Seguridad de WordPress - Guía completa paso a paso (2020) - MalCare
Publicado: 2023-04-21Hay una buena razón para preocuparse por la seguridad de su sitio web. Los informes nos dicen que se realizan más de 90,000 intentos de pirateo en el sitio web de WordPress cada minuto del día.
Muchos propietarios de sitios web pueden pensar que su sitio web es demasiado pequeño para llamar la atención de un hacker. La verdad es que, dado que los sitios web pequeños se toman la seguridad con indulgencia, a los piratas informáticos les resulta mucho más fácil piratear sitios web pequeños.
Grande o pequeño: cada sitio web de WordPress debe tomar medidas de seguridad.
Afortunadamente, hay muchas cosas que puede hacer para proteger su sitio web de piratas informáticos y bots. En este artículo, le mostraremos exactamente qué pasos debe seguir para asegurarse de que su sitio web sea seguro.
[lwptoc skipHeadingLevel=”h1,h4,h5,h6″ skipHeadingText=”Pensamientos finales”]
Importancia de la seguridad del sitio web
WordPress es la plataforma de creación de sitios web más popular del mundo. En este momento hay 75 millones de sitios web de WordPress en Internet, y cada día se crean cientos de nuevos. Este tipo de popularidad tiene un precio.
Cuanta más gente lo use, más atractivo será como objetivo para los piratas informáticos. Windows es un objetivo más grande que el sistema operativo de Apple. Chrome es un objetivo más grande para la explotación que Firefox. La popularidad llama más la atención, tanto para bien como para mal.
Mencionamos anteriormente cómo los propietarios de sitios web pequeños consideran que sus sitios web son inmunes y no toman las precauciones necesarias, lo que los convierte en un objetivo ideal.
Cuando su sitio web es pirateado, los piratas informáticos usan sitios web para ejecutar actividades maliciosas. Podrían estar lanzando ataques más grandes en otros sitios, enviando correos electrónicos no deseados, almacenando software pirateado, inyectando enlaces de spam, vendiendo productos ilegales, creando enlaces de afiliados con SEO Spam japonés y entre otras cosas.
Y ese es el final del problema. Las cosas pueden crecer rápidamente y los motores de búsqueda proporcionarán advertencias engañosas del sitio a los usuarios y pueden poner su sitio en una lista negra. ¡Los informes nos dicen que Google incluye en la lista negra 50,000 sitios web por actividades de phishing y alrededor de 20,000 sitios web por contener malware cada semana!
Aparte de eso, los proveedores de hosting también pueden suspender tu cuenta. Esto significa que su sitio web estará inactivo durante días, lo que tendrá un impacto en su recaudación de ingresos. Si espera demasiado para arreglar su sitio, tendrá un daño irreparable en su negocio.
Todos podemos estar de acuerdo en que tomar precauciones de seguridad es mucho mejor que arreglar un sitio web de WordPress pirateado.
Le mostraremos cómo puede proteger su sitio, pero antes de eso queremos abordar una pregunta que muchos de nuestros lectores están pensando.
[Volver arriba ↑]
¿Pero no es seguro WordPress?
El núcleo de WordPress es seguro. WordPress tiene un ejército de los mejores desarrolladores que trabajan incansablemente para mantener seguro el núcleo de WordPress. Están constantemente mejorando la tecnología y lanzando parches y actualizaciones para corregir cualquier falla o error.
No ha habido ninguna vulnerabilidad importante en el núcleo de WordPress durante mucho tiempo.
A pesar de esto, cada minuto del día se realizan más de 90.000 intentos de pirateo en los sitios web de WordPress. Y hay dos razones principales detrás de eso.
En primer lugar, WordPress es una plataforma extremadamente popular. Unos 75 millones de sitios web en Internet están construidos en WordPress, lo que atrae la atención de grupos de piratas informáticos de todo el mundo.
Otra razón es la presencia de temas y complementos vulnerables y desactualizados. De hecho, los informes sugieren que los temas y complementos obsoletos son una de las principales causas de más compromisos de WordPress.
(Psst: puede leer más sobre esto en nuestro artículo de actualizaciones de seguridad de WordPress ).
Entonces, aunque su WordPress es una plataforma segura, existen otros factores que pueden conducir a un sitio web comprometido. Por lo tanto, tomar las siguientes medidas de seguridad puede ser de gran ayuda para salvar sus sitios web de WordPress.
