12 formas vitales de aumentar la seguridad de WordPress

WordPress es uno de los creadores de sitios web más populares del mundo. Lo utilizan millones de personas, incluidas algunas de las marcas y organizaciones más importantes del mundo.

Sin embargo, una gran responsabilidad conlleva un gran poder, que incluye garantizar que su sitio de WordPress sea lo más seguro posible. Varios sitios de WordPress de alto perfil han sido pirateados en los últimos años, por lo que es esencial tomar medidas para proteger su sitio.

Un estudio de Sucuri encontró que el 43% de los sitios de WordPress son vulnerables a ataques.

Aquí hay algunas formas de aumentar la seguridad de WordPress.

Mantenga WordPress actualizado

Una de las cosas más importantes que puede hacer para aumentar la seguridad de WordPress es mantener actualizado su sitio de WordPress.

Eso significa actualizar WordPress, así como cualquier tema y complemento que haya instalado. Las nuevas versiones de WordPress se lanzan regularmente, y cada nueva versión incluye correcciones de seguridad para las vulnerabilidades que se han descubierto.

Para actualizar WordPress, vaya a la página Panel de control > Actualizaciones y haga clic en el botón "Actualizar ahora".

También es importante actualizar sus temas y complementos. La mayoría de los desarrolladores de temas y complementos lanzan actualizaciones regularmente para corregir las vulnerabilidades de seguridad.

Puede actualizar sus temas y complementos desde la página Panel de control > Actualizaciones o instalar el complemento WP Updates Notifier, que le enviará un correo electrónico cuando haya actualizaciones disponibles.

Ocultar el número de versión de WordPress

A medida que WordPress se ha vuelto más popular, los piratas informáticos lo han atacado cada vez más.

Una de las cosas que buscan es el número de versión de WordPress, que se muestra en el código fuente de cada sitio de WordPress. Los piratas informáticos pueden atacar vulnerabilidades específicas al saber qué versión de WordPress está ejecutando. Además, algunos complementos de seguridad de WordPress solo funcionarán con versiones específicas de WordPress.

Por lo tanto, es esencial ocultar su número de versión de WordPress. La mayoría de los temas de WordPress tienen una opción para hacer esto, o puede instalar un complemento como WP-Hardening Plugin.

También puede ocultarlo manualmente pegando este código en su archivo functions.php:

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


Use una contraseña segura

Otra forma importante de aumentar la seguridad de WordPress es usar una contraseña segura.

Una contraseña segura debe tener al menos ocho caracteres e incluir una combinación de letras mayúsculas y minúsculas, números y símbolos. También es esencial usar una contraseña diferente para cada sitio web que visite. De esa manera, sus otras cuentas estarán seguras si un sitio es pirateado. Puede usar un administrador de contraseñas como LastPass o KeePass para ayudarlo a generar y recordar contraseñas seguras.

Un estudio de investigación realizado por Imperva descubrió que usar una contraseña segura es la forma más efectiva de prevenir ataques de fuerza bruta, un hackeo común de WordPress.

Utilice un sitio web generador de contraseñas para generar una contraseña muy segura. Estos son algunos de los mejores generadores de contraseñas:

• Ultimo pase
• Norton
• 1 Contraseña

Usar autenticación de dos factores

La autenticación de dos factores (también conocida como verificación de dos pasos) es una capa adicional de seguridad que puede ayudar a proteger su sitio de WordPress.

Con la autenticación de dos factores, debe ingresar su contraseña y un segundo código, generalmente generado por una aplicación en su teléfono inteligente. De esa manera, incluso si alguien logra adivinar su contraseña, no podrá iniciar sesión a menos que también tenga su teléfono inteligente.

WordPress no incluye la autenticación de dos factores de forma predeterminada, pero puede instalar un complemento como Google Authenticator o Duo Security.

Sin embargo, recuerde que la autenticación de dos factores no funcionará si pierde su teléfono inteligente, por lo que es esencial tener un método de respaldo, como una dirección de correo electrónico o un número de teléfono alternativos.

Límite de intentos de inicio de sesión

Otra forma de aumentar la seguridad de WordPress es limitar los intentos de inicio de sesión.

De forma predeterminada, WordPress permite un número ilimitado de intentos de inicio de sesión, lo que brinda a los piratas informáticos una amplia oportunidad para adivinar su contraseña. Al limitar los intentos de inicio de sesión, puede ayudar a prevenir ataques de fuerza bruta. Algunos complementos le permiten hacer esto, como Limitar intentos de inicio de sesión y Bloqueo de inicio de sesión.

La investigación de Wordfence muestra que limitar los intentos de inicio de sesión puede bloquear el 99,99 % de los ataques de fuerza bruta.

Además, elija un complemento que no bloquee a los usuarios legítimos, como usted, si olvida su contraseña.

Usar SSL

SSL (Secure Sockets Layer) es un protocolo que cifra los datos transmitidos entre un sitio web y el navegador web de un usuario. Eso significa que si alguien intenta interceptar los datos, no podrá leerlos. En el pasado, los sitios web de comercio electrónico usaban principalmente SSL para proteger la información de la tarjeta de crédito.

Pero hoy en día, cada vez más sitios de WordPress utilizan SSL para proteger datos confidenciales, como credenciales de inicio de sesión y envíos de formularios de contacto. Puede agregar SSL a su sitio de WordPress de diferentes maneras. Por ejemplo, algunas empresas de alojamiento web ofrecen certificados SSL gratuitos, o puede comprar un certificado de una empresa como Symantec o Comodo. Una vez que tenga un certificado SSL, deberá instalar y activar el complemento SSL de WordPress.

