Cómo proteger su sitio web de WordPress: consejos de seguridad de trabajo
Publicado: 2021-11-30
20% de descuento en WPMU Dev
Para este artículo, utilizaremos el alojamiento y las herramientas de WPMU DEV. Puede obtener un 20% de descuento en WPMU DEV en la membresía.
La seguridad de WordPress es un tema enorme. Hay varias cosas que puede tomar para proteger su sitio de WordPress y evitar que los piratas informáticos y las vulnerabilidades dañen su sitio de comercio electrónico o blog.
Si bien el software principal de WordPress es bastante seguro y cientos de ingenieros lo revisan con frecuencia, todavía hay muchas cosas que puede hacer para mantener su sitio seguro.
No querrá despertarse una mañana para encontrar su sitio web desordenado. Entonces, hoy, cubriremos una variedad de métodos, tácticas y enfoques que puede utilizar para mejorar su seguridad de WordPress y mantenerse seguro.
¿Por qué es importante la seguridad del sitio web?
Cualquier sitio web de WordPress comprometido puede dañar significativamente su flujo de efectivo y credibilidad. El atacante puede obtener datos de clientes, contraseñas, inyectar programas maliciosos o incluso infectar a sus usuarios con malware.
Escenario de caso terrible, las empresas pueden verse obligadas a gastar ransomware a los atacantes para recuperar el acceso al sitio web. Se ha advertido a más de 50 millones de usuarios de sitios web que una página web que están visitando puede contener malware o robar datos, según Google.
Este es un sitio web de estadísticas en vivo que se piratea en un día.
Además, cada semana, Google incluye en la lista negra aproximadamente 20 000 sitios web por malware y aproximadamente 50 000 sitios web por phishing. Si está ejecutando una página de empresa, querrá dar importancia a la seguridad del sitio web.
De hecho, es su trabajo, como propietario de un negocio en línea, asegurar el sitio web de su negocio de la misma manera que es su responsabilidad proteger las instalaciones de su tienda real.
¿WordPress es una plataforma segura?
¿WordPress es seguro?
Esa es probablemente la primera pregunta en tu mente. Sí, en su mayor parte.
WordPress es seguro siempre que los propietarios de los sitios web se tomen en serio la seguridad y se adhieran a las prácticas recomendadas. El empleo de complementos y temas seguros, el mantenimiento de procesos de inicio de sesión responsables, el uso de complementos de seguridad para monitorear su sitio y la actualización periódica son todas buenas prácticas.
WordPress, por otro lado, tiene la reputación de ser propenso a fallas de seguridad y, por lo tanto, no es una plataforma segura para utilizar en un negocio. La mayoría de las veces, esto se debe a que los usuarios continúan siguiendo las peores prácticas de seguridad comprobadas en la industria.
Los piratas informáticos se mantienen al tanto de su juego de ciberdelincuencia mediante el uso de software antiguo de WordPress, complementos anulados, administración deficiente del sistema, gestión de credenciales y la falta de experiencia en seguridad y web necesaria entre los usuarios de WordPress que no son expertos en tecnología. Incluso las mejores prácticas no siempre son seguidas por los líderes de la industria. Debido a que estaban utilizando una versión anterior de WordPress, Reuters fue pirateado.
Esto no es para argumentar que las vulnerabilidades no están presentes. WordPress continúa dominando los sitios web infectados Sucuri, una empresa de seguridad multiplataforma, trabajó en una encuesta del tercer trimestre de 2017 (con un 83 por ciento). Este es un aumento sobre la cifra del año anterior del 74%.
Con WordPress potenciando más del 42% de todos los sitios web en Internet y cientos de miles de combinaciones de temas y complementos para elegir, no sorprende que existan vulnerabilidades y que se identifiquen continuamente. Sin embargo, existe una comunidad sólida en torno a la plataforma de WordPress, lo que garantiza que estos problemas se solucionen lo antes posible. A partir de 2021, el equipo de seguridad de WordPress consta de aproximadamente 50 especialistas, incluidos desarrolladores líderes e investigadores de seguridad (frente a 25 en 2017); aproximadamente la mitad son empleados de Automattic y unos pocos trabajan en el área de seguridad web.
Comience con el alojamiento adecuado
Usar un host que proporcione múltiples capas de seguridad es la forma más fácil de mantener seguro su sitio web.