[Volver arriba ↑]
[ss_click_to_tweet tweet=”???? Si se toma en serio su sitio web, preste atención a las mejores prácticas de seguridad de WordPress. ????” contenido=”” estilo=”predeterminado”]
¿Cómo asegurar un sitio web de WordPress?
Hay 15 medidas de seguridad diferentes que puede tomar para proteger su sitio web de WordPress. Esos son:
- Instalar un complemento de seguridad de WordPress
- Realice copias de seguridad periódicas
- Utilice una buena empresa de alojamiento
- Mantenga WordPress actualizado
- Usar un certificado SSL
- Proteja su página de inicio de sesión de WordPress
- Configurar un cortafuegos
- Fortalezca su sitio web
- Emplear principios de privilegios mínimos
- Bloqueo de direcciones IP sospechosas
- Implementar el bloqueo de países
- Ocultar versión de WordPress
- Comprobar registro de actividad
- Use solo la dirección de correo electrónico para iniciar sesión
- Usar autenticación HTTP
Echemos un vistazo más profundo a estas medidas.
1. Instale un complemento de seguridad de WordPress
Las funciones principales de un complemento o servicio de seguridad son escanear, limpiar y proteger. Si bien hay muchos complementos de seguridad de WordPress para elegir, no todos los complementos son efectivos. Algunos pueden ofrecer muchas funciones, pero solo crean mucho ruido. Un pirata informático experimentado puede eludir dichos complementos de seguridad para piratear su sitio web.
MalCare es uno de los mejores complementos de escaneo de seguridad de WordPress que existen. Este es el por qué -
i. Escáner de malware de MalCare
Un escáner de malware de WordPress requiere recursos para ejecutar un escaneo. Muchos escáneres dependen de los recursos de su servidor web, pero esto puede ralentizar la velocidad de su sitio web.
Para superar este desafío, MalCare utiliza sus propios recursos de servidor para ejecutar un análisis de su sitio web. Transfiere los archivos de su sitio web a su propio servidor y luego ejecuta el escaneo allí. Este método asegura que su sitio no se vea afectado durante el proceso de escaneo.
Muchos escáneres solo buscan malware existente, lo que significa que pasan por alto nuevos tipos de malware. MalCare está diseñado para identificar todo tipo de malware, incluidos los nuevos .
ii. Eliminación de malware de MalCare
MalCare ofrece el servicio de eliminación de malware más rápido. La mayoría de los servicios de seguridad de WordPress ofrecen limpieza basada en tickets. En esto, si su sitio web es pirateado, deberá generar un ticket, pagar la tarifa de eliminación de malware y luego esperar a que el personal de seguridad limpie su sitio y se comunique con usted. Este proceso requiere mucho tiempo e implica dar acceso a su sitio a un tercero.
El Limpiador de MalCare funciona de manera diferente. Después de un truco, el tiempo es esencial. Cuanto más tarde, hay más posibilidades de que Google incluya su sitio web en la lista negra o que los servidores web suspendan su sitio. Es por eso que MalCare ofrece una eliminación instantánea de malware de WordPress para limpiar un sitio web de piratas informáticos. Todo lo que necesita hacer es hacer clic en un botón , sentarse y dejar que el complemento limpie su sitio en minutos.
iii. Medidas de protección de WordPress de MalCare
Todas las medidas que mencionamos hasta ahora, desde el uso de Firewall hasta el bloqueo de países y el fortalecimiento de su sitio web, son medidas de protección que MalCare le permite tomar con solo hacer clic en el botón.
¿Cómo usar MalCare?
- Para usar MalCare, primero debe descargar e instalar el complemento en su sitio web.
- Luego agregue su sitio al panel de control de MalCare. El complemento comenzará a escanear su sitio web inmediatamente. Si encuentra algún archivo malicioso en su sitio web, se lo notificará.
- Puede limpiar su sitio inmediatamente usando el botón Auto-Clean de MalCare.
[Volver arriba ↑]
2. Realice copias de seguridad periódicas
Las copias de seguridad son su red de seguridad. Si algo sale mal con su sitio web, puede restaurarlo a la normalidad si tiene una copia de su sitio web.
Hay muchos complementos de copia de seguridad por ahí. Con la abrumadora cantidad de opciones disponibles, puede ser muy fácil terminar con un servicio que no está a la altura. Para seleccionar el servicio de copia de seguridad correcto, deberá saber cómo elegir un complemento de copia de seguridad.
