Las 28 mejores prácticas y consejos de seguridad de WordPress
Publicado: 2024-01-05WordPress es un potente sistema de gestión de contenidos (CMS), pero su popularidad significa la misma atención como objetivo entre los piratas informáticos. Sin las medidas de seguridad necesarias, su sitio puede ser vulnerable a ataques.
Afortunadamente, hay varias cosas que puedes hacer para mantener tu sitio seguro. Esto abarca desde tareas simples como actualizar complementos y realizar copias de seguridad hasta estrategias más complicadas, como migrar a un proveedor de hosting con medidas de seguridad más estrictas.
En este artículo, lo guiaremos a través de 28 mejores prácticas de seguridad de WordPress para ayudarlo a garantizar que su sitio esté protegido.
1. Mantenga actualizados WordPress, complementos y temas.
El software obsoleto representa una gran amenaza para los sitios web. Cuando un complemento o tema no se ha actualizado en meses o años, los piratas informáticos habrán tenido más tiempo para buscar vulnerabilidades en el software y encontrar una manera de acceder a los sitios que lo utilizan.
En pocas palabras: si está utilizando una versión anterior de WordPress, su sitio es vulnerable a ataques. Esto también se aplica a cualquier complemento o tema de su sitio web.
Es importante tener en cuenta que WordPress es asombrosamente popular. Impulsa alrededor del 43 por ciento de todos los sitios web conocidos. Eso significa que un solo complemento con un problema de seguridad puede generar cientos o miles de sitios con puertas abiertas para los ciberdelincuentes.
La forma más sencilla de protegerse contra estas vulnerabilidades es mantener actualizado WordPress y todos sus componentes. Esto puede ser tan simple como consultar el panel todos los días para ver qué actualizaciones están disponibles y ejecutarlas.
En el caso de los complementos, puede configurarlos para que se actualicen automáticamente uno por uno. Para hacer esto, vaya a Complementos → Complementos instalados y haga clic en Habilitar actualizaciones automáticas para los complementos que desea actualizar automáticamente.
2. Cambie el nombre de usuario predeterminado "admin"
Uno de los mayores errores de seguridad que pueden cometer los usuarios de WordPress es elegir un nombre de usuario como "admin" o "administrador". Esos son los nombres de usuario predeterminados que WordPress establece para usted, y mantenerlos en su lugar facilita que los atacantes entren por la fuerza.
Muchos piratas informáticos intentan ingresar a un sitio web probando tantas combinaciones de nombres de usuario y contraseñas como sea posible. A esto se le llama ataque de fuerza bruta. Si alguien ya conoce su nombre de usuario, significa que solo tiene que adivinar un factor de inicio de sesión.
WordPress no le permite cambiar el nombre de usuario de la cuenta de administrador una vez que lo configura. Para realizar un cambio, deberá crear una nueva cuenta, asignarle la función de usuario Administrador y eliminar la anterior.
Puede hacerlo yendo a Usuarios → Agregar nuevo . Luego, ingrese los detalles de la cuenta, incluido un nombre de usuario que sea difícil de adivinar, y elija Administrador en el menú Función .
La próxima vez que cree un sitio web de WordPress, deberá configurar el nombre de usuario del administrador en algo diferente. Este simple cambio hará que sea mucho más difícil para los atacantes acceder a la cuenta.
3. Utilice contraseñas seguras y cámbielas periódicamente
Si utiliza una contraseña sencilla como “1234” o tiene la misma para todas las cuentas, es sólo cuestión de tiempo hasta que alguien obtenga acceso a su sitio.
Si bien existen formas de recuperar el acceso a cuentas robadas, el proceso puede resultar arduo. Además, un pirata informático podría causar un daño irreparable a su contenido y reputación.
Cuando crea una nueva cuenta en WordPress, el CMS generará una contraseña segura para usted. Suele ser una combinación de letras, números y caracteres especiales.
Puede utilizar esta contraseña o cambiarla por una más fácil de recordar (conservando una combinación de letras y números).
Incluso podrías utilizar un administrador de credenciales si tienes problemas para recordarlo. Los administradores de contraseñas pueden ayudarlo a generar contraseñas seguras para todas sus cuentas y mantenerlas seguras.
Para mayor seguridad, querrás cambiar tus contraseñas periódicamente. De esta manera, si hay una fuga de credenciales, tu cuenta estará segura.
4. Implementar la autenticación de dos factores (2FA)
Como muchos otros sitios web, WordPress requiere un nombre de usuario y una contraseña para iniciar sesión. Esto significa que la seguridad del inicio de sesión depende en gran medida de qué tan seguras sean sus credenciales.
Incluso con la contraseña más segura, existe la posibilidad de que alguien obtenga acceso a su cuenta o a otras personas en su sitio. Una forma eficaz de evitar esta infracción es utilizar la autenticación de dos factores (2FA).
Cuando habilita 2FA, su sitio requerirá un método adicional de verificación para que los usuarios inicien sesión. Normalmente, se trata de un código de un solo uso enviado por SMS, correo electrónico o una aplicación de autenticación.