Ahorrar dinero en alojamiento de sitios web significa que puede gastar el dinero en otra parte dentro de su organización, por lo que puede ser tentador registrarse con un proveedor de alojamiento económico. Pero debes resistir esta tentación.
Un host barato puede causar dolores de cabeza en el futuro. Los datos asociados con su URL podrían eliminarse por completo y su URL podría comenzar a redirigir a otro lugar. Solo algunos ejemplos, hay varias razones más por las que debe evitar conformarse con un alojamiento barato que no es digno de su negocio.
La seguridad adicional proporcionada por un alojamiento de calidad se atribuye automáticamente a su sitio web si paga un poco más. Además, puede mejorar el rendimiento de su sitio de WordPress utilizando un buen servicio de alojamiento de WordPress.
Crear una copia de seguridad del sitio
Para comenzar, haga una copia de seguridad de su copia de seguridad de WordPress antes de realizar cualquier modificación en su sitio web.
Existen numerosos complementos de respaldo de WordPress disponibles que se pueden usar para lograr el mismo objetivo.
Hay tanto gratuitos como de pago accesibles. sin embargo, solo algunos de los sugeridos son gratuitos.
- UpdraftPlus
- BackWPup
Supongo que ha instalado y utilizado uno de los complementos de copia de seguridad de WordPress. Ahora está listo para continuar con el siguiente paso.
Recomiendo que las copias de seguridad se programen una vez que se publique cada publicación. Después de realizar cualquier modificación en las publicaciones o en la base de datos del blog.
Crear contraseñas seguras
Puede hacer mucho para salvaguardar su sitio web de WordPress, pero pocas personas prestan atención a lo básico.
Crear contraseñas seguras es algo que debe hacer para todos sus sitios de redes sociales y cuentas de correo electrónico.
Del mismo modo, debido a que los sitios de WordPress son pirateados como todo lo demás, es fundamental adoptar las mismas precauciones para su sitio de WordPress. Ya no importa cuán grande sea tu blog. Todos despiertan la curiosidad de los hackers. ¡JAJAJA!
Usar una contraseña segura significaba no usar nada que fuera personal para usted. Se debe evitar casi todo, incluido su nombre, fecha de nacimiento, identificación de empleado, nombre de la novia y cualquier otra cosa que se pueda adivinar.
Se tarda en descifrar una contraseña
¿Tiene problemas para pensar en ideas creativas de contraseñas? Para establecer una contraseña segura, siempre puede utilizar cualquier herramienta de generación de contraseñas en línea. Yo uso el generador de contraseñas de LastPass.
Cambiar la URL de inicio de sesión de WP
“yoursite.com/wp-admin” es la URL predeterminada para iniciar sesión en WordPress.
Si lo deja como está, corre el riesgo de convertirse en víctima de un ataque de fuerza bruta destinado a descifrar su combinación de nombre de usuario y contraseña.
Puede recibir una gran cantidad de registros de spam si permite que los usuarios se registren para cuentas de suscripción. Cambie la URL de inicio de sesión del administrador o agregue una pregunta de seguridad a la página de registro e inicio de sesión para evitar esto.
Puede instalar un complemento como la URL de inicio de sesión personalizada o WPS Hide Login para cambiar la URL de inicio de sesión de wp.
Cambiar nombre de usuario de WordPress
Cuando cree un blog, se le dará la opción de ingresar un nombre de usuario, que se utilizará para iniciar sesión en su blog o sitio web.
La mayoría de las personas lo dejan como " administrador " por defecto y se olvidan de cambiarlo después.
Considere lo simple que sería incluso para un hacker pobre predecir eso. ¡ja ja! Noté una sonrisa en tu rostro.
Tienes que hacerlo único e imposible de adivinar. Si no está seguro de cómo lograrlo, he puesto un tutorial simple sobre cómo cambiar su nombre de usuario de WordPress.
Autenticación de dos factores
¿Ha utilizado la autenticación de dos factores para sus cuentas de Gmail antes? Si está familiarizado con él, probablemente haya descubierto de lo que estoy hablando.
La autenticación de dos factores es una técnica simple para mantener su sitio de WordPress a salvo de los piratas informáticos.
Recibirá una OTP al iniciar sesión si conecta su blog a su teléfono celular para la autenticación de dos factores. Podrá iniciar sesión ingresando ese número.
Esto lleva la seguridad a un nuevo nivel y agrega otra capa a la mezcla. Puede encontrar una breve lección sobre la autenticación de dos factores de WordPress aquí.
