La única lista de verificación de seguridad de WordPress que necesitará en 2024

WordPress es un sistema de gestión de contenidos (CMS) seguro, pero la forma en que instala y configura su sitio web puede afectar su nivel de seguridad. Si no toma medidas para proteger su sitio, podría terminar enfrentando una violación de datos o perdiendo su contenido.

Para ayudarlo, hemos creado la lista de verificación de seguridad definitiva para WordPress. Esto lo guiará a través de todos los pasos que necesita para proteger su sitio web contra bots y atacantes.

En esta publicación, veremos las funciones de seguridad integradas de WordPress. Luego, le mostraremos 30 cosas que puede hacer para proteger aún más su sitio.

¿WordPress ofrece seguridad integrada?

Sí, WordPress ofrece algunas medidas de seguridad. Su panel de administración está protegido por una página de inicio de sesión que requiere que los usuarios ingresen un nombre de usuario y contraseña válidos.

El CMS también recibe parches y actualizaciones periódicas para eliminar las vulnerabilidades de seguridad. En términos generales, si mantiene actualizado WordPress y sus componentes, se librará de las vulnerabilidades más comunes.

Dicho esto, también hay que considerar el elemento humano. En muchos casos, los sitios de WordPress son pirateados debido a errores humanos, como compartir o reutilizar las credenciales de inicio de sesión. Si un atacante obtiene acceso a una cuenta con un alto nivel de privilegios, puede causar estragos en su sitio web.

Dado que el CMS es una plataforma tan popular, los atacantes escanean la web intentando encontrar sitios de WordPress con vulnerabilidades conocidas. Cuanto más crezca su sitio, mayor será el objetivo que tendrá.

¿Cuál es la forma más sencilla de proteger un sitio de WordPress?

Proteger un sitio web de WordPress requiere que cambie la configuración de su sitio y agregue varias características que dificulten el acceso de los atacantes. Si no tiene tiempo para seguir toda esta lista de verificación de seguridad de WordPress, lo mejor que puede hacer es instalar un sistema de seguridad. enchufar.

Jetpack Security le brinda acceso a varias funciones de seguridad, como escaneo y eliminación automática de malware, protección contra spam y copias de seguridad en tiempo real.

Es importante tener en cuenta que ningún complemento puede proteger su sitio web contra todas las amenazas potenciales que puede enfrentar. Por lo tanto, querrás proteger tu sitio aún más si realmente quieres proteger tus datos y trabajar duro.

Por ejemplo, querrás imponer contraseñas seguras y habilitar la autenticación de dos factores (2FA). Analizaremos más de cerca estas medidas de seguridad (y muchas otras) en nuestra lista de verificación.

Lista de verificación de seguridad de WordPress de 30 pasos

Recuerde que no es necesario trabajar en todas estas medidas de seguridad a la vez. Tachar cada elemento de la lista de verificación puede llevar un tiempo, pero la mayoría de ellos son correcciones que solo es necesario implementar una vez.

Entonces, aquí hay 30 formas en que puede aumentar la seguridad de su sitio.

1. Mantenga WordPress actualizado

Las instalaciones obsoletas de WordPress son quizás la principal causa de violaciones de seguridad. Muchos usuarios se olvidan de actualizar WordPress, junto con los complementos y temas de sus sitios. Este es un problema importante, ya que el software obsoleto tiende a ser el objetivo principal de los atacantes.

Cuanto más antiguo es el software, más tiempo han tenido los atacantes para analizar su código y encontrar lagunas de seguridad. Los desarrolladores monitorean estas amenazas y las solucionan a medida que aparecen. Por lo tanto, querrás ejecutar las actualizaciones tan pronto como se publiquen.

Afortunadamente, WordPress hace que sea fácil estar al tanto de las actualizaciones. En su panel, vaya a Actualizaciones pestaña y verá una descripción general de todo lo disponible.

Si tiene muchas actualizaciones que ejecutar, es importante hacer una copia de seguridad de su sitio web de WordPress antes de continuar. Esto es especialmente importante al actualizar a una versión más nueva de WordPress, ya que a veces puede causar problemas de compatibilidad con complementos y temas.