Dado que los piratas informáticos no tienen acceso a su dispositivo móvil ni a sus correos electrónicos, no podrán iniciar sesión en su cuenta. Algunos sitios web ofrecen la opción de utilizar 2FA, mientras que otros la imponen.
Si usa Jetpack, puede permitir que los usuarios inicien sesión con sus cuentas de WordPress.com. También existe una opción para utilizar la funcionalidad 2FA de WordPress.com.
Puede encontrar estas configuraciones navegando a Jetpack → Configuración y ubicando la sección de inicio de sesión de WordPress.com . Luego, simplemente active el interruptor correspondiente.
5. Utilice cifrado HTTPS a través de un certificado SSL
Un certificado de capa de conexión segura (SSL) permite que su sitio web se cargue a través de HTTPS, que es la versión segura de HTTP. El certificado verifica que su sitio web es genuino y que la comunicación entre el navegador y el servidor está cifrada.
Puede obtener un certificado SSL de forma gratuita de varias autoridades, como Let's Encrypt. Muchos servidores web de WordPress configurarán automáticamente un certificado SSL para su sitio web. Otros servidores web le permitirán configurar un certificado manualmente a través de cPanel.
6. Instale un complemento de seguridad confiable
Los complementos de seguridad de WordPress suelen venir con una colección de funciones y herramientas que le ayudan a proteger su sitio web. Estos suelen incluir:
- Protección contra el spam
- Protección contra ataques de denegación de servicio (DDoS)
- Un firewall de aplicaciones web (WAF)
- Escaneo y limpieza de malware
- Copias de seguridad automáticas
Puede encontrar complementos individuales de WordPress que realizan cada una de esas tareas por separado. Pero si opta por una herramienta de seguridad integral, podrá administrar múltiples funciones desde el mismo lugar, lo que puede facilitar su trabajo.
De hecho, utilizar el complemento adecuado puede ayudarle a marcar varios elementos de esta lista de las mejores prácticas de seguridad de WordPress. Jetpack Security incluye todas las funciones que acabamos de mencionar y muchas otras.
7. Haga una copia de seguridad de su sitio web periódicamente
Podría decirse que hacer una copia de seguridad de sus datos con regularidad es lo más importante que puede hacer para mantenerlos seguros. Cuando se trata de sitios web, una copia de seguridad completa puede salvar la vida en caso de una violación o mal funcionamiento de la seguridad.
Si su sitio es pirateado o deja de funcionar correctamente, la forma más sencilla de resolver el problema podría ser restaurar una copia de seguridad reciente. Cuanto más reciente sea la copia de seguridad, es menos probable que pierda información crítica.
Una vez que el sitio vuelva a funcionar correctamente, podrá tomar las medidas necesarias para protegerlo de nuevos ataques.
Hay muchas opciones de copia de seguridad para WordPress. Algunos servidores web ofrecen copias de seguridad automáticas como parte de su plan de alojamiento (normalmente si se trata de un servicio administrado). Sin embargo, es mejor no depender únicamente de estas copias de seguridad. Si su servidor está comprometido (por un error de codificación, un error de host o un hackeo), las copias de seguridad también pueden estarlo.
Una mejor opción es utilizar un complemento que almacene copias de seguridad fuera del sitio. Jetpack VaultPress Backup es una de esas opciones. La herramienta está disponible como complemento individual y como parte del paquete Jetpack Security mencionado anteriormente. Realiza una copia de seguridad de su sitio automáticamente cada vez que realiza un cambio.
Estas copias de seguridad en tiempo real son ideales si constantemente agregas contenido nuevo a tu sitio web. Significa que siempre tendrás una copia de la última versión. Además, las copias de seguridad se almacenan fuera del sitio, por lo que siempre tendrá acceso a ellas, incluso si su sitio está completamente caído.
8. Utilice un firewall de aplicaciones web (WAF)
Un WAF es un tipo de firewall diseñado para filtrar el tráfico hacia y desde un sitio web. Utiliza reglas para filtrar tipos específicos de tráfico y puede bloquear direcciones IP maliciosas conocidas.
Los WAF están diseñados para ayudarlo a detener tipos comunes de ataques cibernéticos, incluidas las inyecciones SQL, secuencias de comandos entre sitios (XSS) y falsificaciones de solicitudes entre sitios (CSRF). Son capaces de hacer esto gracias a sus complejos sistemas de reglas.
Cuanto más completas sean las reglas del cortafuegos, más eficaz será. Muchos complementos de seguridad (incluido Jetpack Security) cuentan con WAF sofisticados con conjuntos de reglas diseñados a partir de años de experiencia en el manejo de ataques de WordPress.
Aunque puede instalar y configurar un WAF manualmente, lo mejor que puede hacer es utilizar un servidor web o un complemento de seguridad que lo configure por usted. De esta manera, puede aprovechar su base de datos de amenazas existente y simplemente activar el firewall.
9. Escanee periódicamente en busca de malware
Escanear su sitio web en busca de malware implica el uso de una herramienta de terceros o un complemento de seguridad. Este software revisa los archivos, complementos y temas de su sitio en busca de infecciones de malware. Si detecta algo mal, le informará dónde está el problema.