Además, revisar los complementos de respaldo será un asunto costoso y que consumirá mucho tiempo. Afortunadamente, hicimos una comparación entre los principales complementos de respaldo de WordPress en el mercado. Eche un vistazo a los mejores complementos de copia de seguridad de WordPress.
[Volver arriba ↑]
3. Utilice una buena empresa de hosting
Los dos proveedores de alojamiento más populares son el alojamiento compartido y el alojamiento administrado.
El alojamiento compartido es popular porque es menos costoso. Ha permitido a millones de personas en todo el mundo iniciar su propio sitio web sin una gran inversión. Pero en el alojamiento compartido, está compartiendo un servidor con otros sitios web desconocidos. Y, a menudo, cuando un sitio web se ve comprometido, otros sitios web en el mismo servidor se ven afectados. Por lo tanto, aunque los proveedores de alojamiento compartido son populares, están mal equipados para manejar situaciones amenazantes.
Si puede permitirse un servidor dedicado, elíjalo siempre. Hace un mejor trabajo al mantener seguro un sitio web de WordPress. Puede verificar cómo el alojamiento web afecta la seguridad del sitio web.
Dado que hay muchos proveedores de alojamiento para elegir, hicimos una comparación de los mejores alojamientos de WordPress. Con suerte, lo ayudará a tomar una decisión sobre qué proveedor de alojamiento web elegir.
[Volver arriba ↑]
4. Mantenga el sitio web de WordPress actualizado
Como cualquier otro software, los complementos, los temas e incluso el núcleo de WordPress desarrollan vulnerabilidades con el tiempo.
Cuando los desarrolladores se enteran de las vulnerabilidades, lanzan un parche en forma de actualización. Cuando los propietarios de sitios web no actualizan su sitio, las vulnerabilidades permanecen.
Después de lanzar un parche, los desarrolladores anuncian los motivos de la actualización, lo que significa que la vulnerabilidad se anuncia públicamente. Los piratas informáticos ahora conocen la falla de seguridad y en qué versión existe. Son conscientes de que no todos los propietarios de sitios web actualizarán su sitio de inmediato, por lo que comienzan a buscar sitios web que se ejecutan en la versión vulnerable. Este lapso de tiempo les da una buena oportunidad de piratear con éxito una gran cantidad de sitios.
Por ejemplo, las estadísticas muestran que más del 80% de los sitios web fueron pirateados porque no se estaban actualizando.
Debe actualizar su sitio de WordPress regularmente. Aprenda a actualizar su sitio web de WordPress de forma segura.
Puede notar que hay complementos y temas que sus desarrolladores no actualizan en mucho tiempo. En la mayoría de los casos, los desarrolladores abandonan el software. Lo mejor es eliminar el complemento o el tema de su sitio web e instalar uno alternativo.
[Volver arriba ↑]
5. Usa un certificado SSL
Echa un vistazo rápido a la URL de este sitio web.
¿Notas la cerradura? Este bloqueo significa que el sitio está usando un certificado SSL. SSL es una capa de conexión segura que cifra los datos mientras se transfieren entre el navegador y el sitio web.
¿Por qué? Porque los datos (como los detalles de la tarjeta de crédito) que se transfieren desde el navegador de un visitante a su sitio web pueden ser interceptados y robados. Entonces, incluso si los datos son robados, si están encriptados, los piratas informáticos no pueden usarlos.
Aquí hay una guía que lo ayudará a instalar un certificado SSL en su sitio web y mover el sitio de WordPress de HTTP a HTTPS.
[Volver arriba ↑]
6. Proteja su página de inicio de sesión de WordPress
La página de inicio de sesión es una de las partes más atacadas de un sitio de WordPress. Los piratas informáticos intentan adivinar la credencial de inicio de sesión y acceder al área de administración de WordPress, lo que les dará un control total sobre el sitio web. Por lo tanto, es importante implementar la protección adecuada en su página de inicio de sesión de WordPress. Veamos las diferentes técnicas que le permitirán proteger su página de inicio de sesión y aumentar la seguridad de inicio de sesión de WordPress.
i. Usar nombre de usuario único
Si su nombre de usuario es fácil de adivinar, entonces el pirata informático solo necesita averiguar la contraseña. Con una cosa menos de qué preocuparse, hace que el trabajo de un hacker sea mucho más fácil.
