Seguridad de WordPress: la guía definitiva para proteger un sitio de WordPress
Publicado: 2019-05-24El cibercrimen está en su punto más alto con los piratas informáticos y el malware arrasando el vasto panorama en línea. Google incluye en la lista negra más de 20 000 sitios web por tener malware y más de 50 000 sitios web como posibles sitios web de phishing, ¡todas las semanas! Deje que los números se hundan por un momento. Y así, para el propósito de esta lectura, hemos elaborado una guía completa para ayudarlo a mejorar su seguridad de WordPress.
Verá, si su sitio web no cumple con las mejores prácticas de seguridad, entonces dejará su sitio y todo su contenido sujeto a ser pirateado. Pero no es solo su contenido lo que está en juego, ya que los sitios web no seguros también son penalizados por los algoritmos de búsqueda de Google.
Los piratas informáticos y el malware no solo son peligrosos para el contenido de su sitio web, sino que también representan una amenaza para las personas que visitan su sitio web. Y así, si no cumple con las pautas básicas de seguridad, que por cierto es muy simple de hacer, Google lo degradará en la SERP (página de resultados del motor de búsqueda).
Afortunadamente, los usuarios de WordPress tienen acceso a complementos dedicados y una interfaz ultra intuitiva que puede ayudar a aumentar la seguridad de WordPress por un margen significativo. Entonces, sin hacerle esperar más, aquí están nuestras más de 10 formas principales de mejorar la seguridad de su WordPress:
Las 10+ formas principales de mejorar la seguridad de WordPress
1. Instalar complementos de copia de seguridad
El concepto aquí es bastante simple: ¡es mejor estar seguro ahora que lamentarlo más tarde!
Al hacer una copia de seguridad de su contenido y base de datos en línea, todo se mantiene seguro incluso en el desafortunado caso de ser víctima de piratas informáticos y malware. Esto hace que la instalación de un complemento de respaldo sea el primer capítulo Seguridad de WordPress 101 y lo coloca en la parte superior de la lista de prioridades.
Un complemento de copia de seguridad como nuestro complemento de copia de seguridad WPvivid puede realizar copias de seguridad de rutina automáticas de todo su sitio web de WordPress, incluida la base de datos. Puede configurarlo para programar las copias de seguridad para que sean semanales o diarias. Los datos respaldados generalmente se almacenan en una plataforma de almacenamiento en la nube separada, ya sea proporcionada por el propio complemento o entre las diferentes plataformas ya existentes como Google Drive, Amazon S3, Dropbox, etc.
Ahora, si en una instancia posterior, su sitio se rompe debido a malware o piratas informáticos, todos sus datos seguirán siendo accesibles y podrá restaurar las copias de seguridad en su sitio web para que vuelva a su condición de funcionamiento anterior. Solo recuerde cubrir las vulnerabilidades de seguridad que los piratas informáticos o el malware usaron para ingresar a su sitio web para que no vuelva a suceder.
Habiendo dicho todo esto, si está buscando alguna recomendación sobre qué complemento de respaldo además de nuestro complemento de respaldo WPvivid usar para mejorar su seguridad de WordPress, aquí hay algunas opciones:
- UpDraft Plus
- BackWPup
2. Instale un complemento de firewall para monitorear su sitio de WordPress
Al igual que el software de firewall que configuró en su computadora de escritorio/portátil, un complemento de firewall monitoreará el tráfico entrante y bloqueará las amenazas de seguridad comunes para que no lleguen a su sitio web de WordPress.
Los complementos generalmente se refieren a una base de datos que consta de firmas maliciosas y direcciones IP en la lista negra para escanear las amenazas potenciales que llegan a su sitio web y bloquearlas de inmediato.
Como puede ver, es tan simple como instalar un complemento de WordPress, pero mejora la seguridad de WordPress al evitar que los piratas informáticos, el malware, los gusanos y los virus ingresen a su sitio web.