¿Recuerdas cuando solías ejecutar análisis antivirus en tu computadora y tomaba una eternidad? Ahora, la mayoría del software antivirus simplemente se ejecuta en segundo plano y sólo te molesta si hay algún problema. Los análisis de malware con Jetpack Security funcionan con la misma fluidez.
Y, a diferencia de otras herramientas que solo le dicen que hay un problema, si Jetpack encuentra algo, generalmente le brindará soluciones para solucionar el problema, a menudo con un solo clic.
Si toma medidas para proteger su sitio, las infecciones de malware deberían ser extremadamente raras. Aun así, nunca está de más tener configurados análisis automáticos de malware en caso de que sufra un exploit de día cero o algún otro tipo de ataque que sea difícil de detener.
10. Bloquear formularios y comentarios spam
Cualquier sitio de WordPress con formularios o secciones de comentarios abiertos puede encontrar spam. Esto puede variar desde competidores que publican enlaces a sus sitios hasta atacantes que comparten URL maliciosas o intentan utilizar scripts para obtener acceso no autorizado.
La solución sencilla a este problema es moderar los comentarios en su sitio. Pero a medida que su sitio crece, filtrar comentarios no deseados puede convertirse en un trabajo de tiempo completo. No es raro tener miles de mensajes esperando moderación.
Podría intentar utilizar un CAPTCHA para detener los envíos de spam de robots, pero inevitablemente molestará a algunos usuarios y disminuirá la participación legítima y las conversiones que su sitio necesita para prosperar.
La mejor opción es utilizar Akismet. Esta herramienta funciona completamente en segundo plano para detener el envío de spam en comentarios y formularios, de modo que ni siquiera te des cuenta de lo que está sucediendo. Los usuarios legítimos pueden continuar sin la necesidad de resolver un acertijo, responder un acertijo o incluso hacer clic en una casilla.
Todo esto sucede con un 98% de precisión.
Akismet también es personalizable, para eliminar inmediatamente ciertos comentarios y conservar otros para que usted pueda revisarlos, aprobarlos o rechazarlos manualmente.
Puede obtener Akismet como su propio complemento, pero si está comprometido a mejorar su seguridad general y su experiencia de usuario con la menor cantidad de esfuerzo (y gasto), también puede obtenerlo como parte del plan Jetpack Security.
11. Implemente permisos de archivos seguros mediante FTP
Cada archivo y carpeta en un sistema basado en UNIX tiene un conjunto de permisos. Estos permisos están representados por conjuntos de tres números. Por ejemplo, "777" significa que cada usuario tiene permisos completos de escritura, lectura y ejecución para un archivo o directorio.
El primero de los tres números representa quién es el propietario del archivo o directorio. El segundo número representa las cuentas de un grupo de propietarios y el tercero para todos los demás usuarios.
En el ejemplo anterior, cada siete significa que cada uno de esos tipos de usuarios tiene permisos de lectura (cuatro), escritura (2) y ejecución (1). Si sumas esos valores obtienes un siete.
Los permisos de archivo que asigne a los archivos y directorios de WordPress determinarán quién puede acceder a ellos, leerlos y editarlos. Los permisos de archivos recomendados para WordPress son 755 para directorios y 644 para archivos.
Para configurar estos permisos, deberá conectarse a su sitio web a través de una herramienta de protocolo de transferencia de archivos (FTP) como FileZilla. Puede obtener sus credenciales FTP desde su cuenta de hosting.
Una vez que se conecte a su sitio, navegue hasta el directorio raíz (generalmente tiene la etiqueta public_html ). Dentro de esta carpeta, puede seleccionar cualquier subdirectorio o archivo que desee, hacer clic derecho sobre él y elegir la opción que dice Permisos de archivo .
Aparecerá una nueva ventana donde podrá configurar el permiso para el archivo o directorio que seleccionó a través del campo Valor numérico .
Si cambia los permisos de los directorios, también verá una opción que dice Recurrir a subdirectorios . Esto le permitirá establecer los mismos permisos para todos los subdirectorios o archivos.
Tenga en cuenta que existen algunas excepciones a la regla cuando se trata de permisos óptimos para archivos de WordPress. Uno de ellos es el archivo wp-config.php , que analizaremos en la siguiente sección.
12. Asegure su archivo wp-config.php
El archivo wp-config.php incluye información crítica sobre su sitio web y su base de datos. Es uno de los archivos centrales de WordPress más importantes, lo que significa que debes tomar medidas adicionales para protegerlo.
En términos de permisos, es mejor configurar wp-config.php en 400 o 440. Si recuerdas el desglose de la sección anterior, sabrás que esos valores de permisos se traducen en:
- 400: Sólo el propietario puede leer el archivo.
- 440: Solo el propietario y los usuarios del grupo del propietario pueden leer el archivo.
Esto elimina por completo los permisos de escritura de wp-config.php . Esta suele ser una opción segura, ya que impide que alguien pueda modificar la configuración del archivo.
