Una guía completa paso a paso sobre la seguridad de WordPress

Publicado: 2022-08-28

La seguridad de WordPress se enfoca en proteger su sitio, visitantes y datos contra malware y piratas informáticos. Ahora no te equivoques. WordPress es una plataforma segura, y los piratas informáticos solo logran penetrar las funciones de seguridad de la plataforma debido a políticas de contraseñas deficientes o vulnerabilidades de seguridad.

Cuando los mitiga, reduce significativamente las posibilidades de que su sitio sea pirateado. Entonces, ¿cómo puede mitigar las vulnerabilidades de seguridad en su sitio de WordPress?

Instalar una solución de copia de seguridad

Su primera defensa contra un ataque de WordPress es hacer una copia de seguridad de sus datos. La cruda verdad es que nada es absolutamente seguro. Si los sitios web de Fortune 500 pueden ser pirateados, entonces su sitio también es susceptible.

Aunque contar con una solución de respaldo no significa que su sitio no sea pirateado, simplemente protege sus datos. Cuando realiza una copia de seguridad, puede restaurar inmediatamente su sitio y sus datos si su sitio fuera pirateado. Encontrará varios complementos de copia de seguridad de WordPress para paquetes gratuitos y de pago.

Recomendamos configurar una copia de seguridad en tiempo real, para que sus datos puedan respaldarse diariamente y automáticamente. Además, asegúrese de hacer una copia de seguridad periódica en una ubicación remota en una nube, como Dropbox, Amazon u otras nubes privadas.

Habilitar WAF (cortafuegos de aplicaciones web)

El uso de un firewall de aplicaciones web es el método más fácil para proteger su sitio web contra el malware. Un WAF bloquea el tráfico malicioso incluso antes de que llegue a su sitio. Aquí hay firewalls de aplicaciones web que puede considerar:

• Firewall de sitios web a nivel de DNS: cuando está habilitado, enruta el tráfico de su sitio a través de un servidor proxy en la nube y envía solo tráfico auténtico a su servidor web.

• Firewall de nivel de aplicación: estos complementos evalúan el tráfico cuando llega a su servidor antes de cargar los scripts de WordPress en su sitio. Entre los dos, el firewall de nivel DNS es el más efectivo para minimizar la carga de su servidor por vez.

Migre su sitio web de WordPress a SSL/HTTPS

Secure Socket Layer (SSL) es un protocolo de seguridad que cifra los datos transmitidos entre su sitio y los navegadores de los usuarios. El cifrado dificulta que una persona autorizada husmee en su sitio para robar información. Cuando habilita SSL, su sitio comienza a descartar HTTP y a usar HTTPS.

https

El símbolo que muestra que su sitio usa HTTPS es un signo de candado que se coloca junto a la dirección del sitio en el navegador web. Baste mencionar que los certificados SSL tienen un costo adicional y son emitidos por autoridades de certificación.

Sin embargo, puede optar por utilizar los certificados SSL gratuitos que ofrece Let's Encrypt, que es compatible con Facebook, Google Chrome y Mozilla, entre otros. Además, muchas empresas de alojamiento ahora ofrecen un certificado SSL gratuito como parte del paquete para alojar su sitio de WordPress.

Utilice un servicio de mantenimiento

Lo bueno de usar un servicio de mantenimiento es que ofrece más que la seguridad de WordPress. Con dicho servicio, no tiene que preocuparse por los problemas de back-end relacionados con su sitio web.

Desde la seguridad hasta la copia de seguridad y otros problemas de mantenimiento, su proveedor de servicios de mantenimiento se encargará de ellos. Puede concentrarse en su negocio mientras deja que los profesionales se encarguen de la tarea de mantener su sitio seguro en todo momento.

Cómo hacer seguridad de WordPress con codificación

Si tiene algunas habilidades básicas de codificación y desea controlar su seguridad de WordPress usted mismo, esta parte es para usted. Estos son los pasos para ayudarlo a mantener la seguridad de WordPress con algunos conocimientos de codificación.

