Cómo mejorar la seguridad en WordPress
Los ataques cibernéticos pueden presentarse de diferentes formas, desde la inyección de malware hasta los ataques de denegación de servicio distribuido (DDoS). Los sitios web de WordPress, en particular, son objetivos comunes para los piratas informáticos debido a la popularidad del CMS.
Mantener tu sitio web en wordpress con alta seguridad no requiere muchos conocimientos, pero si te mantiene protegido y con un buen SEO. Son pasos simples, como actualizar el software de WordPress y eliminar los temas que no se usan, ayudan a fortalecer la seguridad de un sitio.
Dicho esto, implementar una o dos medidas de seguridad de WordPress no será así que te dejamos una lista que harán esta tarea completa:
Mantén el sitio actualizado
Actualizar su versión de WordPress es una forma simple pero importante de mejorar la seguridad de WordPress. WordPress lanza actualizaciones periódicas de software para mejorar el rendimiento y la seguridad. Estas actualizaciones protegen su sitio de nuevas amenazas en línea.
Es importante mantener esta actualización en la última versión. Si su sitio de WordPress usa una versión anterior como 4.x, tiene un mayor riesgo de violaciones de seguridad.
Siempre verifica si tienes la última versión de WordPress, para esto entra al menú Actualizaciones en su tablero de WordPress.
WordPress tiene una lista completa de todas las versiones de WordPress lanzadas y futuras. De este modo podrás asegurarte de que el sitio no ejecute una versión desactualizada de WordPress.
También te recomendamos actualizar los temas y complementos instalados en su sitio de WordPress. Los temas y complementos obsoletos pueden entrar en conflicto con el software central de WordPress recientemente actualizado y causar errores no deseados. Además, los temas y complementos obsoletos también son propensos a las amenazas de seguridad.
Credenciales de inicio de sesión de administrador seguras
Uno de los errores más comunes que aún cometen los usuarios wordpress es usar nombres de usuario como «admin», «administrador» y «prueba». Es un error pequeño pero crítico, ya que pone a su sitio en un mayor riesgo de ataques.
Nuestra recomendación es cambiar el nombre de usuario por default por uno que sea único y seguro. Crear una nueva cuenta de administrador con un nuevo nombre de usuario también es una excelente manera de mantener su sitio seguro. Sin olvidarte de las contraseñas que sean realmente seguras, wordpress te indica el nivel de seguridad de la que haz creado, o te da una segura por default.
Aquí te explicamos rápidamente cómo crear una nueva cuenta de administrador de WordPress:
- Desde el panel WordPress, vaya a Usuarios -> Agregar nuevo .
- Cree un nuevo usuario y asígnele el rol de Administrador. Agregue una contraseña y presione el botón Agregar nuevo usuario una vez que haya terminado.
Si tienes una empresa, asegúrate de usar un administrador de contraseñas de negocios, diseñado para los más altos estándares de seguridad de contraseñas.
Habilita la autenticación de dos factores
Activa la autenticación de dos factores para reforzar el proceso de inicio de sesión en su sitio web de WordPress. Este método de autenticación agrega una segunda capa de seguridad de WordPress a la página de inicio de sesión, ya que requiere que ingrese un código único para completar el proceso de inicio de sesión.
El código está disponible solo para usted a través de un mensaje de texto o una aplicación de autenticación de terceros.
Para habilitar la autenticación de dos factores, instale un complemento de seguridad de inicio de sesión como Wordfence Login Security . Además, deberá instalar una aplicación de autenticación de terceros, como Google Authenticator , en su teléfono móvil.
Habilita la función de bloqueo
Habilitar el bloqueo de URL protege tu página de inicio de sesión del acceso de direcciones IP. Para hacerlo, necesitas un servicio de firewall de aplicaciones web (WAF) como Cloudflare o Sucuri .
Usando Cloudflare, es posible configurar una regla de bloqueo de zona . Especifica las URL que desea bloquear y el rango de IP permitido para acceder a estas URL. Cualquier persona fuera del rango de IP especificado no podrá acceder a ellos.
Sucuri tiene una característica similar llamada lista negra de rutas URL . Básicamente, agrega la URL de la página de inicio de sesión a la lista negra para que nadie pueda acceder a ella. Luego, incluye en la lista blanca las direcciones IP autorizadas para acceder a la página de inicio de sesión.
Deshabilita el informe de errores de PHP
La función de informe de errores de PHP es excelente para monitorear los scripts de PHP del sitio. Sin embargo, mostrar las vulnerabilidades de su sitio web a los visitantes es una falla de seguridad grave.
Hay dos formas de deshabilitar el informe de errores de PHP: a través del archivo PHP o del panel de control de su cuenta de alojamiento.
Solo usa temas confiables de WordPress
Los temas de WordPress anulados son versiones no autorizadas de los temas premium originales. En la mayoría de los casos, estos temas se venden a un precio más bajo para atraer a los usuarios. Sin embargo, por lo general tienen un montón de fallas de seguridad.
A menudo, los proveedores de temas anulados suelen ser piratas informáticos que hackearon el tema premium original e insertaron código malicioso, incluido malware y enlaces de spam.
Para evitar eso, recomendamos elegir un tema de WordPress de su lista oficial o de desarrolladores de confianza.
