Saltar al contenido
Closer Marketing

14 consejos profesionales para proteger su sitio de WordPress

¿Quiere mejorar la seguridad de su sitio de WordPress?

Aquí, voy a compartir todos los consejos y estrategias que aprendí mientras ejecutaba el galardonado blog de WordPress.

Solo dejarte saber

Recientemente, WordPress se ha convertido en un objetivo para los piratas informáticos. Muchos usuarios preguntan: «¿Es seguro WordPress?»

Esta es mi respuesta:

Sí, WordPress es seguro.

Sin embargo, cuando usamos diferentes complementos, temas y, a veces, alojamiento, se siguen las peores prácticas de seguridad, lo que hace que nuestro sitio de WordPress sea vulnerable a diferentes tipos de ataques y ataques de piratas informáticos.

Realidad: Aproximadamente el 33% de los sitios web en todo el mundo funcionan con WordPress, lo que no solo la convierte en la plataforma CMS más popular, sino también más vulnerable a los ataques de piratas informáticos. Si es nuevo aquí, consulte la Guía de inicio de WordPress.

Como usuario final, hay algunos pasos que puede seguir para mantener seguro su blog de WordPress.

Lea también: Los mejores complementos de seguridad de WordPress (se abrirán en una nueva pestaña)

Mi sitio fue pirateado Casi 2 veces Algunos piratas informáticos árabes y turcos en el pasado (al menos eso es lo que afirman). Se infiltraron en mi sitio web, dejando un feo fondo negro con imágenes GIF de calaveras y cuervos. Esto me hizo descubrir cómo reforzar la seguridad de WordPress.

He adquirido muchas habilidades durante estos 10 años que voy a compartir con ustedes hoy para que no tengan que enfrentar el problema de que los sitios de WordPress caigan en manos de los piratas informáticos.

Si WordPress es seguro, ¿por qué es tan importante la seguridad de WordPress?

Como mencioné anteriormente, WordPress es seguro de forma predeterminada, pero si lo aloja en un servidor inseguro o agrega código nuevo en forma de temas y complementos, sus posibilidades de ser pirateado aumentan.

Se ha agregado esta página de manual de refuerzo de WordPress

«Las vulnerabilidades que más afectan a los propietarios de sitios de WordPress se relacionan con partes extensibles de la plataforma, especialmente complementos y temas. Estos son los vectores de ataque número uno utilizados por los ciberdelincuentes para ingresar y abusar de los sitios de WordPress.

Estas vulnerabilidades generalmente no se introducen a propósito, sino que son el resultado de errores y descuidos durante el proceso de desarrollo. Muchos desarrolladores de complementos y temas no son seguros, por lo que es fácil escribir código vulnerable accidentalmente y, cuando se descubren vulnerabilidades, los desarrolladores suelen publicar actualizaciones para corregirlas.«

Los piratas informáticos suelen irrumpir en los sitios de WordPress por motivos personales. Por lo general, toma la forma de agregar vínculos de retroceso a ciertos sitios de spam o redirigir los sitios de WordPress a otros sitios. A veces es tan difícil que ni siquiera sabe que ha sido pirateado o que tiene una puerta trasera instalada en su sitio web.

Sin embargo, con el tiempo, los propietarios pierden tráfico (penalizaciones de SEO) y cuando ven un problema real, las cosas se salen de control. Otra peor situación que puede suceder es ser incluido en la lista negra por una agencia conocida. Eliminar su sitio web de la lista negra le costará mucho tiempo y dinero.

Según la empresa de seguridad Sucuri

De todos los CMS que limpiaron en 2018, WordPress supera al CMS infectado en un 90%

Estos son números malos para cualquier propietario de WordPress, por lo que es importante que se arremangue y siga estas pautas para mejorar la seguridad de WordPress.

14 consejos probados para proteger su blog de WordPress

1. Configure su copia de seguridad de WordPress.

Si bien he proporcionado muchos consejos probados y verdaderos a continuación para proteger su blog de WordPress, debe asegurarse de que, si sucede algo, no perderá nada.

No tener una solución de copia de seguridad de WordPress adecuada es el mayor error que puede cometer. Si un sitio web del tamaño de Sony o Dropbox puede ser pirateado, su blog de WordPress será relativamente fácil de piratear.