3. Establezca una contraseña segura para el inicio de sesión de administrador
Cuando lo piensa, obtener acceso a su panel de control de WordPress no es gran cosa. Es bien sabido que agregar "/wp-admin" al final de la URL de un sitio de WordPress lleva al usuario a la página de inicio de sesión del administrador. Aquí, lo único que limita el acceso al backend del sitio web es simplemente adivinar el nombre de usuario y la contraseña.
Ahora, dado que el nombre de usuario "admin" casi siempre está asociado con un sitio web de WordPress, lo único que el pirata informático debe hacer es adivinar la contraseña y luego tendrá acceso directo a todo el contenido y los datos de su sitio web. Una cosa aterradora de imaginar, ¿no?
Con todo esto en consideración, la mejora de seguridad de WordPress más obvia que puede emplear es hacer que su contraseña sea extremadamente compleja y difícil de descifrar incluso por fuerza bruta. Esto incluye crear contraseñas más largas con al menos 10-12 caracteres. También recuerde usar letras mayúsculas, minúsculas, números y caracteres especiales en su contraseña.
Y para que no termine olvidándolo usted mismo, escríbalo en algún lugar donde sepa que estará seguro y protegido.
4. Personalizar el nombre de usuario del administrador
De manera similar a cambiar la contraseña de su inicio de sesión de administrador de WordPress, también debe considerar cambiar el nombre de usuario predeterminado fácilmente predecible: admin. Así que ahora el hacker necesita descifrar la contraseña junto con el nombre de usuario correcto para ingresar al backend de su sitio, lo que aumenta exponencialmente la seguridad de WordPress.
Pero dicho esto, cambiar el nombre de usuario de administrador predeterminado es algo difícil. Primero, debe iniciar sesión en su backend de WordPress> Usuario> Agregar nuevo usuario , y luego crear un nuevo usuario (con el nuevo nombre de usuario) con el Rol de usuario establecido en – Administrador . Una vez hecho esto, inicie sesión con la nueva cuenta de usuario y elimine la cuenta de usuario "administrador" predeterminada, lo que obliga a los piratas informáticos no solo a descifrar la contraseña correcta sino también su nuevo nombre de usuario. Alternativamente, puede administrar y editar roles de usuario utilizando un complemento de editor de roles de usuario.
5. Personalizar la URL de inicio de sesión
Hasta ahora, hablamos sobre cómo dificultar que los piratas informáticos adivinen sus credenciales de inicio de sesión de back-end de WordPress. Pero, una táctica de seguridad de WordPress aún mejor sería negar el acceso de los piratas informáticos a su pantalla de inicio de sesión por completo.
Como se mencionó anteriormente, la URL predeterminada para la página de inicio de sesión de su sitio web implica la URL de su sitio web seguida de "/wp-admin". Sin embargo, ¿sabía que puede personalizar la última parte de la URL de inicio de sesión de su sitio web con cualquier cadena alfanumérica diferente que pueda imaginar, como “/zero-hackers-allowed”?
Sin embargo, tenga en cuenta que esta no es una función predeterminada del CMS (Sistema de gestión de contenido), y deberá instalar un complemento de WordPress como WPS Hide Login para ayudarlo. Una vez instalado y activado, el complemento le permitirá cambiar la URL de inicio de sesión para que los piratas informáticos no puedan acceder fácilmente a la página wp-login.php y al directorio wp-admin.
A estas alturas, no solo hemos dificultado que los piratas informáticos adivinen la combinación correcta de contraseña y nombre de usuario para acceder a nuestro sitio, sino que también hemos ocultado de manera efectiva la página de inicio de sesión de miradas indiscretas. Como puede imaginar, esto aumenta drásticamente la seguridad de WordPress y hace que los ataques de fuerza bruta sean prácticamente imposibles.
6. Establezca una contraseña segura para el usuario de la base de datos
Si su sitio web tiene varios usuarios y algunos de ellos tienen acceso directo a su base de datos u otra información confidencial, asegúrese de que establezcan contraseñas seguras para sus cuentas. Es igualmente probable que los piratas informáticos intenten ingresar a su sitio web explotando a otros usuarios en su sitio web. Con esto en mente, cualquier cabo suelto es una vulnerabilidad potencial y una amenaza a la seguridad.