Querrá consultar su página de actualizaciones diariamente. Alternativamente, puede habilitar las actualizaciones automáticas para sus complementos y temas.

De esta manera, si olvida buscar actualizaciones en su sitio, estas se ejecutarán automáticamente.

2. Cree nombres de usuario y contraseñas seguros

Su sitio web es tan seguro como las credenciales que utiliza para acceder a él. El propio WordPress le permitirá saber si está configurando una contraseña débil al crear una nueva cuenta.

Una contraseña "débil" es cualquier cosa que sea fácil de adivinar. Si sus credenciales son algo así como "administrador" y "1234", es probable que su sitio sea víctima de ataques de fuerza bruta.

Lo ideal es que tu contraseña contenga al menos ocho caracteres y una combinación de letras, números y caracteres especiales. Si tiene varios usuarios en su sitio de WordPress, es posible que desee recordarles que utilicen credenciales seguras y cambien sus contraseñas cada pocos meses.

3. Añade una capa extra de protección con 2FA

La autenticación de dos factores es una medida de seguridad que requiere que utilice una segunda capa de autenticación al iniciar sesión en un sitio. Por ejemplo, algunos sitios web pueden solicitarle que ingrese un código único enviado por correo electrónico o SMS.

El objetivo de 2FA es hacer que sea casi imposible que los atacantes adivinen sus credenciales. Sin acceso a otro dispositivo o cuenta, no podrán iniciar sesión en WordPress.

De forma predeterminada, WordPress no incluye la funcionalidad 2FA, por lo que necesitarás usar un complemento como Jetpack para agregar esta función a tu sitio. Con Jetpack, puedes agregar 2FA (llamada autenticación segura) que funciona con tu cuenta de WordPress.com.

4. Instale un complemento de seguridad confiable

Los potentes complementos de seguridad de WordPress lo ayudarán a tachar varios elementos de esta lista de verificación de seguridad de WordPress. Lo ideal es elegir una única herramienta que ofrezca las siguientes características:

Escaneo de malware

Si su sitio web se infecta, querrá saberlo lo antes posible. Los análisis periódicos de malware le permitirán saber si alguna parte de su sitio web está en riesgo.

Herramientas de eliminación de malware

Si su complemento de seguridad identifica malware, querrá ayuda para eliminarlo. Esto puede implicar eliminar los archivos o reemplazarlos, dependiendo de la parte de su sitio de WordPress que esté infectada.

Copias de seguridad

Hay muchas soluciones de respaldo y complementos independientes para WordPress. Algunas herramientas de seguridad todo en uno incluyen copias de seguridad automáticas, por lo que no necesitarás instalar ningún complemento adicional.

Registros de seguridad

Idealmente, querrás saber todo lo que sucede en tu sitio web. Los registros de seguridad registran eventos en WordPress y le permiten buscarlos para encontrar actividades sospechosas.

Implementación 2FA

Como comentamos anteriormente, 2FA es una herramienta crítica que puede ayudarlo a minimizar el riesgo de violaciones de seguridad debido a credenciales robadas.

Jetpack Security incluye todas esas funciones, por lo que puedes llevar a cabo varios pasos de esta lista de verificación de seguridad con una sola herramienta.

5. Utilice un firewall de aplicaciones web (WAF)

Un WAF es una solución de seguridad que ayuda a proteger aplicaciones y sitios web (incluidos los sitios de WordPress) de ataques mediante el filtrado y el monitoreo del tráfico. Dependiendo del software, debería poder identificar tráfico malicioso utilizando reglas preestablecidas o bases de datos de atacantes conocidos.

Muchos servidores web configuran automáticamente firewalls para sus clientes. También puede utilizar Jetpack Security para agregar un WAF a su sitio web de WordPress.

Jetpack Security le permite configurar WAF para usar sus reglas preestablecidas y bloquear direcciones IP específicas. También puede compartir datos de actividad con Jetpack, lo que ayuda a que WAF sea más efectivo al hacer crecer la base de datos de amenazas conocidas.

