3 formas de proteger su sitio web de WordPress contra ataques

Publicado: 2017-12-27

En estos días, todos los sitios web deben tomarse la seguridad en serio. Esto es particularmente cierto si utiliza un Sistema de gestión de contenido (CMS) como WordPress. Este tipo de plataforma suele almacenar mucha información sensible, lo que la convierte en un objetivo. Si alguien ingresa a su sitio web, deberá dedicar un tiempo valioso a averiguar cómo entró y reparar el daño.

La buena noticia es que WordPress es muy flexible a la hora de aumentar las medidas de seguridad de tu sitio web. Por ejemplo, hay varias formas de proteger su página de inicio de sesión de ataques y ocultarla de personas que no conoce. Con algunos ajustes aquí y allá, su sitio web puede convertirse rápidamente en una fortaleza.

En este artículo, vamos a discutir la importancia de la seguridad de WordPress. Luego, le presentaremos tres métodos que puede usar para hacer que su sitio web sea más seguro. ¡Hagámoslo!

Por qué la seguridad de WordPress es importante

Para que quede claro, WordPress ya es una plataforma muy segura lista para usar. Sin embargo, también es una pieza enorme de software con millones de usuarios y miles de opciones de complementos y temas. Con tantas cosas sucediendo, es natural que algunos usuarios terminen teniendo que lidiar con problemas de seguridad. En la mayoría de los casos, puede rastrear estos problemas hasta credenciales fáciles de descifrar, una falla en la actualización constante y otros errores del usuario.

Por otro lado, estará mucho más seguro si es el tipo de persona que se mantiene al día con la última versión de WordPress y supervisa todos los complementos y temas que utiliza. Mantenerse al día con la seguridad de su sitio puede parecer mucho trabajo, pero ser cauteloso es el mejor curso de acción. Este es el por qué:

  • WordPress es un objetivo para los ataques. La popularidad del sistema de administración de contenido (CMS) lo convierte en el favorito de los atacantes en línea. Después de todo, encontrar una vulnerabilidad en un solo complemento o tema puede ayudarlos a obtener acceso a miles de sitios web.
  • Debe proteger la información confidencial del usuario. Incluso si no está tratando con ningún número de tarjeta de crédito a través de su sitio web, eso no significa que no deba proteger la privacidad de sus usuarios.
  • Los secuestradores podrían propagar malware a través de su sitio web. En estos días, es una práctica común que los atacantes usen sitios pirateados para enviar malware a sus visitantes. No hace falta decir que no desea que los dispositivos de sus usuarios se infecten debido a prácticas de seguridad laxas de su parte.

Afortunadamente, hay muchas cosas que puede hacer para proteger su sitio web de WordPress de manera preventiva. Por ejemplo, usar un tema bien codificado que reciba actualizaciones constantes siempre es una buena idea. Nuestro propio tema Uncode tiene excelentes calificaciones y funciones de seguridad, por ejemplo, y siempre estamos disponibles para responder cualquier pregunta que pueda tener sobre cómo proteger aún más su sitio web. Una vez que haya resuelto su tema, hay algunas otras medidas simples que puede tomar.

3 formas de proteger su sitio web de WordPress contra ataques

En esta sección, le enseñaremos tres formas de proteger su sitio web de WordPress contra ataques, con y sin complementos. Dado que realizará algunos cambios bastante significativos en la funcionalidad de su sitio web, debe crear una copia de seguridad antes de comenzar. De esa manera, si algo sale mal (¡lo cual no debería!), podrás restaurar tu sitio en minutos e intentarlo de nuevo.

1. Utilice la autenticación de dos factores (2FA)

Por lo general, todo lo que se necesita para iniciar sesión en un sitio web es su nombre de usuario y contraseña. Sin embargo, algunos sitios van un paso más allá y le piden que ingrese un código de un solo uso enviado a su correo electrónico o teléfono inteligente. Esto se conoce como autenticación de dos factores (2FA). Con este método, incluso si alguien obtiene sus credenciales, no podrá acceder a su cuenta.