Entonces, lo primero que debe hacer es hacer una copia de seguridad de su blog todos los días.

Puede utilizar un sistema de copia de seguridad de una empresa de alojamiento o un sistema de copia de seguridad de un tercero, como Blogvault, VaultPress o Updraftplus. Puede encontrar una lista de complementos de respaldo de WordPress aquí.

Si su empresa de alojamiento ofrece copias de seguridad, asegúrese de que las guarden en diferentes servidores.

2. Benefíciese de un alojamiento confiable y seguro.

Su instalación de WordPress es solo un software instalado en el servidor. La columna vertebral de un sitio web seguro es un servidor con las medidas de seguridad adecuadas para proteger su sitio web de los ataques de piratas informáticos.

Un host de WordPress seguro generalmente tiene:

  • Cortafuegos a nivel de servidor para proteger contra ataques DDOS.
  • Utilice el hardware más reciente y los centros de datos de última generación para la seguridad física
  • Actualice su sistema operativo con regularidad y aplique las últimas correcciones de seguridad
  • Tiene un sistema de detección de intrusiones para actividades maliciosas o violaciones de políticas.

Sé que es difícil saber qué empresa de alojamiento es confiable para los piratas informáticos, así que hice esta lista de empresas de alojamiento seguro de WordPress:

  1. SiteGround: un host galardonado que utiliza un sistema de inteligencia artificial contra robots para prevenir algunos ataques conocidos.
  2. Bluehost: uno de los hosts más famosos por su gran seguridad.
  3. WPEngine: empresa de alojamiento de WordPress administrado recomendada para sitios web comerciales de WordPress. Ofrecen varios niveles de seguridad y protección.
  4. Alojamiento Kinsta: ideal para blogs de WordPress de alto tráfico. ShoutMeLoud.com también está alojado en Kinsta.

Si su empresa de alojamiento actual es insegura y no proporciona soporte relacionado con la seguridad, cambiar a uno de los servicios de alojamiento enumerados anteriormente hará una gran diferencia.

3. Utilice la última versión de WordPress.

Actualizar su software de WordPress es el consejo de seguridad más fácil para cualquier bloguero de WordPress. Esto es algo de lo que nunca querrá prescindir.

Cada vez que WordPress envía una actualización, significa que ha corregido algunos errores, ha agregado algunas funciones y, lo más importante, ha agregado algunas funciones de seguridad y correcciones.

Cuando vea el mensaje: «¡WordPress xxx está disponible!»

Actualice esto.

Ahora es muy fácil actualizar su blog con un solo clic.

Asegúrese de que sus temas y complementos sean compatibles con la última versión de WordPress. Si la actualización ya se lanzó y no es una actualización de seguridad, le sugiero que espere de 5 a 6 días antes de que otros usuarios dejen de informar errores en la última versión.

4. Actualice el complemento de WordPress.

Como se mencionó anteriormente, WordPress lanzó una actualización para corregir errores y vulnerabilidades de seguridad, al igual que los complementos.

A menudo, los complementos o scripts de terceros vulnerables pueden causar agujeros de seguridad en su sitio web de WordPress.

Uno de esos problemas que hemos enfrentado en el pasado es Dedo meñique Vulnerabilidad. Esto se debe al script y muchos complementos que usan ese script también se vuelven vulnerables. Este tipo de vulnerabilidad de día cero es difícil de evitar, pero limitar la cantidad de complementos, scripts y temas puede hacer que su sitio de WordPress sea más seguro.

Utilice siempre complementos que se actualizan constantemente y cuentan con un buen soporte. Si está utilizando un complemento que no se ha actualizado por un tiempo, busque un reemplazo.

5. Utilice la última versión de PHP.

PHP es la columna vertebral de WordPress. Actualmente, la última versión de PHP es la 7.4. Según la página oficial de estadísticas de PHP, solo brindan soporte de seguridad para cualquier versión estable de PHP durante 2 años.

Esto significa que si está utilizando algo por debajo de PHP 7.1, no recibirá ninguna actualización de seguridad.

Esta es una estadística interesante de WordPress.org, alrededor del 71,8% de los sitios de WordPress utilizan PHP más antiguo.