6. Escanee WordPress periódicamente en busca de malware y vulnerabilidades.

Escanear su sitio web en busca de malware y vulnerabilidades implica revisar todos sus archivos en busca de modificaciones no autorizadas o códigos maliciosos. Si bien el proceso puede parecer desalentador, existen herramientas que pueden hacerlo por usted.

Jetpack Security utiliza WPScan (la base de datos más grande de vulnerabilidades conocidas de WordPress) para escanear su sitio web.

Si el complemento de WordPress encuentra malware o vulnerabilidades, puede notificarle inmediatamente e incluso ayudarlo a eliminar o reparar los archivos afectados. Esto es mucho más simple que el enfoque manual, que requiere que usted determine qué archivos eliminar y descubra cómo repararlos.

7. Haga una copia de seguridad de su sitio con regularidad o en tiempo real.

Las copias de seguridad son un componente crítico de la seguridad del sitio web. Si alguna vez le sucede algo a su sitio, le permitirán volver a ponerlo en funcionamiento rápidamente.

Depender de su proveedor de alojamiento para las copias de seguridad no es una opción segura, ya que un compromiso de su servidor podría inutilizar tanto su sitio de WordPress como sus copias de seguridad.

En su lugar, necesita una solución de respaldo externa en tiempo real para garantizar que esté protegido las 24 horas del día, los 7 días de la semana y pueda restaurar su sitio en cualquier momento, incluso si está completamente caído.

Jetpack VaultPress Backup hace precisamente esto: guarda su sitio cada vez que realiza un cambio.

El complemento almacena estas copias de seguridad en la nube para evitar saturar el servidor. Utiliza una combinación de copias de seguridad incrementales y diferenciales, por lo que no necesita copiar todo el sitio y la base de datos cada vez que realiza un cambio, lo que hace que el proceso sea mucho más eficiente.

Más allá de los cambios en el sitio web, Jetpack VaultPress Backup guarda nuevos comentarios, pedidos y otras acciones del usuario. Es la principal herramienta de copia de seguridad para las tiendas WooCommerce, ya que guardará los pedidos incluso si tiene que revertir su sitio de WordPress a una versión anterior.

8. Almacene sus copias de seguridad en un servidor separado

Como se mencionó anteriormente, simplemente realizar copias de seguridad no es suficiente. Debe almacenarlos en múltiples ubicaciones seguras fuera del sitio, de modo que si hay una violación de la seguridad digital o un desastre físico en un centro de datos, aún pueda acceder y restaurar los archivos de su sitio. Esta es la misma razón por la que no puede confiar únicamente en las copias de seguridad de su servidor: su sitio y sus copias de seguridad podrían verse comprometidos al mismo tiempo.

Si está utilizando VaultPress Backup, todo esto estará a cargo de usted. Sus copias de seguridad se almacenan en varias ubicaciones en la nube y siempre están accesibles, incluso si su sitio no funciona.

9. Realice un seguimiento de la actividad del usuario

Si tiene acceso a los registros de actividad de su sitio, podrá ver cuando alguien intenta iniciar sesión varias veces y falla, si hay una modificación en un archivo de WordPress, si alguien instala un nuevo complemento y más.

Piense en los registros como el equivalente tecnológico de las grabaciones de seguridad. Espera no tener que usarlos nunca, pero son una característica de seguridad ampliamente utilizada por una razón. WordPress no ofrece esta funcionalidad de forma predeterminada, por lo que deberás buscar un complemento que la ofrezca.

Jetpack Security le permite monitorear todo lo que sucede en su sitio web. Mantiene un registro de actividad que registra quién hace qué, con fechas y horas. Si se encuentra con un problema de seguridad, puede consultar este registro para ver qué lo causó.

También se integra con la funcionalidad VaultPress Backup, por lo que puede restaurar su sitio a un momento específico según lo que encuentre en el registro de actividad.

10. Controlar el acceso y los permisos de los usuarios.

Una de las formas más sencillas de mantener seguro cualquier sistema es limitar quién tiene acceso a él. Si eres la única persona que trabaja en tu sitio, nadie más debería conocer tu información de inicio de sesión de WordPress.

