Seguridad de WordPress: consejos esenciales para todos los propietarios de sitios

¿Sabías que hay más de 90.978 ataques a sitios web de WordPress cada minuto? Afortunadamente, aunque este número suena enorme, si sigue las reglas básicas de seguridad, puede prevenir la mayoría de los ataques potenciales y hacer que su sitio web sea a prueba de ataques.

O al menos hacer que sea tan difícil entrar que los piratas informáticos prefieran apuntar a uno de los miles de dispositivos mal protegidos. Lo cual no es tan difícil de hacer, especialmente si considera que muchos ataques se realizan después de que los escáneres de vulnerabilidades automatizados encuentran formas potenciales de entrar. Entonces, ¿cómo aumentar la seguridad de su sitio de WordPress? Aquí están los 6 consejos esenciales.

1. Mantenga su instalación, temas y complementos de WP actualizados

Una obviedad pero frecuentemente ignorada. Según WordPress.org , 1/3 de todos los sitios web de WordPress no se han actualizado a la última versión. Además de eso, casi 2/3 de todos los servidores web usan PHP anterior a 7.0. La instalación obsoleta de WordPress y los marcos del servidor representan una gran amenaza para su sitio y aumentan el riesgo de una violación exitosa, ya que los piratas informáticos intentarán acceder a su sitio web utilizando vulnerabilidades no parcheadas.

De hecho, si mantiene actualizados todos sus temas, complementos y WordPress, estará más seguro que el 75% de todos los sitios legítimos, ya que se estima que tres de cada cuatro sitios contienen vulnerabilidades sin parches. Afortunadamente, obtener las últimas versiones de sus complementos, temas y WP en sí es bastante sencillo: todo lo que necesita son unos pocos clics en un botón.

Al mismo tiempo, asegurarse de que su servidor esté ejecutando la última versión de PHP puede llevar un poco más de tiempo. Es por eso que es mejor comunicarse con su soporte de alojamiento y pedirles que le indiquen una guía sobre cómo puede actualizarlo usted mismo o incluso pedirles que lo actualicen por usted.

2. Instale un escáner de malware y un cortafuegos

Si pensabas que solo tu PC puede verse afectada por malware, virus y ataques de fuerza bruta, no podrías estar más equivocado. WordPress no solo puede verse afectado, sino que, de hecho, es el CMS de sitios web más infectado , lo que probablemente tenga mucho que ver con su popularidad.

La buena noticia es que hay muchos firewalls y escáneres de malware gratuitos y de pago para WordPress. Uno de los más populares es Wordfence Security , que ofrece escaneo de malware y firewall, y viene en versiones gratuitas y de pago.

3. Obtenga un VPS y conviértalo en una fortaleza

En comparación con un alojamiento compartido, un VPS le permite controlar todos los aspectos de su configuración. Gracias a eso, no solo puede hacer que su sitio web sea más rápido, sino también asegurarse de que su entorno de alojamiento, el servidor, esté debidamente protegido.

En un VPS no administrado, depende de usted elegir el sistema operativo (por ejemplo, CentOS se considera más seguro en comparación con Ubuntu), el firewall y otro software que instale, como los escáneres de malware (que debe instalar tanto en WordPress como en el servidor mismo).

Además, al instalar su WordPress en un VPS donde tiene acceso de raíz, es fácil cambiar cosas como las contraseñas de MySQL o cambiar el nombre de las carpetas de WordPress y reconfigurar sus archivos para reducir la posibilidad de un posible ataque. Aunque algo de eso también se puede hacer usando complementos de seguridad.

Naturalmente, para aprovechar todos los beneficios de un servidor privado virtual (velocidad, flexibilidad y escalabilidad, por nombrar algunos), debe alquilar un servidor de una empresa que ofrezca diferentes paquetes de precios que sean fáciles de actualizar si necesita más recursos. Puedes ver un gran ejemplo de una oferta de este tipo aquí .

4. Oculte /wp-admin y su instalación de WordPress

¿Por qué decirle al mundo que está ejecutando WordPress en primer lugar? Si bien es un excelente sistema de administración de contenido, no necesariamente tiene que presumir de ejecutarlo. Especialmente que proporciona al intruso potencial información valiosa. Por ejemplo, a menos que oculte WordPress, sitios web como ¿Qué tema de WordPress es ese? divulgar información no solo sobre el tema que usa, sino también sobre algunos de los complementos. Es como decirle al hacker oye, así es como puedes entrar:

Entonces, ¿cómo oculta la información de su sitio WP de las miradas indiscretas de posibles intrusos? Afortunadamente, no necesita ninguna habilidad técnica en absoluto. Donde hay demanda, hay complementos de WordPress, que puede usar para hacer eso; el más popular es Hide My WP by the wave, que puede ocultar su página de inicio de sesión y hacer que los detalles sobre su sitio web de WordPress sean invisibles (desafortunadamente, hay sin versión gratuita).