Otra forma de proteger wp-config.php es mover un nivel por encima del directorio raíz. WordPress buscará el archivo en un directorio hacia arriba si no puede encontrarlo en la ubicación predeterminada.
Eso significa que WordPress seguirá funcionando normalmente, pero los atacantes podrían dejarse engañar por el hecho de que no pueden encontrar el archivo.
13. Deshabilite la edición de archivos en su archivo wp-config.php
WordPress ofrece varias opciones para editar archivos. Uno de ellos es utilizar los editores de archivos de temas y complementos, que están disponibles en el panel de control.
Estos editores de archivos le permiten realizar cambios en el código de su sitio sin tener que conectarse a través de FTP. La desventaja de este enfoque es que si un pirata informático obtiene acceso a una cuenta que tiene permiso para utilizar estos editores, puede causar estragos en su sitio web.
Por lo tanto, es posible que desees considerar deshabilitar la edición de archivos en WordPress. Puede hacer esto abriendo el archivo wp-config.php y agregándole la siguiente línea de código:
define('DISALLOW_FILE_EDIT', true);
Tenga en cuenta que algunos temas y complementos desactivarán automáticamente la edición de archivos. Si no ve los editores de archivos o temas en el panel, es probable que esté utilizando una de estas herramientas.
14. Restrinja la exploración de directorios en su archivo .htaccess
Si la exploración de directorios está habilitada, puede visitar yourwebsite.com/content/ . En lugar de recibir un error 403 prohibido, verá una lista de los subdirectorios y archivos dentro de esa carpeta.
Deshabilitar la exploración de directorios es imprescindible si desea proteger su sitio. Si alguien puede ver el contenido de las carpetas de su sitio, puede obtener mucha información, como qué tema y complementos utiliza. También podrán navegar por archivos multimedia sin restricciones, lo cual es terrible desde el punto de vista de la privacidad.
La mayoría de los servidores web de WordPress desactivan la navegación por directorios de forma predeterminada. Si el suyo no ofrece esta función, puede habilitarla usted mismo editando el archivo .htaccess en el directorio raíz .
Para hacer esto, abra el archivo y agregue la siguiente línea de código:
Options -Indexes
Guarde los cambios y cierre el archivo. Ahora, si intentas navegar a un directorio a través de un navegador, recibirás un error que indica que no tienes acceso a él.
15. Restringir el acceso al directorio wp-admin
wp-admin es la ubicación predeterminada para el directorio de WordPress. Si visita la página de inicio de su sitio web y agrega /wp-admin al final de la URL, accederá al panel de WordPress (después de pasar por la página de inicio de sesión).
Esta estructura es estándar para los sitios web de WordPress. Esto facilita la búsqueda y el acceso al panel, tanto para usted como para los atacantes.
Una forma de proteger al administrador de WordPress es asegurarlo con una contraseña. De esta manera, los usuarios deberán ingresar una contraseña diferente después de ingresar a la página de inicio de sesión.
Si su servidor web usa cPanel, puede agregar una contraseña al directorio wp-admin usando la Privacidad del directorio herramienta.
Una vez que esté dentro de esta herramienta, navegue por las carpetas hasta encontrar el directorio wp-admin . Haga clic en EDITAR al lado y, en la página siguiente, marque la opción que dice Proteger con contraseña este directorio .
Ahora la herramienta de privacidad del directorio le pedirá que establezca una contraseña para wp-admin . Después de guardar la contraseña, intente acceder al panel de WordPress. Debería aparecer una ventana emergente de contraseña directamente en el navegador.
16. Oculta tu URL de inicio de sesión de wp-admin
Otra forma de proteger al administrador de WordPress es cambiar la URL que conduce a la página de inicio de sesión. Si combina esta estrategia con la protección adicional con contraseña cubierta en la sección anterior, ningún atacante debería poder ingresar al panel de control de su sitio.
Puedes cambiar la URL de inicio de sesión de wp manualmente, pero usar un complemento puede simplificar el proceso. WPS Hide Login es una herramienta sencilla que le permite configurar una nueva URL de inicio de sesión sin necesidad de editar ningún código de su sitio.
Una vez que instale el complemento, vaya a Configuración → WPS Ocultar inicio de sesión y busque la sección que dice URL de inicio de sesión. Utilice el campo junto a esa opción y reemplace la URL de inicio de sesión predeterminada por una personalizada.
Es posible que desee utilizar una combinación aleatoria de letras y números. Esto hará que a los atacantes les resulte más difícil adivinar. Sólo asegúrese de marcar la nueva página de inicio de sesión como favorita o establecer una URL que pueda recordar.
17. Limite los intentos de inicio de sesión
Como se mencionó anteriormente, los atacantes pueden obtener acceso a su sitio probando múltiples combinaciones de nombres de usuario y contraseñas. Establecer contraseñas seguras puede ser una forma eficaz de bloquear sus intentos, pero hay otra cosa que puedes hacer para detener los ataques de fuerza bruta.
