o generarse mediante un generador de contraseñas de un solo uso, como Google Authenticator.

Complemento de autenticación de Google

El complemento Google Authenticator es otro complemento 2FA popular que se puede implementar para proteger su sitio web de WordPress. Este complemento completamente gratuito proporciona una gran cantidad de opciones de autenticación 2FA que incluyen SMS y, por supuesto, mediante el uso de la aplicación Google Authenticator. Configurar esto es bastante rápido y fácil. Simplemente siga las indicaciones cuando active el complemento.

Eliminar usuarios inactivos

Otro objetivo fácil para los atacantes son las cuentas de usuario de sitios web que no se han utilizado durante mucho tiempo. El resultado de esto es que la contraseña a menudo es más débil de lo que podría ser si el usuario hubiera creado la cuenta recientemente o estuviera iniciando sesión regularmente en el sitio web. Por eso, vale la pena eliminar periódicamente las cuentas que estén inactivas.

Puede usar un complemento para detectar fácilmente a estos usuarios inactivos, como el complemento When Last Login.

Una vez activado, simplemente agrega una columna personalizada a la tabla de la lista de usuarios administradores que muestra la marca de tiempo de la última fecha y hora de inicio de sesión de ese usuario. Puede ordenar esta columna de un vistazo y así poder identificar a los usuarios inactivos, lo que significa que luego puede eliminarlos si corresponde.

Luego, en Usuario -> Todos los usuarios ordenan por la columna "Último inicio de sesión" agregada:

Límite de intentos de inicio de sesión

Otra forma en que puede agregar una capa adicional de seguridad a su sitio de WordPress es limitar la cantidad de intentos de inicio de sesión permitidos dentro de un período de tiempo determinado. Esta técnica frustra a los bots que hacen conjeturas de inicio de sesión continuas. Además, algunos complementos que brindan esta funcionalidad también pueden bloquear la dirección IP desde la cual se originaron los intentos de inicio de sesión y, al hacerlo, evitan que ese bot en particular que opera desde esa dirección IP intente ataques repetidos en su sitio en el futuro.

Un buen complemento que ofrece esta funcionalidad es el complemento gratuito Limit Login Attempts Reloaded.

Con más de 1 millón de instalaciones al momento de escribir, puede estar seguro de que el complemento funciona bien.

Después de instalarlo y activarlo, diríjase al menú Configuración y luego haga clic en 'Limitar intentos de inicio de sesión'. Podrá modificar una variedad de parámetros, incluida la cantidad de reintentos permitidos antes de que el usuario quede bloqueado en el sitio web.

Limitar los intentos de inicio de sesión es una forma extremadamente eficaz de proteger su sitio web, por lo que lo habilitamos de forma predeterminada en todos los sitios web alojados en Pressidium.

Nota: si está utilizando Jetpack, un lanzamiento de función reciente llamado "módulo de protección" incluye un sistema de límite de intentos de inicio de sesión como predeterminado. Este sistema también proporciona información sobre los intentos de inicio de sesión bloqueados y la opción de incluir IP en la lista blanca. Si está utilizando este complemento, no es necesario instalar un complemento de 'limitar inicio de sesión' por separado.

Mantenga sus archivos principales, complementos y temas actualizados a su última versión

Entre muchos otros beneficios, la actualización de su núcleo, tema y complementos de WordPress es fundamental para la seguridad de su sitio web. Las estadísticas muestran que las versiones, los temas y los complementos obsoletos son la forma más popular en que los piratas informáticos obtienen acceso a los sitios web, lo que hace que mantenerlos actualizados sea una prioridad.

En Pressidium, actualizamos automáticamente el núcleo de WordPress a la última versión después de probarlo primero para asegurarnos de que no haya problemas clave que puedan causar problemas a nuestros clientes con sus sitios web. Debido a que estas actualizaciones se realizan automáticamente, puede estar seguro de que su sitio web siempre ejecuta la última versión de WordPress.

Aloje su sitio web con Pressidium

GARANTÍA DE DEVOLUCIÓN DE DINERO DE 60 DÍAS

VER NUESTROS PLANES

Además, hacemos que la actualización de complementos en los sitios web alojados con nosotros sea lo más fácil posible al proporcionar una función de actualización de complementos a la que se puede acceder a través del panel de control de Pressidium. Esto permite a nuestros clientes ver de un vistazo si los complementos de su(s) sitio(s) web necesitan actualizarse. Si es así, la actualización se puede realizar con un par de clics desde el panel de control de Pressidium. También escaneamos regularmente los sitios web alojados con nosotros en busca de complementos que tengan vulnerabilidades conocidas e informaremos al propietario del sitio web de esta vulnerabilidad por correo electrónico. En los casos en que un complemento desactualizado represente un riesgo extremo para un sitio web, incluso lo actualizaremos de manera proactiva en nombre del propietario del sitio web.

Cambiar su URL de inicio de sesión predeterminada

Ahora que hemos repasado las formas de asegurar la página de inicio de sesión (protegiendo de hecho la 'puerta de entrada'), echemos un vistazo a las opciones para ocultar la puerta de entrada asegurando que un ladrón (¡o un hacker!) ni siquiera pueda intentar entrar .

Una excelente manera de hacer esto es cambiar la ubicación de la URL de inicio de sesión predeterminada de WordPress cambiándola a una personalizada. Al hacerlo, bloquea instantáneamente el tráfico de wp-login, lo que a su vez significa que no debería experimentar ningún ataque de fuerza bruta en su sitio web.

Uno de esos complementos que le permite cambiar rápidamente la ubicación de la página de inicio de sesión es WPS Hide Login.

Evite el uso de temas y complementos anulados

Los temas o complementos anulados son aquellos que normalmente contienen malware o código modificado diseñado para causar daño. A menudo están disponibles "a bajo precio", por lo que atraen a la gente. Después de todo, a nadie le gusta tener que gastar dinero en temas y complementos premium. Con algunos temas anulados y complementos disponibles por una fracción del costo de la versión 'genuina', puede ver por qué son tentadores de usar.

En realidad, los "ahorros" que obtiene al usar versiones anuladas a menudo pueden verse eclipsados ​​por los costos incurridos como resultado de la infección de su sitio web con malware. Incluso si no contienen código malicioso, a menudo tendrán molestos anuncios y ventanas emergentes que pueden arruinar la experiencia del complemento o tema. Además, por supuesto, no son compatibles con el desarrollador original, lo que significa que no hay nadie a quien recurrir si algo sale mal.

En resumen, no uses temas o complementos anulados... ¡realmente no vale la pena!

Conclusión

Un sitio web pirateado no interesa a nadie (aparte, por supuesto, del hacker). Si bien el alojamiento de WordPress administrado de alta calidad puede mejorar significativamente la seguridad de su sitio web, también es importante recordar que usted, como propietario del sitio web, también tiene un papel que desempeñar en la protección de su sitio web.

Seguir incluso algunos de los sencillos pasos descritos anteriormente realmente puede ayudar a mejorar la seguridad de su sitio web y vale la pena implementarlos.