Cuando trabaje con un equipo, es importante que aproveche al máximo el sistema de roles de usuario de WordPress. El CMS ofrece múltiples roles que puede asignar a los usuarios, según los permisos que desee que tengan.

El rol más alto es el de administrador y ese es el único usuario con acceso completo a todas las funciones y configuraciones de WordPress. Otros usuarios de WordPress, como los autores, sólo pueden publicar su propio contenido y no podrán cambiar la configuración del sitio ni acceder a sus ajustes.

A la hora de plantearte qué rol asignar a cada usuario, piensa en los permisos que necesita para realizar sus tareas. En ningún momento un usuario debería tener más permisos de los que necesita. Estas restricciones mantendrán su sitio más seguro.

11. Limite la cantidad de intentos de inicio de sesión permitidos

Los intentos repetidos de iniciar sesión pueden ser una señal de que alguien olvidó sus credenciales. Pero si el número de intentos es mayor que un puñado, probablemente esté tratando con alguien que está intentando ingresar a su sitio web.

Debe limitar los intentos de inicio de sesión permitidos dentro de un período de tiempo específico para detener los ataques automatizados de fuerza bruta. Una vez más, puedes utilizar Jetpack para implementar esta medida de seguridad.

El complemento puede bloquear a los atacantes que intentan utilizar credenciales comunes para ingresar a su sitio web. También puede configurarlo para incluir en la lista permitidas direcciones IP específicas, de modo que solo sus usuarios puedan iniciar sesión en WordPress.

12. Utilice una CDN para ayudar a protegerse contra ataques DDoS

Una red de entrega de contenido (CDN) es un sistema de datos que almacena copias de su sitio web en servidores en diferentes ubicaciones alrededor del mundo, lo que reduce la latencia que puede resultar cuando alguien intenta visitar un sitio alojado en un país lejano. Cuando alguien intenta visitar su sitio de WordPress, la CDN responderá automáticamente a la solicitud de un servidor cercano.

La CDN puede aligerar la carga de sus servidores, ayudarlo a manejar más tráfico, reducir los tiempos de carga y protegerlo contra ataques de denegación de servicio distribuido (DDoS). Dado que los ataques no afectarán directamente a su servidor, este no se verá tan afectado si se ve inundado por el tráfico de bots.

Si usa Jetpack Security, tiene acceso a una CDN de imágenes que puede ayudarlo a almacenar en caché los archivos multimedia para tiempos de carga más rápidos. Además, cambia automáticamente el tamaño de las imágenes y ofrece la mejor opción según el dispositivo individual de cada visitante. También puede considerar integrar otras CDN con WordPress para reducir aún más los tiempos de carga y proteger su sitio de aumentos repentinos de tráfico.

13. Instale un certificado SSL

Un certificado de capa de conexión segura (SSL) es una señal de que se puede confiar en su sitio web. También le permite cargar su sitio a través de HTTPS, que cifra los datos que fluyen hacia y desde su sitio web.

La mayoría de los navegadores indican que los sitios web tienen certificados SSL con un simple icono de candado en la barra de navegación.

Hoy en día, los servidores web más acreditados ofrecen certificados SSL gratuitos y configuración automática para los usuarios. Si su proveedor de alojamiento web no hace esto, puede obtener un certificado gratuito de una fuente como Let's Encrypt.

Una vez que el certificado esté listo, deberá instalarlo y luego habilitar HTTPS. Hay varias formas de forzar la carga de WordPress a través de HTTPS. Really Simple SSL te permite hacer esto con un simple clic.

Protegemos su sitio. Tú diriges tu negocio.

Jetpack Security proporciona seguridad completa y fácil de usar para sitios de WordPress, que incluye copias de seguridad en tiempo real, un firewall de aplicaciones web, escaneo de malware y protección contra spam.

Asegure su sitio

14. Prefiera SFTP a FTP al transferir archivos

El protocolo de transferencia de archivos (FTP) le permite conectarse a su sitio web y cargar, descargar y modificar archivos directamente. El protocolo utiliza un conjunto diferente de credenciales, que su proveedor de alojamiento web debe proporcionarle.