Esto implica limitar la cantidad de intentos de inicio de sesión que los usuarios pueden realizar en un período de tiempo específico. Esta limitación no afectará a los usuarios habituales, pero debería ser suficiente para frustrar ataques de fuerza bruta que utilicen bots. Al limitar la velocidad a la que pueden probar nuevas credenciales, puede minimizar las posibilidades de que tengan éxito.
Hay muchas herramientas que puedes utilizar para limitar los intentos de inicio de sesión en WordPress. Si usa Jetpack, tiene acceso a su función de protección de fuerza bruta. Esto limita automáticamente los intentos de inicio de sesión que Jetpack identifica como maliciosos.
Jetpack también puede ayudarle a incluir direcciones IP en la lista blanca, para que no sean bloqueadas por la herramienta de protección de fuerza bruta. Puede usar esto para su dirección IP y las de sus compañeros de trabajo para evitar banderas falsas.
18. Cerrar sesión automáticamente para los usuarios inactivos
Muchos sitios web cerrarán la sesión de su cuenta después de un período de tiempo determinado. Esta es una medida de seguridad diseñada para evitar que otras personas se apropien de su sesión si obtienen acceso a su computadora.
Puede que esto no sea un problema dependiendo de dónde inicies sesión, pero sigue siendo una medida de seguridad que vale la pena implementar. Esto se aplica particularmente si hay otras personas que tienen acceso al panel de control de su sitio.
WordPress no cierra la sesión de los usuarios automáticamente. Para agregar esta funcionalidad, necesitará utilizar un complemento como Cierre de sesión inactivo.
Una vez que instale el complemento, vaya a Configuración → Cierre de sesión inactivo → Configuración general . Busque la opción Tiempo de espera de inactividad y establezca el valor del temporizador que desee, en minutos.
Ahora, los usuarios cerrarán sesión automáticamente si están inactivos durante ese período de tiempo. El complemento también le permite configurar un mensaje que les informe por qué se cierra su sesión, para que no se confundan cuando regresen.
19. Cambie el prefijo predeterminado de la base de datos de WordPress
Cada base de datos de WordPress tiene un nombre. De forma predeterminada, ese nombre es wp_something, y "algo" reemplaza el nombre real de la base de datos.
Lo realmente importante aquí es el prefijo. De forma predeterminada, WordPress usa el prefijo wp_ , lo que significa que los atacantes pueden adivinar fácilmente el nombre completo de la base de datos.
Simplemente cambiar el prefijo puede hacer que la tarea sea mucho más difícil para los atacantes. Desafortunadamente, no es tan sencillo cambiar el prefijo de la base de datos de WordPress.
Este proceso requiere que edite ambos archivos principales y realice cambios en la propia base de datos. Entonces, antes de hacer cualquier otra cosa, deberá realizar una copia de seguridad completa del sitio web, que incluye todos los archivos y la base de datos. De esa manera, si algo sale mal, podrás restaurar la copia de seguridad.
Para comenzar, acceda al sitio web a través de FTP y vaya al archivo wp-config.php . Abra el archivo y busque esta línea dentro:
$table_prefix = 'wp_';
Puedes continuar y reemplazar el prefijo "wp_" con otra cosa, como "newprefix_". Pero eso es sólo un ejemplo. Querrás elegir algo que sea difícil de adivinar.
Ahora, guarde el archivo y acceda a la base de datos usando phpMyAdmin. Seleccione la base de datos de WordPress de la lista de la izquierda y haga clic en SQL en el menú en la parte superior de la pantalla encima de la lista de tablas.
Esto abrirá una página donde puede ejecutar comandos SQL que afectan la base de datos. Lo que debe hacer ahora es reemplazar los prefijos de tabla existentes para todas las tablas de la base de datos. De forma predeterminada, eso significa las siguientes tablas:
- opciones_wp
- wp_postmeta
- wp_posts
- wp_term_relaciones
- wp_term_taxonomy
- términos_wp
- wp_commentmeta
- wp_comentarios
- enlaces_wp
Tenga en cuenta que algunos complementos también pueden agregar nuevas tablas a la base de datos. También deberás actualizar los prefijos de estas tablas.
Para cada tabla, deberá ejecutar el siguiente comando SQL:
RENAME table wp_xxxx TO newname_xxxx;
Los marcadores de posición "xxxx" representan el nombre de cada tabla después del guión bajo. Del mismo modo, deberás cambiar el prefijo newname_ por el que estableciste anteriormente al modificar wp-config.php .
Repita este proceso según sea necesario para cada tabla de la base de datos. Cuando esté listo, puede regresar al panel.
Cambiar el prefijo de la base de datos puede dañar cualquier complemento y tema activo en su sitio. Estas herramientas no reconocerán la base de datos actualizada hasta que las desactive y reactive.
Por lo tanto, deberá revisar cada complemento y tema de su sitio y seguir ese proceso. Cuando haya terminado, verifique su sitio para asegurarse de que todo esté funcionando como debería.
20. Oculta tu versión de WordPress
En el pasado, WordPress solía mostrar la versión del software que utilizaba un sitio en el pie de página. La idea era que esta información podría ser útil para solucionar problemas y sería mucho más fácil de encontrar si estuviera disponible para los visitantes del front-end.