Uno de los nombres de usuario de WordPress más comunes es 'admin'. Hasta hace unos años, WordPress animaba a la gente a usar 'admin' como nombre de usuario. Aunque WordPress ya no sugiere automáticamente 'administrador', todavía se usa ampliamente. Por lo tanto, debe tomar medidas para asegurarse de que sus administradores eviten usar "admin" como nombre de usuario junto con estos nombres de usuario de uso común.
Consultar esta lista cada vez que se crea una nueva cuenta de usuario podría ayudar mucho a mantener su WordPress seguro. Además, si alguno de sus usuarios existentes está usando nombres de usuario comunes, dígales que lo cambien. Aquí hay una guía que les resultará útil sobre ¿Cómo cambiar el nombre de usuario de WordPress?
ii. Cambiar su nombre para mostrar
Para infiltrarse en su sitio, los piratas informáticos hojean su sitio web y seleccionan los nombres para mostrar. Usan diferentes combinaciones de esos nombres para intentar iniciar sesión. Los piratas informáticos saben que no es raro tener el mismo nombre de usuario y el mismo nombre para mostrar. Por ejemplo, si Sophia Lawrence es un nombre para mostrar, podrían intentar iniciar sesión con sophialawrence o sophia.lawrence o sophia como nombre de usuario.
Entonces, para proteger su sitio de esto, puede cambiar su nombre para mostrar.
Vaya a 'Editar mi perfil' . Y luego cambie su 'Apodo' . Guarde la actualización. Ahora, seleccione 'Mostrar nombre públicamente como' . Aparece un menú desplegable en el que verá el nuevo nombre para mostrar. Selecciónelo y guarde la configuración.
Los piratas informáticos fracasarán inevitablemente si intentan utilizar el nombre para mostrar.
[Volver arriba ↑]
iii. Evitar el descubrimiento del nombre de usuario
Además del nombre para mostrar, otro método que se puede emplear para descubrir el nombre de usuario de su sitio web es a través de la API Rest de WordPress. Este es un grave problema de seguridad de WordPress. Presentada en 2016, esta característica principal de WordPress permite que cualquier persona descubra la información de los usuarios en su sitio. Todo lo que necesitan hacer es ejecutar una URL simple: ejemplo.com/wp-json/wp/v2/users
Para evitar que esto suceda, use el siguiente fragmento de código en el archivo functions.php. Ocultará la lista de usuarios y le dará un error 500 si intenta ejecutar la URL nuevamente.
[php]
add_filter('rest_endpoints', función( $puntosfinales){
if ( isset( $puntosfinales['/wp/v2/usuarios'] ) ) {
unset( $puntosfinales['/wp/v2/users'] );
}
if ( isset( $puntosfinales['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+) '] ) ) {
unset( $puntos finales['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+)'] );
}
devolver $puntos finales;
});
[/php]
El nombre de usuario es uno de los dos componentes de una credencial de inicio de sesión. Veamos el segundo componente: la contraseña, e intentemos descubrir cómo protegerlo de los piratas informáticos.
[Volver arriba ↑]
IV. Hacer cumplir contraseñas seguras
Cualquier contraseña protegerá mi sitio web, ¿no es suficiente? La respuesta es no porque los piratas informáticos intentan constantemente adivinar las contraseñas de los sitios de WordPress para ingresar.
Utilizan una técnica llamada ataques de fuerza bruta en la que programan bots para realizar millones de intentos de inicio de sesión tratando de adivinar sus credenciales en menos de unos minutos.
Si usa una contraseña fácil como Passw0rd123$ , el bot la descifrará en unos pocos intentos. Por eso es importante tener una contraseña única y compleja.
WordPress alienta a los usuarios a generar automáticamente contraseñas seguras, pero aún puede crear una cuenta con una contraseña débil. Por lo tanto, la responsabilidad de usar contraseñas seguras recae sobre su hombro.
Puede educar a sus administradores de WordPress para que usen contraseñas seguras. Las pautas para establecer una contraseña segura son las siguientes:
– Crear contraseñas largas
En general, las contraseñas que superan los 8-10 caracteres se consideran seguras y, por lo general, difíciles de descifrar. Cada carácter que agregas a tu contraseña la hace más fuerte. Sin embargo, en los últimos años, la tecnología de descifrado de contraseñas ha avanzado significativamente. Por lo tanto, muchos miembros del personal de seguridad de WordPress recomiendan usar frases de contraseña de 15 caracteres de longitud.