WordPress no es compatible con 2FA de fábrica. Sin embargo, puede implementarlo utilizando las herramientas adecuadas. Hay muchos complementos 2FA excelentes disponibles, pero somos partidarios de la autenticación de dos factores miniOrange debido a todas las funciones que ofrece:

El complemento de autenticación de dos factores miniOrange.

Para comenzar con esta técnica, primero deberá instalar y activar el complemento. Luego, podrá acceder a una nueva pestaña miniOrange 2-Factor desde su tablero. La primera vez que haga clic en él, deberá completar algunos campos para registrar una cuenta miniOrange:

Registro de una cuenta miniOrange.

Luego, recibirá un código único a través de un correo electrónico o mensaje de texto, que puede usar para activar el complemento.

Cuando haya terminado, puede saltar a la pestaña Configuración de dos factores en la parte superior de la pantalla y elegir qué tipos de 2FA podrán usar sus visitantes. Para proporcionar a los usuarios la mayor cantidad de opciones, recomendamos utilizar la Verificación de correo electrónico como método predeterminado:

Elegir la verificación de correo electrónico como su método 2FA.

Después de elegir los métodos que desea, puede cerrar la sesión. La próxima vez que intente acceder a su tablero, verá una opción para habilitar 2FA para su cuenta. Ahora, todos los usuarios de su sitio podrán optar por 2FA. ¡Tu sitio web de WordPress será más seguro!

2. Incluya en la lista blanca las direcciones IP que pueden acceder a su tablero

El tablero de WordPress es donde ocurre la mayor parte de la magia. Como tal, no desea que cualquiera tenga acceso. Solo los miembros de confianza del equipo deberían poder acceder al panel de control de su sitio y hacer uso de sus funciones clave.

Su página de inicio de sesión es su primera línea de defensa contra intrusiones no deseadas. Sin embargo, a veces los atacantes pueden obtener acceso a las credenciales de uno de los miembros de su equipo. Si eso sucede, necesitarás una segunda línea de defensa para detenerlos. Ahí es donde entra en juego su archivo .htaccess .

Este archivo le permite proporcionar instrucciones específicas a su servidor. Por ejemplo, puede indicarle que bloquee el acceso a su tablero para cualquier persona cuya IP no esté en una lista preaprobada. Cuando agrega una dirección IP a esa lista, la incluye en la "lista blanca". Este método requiere un poco de trabajo inicial, pero puede convertir tu sitio web en una fortaleza.

Primero, deberá conocer las direcciones IP de todos sus compañeros de trabajo. Para obtener los mejores resultados, también querrá asegurarse de que esas direcciones IP sean estáticas. Los miembros del equipo pueden usar un sitio como What is My IP para averiguar cuáles son sus direcciones y comunicarse con sus proveedores de Internet para que se les pueda asignar una dirección estática si aún no tienen una.

Averiguar cuál es su dirección IP.

Lo mejor es eliminar estas tareas primero, para que pueda ingresar todas las IP incluidas en la lista blanca a la vez. Cuando tenga lista la lista de direcciones, deberá ubicar y acceder al archivo .htaccess de su sitio. Para ello, recomendamos utilizar el Protocolo de transferencia de archivos (FTP) y una herramienta como FileZilla.

Simplemente inicie sesión en su sitio web con sus credenciales de FTP y acceda a su carpeta public_html . Luego, busque el archivo .htaccess dentro de:

Su archivo htaccess.

Ahora, haga clic derecho en el archivo y elija la opción Ver/Editar . Al hacer esto, se abrirá el archivo en tu computadora usando tu editor de texto predeterminado. Ya debería haber algunas líneas de código dentro, que no desea modificar. En su lugar, desplácese hasta la parte inferior del archivo y busque la línea #END WordPress .