El problema con ese enfoque es que mostrar el número de versión significa que los atacantes pueden buscar vulnerabilidades específicas de esa versión. Esto proporciona a los actores malintencionados mucha información que pueden utilizar para llevar a cabo un ataque a su sitio web.
Además, esta característica no tiene ningún beneficio práctico para usted. Después de todo, siempre puedes comprobar la versión de WordPress de tu sitio desde el panel de control.
Las versiones más nuevas de WordPress ya no muestran esa información en la interfaz. Si puede ver el número de versión en el pie de página, significa que su sitio web está atrasado en una actualización de WordPress.
21. Mantenga actualizada su versión de PHP
Como probablemente sepa, WordPress se basa principalmente en PHP. Se basa en este lenguaje de programación para realizar la mayoría de las tareas administrativas.
PHP también es un software. Esto significa que recibe actualizaciones periódicas con nuevas características y funciones y un rendimiento mejorado.
WordPress requiere que su servidor ejecute PHP versión 7.4 o superior. Hay versiones más recientes de PHP y cada una de ellas ofrece actualizaciones de rendimiento y seguridad al software. Esas actualizaciones también se trasladan al propio WordPress.
Los servidores web más acreditados actualizan PHP en sus servidores a medida que aparecen nuevas versiones. Algunos proveedores incluso le permiten cambiar entre versiones manualmente (lo que puede ser necesario para solucionar errores en su sitio de WordPress).
Puede comprobar qué versión de PHP ejecuta su sitio navegando a Configuración → Estado del sitio → Información → Servidor en su panel de WordPress. Aquí verá una descripción general de la configuración de su servidor, incluida la versión de PHP que utiliza.
Si esa versión está desactualizada, es posible que desee comunicarse con su proveedor de alojamiento web. Es posible que puedan actualizar PHP por usted. Aun así, esto es algo que no deberías Debes hacer si estás utilizando un proveedor de alojamiento de buena reputación, ya que ellos se encargarán de ello por ti.
22. Desactivar el informe de errores de PHP
WordPress viene con una herramienta de depuración que permite al CMS registrar errores de PHP. Puede utilizar estos informes de errores para solucionar problemas técnicos en su sitio web.
Desafortunadamente, estos informes también pueden generar problemas de seguridad. Si los atacantes obtienen acceso a los registros de errores de PHP, pueden obtener mucha información sobre cómo funciona su sitio. Es posible que puedan ver qué complementos están activos en su sitio (si muestran errores), así como archivos importantes en su sitio con problemas de PHP.
A menos que esté solucionando activamente un error en WordPress, no necesita habilitar el informe de errores de PHP. Si lo está utilizando para diagnosticar un problema, querrá desactivar el modo de depuración de WordPress tan pronto como obtenga la información que necesita.
Para deshabilitar el informe de errores de PHP es necesario modificar el archivo wp-config.php , que se encuentra en la raíz de WordPress. directorio. Puede acceder al directorio a través de FTP, como se mostró anteriormente.
Luego, abra el archivo wp-config.php y agregue la siguiente línea de código:
define ( 'WP_DEBUG', true );
cambiar lo verdadero valor a falso y guarde el archivo. Esto deshabilitará los registros de errores en WordPress.
Puede volver a activarlos en cualquier momento según sea necesario. Sólo necesitarás volver a cambiar el valor a verdadero .
23. Elimina complementos y temas innecesarios
Los complementos y temas son los que hacen de WordPress una plataforma tan versátil. Agregan nuevas funciones a su sitio y le permiten personalizar su diseño.
El problema es que algunas personas instalan docenas de complementos y temas, pero solo usan algunos de ellos. Por ejemplo, puedes probar muchos temas diferentes antes de decidirte por tu favorito, pero nunca desinstalar el resto.
Cada complemento activo en su sitio web presenta un riesgo de seguridad. Normalmente, este riesgo es mínimo para los complementos que reciben actualizaciones periódicas y cuentan con un equipo de desarrollo acreditado detrás. Para los complementos obsoletos o aquellos que ya no reciben actualizaciones, ese riesgo aumenta drásticamente.
Lo mismo se aplica a los temas. Tener temas que no utiliza en su sitio puede generar vulnerabilidades.
Si no estás utilizando activamente un tema o complemento específico, la opción más segura es desinstalarlo (no simplemente desactivarlo). Esto sólo lleva unos minutos, pero puede marcar una gran diferencia en la seguridad de su sitio. Además, si cambia de opinión, siempre puede reinstalar un complemento o tema eliminado.
Sin embargo, aquí hay una excepción. Es posible que desee mantener instalado un tema predeterminado como Twenty Twenty-Three , pero inactivo, para solucionar problemas.
24. Eliminar cuentas de usuario innecesarias
Como regla general, nadie debería tener acceso a su sitio web a menos que sea absolutamente necesario. Si necesita darle acceso a alguien (para publicar contenido, realizar mantenimiento o actualizar el sitio), querrá asegurarse de no asignarle una función de usuario con más permisos de los que necesita.