Algunos hosts utilizan una versión actualizada y más segura del protocolo llamada SFTP. Los clientes FTP modernos admiten ambos protocolos y funcionan igual. La principal diferencia es que SFTP cifra los datos que envía y recibe del servidor (muy parecido a HTTPS).

Si su proveedor de alojamiento web le permite utilizar FTP y SFTP, utilice este último de forma predeterminada. En caso de que su proveedor de alojamiento web solo admita FTP, es posible que desee considerar cambiar a un proveedor que ofrezca mejores funciones de seguridad.

15. Mantén actualizada tu versión de PHP

WordPress se basa en PHP y la versión que utilice juega un papel importante en la velocidad del sitio. Las versiones más recientes de PHP incluyen correcciones de seguridad que pueden ayudar a que su sitio web funcione más rápido y evitar vulnerabilidades.

Puede ver qué versión de PHP utiliza su servidor navegando a Estado del sitio → Información y abriendo el servidor pestaña.

Compare esa información con la última versión de PHP y vea si su servidor web está utilizando la última versión. Algunos servidores web pueden permitirle cambiar entre versiones de PHP. Si el suyo no es así, podría ser el momento de considerar cambiar a un nuevo host de WordPress.

16. Eliminar temas y complementos de WordPress inactivos

Es una buena regla general desactivar y eliminar cualquier complemento o tema de WordPress que ya no utilices. Esto puede disminuir las posibilidades de que se produzcan problemas de compatibilidad o vulnerabilidades.

Eliminar temas y complementos inactivos mantendrá su sitio web más seguro y organizado. Querrá revisar sus complementos activos periódicamente y tomar nota de los que ya no utiliza.

17. Evalúe cuidadosamente los nuevos complementos y temas.

Antes de instalar cualquier complemento o tema en su sitio web, es importante asegurarse de que provenga de desarrolladores acreditados y que tenga un buen historial. Puede hacerlo consultando sus calificaciones y reseñas.

Lo mismo ocurre con los temas de WordPress. La mayoría de los repositorios de temas y complementos le mostrarán un historial de actualizaciones. Un complemento o tema de buena reputación tendrá actualizaciones periódicas, lo que significa que los desarrolladores están trabajando activamente en él.

Desea evitar los complementos y temas de WordPress que ya no reciben actualizaciones. No importa cuán útiles puedan ser, pueden generar vulnerabilidades en su sitio web ya que el código está desactualizado.

18. Invierta en un proveedor de hosting seguro

No todos los proveedores de hosting ofrecen el mismo nivel de servicio, rendimiento y funciones. Algunos son mejores que otros y eso no significa necesariamente que sean más caros.

Elegir un proveedor de alojamiento de WordPress sólido y seguro es una decisión crucial, ya que normalmente estará vinculado a él durante un largo período de tiempo. Es importante que lea tantas reseñas como sea posible e investigue antes de comprometerse con cualquier servicio.

Si necesita ayuda, puede consultar esta lista de hosts recomendados por Jetpack, algunos de los cuales incluyen funciones clave de Jetpack como parte de los servicios de hosting administrados de WordPress.

19. Cambiar el administrador predeterminado nombre de usuario

Cuando configuras WordPress, creará el nombre de usuario de administrador de forma predeterminada. Esto facilita recordar sus credenciales, pero también facilita que los atacantes adivinen sus datos.

Si su cuenta de administrador de WordPress ya está configurada, tiene dos opciones para cambiar el nombre de usuario de administrador predeterminado:

1. Cree una nueva cuenta de administrador. Puede crear una nueva cuenta de administrador con cualquier nombre de usuario que desee y luego cambiar a ella. Una vez que lo hagas, puedes eliminar la cuenta anterior y continuar usando la nueva.
2. Cambie el nombre de usuario usando phpMyAdmin. Si desea conservar la cuenta existente, puede modificar el nombre de usuario a través de la base de datos.

Ningún nombre de usuario debería ser fácil de adivinar, especialmente cuando se trata de la cuenta de administrador. Si alguien obtiene acceso a él, podrá realizar los cambios que desee en su sitio web.