Proteger con contraseña el administrador de WordPress y la página de inicio de sesión
En general, los piratas informáticos tienen acceso sin restricciones a su carpeta wp-admin y a su página de inicio de sesión. Esto les da la oportunidad de probar sus habilidades de piratería o lanzar ataques DDoS.
En el lado del servidor, puede implementar una mayor protección con contraseña, lo que esencialmente detendrá esas solicitudes.
Siga nuestros pasos paso a paso para asegurar su wp-admin de WordPress con una contraseña.
Límite de intentos de inicio de sesión
En WordPress, por defecto, los usuarios pueden intentar iniciar sesión tantas veces como quieran. Si a menudo olvida qué letras son mayúsculas, esto puede ayudar, pero también lo expone a ataques de fuerza bruta.
Puede limitar el número de intentos de inicio de sesión hasta que los usuarios queden bloqueados temporalmente. Reduce sus posibilidades de ser atacado por la fuerza bruta ya que el hacker queda bloqueado antes de que se complete su ataque.
Usando un complemento de intentos de límite de inicio de sesión de WordPress, puede habilitar fácilmente esta función.
Usando Configuración> Intentos de límite de inicio de sesión, puede cambiar la cantidad de intentos de inicio de sesión una vez que haya instalado el complemento.
Cerrar sesión de usuarios inactivos en WordPress
Los usuarios que han iniciado sesión pueden desviarse ocasionalmente de sus pantallas, lo que representa un riesgo para la seguridad. Alguien puede tomar el control de su sesión, cambiar sus contraseñas y modificar su cuenta.
Esta es la razón por la que muchos sitios web bancarios y financieros bloquean automáticamente a los usuarios inactivos. También se puede implementar una funcionalidad similar en su sitio de WordPress.
El complemento de cierre de sesión inactivo debe estar instalado y activado. Para configurar los ajustes del complemento, haga clic en Ajustes » Cerrar sesión inactivo después de la activación.
Configure el temporizador y un mensaje de cierre de sesión y ya está. No olvide guardar sus cambios haciendo clic en el botón Guardar cambios.
Agregar pregunta de seguridad en la pantalla de inicio de sesión de WordPress
Agregar una pregunta de seguridad a su pantalla de inicio de sesión de WordPress hace que obtener acceso no autorizado sea mucho más difícil.
La instalación del complemento Preguntas de seguridad de WP le permitirá agregar preguntas de seguridad. Para configurar los ajustes del complemento, vaya a Ajustes » Preguntas de seguridad después de que se haya activado.
Consulte nuestro tutorial sobre cómo agregar preguntas de seguridad a WordPress para obtener más información.
Deshabilitar la exploración de directorios
Otra etapa que examina un webmaster es esta. Cuando se trata de la seguridad del sitio web, este es un hecho poco conocido.
Sin embargo, si la exploración de su directorio raíz está habilitada. Un lector, visitante o hacker puede acceder a archivos como temas, complementos, imágenes y mucho más.
Aquí se explica cómo evitar la exploración de directorios en WordPress usando el archivo .htaccess.
Deshabilitar la edición de archivos
En su tablero de WordPress, hay una herramienta de edición de código que le permite cambiar su tema y complementos mientras configura su sitio.
Apariencia>Editor es donde lo encontrará. También puede acceder al editor de complementos dirigiéndose a Complementos>Editor.
Le recomendamos que deshabilite esta funcionalidad una vez que su sitio esté en línea. Los piratas informáticos pueden introducir código sutil y dañino en su tema y complemento si obtienen acceso a su panel de administración de WordPress.
La codificación a menudo es tan sutil que no se dará cuenta de que algo anda mal hasta que sea demasiado tarde.
Simplemente ingrese el siguiente código en su archivo wp-config.php.
define('DISALLOW_FILE_EDIT', true);Este proceso lo ayudará a evitar la posibilidad de modificar complementos y archivos de temas desde el tablero.
Deshabilitar XML-RPC en WordPress
Desde WordPress 3.5, XML-RPC se ha habilitado de manera predeterminada para ayudarlo a conectar su sitio de WordPress con aplicaciones móviles y servicios web.
Un ataque de fuerza bruta puede verse significativamente amplificado por XML-RPC debido a su poderosa naturaleza.
En el pasado, si un hacker quería probar 500 contraseñas diferentes en su sitio, tendría que iniciar sesión 500 veces. El complemento de bloqueo de inicio de sesión detectaría y bloquearía estos intentos.