Una vez que una persona ya no necesita acceder al sitio web, puede continuar y eliminar su cuenta. Esto evitará que modifiquen el sitio web sin su aprobación.
Estas cuentas de usuario suponen otro riesgo. Algunas personas pueden reutilizar las credenciales de sus cuentas personales para iniciar sesión en su sitio web. Si estas credenciales se filtran en una violación de seguridad, los atacantes podrán utilizarlas para obtener acceso a su sitio web.
Eliminar cuentas de usuario en WordPress es sencillo. Para hacer esto, vaya a Usuarios → Todos los usuarios y seleccione una cuenta. Una vez que identifiques la cuenta que deseas eliminar, coloca el cursor sobre ella y haz clic en Eliminar .
Tenga en cuenta que esta opción solo aparecerá si usted es el administrador. Siempre que nadie más tenga acceso a la cuenta de administrador, usted debe ser la única persona con la capacidad de eliminar cuentas de usuario.
25. Monitorear la actividad del usuario
Si ejecuta un sitio web de WordPress donde otras personas tienen acceso al panel para publicar contenido, realizar cambios en el sitio y actualizarlo, es probable que tarde o temprano encuentre problemas de seguridad. Por ejemplo, a alguien le pueden robar sus credenciales o instalar un complemento que introduce un riesgo de seguridad para el sitio.
Por este motivo, es una buena idea que el administrador esté atento a lo que hacen los demás cuando utilizan el sitio.
Los registros de actividad son herramientas que monitorean eventos específicos y toman nota de cuándo suceden. Puede acceder a ese registro y ver quién hizo qué y cuándo. Esto le permite detectar eventos y acciones que pueden afectar negativamente la seguridad de su sitio.
Esta función no está disponible en WordPress de forma predeterminada, pero puedes agregarla con un complemento. Jetpack Security incluye un registro de actividad que almacena datos de los últimos 30 días.
El registro está alojado fuera del sitio. Por lo tanto, si pierde el acceso al sitio, puede consultar el registro para ver qué sucedió antes de restaurar una copia de seguridad reciente.
26. Utilice una CDN para reducir el riesgo de un ataque DDoS
Las redes de entrega de contenido (CDN) pueden ayudarlo a reducir drásticamente los tiempos de carga. Lo hacen almacenando en caché su sitio web utilizando una red de centros de datos distribuidos por todo el mundo. Cuando alguien visita el sitio, la CDN intercepta la solicitud y carga una copia desde el servidor más cercano.
El uso de una CDN ofrece una serie de beneficios más allá de reducir los tiempos de carga. Por ejemplo, hay menos tensión en su servidor, lo que significa que su sitio web estará mejor posicionado para manejar grandes picos de tráfico. Además, una CDN puede actuar como barrera en caso de un ataque.
Si su sitio web es el objetivo de un ataque DDoS, la CDN puede cerrarlo rápidamente. Muchas CDN pueden pedir a los visitantes que verifiquen si son humanos si la red detecta algo extraño con la conexión. Dado que los ataques DDoS dependen de bots, a menudo no pueden eludir este tipo de controles de seguridad.
Incluso si el ataque DDoS logra llegar a la CDN, sus centros de datos están diseñados para gestionar afluencias masivas de tráfico. Mientras tanto, su sitio web estará protegido por la CDN.
Puedes integrar cualquier CDN que quieras con WordPress. Jetpack CDN es muy fácil de configurar. Puede habilitarlo de forma gratuita en el complemento Jetpack y la CDN comenzará a almacenar en caché los archivos multimedia de su sitio web.
27. Migrar a un proveedor de hosting centrado en la seguridad
Cada proveedor de alojamiento web tiene su propio punto de venta. Por ejemplo, algunos proveedores de alojamiento se centran más en la seguridad y el rendimiento, mientras que otros dan prioridad a los precios asequibles.
Lo ideal es elegir un proveedor de alojamiento web que prometa rendimiento y seguridad de primer nivel (y que no cobre una tarifa injusta por ello). Hay muchos servidores web que cumplen con estos criterios y manejan tareas de seguridad esenciales por usted. Esas tareas pueden incluir:
- Copias de seguridad
- Configurar un WAF
- Protegiéndote de ataques DDoS
- Escaneo y limpieza de malware
Si desea dedicar más tiempo y energía a ejecutar su sitio web y menos a protegerlo contra ataques, querrá elegir un host que valore la seguridad. Para comenzar, es posible que desees obtener una lista de hosts de WordPress recomendados.
Los servidores web que ofrecen planes de alojamiento administrado tienden a ofrecer más en términos de seguridad. Por supuesto, estos servicios serán un poco más importantes que los planes no administrados, pero pueden ayudarlo a tranquilizar su mente.
28. Considere una solución de seguridad empresarial
Si ejecuta un sitio web de nivel empresarial, sus medidas de seguridad deben ir más allá de la actualización de complementos y hacer copias de seguridad. Necesitará una solución de seguridad que proporcione protección de extremo a extremo para su sitio web.
WPSCAN tiene la base de datos más grande de vulnerabilidades de seguridad de WordPress en el mercado.