20. Cambiar el prefijo de base de datos predeterminado

El prefijo de base de datos predeterminado en WordPress es wp_ . Eso significa que si un atacante conoce el nombre de la base de datos, también puede adivinar el prefijo y usar esa información para intentar consultarla.

Puede minimizar ese riesgo cambiando el prefijo predeterminado de la base de datos a cualquier otro que no sea wp_ . Este es un proceso de dos pasos. El primer paso es cambiar el prefijo de la base de datos en el archivo wp-config.php , que debería tener una línea similar a esta:

 $table_prefix = 'wp_';

Después de realizar el cambio en wp-config.php , necesitarás actualizar las tablas en la base de datos con el nuevo prefijo. Puedes hacer esto usando phpMyAdmin y ejecutando múltiples consultas similares a esta:

 RENAME table `wp_options` TO `wp_a1b2c3d4_options`;

Puede usar esa estructura de consulta y cambiar lo que viene después del "TO" para hacer coincidir el nombre de la tabla con el prefijo actualizado. Tenga en cuenta que deberá ejecutar esa consulta para cada tabla de la base de datos y, hasta que lo haga, su sitio no funcionará correctamente.

21. Cambie las URL predeterminadas /wp-admin y /wp-login.php

Las URL /wp-admin y /wp-login.php le permiten acceder al panel y a la página de inicio de sesión en WordPress. Estas URL son fáciles de recordar, pero hacen que su sitio sea más vulnerable. Si alguien quiere ingresar a su sitio web, a menudo comenzará con la URL de inicio de sesión predeterminada de WordPress.

Puede hacerles la vida más difícil a los atacantes cambiando esas URL predeterminadas. Hay complementos que le permiten hacer esto, como WPS Hide Login. Alternativamente, puede cambiar las URL de inicio de sesión a través del archivo .htaccess si prefiere un enfoque manual.

22. Limite el acceso a wp-admin solo a direcciones IP autorizadas

La URL /wp-admin abre el panel de WordPress. Técnicamente, nadie debería tener acceso al panel sin las credenciales adecuadas. Puede llevar la seguridad un paso más allá limitando el acceso solo a las direcciones IP incluidas en la lista permitida.

Esa no es una característica que ofrece WordPress. Para implementarlo, deberá agregar el siguiente código al archivo .htaccess :

 <Directory /root/wp-admin/> Order Deny,Allow Deny from all Allow from xxx.xxx.xxx.xxx </Directory>

xxx.xxx.xxx.xxx representa la dirección IP que desea incluir en la lista de permitidos. Tenga en cuenta que puede agregar varias IP copiando esa línea e ingresando las diferentes direcciones.

También deberá modificar la ruta del directorio para que coincida con la ubicación del directorio raíz en el servidor. Después de guardar el archivo, cualquier dirección IP que no esté en la lista verá un error si intenta acceder al panel.

23. Limite el acceso FTP solo a direcciones IP autorizadas

Puede limitar el acceso FTP/SFTP a su sitio web restringiendo quién tiene acceso a las credenciales correspondientes. Algunos paneles de control de hosting también le permiten limitar el acceso FTP por dirección IP.

Esto es ideal si tiene una dirección IP estática, ya que evitará que cualquier otra persona se conecte al sitio web y acceda a sus archivos a través de FTP, incluso con las credenciales correctas. Sin una IP estática, esta configuración puede limitar incluso su propio acceso al sitio.

Tenga en cuenta que sólo unas pocas personas seleccionadas deberían poder conectarse al sitio web mediante FTP. Si está trabajando con otras personas y ellas no tienen ningún motivo para acceder o editar archivos principales directamente, no deberían tener acceso a sus credenciales FTP.

24. Asegure su archivo wp-config.php

El archivo wp-config.php contiene información crítica sobre su sitio web, incluidos detalles sobre la base de datos. De forma predeterminada, el archivo se encuentra en el directorio raíz de WordPress.

La forma más sencilla de proteger el archivo es moverlo directamente fuera del directorio raíz . Si WordPress no puede encontrar wp-config.php donde suele estar, lo buscará en un directorio encima de su ubicación habitual.