Restrinja el acceso a su directorio de complementos

El directorio de complementos de WordPress es una carpeta en su servidor que contiene todos los complementos que ha instalado en su sitio.

De manera predeterminada, cualquiera puede acceder a esta carpeta y ver qué complementos usa. Y si un pirata informático sabe qué complementos está utilizando, puede apuntar a cualquier vulnerabilidad en esos complementos. Por lo tanto, es esencial restringir el acceso al directorio de su complemento. Puede hacer esto agregando una simple línea de código a su archivo .htaccess.

Si no se siente cómodo editando archivos en su servidor, puede instalar un complemento como iThemes Security, que agregará el código por usted. Si edita su archivo .htaccess, asegúrese de crear una copia de seguridad antes de realizar cualquier cambio.

Cambiar el nombre de usuario del administrador

Cuando instala WordPress, el nombre de usuario de administrador predeterminado es "admin". Eso no es muy seguro porque es fácil de adivinar para los hackers.

Entonces, una de las primeras cosas que debe hacer después de instalar WordPress es cambiar el nombre de usuario del administrador. Puede crear un nuevo usuario con privilegios de administrador y luego eliminar el antiguo usuario "admin". O bien, puede instalar un complemento como WP Security Scan, que escaneará su sitio en busca de configuraciones inseguras, incluido el nombre de usuario de administrador predeterminado.

Después de cambiar el nombre de usuario del administrador, cierre sesión en su cuenta de WordPress y vuelva a iniciar sesión con el nuevo nombre de usuario. Muchas personas se olvidan de hacer esto y se preguntan por qué no pueden acceder a su sitio de WordPress.

Use CAPTCHA o reCAPTCHA en su pantalla de inicio de sesión

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) es una prueba de desafío-respuesta utilizada para garantizar que solo los humanos puedan acceder a un sitio web o realizar ciertas acciones. reCAPTCHA es una versión de CAPTCHA propiedad de Google. Es más seguro que el CAPTCHA tradicional porque utiliza técnicas avanzadas de análisis de riesgos para evitar que el software automatizado participe en actividades abusivas en su sitio web. Para agregar CAPTCHA o reCAPTCHA a su pantalla de inicio de sesión de WordPress, puede instalar un complemento como WP-reCAPTCHA.

Una vez que el complemento esté instalado y activado, deberá registrarse para obtener una cuenta gratuita con reCAPTCHA. Luego se le dará una clave de sitio y una clave secreta, que deberá ingresar en la configuración del complemento.

Cerrar sesión automáticamente de usuarios inactivos

Cuando inicia sesión en su sitio de WordPress, puede permanecer conectado indefinidamente, incluso si cierra la ventana del navegador o se aleja de su computadora. Eso no es muy seguro porque significa que cualquier persona con acceso a su computadora también puede acceder a su sitio de WordPress.

Puede instalar un complemento como Idle User Logout para resolver este problema. Este complemento cerrará automáticamente la sesión de los usuarios inactivos durante un período determinado.

Por ejemplo, puede configurarlo para cerrar la sesión de los usuarios que no han estado activos durante 15 minutos. De esa manera, incluso si alguien tiene acceso a su computadora, no podrá permanecer conectado a su sitio de WordPress. Un complemento es esencial si tiene una computadora compartida o usa Wi-Fi público.

Use SFTP para conectarse a su servidor

Cuando te conectas a tu sitio de WordPress, te estás conectando a tu servidor.

De forma predeterminada, la mayoría de las personas se conectan a su servidor mediante FTP (Protocolo de transferencia de archivos). Pero FTP es un protocolo inseguro porque no cifra sus datos. Eso significa que cualquier persona que controle la conexión puede ver su nombre de usuario y contraseña.

Por lo tanto, el uso de SFTP (Protocolo seguro de transferencia de archivos) es esencial. SFTP es un protocolo seguro que cifra sus datos, por lo que es mucho más difícil que alguien intercepte su conexión y robe sus credenciales. Para usar SFTP, deberá generar un par de claves SSH y agregar la clave pública a su servidor. La mayoría de los proveedores de alojamiento tienen instrucciones sobre cómo hacer esto.

Supervisión de malware

El malware es software malicioso que puede infectar su sitio de WordPress y causar muchos problemas.

Por ejemplo, el malware puede redirigir a sus visitantes a otros sitios web o puede mostrar publicidad en su sitio sin su permiso. El malware también puede robar información confidencial, como contraseñas y números de tarjetas de crédito. Por lo tanto, es importante escanear regularmente su sitio de WordPress en busca de malware y eliminar cualquiera que encuentre. Hay algunas maneras diferentes de hacer esto. Por ejemplo, puede usar un complemento como Wordfence Security, que escaneará su sitio en busca de malware y eliminará automáticamente cualquiera que encuentre.

Alternativamente, puede usar un servicio como Sucuri SiteCheck, que escaneará su sitio y luego le proporcionará un informe de cualquier malware que encuentre.

Conclusión

Estas son solo algunas de las muchas formas en que puede aumentar la seguridad de WordPress. Al tomar estas medidas, puede ayudar a proteger su sitio de WordPress de piratas informáticos y otros usuarios malintencionados. Muchos de estos consejos son fáciles de implementar, por lo que no hay excusa para no tomar medidas. Recuerde, su sitio de WordPress es tan seguro como usted lo crea. Por lo tanto, no espere a que sea demasiado tarde para empezar a pensar en la seguridad. Tome medidas ahora y ayude a mantener seguro su sitio de WordPress.