WPSCAN ofrece una solución de seguridad centrada en la empresa. Esto se puede adaptar a las necesidades de su empresa y al tipo de sitio web que tiene. Puede comunicarse con WPSCAN directamente para obtener una evaluación de la seguridad de su sitio y solicitar una cotización.
Preguntas frecuentes
Esta lista de consejos de seguridad de WordPress ha cubierto las medidas más importantes para proteger su sitio. Si aún tiene alguna pregunta sobre cómo mejorar la seguridad de su sitio web, esta sección tendrá como objetivo responderlas.
¿Qué amenazas comunes pueden ser mitigadas por estas mejores prácticas de seguridad de WordPress?
Esta guía cubre todo, desde medidas de protección básicas hasta prácticas de seguridad más avanzadas. Si se toma el tiempo para implementar todas las medidas descritas en este artículo, su sitio web debe estar protegido contra las amenazas más comunes. Estos incluyen ataques de fuerza bruta, robo de datos y malware.
El objetivo final de estas medidas es garantizar que ningún actor malicioso pueda acceder a su sitio y causar daños. También pueden evitar errores de usuarios inexpertos, como instalar un complemento malo.
¿Cuál es la forma más fácil de mejorar la seguridad de WordPress?
Si no tiene tiempo para implementar todas las medidas en esta guía, lo mejor que puede hacer es configurar un complemento de seguridad de WordPress. Estas herramientas habilitarán automáticamente una innumerable características que ayuden a proteger su sitio web.
Jetpack Security es una solución todo en uno que automatiza muchas tareas esenciales. Realiza copias de seguridad en tiempo real, establece un firewall, escanea y proporciona soluciones rápidas para el malware, protege su sitio contra el spam y más. También le proporciona acceso a registros de actividades, por lo que puede identificar cualquier acción en su sitio que pueda haber causado un problema de seguridad (y quién los realizó).
¿Cuál es el mejor complemento de seguridad para WordPress?
Hay muchos complementos de seguridad de WordPress para elegir, pero Jetpack Security es una de las soluciones más completas del mercado. Maneja la mayoría de las prácticas de seguridad discutidas en esta publicación, incluyendo copias de seguridad, escaneo y eliminación de malware, y protección de spam.
¿Cómo hago una copia de seguridad de mi sitio de WordPress y dónde debo almacenar las copias de seguridad?
Hay varias formas de hacer una copia de seguridad de un sitio web de WordPress. Puede hacer una copia de seguridad de todos los archivos y la base de datos manualmente, usar un complemento que lo haga por usted o suscribirse a un plan de alojamiento que incluya algunas copias de seguridad limitadas.
En la mayoría de los casos, no desea almacenar copias de seguridad localmente o en una sola ubicación. Es por eso que no se recomienda generalmente confiar en alojamiento de copias de seguridad solo. Las copias de seguridad de la nube tienden a ser más seguras, ya que la mayoría de los proveedores almacenan múltiples copias en aras de la redundancia.
Jetpack Security incluye copias de seguridad en la nube en tiempo real. Todo se almacena fuera del sitio, y se realiza una nueva copia de seguridad cada vez que realiza un cambio en su sitio web.
¿Con qué frecuencia debo actualizar mi sitio de WordPress?
Idealmente, debe actualizar WordPress y sus componentes tan pronto como haya actualizaciones disponibles. El uso de la última versión de cualquier software aumentará la seguridad y el rendimiento de su sitio. Además, le proporciona acceso a las últimas funciones.
Muchas actualizaciones se centran en parchear las vulnerabilidades de seguridad. Idealmente, querrá consultar a su sitio para obtener actualizaciones diariamente. Incluso puede habilitar las actualizaciones automáticas para complementos. Todo esto y más es posible con Jetpack Security, el mejor complemento de seguridad y copia de seguridad en tiempo real.
¿Con qué frecuencia debo escanear mi sitio de WordPress para el malware?
Si puede, debe escanear su sitio web en busca de malware diariamente. Dado que esta es una tarea tan crítica, tiene sentido automatizarla. De esa manera, su complemento de seguridad o escáner de malware seguirá buscando vulnerabilidades incluso si no está disponible.
La seguridad de JetPack incluye escaneo automatizado de malware. El complemento escanea su sitio periódicamente y le notifica si encuentra algo sospechoso.
Seguridad de Jetpack: protección y copias de seguridad de WordPress las 24 horas
Proteger un sitio web de WordPress puede ser mucho trabajo. Deberá realizar copias de seguridad regulares, realizar actualizaciones, escanear su sitio para el malware y más. Además, querrá asegurarse de que cualquier persona con acceso a su sitio esté utilizando nombres de usuario y contraseñas fuertes.
Una solución todo en uno como JetPack Security puede manejar la mayoría de estas tareas por usted. Obtendrá copias de seguridad y escaneos automatizados, protección contra spam, un poderoso firewall y más. Todo lo que necesita hacer es instalar el complemento y habilitar estas funciones.
¿Está listo para aumentar la seguridad de su sitio? ¡Comience hoy con Jetpack Security!