Otra opción es configurar los permisos del archivo para restringir el acceso a cualquier persona además del administrador (ese es usted). Para hacer esto, necesitará comprender cómo funcionan los permisos de archivos en sistemas basados ​​en UNIX y cambiar la configuración del archivo mediante SFTP.

25. Deshabilite la edición de archivos para bloquear cambios maliciosos

Sólo el administrador debe tener permiso para acceder y modificar los archivos principales de WordPress. Normalmente, podrá acceder a la función de edición de archivos desde el panel. Esto significa que puede editar directamente archivos principales, de complementos y de temas sin salir del administrador de WordPress.

Dependiendo del nivel de permisos que tengan los usuarios, es posible que puedan acceder al editor de archivos. La mejor manera de evitar esto es deshabilitar la edición de archivos por completo.

Para implementar esta medida de seguridad, abra el archivo wp-config.php y agregue la siguiente línea de código antes del final:

 define('DISALLOW_FILE_EDIT', true);

Guarde los cambios en el archivo y ciérrelo. Tenga en cuenta que aún podrá editar archivos, pero necesitará usar SFTP para hacerlo, que es una opción mejor (y más segura) que usar el editor de archivos de WordPress.

26. Deshabilitar la ejecución de archivos PHP

Deshabilitar la ejecución de archivos PHP en directorios específicos de su sitio web de WordPress es una medida de seguridad que ayuda a evitar la ejecución de scripts maliciosos. Si un atacante logra cargar un script PHP en su sitio web, es posible que pueda ejecutarlo para obtener acceso no autorizado, manipular datos o distribuir malware.

Puede deshabilitar la ejecución de archivos PHP en directorios específicos conectándose a WordPress a través de FTP y navegando a la carpeta raíz . Dentro, puedes seleccionar qué directorios deseas proteger y crear nuevos archivos .htaccess dentro de cada uno de ellos.

Aquí está el código que necesita agregar a esos archivos:

 <Files *.php> Order Allow,Deny Deny from all </Files>

Tenga en cuenta que deshabilitar la ejecución de PHP en el nivel del directorio raíz podría afectar la funcionalidad de WordPress. Después de todo, todo el CMS está construido sobre PHP. Eso significa que es mejor desactivarlo para carpetas individuales como el directorio de archivos multimedia.

27. Desactivar el informe de errores de PHP

Mostrar errores públicamente puede exponer vulnerabilidades potenciales en su sitio web de WordPress a los atacantes. Los mensajes de error de PHP pueden incluir información confidencial como rutas de archivos, detalles de la estructura de la base de datos u otros datos que pueden usarse para explotar su sitio web.

WordPress le permite deshabilitar el informe de errores de PHP cambiando el archivo wp-config.php . Puede agregar el siguiente código al archivo para deshabilitar el modo de depuración de WordPress y ocultar errores en la interfaz:

 // Turn off all error reporting error_reporting(0); // Disable display of errors and warnings define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); // Hide errors from being displayed in the browser @ini_set('display_errors', 0);

Agregue ese código antes del final del archivo wp-config.php y asegúrese de tener una copia de seguridad reciente de su sitio de WordPress antes de guardarlo. Tenga en cuenta que los informes de errores a veces pueden resultar útiles para solucionar problemas, por lo que es posible que deba volver a habilitar esta función en algún momento.

28. Deshabilite la navegación por directorios en su sitio web

La exploración de directorios es una función que permite a los visitantes acceder a URL como yourwebsite.com/wp-content y ver el contenido de ese directorio. Si la exploración de directorios está habilitada, los usuarios podrán ver listas de carpetas y archivos internos e incluso acceder a ellos según sus permisos.

Desde el punto de vista de la seguridad, tiene sentido desactivar la exploración de directorios. Muchos servidores web de WordPress hacen esto de forma predeterminada. Si el tuyo no lo hace, puedes desactivar la exploración de directorios agregando el siguiente código a tu archivo .htaccess :

 Options -Indexes

Este es un cambio simple, por lo que no debería llevar mucho tiempo implementarlo. Luego, si los usuarios intentan visitar un directorio, verán un simple mensaje de error.