Alternativamente, puede obtener la versión gratuita de iThemes Security , que no le brinda tantas opciones de ocultación (aunque le permite ocultar la página de inicio de sesión), pero viene con muchas otras ventajas de seguridad.

5. Cambie su nombre de usuario de WP y manténgalo oculto

Al igual que no debe usar la palabra contraseña como su contraseña real, dejar el nombre de usuario predeterminado de WordPress como administrador puede tener consecuencias nefastas. Al final, es probable que sea lo primero que cualquier posible intruso intente adivinar, por lo que al usarlo, les resulta increíblemente fácil averiguar los detalles de su cuenta de administrador.

¿Cómo cambiarlo? Hay dos maneras en las que puedes hacer eso. Puede buscar un complemento que pueda hacerlo por usted o seguir el método manual. Personalmente, prefiero lo último, ya que es igual de rápido y fácil, y cualquiera puede hacerlo. Pero, debido a que WordPress no le brinda una opción lista para usar para cambiarlo, debe usar una pequeña solución. Primero, inicie sesión en su sitio y vaya a Usuarios > Agregar nuevo.

Una vez allí, inserte el nombre de usuario de su nueva cuenta de administrador y asegúrese de configurar el rol de usuario como Administrador. Una vez hecho esto, haga clic en Mostrar contraseña y cambie o copie la contraseña predeterminada (segura).

Después de crear el usuario, cierre sesión en el sitio e inicie sesión con el nuevo usuario. Vaya a Usuarios > Todos los usuarios y elimine la antigua cuenta de administrador de WordPress. Pero eso no es todo. Necesitas una cuenta para publicar tus publicaciones, ¿verdad? En lugar de publicarlos usando un administrador que, debido a los enlaces permanentes, hace que su nombre de usuario sea fácil de adivinar (a menos que juegues con ellos), continúa y crea una cuenta separada. Esta vez, en lugar de establecer su rol en un administrador, configúrelo en uno que no tenga capacidades de administrador (como el de autor o editor).

Una vez hecho esto, continúe y configure el autor de todas las publicaciones existentes para el nuevo usuario (puede hacerlo en Todas las publicaciones> Edición rápida debajo de cada artículo).

6. Asegure las cuentas de usuario existentes de WordPress

¿Trabaja con asistentes virtuales o tiene empleados que pueden acceder a su sitio web de WordPress? En este caso, es mejor no darles acceso a todos los complementos y datos. Al final, probablemente no tengan que poder configurar todos los complementos en su sitio. Y, a menos que sea un desarrollador de confianza, definitivamente no debería tener acceso al editor de temas. ¿Cómo restringir su acceso? Una de las formas es crear sus cuentas y establecer sus roles en uno de los predeterminados del colaborador, autor o editor.

Pero, ¿qué sucede si desea bloquearlos de más de lo que estos roles restringen mientras les da acceso a partes del sitio web que la configuración predeterminada no les proporciona? En este caso, puede usar un complemento gratuito como User Role Editor , que le permite crear nuevos roles y establecer a qué elementos del sitio web pueden acceder.

7. Supervise la actividad a través del registro de auditoría

¿Y qué sucede si no puede limitar el acceso de sus usuarios a la mayoría de los elementos vulnerables de su sitio web, pero le gustaría al menos saber quién cambió o editó qué, en caso de que algo salga mal? Para obtener una descripción general en forma de un registro de auditoría completo, puede instalar el registro de auditoría de seguridad de WP . Su versión gratuita es más que suficiente para brindarle una cómoda visión general de la actividad de sus empleados y asistentes virtuales:

8. Haga que el inicio de sesión sea más seguro con Google Authenticator

Hablando de usuarios, hay una cosa más que puede hacer para que su sitio sea aún más seguro. Imagine que le roben sus credenciales de WordPress (o las de sus empleados). En este caso, dependiendo del rol de usuario de su empleado, un intruso podría obtener acceso a todo el sitio web de WP. Para evitar que eso suceda, considere agregar una autenticación de dos factores al iniciar sesión. La forma más fácil de hacerlo es con el complemento Google Authenticator . Una vez hecho esto, incluso si alguien obtiene su nombre de usuario y contraseña, no podrá iniciar sesión sin el código proporcionado por la aplicación Google Authenticator.

Como puede ver, aunque WordPress se considera el sistema de administración de contenido más vulnerable de todos los populares, no es tan difícil minimizar o incluso deshacerse por completo de los riesgos más comunes y asegurar los elementos más amenazados en su sitio web.

Si sigue los consejos anteriores, tenga cuidado al dar acceso a su sitio a otros y mantenga actualizados los elementos de su sitio, su sitio web y, con él, su negocio estará a salvo de posibles intrusos. Sin mencionar cuánto puede ahorrar solo evitó la brecha de seguridad.