Sin embargo, con XML-RPC, un pirata informático puede usar la función system.multicall para probar miles de contraseñas con solo 20 o 50 solicitudes.
Por lo tanto, si no usa XML-RPC, debe deshabilitarlo. Esto puede ser manejado por un firewall si está utilizando el firewall de aplicaciones web mencionado anteriormente.
Ocultar archivos wp-config.php y .htaccess
Si bien ocultar los archivos .htaccess y wp-config.php de su sitio para evitar que los piratas informáticos accedan a ellos es un método sofisticado para aumentar la seguridad de su sitio, es una práctica inteligente si se toma en serio su seguridad.
Recomendamos encarecidamente a los desarrolladores experimentados que adopten esta opción, ya que es fundamental realizar primero una copia de seguridad de su sitio y continuar con precaución. Cualquier error puede hacer que su sitio web no esté disponible.
Después de realizar una copia de seguridad, hay dos cosas que debe realizar para ocultar los archivos:
Para comenzar, agregue el siguiente código a su archivo wp-config.php:
<Files wp-config.php> order allow,deny deny from all </Files>Agregará el siguiente código a su archivo .htaccess de manera similar.
<Files .htaccess> order allow,deny deny from all </Files>Aunque el procedimiento es sencillo, debe asegurarse de tener una copia de seguridad en caso de que algo salga mal.
Quitar la versión de WP
Anteriormente hemos discutido las actualizaciones de WordPress. Ahora también es lógico mantener tu versión de WordPress oculta de los piratas informáticos.
Tengo curiosidad por saber cómo pueden ver la versión de WordPress en la que se encuentra, dado que tiene las credenciales de inicio de sesión.
Los piratas informáticos pueden verificar fácilmente la versión de WordPress mirando la página de origen. Todo lo que tienen que hacer ahora es
CTRL F – clic derecho (en la página web) – Ver código fuente de la página (Buscar versión). Se parecerá a la etiqueta que se ve a continuación.
Habilitar un firewall de aplicaciones web
Probablemente conozca el concepto de firewall, que es un programa que ayuda a proteger su computadora de varios tipos de ataques maliciosos. Es casi seguro que tiene un firewall instalado en su PC.
Un cortafuegos de aplicaciones web (WAF) es un tipo de cortafuegos diseñado específicamente para proteger sitios web. Se pueden proteger servidores, sitios web particulares o grandes grupos de sitios web.
Un firewall de aplicaciones web (WAF) en su sitio de WordPress actuará como un firewall entre su sitio y el resto de Internet. Un cortafuegos vigila comportamientos sospechosos, detecta ataques, virus y otros sucesos no deseados, y bloquea cualquier cosa que considere peligrosa.
Instalar certificado SSL
SSL, o Secure Sockets Layer, ahora se usa ampliamente para todo tipo de sitios web. Inicialmente, se requería SSL para hacer que un sitio web fuera seguro para procesos específicos, como el procesamiento de pagos. Hoy, sin embargo, Google se ha dado cuenta de su importancia y otorga a los sitios web habilitados para SSL una clasificación más alta en sus resultados de búsqueda.
Se requiere SSL para cualquier sitio que maneje datos confidenciales, como contraseñas o números de tarjetas de crédito. Todos los datos entre el navegador web del usuario y su servidor web se transfieren en texto sin formato si no tiene un certificado SSL.
Los piratas informáticos pueden ser capaces de leer esto. El uso de un SSL cifra la información importante antes de que se envíe entre su navegador y su servidor, lo que dificulta su lectura y aumenta la seguridad de su sitio.
El precio promedio de SSL para sitios web que aceptan información confidencial es de aproximadamente $ 70- $ 199 por año. No necesita pagar por un certificado SSL si no acepta ningún dato confidencial. Casi todos los proveedores de alojamiento proporcionan un certificado SSL gratuito de Let's Encrypt que puede usar para proteger su sitio web.
Di no a los temas anulados
Un tema premium de WordPress se ve más profesional y ofrece más opciones de personalización que un tema gratuito. De todos modos, es difícil argumentar que obtienes lo que pagas con un tema gratuito.
Todos los temas premium están diseñados por desarrolladores altamente experimentados y se prueban antes de publicarse. Si algo sale mal con su sitio, puede obtener soporte completo. No hay restricciones para personalizar un tema. Además, la actualización de un tema es regular.