- Contraseña larga: pd&&)xG56ZhLNrjl4jjNJ4#h (difícil de recordar)
- Frase de contraseña larga: Su lobo era blanco como si no supieras nada John Snow (fácil de recordar)
– Utilice una combinación de mayúsculas, minúsculas y caracteres especiales
En los ataques de fuerza bruta, los bots están programados para llevar a cabo procedimientos de descifrado de contraseñas. Siguen ciertas instrucciones, por ejemplo, intentarán adivinar la contraseña correcta con una combinación de diferentes letras minúsculas ('a', 'b', 'c', etc.). El uso de una contraseña fácil como 'testpass' significa que pueden descifrar la contraseña después de hacer solo unos pocos intentos.
Por lo tanto, si usa una combinación de caracteres en minúsculas y mayúsculas, les llevará mucho tiempo averiguar la contraseña. Sin embargo, un bot muy bien programado puede probar varios millones de contraseñas por segundo. Por lo tanto, mezclar caracteres especiales, números, letras mayúsculas y minúsculas idealmente debería hacer que la contraseña sea impredecible y difícil de descifrar.
- Agregar mayúsculas – TestPass
- Agregar numeral y símbolo – TestPass123$
– Evite el uso de palabras comunes y detalles conocidos públicamente
Palabras comunes como 'prueba', 'administrador', 'iniciar sesión' son palabras comunes que los usuarios de WordPress tienden a usar. Estas son algunas de las contraseñas que los bots primero prueban, por lo tanto, evite usarlas. Según una infografía de Splashdata, las 25 contraseñas más utilizadas son:
- Deportes e intereses comunes como 'béisbol', 'fútbol' y 'Star Wars', 'Princesa', 'Solo', etc.
- Números en orden como '87654321', '0123456', etc.
- Letras en orden como 'abc123', etc.
Los piratas informáticos que se dirijan a su sitio web pueden obtener detalles de su sitio y probarlos. Por ejemplo, si tiene un sitio web creado en torno a su programa de televisión favorito Game of Thrones, los bots probarán varias combinaciones de la frase para entrar en sus sitios, como 'GoThrones123' o 'gameofthrones123'. Para evitar que esto suceda, diseñe una contraseña que no mencione nada relacionado con el sitio web.
Proteger las contraseñas minimiza las posibilidades de una brecha de seguridad. Pero las contraseñas seguras son difíciles de recordar a menos que tenga algunos trucos bajo la manga.
[Volver arriba ↑]
v. Protección basada en CAPTCHA
Además de usar nombres de usuario únicos y contraseñas seguras, usar CAPTCHA es otra manera perfecta de prevenir ataques de fuerza bruta en su sitio web de WordPress.
Después de una cierta cantidad de intentos de inicio de sesión fallidos, se genera un CAPTCHA para determinar si el usuario es humano o bot. Los CAPTCHA están diseñados para que los bots no los puedan leer. Por lo tanto, frustra los ataques de fuerza bruta porque los bots no pueden acceder a la página de inicio de sesión hasta que resuelvan el CAPTCHA.
Los complementos de seguridad de WordPress como MalCare generan CAPTCHA basado en imágenes que solo puede resolver un usuario humano real.
Diseñados para evitar que los bots piratas informáticos descifren sus credenciales, los CAPTCHA son excelentes.
[Volver arriba ↑]
vi. Implementar la autenticación de dos factores
¿Ha notado cómo los servicios populares como Facebook y Gmail autentican a los usuarios cuando intentan iniciar sesión? Se envía un código al teléfono inteligente asociado a su cuenta que ayuda a validar al usuario. Esto se conoce como autenticación de dos factores.
WordPress no ofrece autenticación de dos factores. Por lo tanto, para implementar esto en su sitio de WordPress, puede seguir esta guía sobre cómo agregar la autenticación de dos factores de WordPress.
[Volver arriba ↑]
[ss_click_to_tweet tweet=”Cientos de sitios web son pirateados todos los días. Tome medidas de precaución hoy y proteja su sitio web de piratas informáticos y bots. ” contenido=”” estilo=”predeterminado”]
7. Configurar un cortafuegos
De las cientos de visitas que recibes en tu web, algunas son maliciosas. Dichos visitantes llegan a su sitio con la intención de encontrar vulnerabilidades que puedan explotar para obtener el control de su sitio.