Dependiendo del entorno de alojamiento que esté utilizando, puede cambiar rápidamente la versión de PHP. Recomiendo encarecidamente uno primero Cree un entorno de ensayo y luego pruebe la última versión de PHP. Esto es necesario por razones de compatibilidad, ya que los complementos y temas obsoletos a veces pueden causar problemas.

Puede verificar su versión de PHP de WordPress en su panel de control y solicitar al soporte de alojamiento que pruebe y actualice su versión de PHP. Los usuarios de Bluehost pueden seguir esta guía para actualizar la versión de PHP en cPanel.

6. Utilice un firewall de aplicaciones web (WAF).

Existe un cortafuegos entre su servidor de alojamiento y el tráfico de su red. El trabajo del firewall es filtrar las amenazas más comunes antes de que puedan llegar a la computadora que aloja su sitio de WordPress.

Puede utilizar los tres tipos de cortafuegos más comunes en WordPress:

  1. A nivel de red: Por lo general, se almacena en el nivel de la red o de la máquina y funciona cuando aloja WordPress en su propio centro de datos. Esta es la opción más cara y generalmente la utilizan los sitios web de nivel empresarial donde pueden administrar el servidor instalado.
  2. A nivel de anfitrión: Esto está alojado en el nivel de la aplicación web, en nuestro caso WordPress. Esto no se recomienda porque su anfitrión finalmente tendrá que hacer el arduo trabajo de filtrar el tráfico. Definitivamente es mejor que el WAF web, pero requiere recursos del servidor local, lo cual no es la mejor opción.
  3. Cloud WAF: Cloud WAF generalmente se implementa a nivel de DNS y filtra los tipos más comunes de amenazas incluso antes de que ataquen su servidor de WordPress. Ésta es la forma más sencilla y económica. El único inconveniente es que es posible que deba cambiar el DNS.

Los tipos más comunes de amenazas que WAF detecta y protege incluyen ataques de secuencias de comandos entre sitios (XSS), ataques de inyección de SQL, secuestro de sesiones y desbordamientos de búfer. Esta es la protección del protocolo de Capa 7 en el modelo OSI.

Puede utilizar dos servicios recomendados para implementar WAF:

Esta es una función de seguridad de WordPress muy recomendada para WooCommerce y otros sitios de WordPress que se utilizan para. se desarrollaron empresas.

7. Ocultar la versión de WordPress.

Digamos que no tiene 2 minutos para actualizar sus archivos principales de WordPress. La versión de WP enumerada podría inspirar una idea de pirateo. Si está usando una versión antigua de WP y todo el mundo lo sabe, créame, está condenado.

La mayoría de los diseñadores de temas se deshacen de él ahora, pero para estar seguro, vaya a su functions.php y agregue la siguiente línea:

8. Utilice contraseñas complejas para iniciar sesión.

No debería mencionar esto, pero sé que hay demasiada gente usándolo Inteligente con Extremadamente difícil Contraseña, por ejemplo:

sobresaliente.

Haga su contraseña compleja, agregue algunos caracteres especiales (% & * #) y cámbiela cada 5 o 6 meses.

También me gustaría recomendar un complemento llamado Limitar intentos de inicio de sesión. Este complemento registra todas las direcciones IP y marcas de tiempo de los intentos fallidos de inicio de sesión. Después de una cierta cantidad de intentos fallidos desde una determinada dirección IP, esa dirección IP se incluirá en la lista negra. Esto ayuda mucho a prevenir ataques de fuerza bruta.

Finalmente, también debe usar un administrador de contraseñas como Dashlane que pueda ayudarlo a mejorar aún más la seguridad de las contraseñas.

Lea también:

9. Cambie la URL de inicio de sesión de WordPress:

Al cambiar la página de URL de inicio de sesión de WordPress, puede prevenir una amplia variedad de ataques y ataques de piratas informáticos. Especialmente si eres una minoría o simplemente necesitas iniciar sesión en tu panel de WordPress, cambiar tu página de inicio de sesión ayuda mucho. Para obtener algunos beneficios adicionales, consulte mi guía anterior sobre cómo cambiar la URL de inicio de sesión de su administrador de WordPress.