Hay algunos sitios que también ofrecen temas anulados o descifrados. Los temas anulados son versiones de temas premium que han sido pirateados y están disponibles ilegalmente. Esto puede poner en riesgo su sitio. Los códigos maliciosos ocultos dentro de estos temas podrían arruinar su sitio web y su base de datos o robar sus credenciales de inicio de sesión.
Aunque uno podría ahorrar un poco de dinero, es importante que cualquier propietario de un sitio web evite usar esos temas de WordPress anulados.
Actualización regular de la versión de WordPress
La forma más efectiva de mantener seguro su sitio web de WordPress es mantenerlo actualizado. A menudo se realizan algunos cambios con cada actualización, incluidas las actualizaciones de seguridad. Actualizar su software con regularidad puede evitar que se convierta en un objetivo de vulnerabilidades y lagunas que los piratas informáticos aprovechan para acceder a su sitio.
Las mismas razones se aplican a la actualización de complementos y temas.
WordPress descarga automáticamente las actualizaciones menores de forma predeterminada. Sin embargo, las actualizaciones que requieren cambios importantes deben realizarse directamente a través de su panel de administración de WordPress.
Cambiar prefijo de tabla de base de datos
Es posible que haya notado una ventana de diálogo que solicita un determinado prefijo para comenzar algo como wp_ al instalar WordPress en sus servidores. Eso es lo que implica. Esta es la base de datos para su sitio de WordPress. El nombre de la carpeta es wp_.
No sorprende que lo que sea común pueda ser deducido por los llamados piratas informáticos. También es una buena idea modificar el prefijo de cualquier cosa que hayas creado. Todo vale en mywpsite_, friendswp_, etc.
Simplemente puedo lograr esto accediendo a la base de datos de su sitio web. Sin embargo, si no está familiarizado con todos los detalles técnicos, los complementos siempre están disponibles.
Instale el mejor complemento de seguridad de WordPress
Existen varios complementos de seguridad para WordPress, tanto gratuitos como premium. Y es una excelente opción instalar uno de los complementos para su sitio web de WordPress.
En esta guía, veremos cómo podemos crear un entorno de seguridad sólido como una roca alrededor de nuestro sitio de WordPress a través de Defender Pro creado por WPMU DEV.
Funciones destacadas de Defender Pro
Las poderosas barreras de seguridad de WordPress de Defender y las tecnologías de encubrimiento contra piratas informáticos, fuerzas brutas y bots dañinos.
- Comprobaciones de seguridad periódicas
- Bloqueo de IP de geolocalización
- Enmascaramiento y protección de inicios de sesión
- Registro de auditorías
- Autenticación mediante dos factores
- Seguimiento de la lista de bloqueo
- Informes sobre vulnerabilidades
- Restauración y reparación de archivos modificados
Instale el complemento Defender Pro WordPress
Después de instalar Defender Pro, encontrará una opción categorizada disponible, que es fácil de entender incluso para los principiantes.
Panel de control, recomendaciones, escaneo de malware, registro de auditoría, firewall, WAF, herramientas 2FA, configuraciones, tutoriales.
Una vez que complete el escaneo, verá una pantalla como esta en Defender Pro Dashboard.
Cuando el sitio encuentra un problema de seguridad, el complemento proporciona un consejo sobre cómo proceder con el remedio. Eso es interesante.
Defender Pro va un paso más allá al proporcionar sugerencias completas y procesables que se adaptan al sitio y abordan los riesgos actuales y futuros.
Lo que hace que estas sugerencias se destaquen es que puede ajustar la acción que realiza.
Si habilitó accidentalmente " actualizar claves de seguridad antiguas ", aún puede deshabilitar o cambiar la frecuencia del recordatorio. Esto mantiene el sitio seguro y actualizado.
Conclusión – Seguridad de WordPress
Un método para asegurar su sitio de WordPress puede llevar algo de tiempo, pero al final valdrá la pena. En lugar de terminar diciendo que mi sitio web de WordPress fue pirateado.
Le mostré los métodos para usuarios de bricolaje y también el complemento. De cualquier manera, elija, la seguridad de un sitio web de WordPress es crucial para cualquier usuario.
20% de descuento en WPMU Dev
Defender Pro es el complemento de seguridad fantástico para proteger su sitio web de WordPress. Puede obtener un 20% de descuento en WPMU DEV en la membresía.