Un firewall de WordPress verifica cada solicitud de visitante realizada en su sitio web. No importa qué dispositivo esté utilizando el visitante (computadora de escritorio, teléfonos inteligentes, tabletas, computadoras portátiles), cada dispositivo está asociado con una dirección IP. Si la solicitud proviene de una IP sospechosa, el visitante es bloqueado, de lo contrario, se le permitirá ingresar y acceder al sitio. Un buen firewall es su primera línea de defensa contra el tráfico malicioso.
Un complemento de firewall de WordPress como el que ofrece MalCare viene con un firewall avanzado que ofrece una mejor seguridad. No solo verifica las solicitudes de tráfico realizadas en su sitio, también registra el mal tráfico. Es decir, cuando se encuentra con una nueva IP incorrecta, mantiene un registro de eso. Si la IP incorrecta intenta acceder a su sitio web nuevamente, se bloquea de inmediato.
[Volver arriba ↑]
8. Fortalezca su sitio web
Identificamos algunas áreas comunes de un sitio web de WordPress que los piratas informáticos aprovechan. Por ejemplo, podría estar usando sus claves de seguridad para obtener acceso a su sitio web o instalar complementos o temas maliciosos en su sitio web. Para proteger su sitio web de los piratas informáticos, debe tomar medidas para fortalecer su sitio web.
Tenemos una guía que lo ayudará a tomar medidas de fortalecimiento de WordPress.
[Volver arriba ↑]
9. Emplear los principios de los menos privilegiados
WordPress ofrece 6 roles de usuario predeterminados de WordPress: Administrador, Editor, Autor, Colaborador, Suscriptor y Superadministrador. La asignación de estos roles debe hacerse con cuidado. Cada rol viene con su propio conjunto de poderes y responsabilidades. Echemos un vistazo a ellos:
El administrador está en la parte superior de la jerarquía. Tiene control total sobre el sitio web y puede ejecutar las siguientes funciones:
- Crear, editar y eliminar contenido
- Editar complementos y código de temas.
- Administrar todos los complementos y temas
- Crear, modificar y eliminar cuentas de usuario
Los derechos disminuyen a medida que desciende en la jerarquía. El editor no puede realizar cambios importantes, pero puede administrar categorías y enlaces, moderar comentarios, crear, editar y eliminar publicaciones y páginas. El autor, colaborador y suscriptor tienen menos permisos.
La responsabilidad más alta es la de un Administrador, cuyos derechos se deben otorgar a las personas de las que está seguro que no abusarán del poder.
Si el tipo equivocado de personas obtiene acceso de administrador, podrían aprovechar el rol. Pueden instalar complementos y temas falsos, robar sus datos y venderlos por un precio, almacenar archivos y carpetas ilegales, entre otras cosas.
[Volver arriba ↑]
10. Bloqueo de direcciones IP sospechosas
Si tiene un complemento de seguridad de WordPress como MalCare instalado en su sitio web, revise el registro de las direcciones IP que intentaron iniciar sesión sin éxito.
Observe cómo algunos de ellos podrían estar usando nombres de usuario comunes (hablamos de esto en la sección 'Usar nombre de usuario único') como "adm2016". La siguiente imagen es un registro de los intentos de inicio de sesión fallidos realizados en uno de nuestros sitios web.
Para bloquear estas direcciones IP maliciosas, coloque el código en su archivo .htaccess:
[php]
orden permitir, negar
denegar desde 61.134.52.164
permitir de todos
[/php]
Reemplace "61.134.52.164" con la dirección IP que desea prohibir y guarde el archivo.
[Volver arriba ↑]
11. Implementar bloqueo de país
La red mundial brinda a los piratas informáticos acceso a sitios web de todo el mundo. Podrían estar ubicados en Rusia apuntando a un sitio web de Nueva York.
Las estadísticas muestran que los cinco principales países donde se originan los intentos de piratería incluyen China, Estados Unidos, Turquía, Brasil y Rusia.
Si tiene instalado MalCare, es fácil verificar a los usuarios que intentan iniciar sesión en su sitio web. Puedes ver su país de origen.
Si tiene usuarios ubicados solo en los EE. UU., lo más probable es que los intentos de inicio de sesión realizados desde otros países sean maliciosos.
En la imagen de arriba, podemos ver que se han realizado intentos de inicio de sesión desde cuatro países diferentes: Estados Unidos, Reino Unido, Rusia y China.
Ahora, si se dirige solo a países específicos como los EE. UU., no necesita tráfico de otros países, por lo tanto, puede bloquear el Reino Unido, Rusia y China.
Para aprender cómo implementar el bloqueo de países, tome la ayuda de esta guía sobre ¿Cómo bloquear un país en WordPress?