Puede obligar a los usuarios a asignar una contraseña segura con sus cuentas siguiendo los pasos mencionados anteriormente. Alternativamente, puede usar complementos de terceros para obligar a los usuarios a crear una contraseña segura para completar el proceso de creación de su cuenta.
7. Habilitar SSL (HTTP a HTTPS)
SSL, abreviatura de Secure Sockets Layer, es el protocolo de seguridad estándar en Internet que crea una conexión cifrada entre el cliente y el servidor. Una vez activado, notará que el texto HTTP al comienzo de su URL se reemplaza con HTTPS o HTTP seguro. Al habilitar un certificado SSL, hace que sea más difícil para los piratas informáticos desviar datos mientras se transmiten entre el servidor y el cliente.
Google también se toma muy en serio la certificación SSL. Por ejemplo, los sitios web que todavía están en HTTP se muestran como "no seguros" en el navegador Google Chrome. Además, también son penalizados por el algoritmo de su motor de búsqueda. Mientras que por otro lado, los HTTPS de los sitios web certificados por SSL son otorgados por el motor de búsqueda. Por eso, hemos puesto la instalación de un SSL como primer paso para seo un nuevo blog de WordPress.
Estos dos puntos deberían ser motivo suficiente para que instale un certificado SSL en su sitio web, especialmente si considera que no es una molestia tan grande. En primer lugar, la mayoría de los servicios de alojamiento web populares incluyen un certificado SSL de forma gratuita. Y en caso de que no obtuvieras uno gratis, puedes hacerlo fácilmente usando Let's Encrypt .
Incluso tiene acceso a un complemento SSL de WordPress dedicado: SSL realmente simple para convertir HTTP en HTTPS y mejorar su seguridad de WordPress.
8. Mover wp-config a un nivel más alto que el directorio raíz
De forma predeterminada, wp-config.php se encuentra dentro de la misma carpeta que su blog/sitio web de WordPress. Esto puede ser una pesadilla para la seguridad, ya que el archivo contiene el nombre de usuario, la contraseña, las claves de autenticación de WordPress y otros datos confidenciales de la base de datos MySQL.
Si alguien obtiene este archivo, entonces básicamente tiene control total sobre cada detalle de su sitio web. Esta es la razón por la que incluso el códice de WordPress recomienda que los usuarios muevan wp-config.php del directorio raíz predeterminado a una carpeta de nivel superior que no tenga acceso público.
Esto se puede lograr fácilmente al incluir el siguiente fragmento de código en la carpeta .htaccess:
<archivos wp-config.php> orden permitir, negar Negar todo </archivos>
Como puede ver, implica jugar con los archivos principales de su sitio web de WordPress, por lo que se recomienda que realice una copia de seguridad antes de continuar con este paso.
9. Evite listar el directorio con .htaccess cuando una carpeta no tiene un archivo index.php
La lista de directorios, también conocida como exploración de directorios, permite a cualquier usuario ver el contenido de carpetas individuales (directorios) en su sitio web. Como puede imaginar, esto requiere grandes preocupaciones de seguridad, ya que los piratas informáticos pueden navegar sin esfuerzo a través de todos sus diferentes archivos y localizar posibles vulnerabilidades para ingresar a su sitio web.
Ahora, en defensa del CMS de WordPress, ciertos directorios contienen archivos index.php que el servidor ejecuta/carga instantáneamente cuando alguien ingresa a la carpeta. Esto evita que los espectadores naveguen por sus directorios y obtengan acceso a la estructura de su sitio.
Pero, ¿y si el archivo index.php no está presente?
Incluso entonces, los problemas se pueden resolver fácilmente haciendo un pequeño ajuste en el archivo .htaccess. Todo lo que tiene que hacer es simplemente agregar la siguiente línea al final del .htaccess y guardarlo.
Opciones Todos -Índices
Una vez hecho esto, si un usuario intenta acceder a cualquiera de sus directorios que carecen de un archivo index.php, mostrará un error de acceso 403 prohibido o página 404 no encontrada para el usuario.
