Cómo proteger su sitio web de WordPress - 9 consejos | JustLearnWP.com
Publicado: 2020-01-13No se puede decir que WordPress es el CMS más popular del mundo y cuenta con aproximadamente la mitad de la cuota de mercado en todo el mundo. No es una sorpresa dado que ha existido por mucho tiempo, además tiene muchas características excelentes que a los desarrolladores les encantan.
Dicho esto, su popularidad también significa que es un objetivo de los atacantes cibernéticos que se aprovechan de los sitios de WordPress que no están bien protegidos. Entonces, ¡no seas la próxima víctima de los ataques dirigidos a WordPress! Entonces, qué hacer para protegerse de los piratas informáticos. ¡No te preocupes! Hemos recopilado algunos pasos clave que debe seguir para reforzar su seguridad de WordPress.
Usar SSL
SSL significa Secure Socket Layer y es un protocolo que implementa seguridad cliente-servidor en sitios web y protege los datos entre el servidor y los navegadores. Puede habilitar la seguridad SSL instalando lo que se conoce como un certificado SSL. De esta manera, podrá protegerse a usted y a sus usuarios, especialmente si su sitio maneja datos confidenciales como información de tarjetas de crédito y similares.
Let's Encrypt ofrece certificados SSL gratuitos.
Hay muchos tipos de certificados SSL que puede comprar según su sitio web de WordPress. Por ejemplo, puede comprar un SSL multidominio que asegure el dominio principal de su sitio junto con otros dominios y subdominios debajo de él. La conclusión es que necesita comprar el SSL correcto para su sitio web de WordPress.
Tema de enfoque y seguridad del complemento
Una de las formas más fáciles en que un atacante puede infiltrarse en su sitio de WordPress es mediante el uso de temas y complementos. Hay características que amamos con la arquitectura de WordPress y, lamentablemente, algunos de los temas geniales y los complementos de WordPress no son gratuitos.
Algunos desarrolladores deshonestos a menudo piratean esos temas y complementos que brindan acceso gratuito a la comunidad. ¿Me parece un buen trato? Puede que no lo sea.
La mayoría de las versiones pirateadas pueden ser un riesgo potencial para su sitio web de WordPress. No es obvio que los desarrolladores deshonestos aplicarán ingeniería inversa a estos productos y ciertamente no puede confiar en que solo querrán dárselo gratis sin ocultar algún código malicioso allí.
En general, debe tener cuidado con los complementos y temas, ya sean gratuitos o de pago. Aquí hay algunos consejos de seguridad para tener en cuenta cuando se trata de complementos y temas de WordPress:
- Instale solo temas y complementos de fuentes confiables (cuantas más reseñas tengan, mejor)
- Actualice sus temas y complementos cada vez que se publiquen nuevas versiones
- Desactivar y desinstalar complementos y temas obsoletos
Proteja sus contraseñas de WordPress
La seguridad de la contraseña es otro aspecto de la seguridad de WordPress que a menudo se ignora. A menudo son pasos simples como cambiar sus contraseñas con frecuencia, usar contraseñas largas difíciles de adivinar, etc.
De hecho, un tipo común de ataque utilizado contra los sitios web de WordPress es lo que se conoce como ataque de fuerza bruta. Aquí es donde un atacante intenta adivinar sus contraseñas de inicio de sesión y definitivamente será más fácil si sus contraseñas son fáciles de descifrar.
- Establezca contraseñas que caducan para aplicaciones confidenciales como la banca
- Establecer sesiones para los usuarios de su sitio de WordPress
- Agregar una capa de autenticación
Agregar capas de autenticación es otra forma de reducir las posibilidades de que los piratas informáticos accedan a su sitio a través de ataques como la fuerza bruta. En otras palabras, no desea que alguien obtenga acceso a su sitio simplemente descifrando sus contraseñas y ¡eso es todo!
Puede agregar otra capa de desafío para hacerlo aún más difícil. Un buen ejemplo es lo que se conoce como autenticación de dos factores (2FA), donde puede agregar algo como una verificación por SMS además de la combinación normal de nombre de usuario/correo electrónico y contraseña.
Cambia tu página de inicio de sesión de WordPress
Otra forma de reducir los ataques de fuerza bruta y los ataques como Denegación de servicio (DOS) es cambiar las páginas de inicio de sesión de WordPress de las predeterminadas, lo que dificulta que los piratas informáticos intenten atacar su sitio.
HideMyWP es un complemento de seguridad muy poderoso y popular que ofrece muchas funciones para proteger su sitio de WordPress.
Cambiar su página de inicio de sesión de WordPress es bastante fácil. Simplemente encuentre un complemento que personalice la URL de inicio de sesión, instálelo en su WordPress y estará listo para comenzar.
Filtre el tráfico a su sitio de WordPress
También puede proteger su sitio web de WordPress filtrando el tráfico, especialmente aquellos que parecen sospechosos. Por ejemplo, puede bloquear el tráfico de ubicaciones de las que no espera visitantes.
Puede limitar las direcciones IP que pueden acceder a sus páginas de inicio de sesión y panel de control de WordPress. Nuevamente, hay muchas herramientas que pueden ayudar a crear tales reglas y restricciones, como usar complementos de firewall, usar el desafío CAPTCHA, etc.
Asegure sus archivos y base de datos de WordPress
Un host de terceros ayudará a proteger su sitio a nivel de alojamiento, pero aún tendrá trabajo en su sitio para proteger sus archivos de WordPress. Por ejemplo, debe asegurarse de que los permisos de los archivos sean correctos para evitar una brecha de seguridad. Aquí hay otras formas de proteger sus archivos y bases de datos de WordPress:
- Cambiar el prefijo de la base de datos del predeterminado
- Deshabilite la ejecución de archivos PHP para evitar que se ejecute código malicioso en el backend,
- Deshabilitar la exploración de directorios
- Ocultar archivos wp-config.php y .htaccess
Asignar privilegios de usuario adecuados
A cada usuario de su equipo se le deben asignar privilegios en función de sus funciones. De esta manera, solo previene vulnerabilidades dirigidas a sus usuarios de WordPress. Los privilegios de WordPress de alto nivel solo deben asignarse a los usuarios que pueden asumir y proteger esa responsabilidad.
Copia de seguridad de su sitio de WordPress
Finalmente, haga una copia de seguridad de su sitio regularmente para asegurarse de tener un punto de recuperación en caso de que surja una situación no deseada. Hay complementos de respaldo de terceros, alojamiento web, servicio de mantenimiento de sitios web y formas manuales que lo ayudarán a realizar copias de seguridad de forma regular.
JetPack es uno de los mejores complementos para respaldar y proteger su sitio web, ofrece muchas funciones y Backup es una de ellas. Instale Jetpack y use las funciones de copia de seguridad.
Un desastre puede afectar su sitio web en cualquier momento, ya que un tiempo de inactividad puede traducirse en una pérdida comercial, razón por la cual debe realizar copias de seguridad frecuentes. Es aconsejable programar preferiblemente copias de seguridad automáticas para que sea más fácil para usted.
Pensamientos finales
Hemos cubierto algunos de los pasos básicos de seguridad que debe seguir para proteger su sitio de WordPress y, por lo tanto, proteger su negocio. Definitivamente no hay todo, pero debería ayudarlo a poner las cosas en marcha en términos de seguridad de WordPress.