[Volver arriba ↑]
12. Ocultar la versión de WordPress
Otra forma en que un pirata informático puede averiguar si tiene algún archivo con vulnerabilidades conocidas de WordPress es buscar la versión de WordPress que está utilizando. A veces, los propietarios de sitios web se pierden las nuevas actualizaciones de WordPress que dejan su sitio vulnerable.
Los piratas informáticos pueden explotar cualquier vulnerabilidad que pueda haber existido en la versión anterior de la instalación principal de WordPress. Por lo tanto, puede ser útil ocultar la versión de WordPress que está utilizando.
Para hacer esto, debe colocar un código en el archivo function.php.
Paso 1: Inicie sesión en su cuenta de anfitrión. Acceda a cPanel > Administrador de archivos > public_html.
Paso 2: En la carpeta public_html, accede a wp-content y selecciona la carpeta de tu tema activo.
Por ejemplo, si está utilizando el tema predeterminado de WordPress Twenty-Nineteen, seleccione la carpeta que se llama "twenty nineteen".
Tenga en cuenta que 'personalblogily' es el tema que estamos usando actualmente en nuestros sitios web, podría estar usando un tema diferente.
Paso 3: Haga clic derecho en el archivo function.php y seleccione Editar. Aquí, coloque el siguiente código.
[php]
función wpbeginner_remove_version() {
devolver ";
}
add_filter('el_generador', 'wpbeginner_remove_version');
[/php]
Guarde el archivo y esto eliminará el número de versión de WordPress para que no se muestre en ninguna parte de su sitio.
[Volver arriba ↑]
13. Comprueba el registro de actividad
Estar atento a todo lo que sucede en su sitio web de WordPress le permite identificar comportamientos sospechosos en una etapa temprana. Esto lo ayudará a frustrar cualquier posible ataque de pirateo malicioso antes de que suceda y dañe su sitio web de WordPress.
Puede hacer esto instalando un complemento para mantener un registro de todo lo que sucede en su sitio web de WordPress en un registro de actividad de WordPress. Hay varios complementos diferentes entre los que puede elegir. WP Security Audit Log es uno de esos complementos.
14. Use solo la dirección de correo electrónico para iniciar sesión
En la página de inicio de sesión de WordPress, puede usar su nombre de usuario o su ID de correo electrónico para iniciar sesión. Por lo tanto, deshabilitar el uso del nombre de usuario podría disuadir a los piratas informáticos de realizar ataques de fuerza bruta en su sitio web.
Hay complementos como No iniciar sesión por dirección de correo electrónico que le permite evitar el uso de nombres de usuario para iniciar sesión en su sitio web.
[Volver arriba ↑]
15. Utilice la autenticación HTTP
La autenticación HTTP ofrece una capa de protección sobre la página de inicio de sesión de WordPress y es un paso importante hacia la seguridad de WordPress. Para acceder a la página, el usuario debe ingresar las credenciales HTTP. Sin esto, no se les permitirá acceder a la página de inicio de sesión de su sitio.
Complementos como HTTP Auth ayudan a configurar esta capa protectora sobre su página de inicio de sesión. Recuerde compartir las credenciales de autenticación HTTP con sus usuarios. De lo contrario, se encontrarán bloqueados y no podrán iniciar sesión en su sitio.
Con eso, hemos llegado al final de las medidas de seguridad avanzadas para los sitios web de WordPress.
[Volver arriba ↑]
Medidas de seguridad comunes pero obsoletas de WordPress
En el mundo de la seguridad de WordPress, hay muchos consejos que los propietarios de sitios suelen recibir. Pero algunos de estos consejos no son muy efectivos. Vamos a enumerar algunos de los consejos de seguridad comunes que vienen con grandes inconvenientes. Estas medidas realmente no protegen su sitio web, ya que los piratas informáticos han encontrado formas de evitar estas medidas.
- Ocultar página de inicio de sesión de WordPress
- Establecer contraseñas para que caduquen
- Cierre de sesión automático cuando no hay actividad
1. Ocultar la página de inicio de sesión de WordPress
Los piratas informáticos rara vez se dirigen a sitios web individuales. Programan bots automatizados para lanzar ataques en las páginas de inicio de sesión de WordPress. Cualquiera que haya usado WordPress el tiempo suficiente sabe que los sitios web de WordPress vienen con una URL de página de inicio de sesión predeterminada que se ve así: ' example.com/wp-admin' .