Deberá pegar el siguiente fragmento justo antes de esa línea:

 <IfModule mod_rewrite.c>
Motor de reescritura en
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
Reescribir Cond %{REMOTE_ADDR} !^190.46.268.21$
Reescribir Cond %{REMOTE_ADDR} !^190.45.281.27$
Regla de reescritura ^(.*)$ - [R=403,L]
</IfModule>

Estas cinco líneas de código le dicen a WordPress que verifique la dirección IP de cualquier persona que intente acceder a su tablero. Si su dirección no coincide con una de las de su lista blanca (hay dos en el ejemplo anterior), obtendrá un error 403:

Un ejemplo de un error 403.

Puede agregar tantas direcciones como desee usando el mismo formato y bloquear otras páginas también. Por ejemplo, si desea bloquear su página de inicio de sesión para cualquier persona que no esté en su lista blanca, todo lo que tiene que hacer es agregar una línea de código adicional:

 <IfModule mod_rewrite.c>
Motor de reescritura en
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [O]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
Reescribir Cond %{REMOTE_ADDR} !^190.46.268.21$
Reescribir Cond %{REMOTE_ADDR} !^190.45.281.27$
Regla de reescritura ^(.*)$ - [R=403,L]
</IfModule>

Cuando haya terminado de hacer cambios en .htaccess , guarde el archivo y cierre su editor de texto. Aún debería poder acceder a su panel de control y a la página de inicio de sesión como de costumbre, ¡a menos que haya olvidado incluir en la lista blanca su propia dirección IP!

3. Use un complemento de seguridad integral de WordPress

Si elige tomar solo una medida para proteger su sitio web de WordPress, usar un complemento de seguridad puede sacarle el máximo provecho. Hay un montón de complementos de seguridad populares disponibles, y muchos pueden proteger su sitio web de la mayoría de los tipos de ataques.

Uno de nuestros favoritos se llama All In One WP Security & Firewall. Ofrece una amplia gama de características y una interfaz fácil de usar:

Complemento All in One WP Security Firewall.

Hasta ahora, hemos hablado mucho sobre cómo proteger sus páginas de inicio de sesión y panel de control de WordPress. Este complemento le permite hacer ambas cosas, utilizando la funcionalidad integrada que puede activar con unos pocos clics. Por ejemplo, puede limitar la cantidad de intentos de inicio de sesión que alguien puede hacer antes de que se bloquee temporalmente el sitio. Esta función está disponible en la pestaña Seguridad de WP > Inicio de sesión de usuario :

Configuración de un número máximo de intentos de inicio de sesión.

También puede configurar el complemento para que le informe cuando alguien quede bloqueado en la página de inicio de sesión y bloquee las direcciones IP por completo. All In One WP Security & Firewall también incluye un firewall integral, que puede configurar desde la pestaña WP Security > Firewall :

Habilitación de un firewall para su sitio web.

Tan pronto como active el complemento, su primer paso debe ser echar un vistazo a su documentación. Hay muchas configuraciones que deberá aprender a usar, pero un curso intensivo rápido le dirá todo lo que necesita saber para proteger su sitio web.

Por último, pero no menos importante, Kinsta tiene excelentes ideas para bloquear su sitio, échele un vistazo si necesita más consejos sobre la seguridad de WordPress.

Conclusión

La seguridad de WordPress es algo sobre lo que desea ser proactivo. Un poco de esfuerzo dedicado a proteger su sitio web desde el principio le ahorrará muchos dolores de cabeza en el futuro. Si tiene suerte, nunca tendrá que lidiar con las consecuencias de las intrusiones no deseadas en su sitio web y, en su lugar, podrá concentrarse en mejorarlo.

La buena noticia es que hay muchas formas sencillas de proteger su sitio web. Una vez más, aquí están tres de nuestros favoritos:

  1. Use 2FA en su página de inicio de sesión.
  2. Incluya en la lista blanca las direcciones IP de los miembros de su equipo.
  3. Use un completo complemento de seguridad de WordPress.

¿Tiene alguna pregunta sobre cómo proteger su sitio web de WordPress? ¡Pregunte en la sección de comentarios a continuación!