10. Actualiza WordPress regularmente
WordPress es inmensamente popular y funciona en más del 30% de todos los sitios web en la World Wide Web. Esto convierte al CMS en el principal objetivo de los piratas informáticos y los actores malintencionados. Siempre están ocupados encontrando vulnerabilidades de seguridad y lagunas en el código que pueden explotar para obtener acceso a los datos de su sitio.
Del mismo modo, el equipo de desarrollo de WordPress también está buscando activamente errores y fallas de seguridad para poder parchearlos antes de que los piratas informáticos los exploten. Por lo tanto, actualizar a la última versión de WordPress no se trata simplemente de acceder a nuevas características y funcionalidades, sino también de asegurarse de que el código no tenga fallas que los piratas informáticos puedan explotar.
Ahora, una vez que se lanza una nueva actualización de WordPress, todo el mundo, incluidos los piratas informáticos, puede conocer las vulnerabilidades de seguridad que estaban presentes en la versión anterior. Si posterga la actualización rápida de su sitio a la última iteración, los piratas informáticos pueden aprovechar las vulnerabilidades de seguridad ahora conocidas en su sitio, lo que hace que la seguridad de WordPress sea mucho más débil que antes. Además, dado que WordPress está construido con PHP, también es importante actualizar su sitio de WordPress a la última versión de PHP para mejorar el rendimiento y la seguridad de su sitio web. ¡Recuerde hacer una copia de seguridad completa de su sitio antes de realizar cualquier actualización!
11. Eliminar el número de versión de WordPress
Aunque siempre debe actualizar su sitio web de WordPress tan pronto como se publique una nueva actualización de CMS, a veces no es la mejor decisión que puede tomar. Algunas posibles razones para retrasar la actualización del sitio pueden deberse a una actualización con errores, problemas de compatibilidad con sus complementos y temas actuales, etc.
Sin embargo, como acabamos de comentar, posponer la actualización lo expone a una gran cantidad de amenazas de seguridad e intentos de piratería. Pero esto se puede evitar si puede eliminar el número de versión de WordPress de su sitio web. Es por eso que los piratas informáticos no sabrán de inmediato que su sitio se está ejecutando en una versión anterior, lo que reduce sus posibilidades de ser explotado por las fallas de seguridad recién descubiertas.
Ahora, para eliminar el número de versión de WordPress de su sitio web, debe dirigirse al archivo functions.php e ingresar el siguiente fragmento de código:
función remove_wordpress_version() {
devolver '';
}
add_filter('el_generador', 'remove_wordpress_version');Esto eliminará el número de versión de WordPress tanto de su archivo principal como de la fuente RSS, asegurándose de que los piratas informáticos no puedan adivinar qué versión de WordPress está utilizando.
En conclusión
Estos fueron algunos de nuestros consejos y trucos recomendados para mejorar la seguridad de WordPress. Esperamos que esta lectura le haya resultado útil y que haya sido un recurso útil para hacer que su sitio sea más seguro y protegido.
Como puede ver, gran parte de las mejoras se pueden realizar simplemente siguiendo uno o dos pasos básicos e instalando algunos complementos de seguridad. Ahora bien, hay algunos aspectos técnicos que también debes cuidar. Sin embargo, no necesita preocuparse tanto si recién está comenzando con su blog/sitio web de WordPress.
Pero a medida que su sitio siga creciendo, tenga en cuenta que los piratas informáticos se esforzarán más por entrar y causar problemas. Como tal, manténgase siempre actualizado con las últimas tendencias de seguridad, sin mencionar la cobertura de todos los pasos técnicos discutidos anteriormente, como mover su archivo wp-config y proteger con contraseña su base de datos.
Con todo esto en contexto, se alienta a los usuarios experimentados a participar en la conversación y agregar sus tácticas personales para garantizar que su sitio esté libre de piratas informáticos y malware. Tus compañeros lectores se beneficiarán mucho con tus conocimientos y podría ayudarlos a proteger su sitio de posibles amenazas cibernéticas.
Por si a ti también te puede interesar, aquí tienes nuestra guía completa sobre cómo monetizar un blog.