Comprobación de malware
Ser cauteloso con los complementos o temas que instala en su sitio no garantiza que no contengan malware. Los virus, spyware y ransomware se encuentran entre los tipos comunes de malware que puede encontrar y pueden ser increíblemente dañinos. Por eso es necesario escanear tu sitio e busca de malware con frecuencia.
Afortunadamente, hay muchos complementos excelentes que ayudan a escanear malware y mejorar la seguridad del sitio web. Como Wordfence, BulletProof Security, Sucuri Security .
Migración a un servidor web más seguro
Su servidor web tiene un papel importante en mantener su sitio seguro. El 41% de los sitios web de WordPress fueron pirateados debido a lagunas de seguridad en sus cuentas de alojamiento.
Debes asegurare de contratar un muy buen servidor de host, y de este modo anular por completo ataques cibernéticos.
Si cree que su empresa de alojamiento web actual no es lo suficientemente segura, es hora de migrar su sitio web de WordPress a una nueva plataforma de alojamiento. Esto es lo que debe tener en cuenta al buscar un proveedor de alojamiento web seguro:
- Tipo de alojamiento web
- Seguridad
- Soporte
El alojamiento de WordPress de Usastreams ofrece los recursos y funciones esenciales necesarios para proteger su sitio web de WordPress, como un firewall de aplicaciones web.
Instalar un Certificado SSL
Secure Sockets Layer (SSL) Además, los certificados SSL impulsa la optimización del motor de búsqueda (SEO) del sitio web , ayudándolo a ganar visitantes y aumentar el tráfico del sitio web.
Los sitios web con un certificado SSL instalado utilizarán HTTPS en lugar de HTTP, por lo que es fácil identificarlos.
Una vez que tenga un certificado SSL instalado en su cuenta de alojamiento, debe activarlo en su sitio web de WordPress.
Realizar copias de seguridad con la mayor frecuencia posible
Crear copias de seguridad de WordPress regularmente es tan importante como armar su sitio con varias medidas de seguridad de WordPress. Esto evita que pierda todo su trabajo e información esencial en caso de una violación de seguridad y facilita la restauración de su sitio web si es necesario.
Algunas formas de crear copias de seguridad son descargar los archivos del sitio web y la base de datos , usar las herramientas de copia de seguridad del proveedor de alojamiento o instalar un complemento de copia de seguridad de WordPress.
Uso de .htaccess para mayor seguridad
El archivo .htaccess garantiza que los enlaces de WordPress funcionen correctamente. Si este archivo no declara las reglas correctas, obtendrá muchos errores 404 Not Found en su sitio. Además, el archivo también puede ayudarlo a proteger aún más su sitio web de WordPress.
Por ejemplo, .htaccess le permite bloquear el acceso desde direcciones IP específicas o deshabilitar la ejecución de PHP en carpetas particulares. Los ejemplos a continuación le muestran cómo usar .htaccess para fortalecer su seguridad de WordPress.
El siguiente código otorga acceso al área de administrador solo a IP específicas:
Asegúrese de cambiar 00.00.00.000 a la dirección IP deseada. Si no está seguro de cuál es su dirección IP, WhatIsMyIP puede ayudar a identificarla.
Cerrar automáticamente la sesión de usuarios inactivos
El uso de un complemento de seguridad de WordPress es una de las formas más fáciles de cerrar la sesión de un usuario inactivo automáticamente. El cierre de sesión inactivo es uno de ellos. Además de finalizar a los usuarios inactivos desatendidos, este complemento también puede enviar un mensaje personalizado para alertar a un usuario inactivo que su sesión en el sitio web finalizará pronto.
Ocultar la versión de WordPress
Los piratas informáticos pueden ingresar a su sitio mucho más fácilmente cuando saben qué versión de WordPress está ejecutando. Pueden usar las vulnerabilidades de esa versión para atacar su sitio, especialmente si es una versión anterior de WordPress.
Tenga en cuenta que ocultar su versión no mejora la seguridad de WordPress por sí solo. Simplemente elimina la información que ayuda a los piratas informáticos a atacar su sitio fácilmente. Por lo tanto, aún es necesario implementar otras medidas de seguridad.
Usar un complemento de seguridad de WordPress
Si prefiere instalar un complemento, le recomendamos el complemento All in One WP Security & Firewall .
Una vez que haya instalado y activado el complemento, vaya a WP Security -> Firewall -> Prevent Hotlinks . Marque Evitar vinculación activa de imágenes y haga clic en Guardar configuración para finalizar el proceso.
Bonus track
Si su sitio web de WordPress está infectado con malware, primero averigüe la gravedad de la infección y luego siga estos puntos clave:
1. Asegúrese de tener siempre accesible su área de administración de wp, realice un escaneo y elimine el malware.
2. Luego, asegúrese de que sus complementos, temas y el núcleo de WordPress estén actualizados.
3. A continuación, consulte su base de datos de vulnerabilidades para ver si sus complementos o temas figuran allí como un riesgo.
4. Finalmente, tome otras medidas de seguridad como usar un prefijo personalizado para su base de datos.
Esperamos que este artículo le haya ayudado a comprender la importancia de las medidas de seguridad de WordPress y cómo implementarlas.