29. Oculta tu versión de WordPress

De forma predeterminada, la versión actual de WordPress que estás utilizando aparece en tu código fuente. Si alguien sabe qué versión de WordPress estás usando (y es una desactualizada), puede buscar vulnerabilidades específicas para esa versión, lo que facilitará la vulneración de tu sitio web.

Para ocultar su versión de WordPress, puede agregar este código a su archivo funciones.php :

 function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');

30. Evite CAPTCHA para protegerse contra spam

CAPTCHA es una solución decente para proteger sitios web y formularios contra el spam, pero no está exenta de problemas.

El uso de CAPTCHA en su sitio web agrega una capa de complicación que puede molestar y rechazar a visitantes legítimos e incluso ser imposible de resolver, especialmente para aquellos con discapacidades.

Los recientes desarrollos en los vectores de ataque también han hecho que los CAPTCHA sean menos efectivos. Si le preocupa prevenir el spam (que puede provocar una violación de la seguridad) pero también desea maximizar las tasas de conversión a través de una experiencia de usuario óptima, es hora de considerar alternativas.

Akismet es una solución de protección contra spam todo en uno para WordPress que funciona completamente en segundo plano. El complemento de WordPress le ayuda a bloquear el spam utilizando su base de datos de actores maliciosos conocidos e identificando y bloqueando palabras y URL específicas de los comentarios en su sitio. Hace todo eso automáticamente, sin que los visitantes tengan que usar CAPTCHA para verificar si son humanos.

Preguntas frecuentes sobre la seguridad de WordPress

Si todavía tienes preguntas sobre cómo proteger tu sitio web de WordPress, esta sección las responderá.

¿Cuáles son los beneficios de tener una lista de verificación de seguridad de WordPress?

Tener acceso a una lista de verificación de seguridad de WordPress lo ayudará a determinar qué medidas ha tomado para proteger su sitio y qué queda por hacer. La lista de verificación es un recurso simple al que puede consultar en cualquier momento para ver qué medidas de seguridad puede implementar en WordPress.

¿Cuál es la forma más rápida de mejorar la seguridad de mi WordPress?

La forma más rápida de proteger su sitio web de WordPress es mediante el uso de complementos de seguridad de WordPress. Dependiendo del complemento que utilices, tendrás acceso a funciones como 2FA, registros de actividad, herramientas de respaldo y escaneo de malware. Jetpack Security incluye todas esas características.

¿Cómo puedo escanear mi sitio de WordPress en busca de malware y vulnerabilidades?

Puede utilizar un complemento como Jetpack Security para escanear su sitio de WordPress en busca de malware. Esta herramienta también resaltará cualquier vulnerabilidad potencial en su sitio web. Luego, podrá tomar las medidas necesarias para eliminar estos problemas.

Si no necesita un complemento de seguridad completo de WordPress, también puede realizar un escaneo de malware a través de un complemento de WordPress independiente como Jetpack Protect.

¿Cuál es la forma más confiable de realizar una copia de seguridad y restaurar mi sitio de WordPress?

Su mejor opción es utilizar una solución automatizada, para que no necesite crear copias de seguridad manualmente. El complemento también debería guardar copias en una solución de almacenamiento externa para evitar problemas si su servidor se ve comprometido.

El complemento Jetpack VaultPress Backup ofrece copias de seguridad en tiempo real. También realiza copias seguras de su sitio de WordPress en la nube. También puede acceder a VaultPress Backup junto con una serie de otras funciones como parte de Jetpack Security.

Jetpack Security: el complemento de seguridad número uno para WordPress

Jetpack Security ofrece una colección de funciones de seguridad que protegerán su sitio web de WordPress. Con este complemento, puedes tachar varios elementos de la lista de verificación de seguridad de WordPress.

Por ejemplo, obtiene acceso a una solución de respaldo, escaneo de malware y eliminación con un solo clic, protección contra spam, registros de actividad, autenticación de dos factores y más. Esto convierte a Jetpack en una de las herramientas de seguridad más completas que puede utilizar para WordPress.

¿Estás listo para aumentar la seguridad de tu sitio? ¡Empiece hoy mismo con la seguridad de Jetpack!