Cambie su nombre de usuario predeterminado de "Administrador

El nombre de usuario predeterminado para el administrador de WordPress era "admin". Esto facilita que los piratas informáticos descubran su nombre de usuario y ataquen su sitio con fuerza bruta. Aunque WordPress ha cambiado esto y requiere que elija un nombre de usuario único al instalar WordPress, la mayoría de los instaladores de WordPress con 1 clic todavía usan "Administrador" como nombre de usuario predeterminado.

Si experimenta esto mientras instala su WordPress desde una empresa de alojamiento web, debe resolver el problema. WordPress no admite el cambio de nombres de usuario. Sin embargo, puede crear un nuevo nombre de usuario de administrador eliminando el anterior.

administración

Cómo eliminar un antiguo nombre de usuario administrador y crear uno nuevo

Puede crear un nuevo nombre de usuario con el rol de usuario administrador. Es posible que deba crear una nueva dirección de correo electrónico ya que no puede usar la que usó para crear la cuenta existente. Siga los pasos a continuación para crear un nuevo nombre de usuario de administrador con una nueva dirección de correo electrónico.

Paso 1: Haga clic en "Usuarios" y complete el breve formulario.

usuario

Paso 2: cierre sesión en su cuenta de WordPress e inicie sesión con la cuenta de usuario recién creada.

Paso 3: navegue a la página "Usuarios" y luego a "Todos los usuarios" y haga clic en el enlace "Eliminar" debajo del nombre de usuario anterior.

usuario

Paso 4: WordPress le preguntará si desea eliminar cualquier contenido creado por el usuario anterior. Haga clic en "Atribuir todo el contenido a" y seleccione el nuevo nombre de usuario que creó.

Paso 5: Haga clic en "Confirmar eliminación" para eliminar la cuenta anterior. Eso es todo lo que se necesita para cambiar su antiguo nombre de usuario por uno nuevo.

eliminar usuarios

Deshabilitar la edición de archivos

WordPress presenta un editor de código incorporado que permite a los usuarios editar temas y archivos de complementos a través del área de administración. Esta característica puede ser un gran riesgo de seguridad si cae en las manos equivocadas. Por lo tanto, lo mejor es desactivarlo. Para hacer esto, siga los pasos a continuación:

Paso 1: agregue el código a continuación en su archivo wp-config.php

• // No permitir la edición de archivos

• define ('DISALLOW_FILE_EDIT', true); reduce los intentos de inicio de sesión

editar temas

Los usuarios pueden iniciar sesión en su panel de WordPress libremente y sin restricciones. Cuando hace esto, su sitio web de WordPress se vuelve vulnerable a los ataques de fuerza bruta. Se vuelve fácil para los piratas informáticos descifrar sus contraseñas a través de múltiples inicios de sesión con diferentes combinaciones.

Debe solucionar esto limitando el número de intentos después de un inicio de sesión fallido. Para hacer esto, siga los pasos a continuación:

• Instale y active el complemento Login LockDown

• Visite la página "Configuración" y luego "Login LockDown" para configurar

acceso

• Siga las indicaciones para completar el proceso y estará listo para comenzar.

Pensamientos finales

Con estos pasos, puede aumentar significativamente la seguridad de WordPress y prevenir ataques. Si esto parece algo en lo que no querría perder tiempo, le recomendamos que utilice un servicio de mantenimiento de WordPress. Esto le quitará el estrés y puede estar seguro de que un equipo de profesionales administra su sitio.

¿Cómo sé si un sitio de WordPress es seguro?

Abra una página en un navegador, por ejemplo, Chrome, y verifique el estado de seguridad en el lado izquierdo de la dirección web. Verá un mensaje "Seguro" o "No seguro".

¿Cuál es la dirección web más segura?

Una dirección web segura debe comenzar con "HTTPS" y no con "HTTP". La "S" en "HTTPS" significa seguro, lo que indica que el sitio utiliza un certificado SSL.

Umaír
Umair Khan