Esto facilita mucho el trabajo de los bots automatizados. Por lo tanto, cambiar la página de inicio de sesión de su sitio web a algo como 'example.com/wrongpage' podría desviar un ataque inminente.
Hay varios complementos como WPS Hide Login, Hide WP-Admin, etc. que pueden ayudarlo a ocultar su página de inicio de sesión de WordPress.
Inconveniente: aunque esto puede evitar fácilmente los intentos de piratería automáticos, no garantiza que su sitio web sea seguro. Esto se debe principalmente a que herramientas como WPS Hide Login ofrecen una URL de inicio de sesión predeterminada. Entonces, cientos de miles de sitios web que usan la herramienta están usando la misma URL para su página de inicio de sesión. Los piratas informáticos pueden descubrir fácilmente el formato de URL y lanzar ataques.
Además, ocultar la página de inicio de sesión sin informar adecuadamente a todos los usuarios puede resultar muy inconveniente. Incluso puede costarle un día de trabajo.
[Volver arriba ↑]
2. Establecer contraseñas para caducar
Debes haber notado que en los servicios de banca electrónica te piden que cambies las contraseñas después de que haya transcurrido un período de tiempo específico. Esta es una medida de seguridad que garantiza que si su cuenta es pirateada, el pirata informático solo tiene una ventana limitada para explotar su cuenta. Aplicar la misma medida en sus sitios web de WordPress reduce el daño.
Con el complemento Expire Passwords, puede configurar las contraseñas de los usuarios para que caduquen después de un número específico de días. Todos los usuarios están obligados a actualizar sus contraseñas.
Inconveniente: esta medida proporciona cierto nivel de seguridad, pero los piratas informáticos encuentran formas de superarlo. Por ejemplo, cuando piratean su sitio, crean nuevas cuentas de usuario o instalan puertas traseras ocultas. Entonces, aunque cambie su contraseña regularmente, ya han creado otros puntos de acceso.
[Volver arriba ↑]
3. Cierre de sesión automático cuando no hay actividad
Para sitios web con múltiples usuarios, las posibilidades de abuso de los derechos de los usuarios son altas. Es aún más alto para los usuarios que trabajan de forma remota. Es posible que un usuario tenga que dejar su escritorio para atender asuntos urgentes y olvidarse de cerrar la sesión.
¿Qué pasa si alguien abusa del sitio web durante este tiempo? Para reducir el riesgo de dicho abuso, puede configurar su sitio web de WordPress para cerrar la sesión de los usuarios automáticamente si están inactivos durante un período prolongado.
El complemento de cierre de sesión inactivo ofrece una función de cierre de sesión inactiva. Esto le permite establecer un período de tiempo de inactividad aceptable, como 10 o 20 minutos, después del cual el usuario se desconecta automáticamente.
Inconveniente: Pero lo más probable es que si alguien quiere husmear en su sitio, lo hará inmediatamente después de que el usuario se vaya. En casos como estos, cerrar la sesión de los usuarios inactivos no puede evitar el abuso de los derechos de los usuarios.
[Volver arriba ↑]
[ss_click_to_tweet tweet=”¿Preocupado por la seguridad de su sitio? ???? Tome estos pasos prácticos para proteger su sitio web contra las vulnerabilidades de seguridad”. contenido=”” estilo=”predeterminado”]
Pensamientos finales
Sabemos que fue una lectura muy larga y un poco abrumadora también. Pero antes de que busque tomar una siesta, esto es lo que le sugerimos que haga:
- Marque este artículo.
- Compártalo con amigos y vecinos: cualquiera que crea que se beneficiaría de seguir nuestra guía.
- Consulte más guías como Asegure su sitio de WordPress con wp-config.php de nuestro blog de WordPress.
Esperamos sinceramente que este artículo le haya resultado útil. Queremos dejarlo con un pensamiento final: tomar todas estas medidas de seguridad puede ser muy abrumador, por lo que sugerimos realizar auditorías de seguridad de WordPress con regularidad y optar por un complemento de seguridad premium de WordPress como MalCare que se encargará de la seguridad por usted.
Con MalCare, tendrá acceso a ingeniosas funciones de seguridad como el firewall, escaneos regulares de malware, refuerzo de WordPress y mucho más. Puede estar tranquilo sabiendo que se cuida la seguridad de su sitio.
Pruebe nuestro complemento de seguridad de WordPress: ¡ MalCare ahora mismo!