10. Configure las notificaciones de Google para las páginas de índice.

Este es uno de los trucos poco conocidos que puedes empezar a practicar de inmediato. Puede utilizar las alertas de Google para enviarle recordatorios cuando Google indexa una nueva página en su nombre de dominio. Los piratas informáticos de WordPress a menudo agregan nuevas páginas y publicaciones que no se muestran en el servidor o en la interfaz, pero que Google indexa.

Si configura una notificación de este tipo, sabrá si ha sucedido algo sin notificación. Ya que es gratis y solo toma 2-3 minutos para instalar, vale la pena.

Así es como puedes hacerlo

  • Ir al recordatorio de Google
  • En el cuadro Crear notificación, agregue el sitio: dominio.com.
  • Cambie la frecuencia a «Cuando esto suceda», cambie el idioma a «Cualquier idioma», cambie el número a «Todos los resultados».

Después de que los motores de búsqueda hayan indexado una nueva página, recibirá una notificación de inmediato.

11. Verifique los permisos en el archivo de carpeta de WordPress

Ir a Administrador de archivos Inicie sesión en cPanel o el software FTP y verifique los atributos del archivo en la carpeta de WordPress.

Si es 744 (solo lectura), debería estar bien. Si encuentra que es 777, considérese muy afortunado de no haber sido pirateado todavía.

Cuando la mayoría de los blogueros cambian de alojamiento, no comprenden cómo cambian los permisos de archivos. Asegúrese de verificar todos los permisos de archivos después de migrar el host.

12. Elimine el usuario administrador predeterminado.

Este es uno de los consejos más importantes para cualquiera que busque crear un blog de WordPress seguro. El nombre de usuario predeterminado «admin» es vulnerable a los ataques de fuerza bruta porque la mayoría de la gente nunca lo cambia.

Asegúrese de usar su propio nombre de usuario y al instalar WordPress No utilice «Administrador».

Puede crear un nuevo usuario con derechos de «Administrador» y darle a este nuevo administrador un alias que se mostrará públicamente cuando escriba un mensaje. Ahora cierre la sesión y vuelva a iniciar sesión en la nueva cuenta de administrador y elimine el antiguo usuario «administrador».

Recuerde asignar todos los nombres de usuario y enlaces al usuario recién creado.

Esta es otra forma de cambiar el nombre de usuario predeterminado:

13. Oculte el directorio de complementos.

Carpeta de complementos / wp-content / plugin / La lista de carpetas y archivos no debería aparecer.

Intente acceder a su carpeta de complementos (reemplace Nombre de dominio .com Con su nombre de dominio):

  • domain.com/wp-content/plugins/

Si ve una lista de carpetas y archivos, deberá ocultarlos.

Para ocultar estas carpetas, debe crear un nuevo archivo .htaccess y guardarlo en su directorio de complementos.

# Iniciar WordPress
Reescribe el motor en
Reescribe la base /
RewriteCond% {REQUEST_FILENAME}! -F
RewriteCond% {REQUEST_FILENAME}! -D
Reescribe las reglas. /index.php [L]
# Denegar lista de directorio
El índice se ignora *
# Fin de WordPress

Si ya tiene un archivo .htaccess bien escrito en su directorio raíz, agregar un archivo .htaccess separado a la misma carpeta no le hará daño.

Este artículo también le muestra cómo editar archivos .htaccess.

14. Error al cerrar la base de datos.

En versiones anteriores de WordPress, si hay un error en la base de datos MySQL, el error exacto se muestra en el navegador. Proporcionar información valiosa sobre su base de datos a los piratas informáticos.

Para evitar que esto suceda, debe actualizar WordPress a la última versión para que solo muestre mensajes de error generales, como: «Error al conectarse a la base de datos» En lugar de mostrar exactamente lo que salió mal

Inicie sesión en su panel de WP y actualice sus archivos principales de WordPress.

Seguridad de WordPress: déjelo en sus manos

Bueno, espero que esta guía lo ayude a comprender y fortalecer la importancia de la seguridad de WordPress.

Del mismo modo, es una buena idea hacer una copia de seguridad automática de su blog de WordPress de forma regular para que pueda ponerlo en funcionamiento una y otra vez.

Háganos saber qué otros consejos de seguridad le gustaría compartir con otros blogueros para mantener seguro su blog de WordPress. Partes sus consejos en los comentarios a continuación!

¡No olvides marcar este artículo como favorito y compartirlo!

Sigue leyendo:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *