Seguridad de WordPress: mejore la seguridad de su sitio con estos pasos

Publicado: 2018-05-23

En la web, la mayor cantidad de sitios web se ejecutan en la plataforma WordPress. Significa que WordPress está gobernando la web. Llama la atención de elementos maliciosos en la web. Por lo tanto, Google prohíbe casi 20 000 sitios web por malware y 50 000 sitios web por phishing cada año.

En un escenario tan sombrío, la seguridad del sitio web se vuelve vital. Los incidentes de ataques registrados son los más altos en la plataforma de WordPress debido a la mayor cantidad de sitios web que se ejecutan con el código de WordPress. Por lo tanto, hoy me gustaría destacar algunos pasos prácticos que lo ayudarían a proteger su sitio web de WordPress.

Asegurar la entrada de usuarios de su sitio web de WordPress

En la vida real, cuando queremos asegurar una premisa como el hogar, la oficina o la fábrica, primero observamos los puntos de acceso donde los elementos traviesos o maliciosos pueden intentar ingresar. Se debe aplicar la misma estrategia para asegurar su sitio web de WordPress.

Ahora, evalúemos los posibles puntos de entrada a través de piratas informáticos o usuarios malintencionados que pueden acceder a su backend o al código fuente. De forma predeterminada, la URL de acceso al backend de WordPress termina con:

/wp-login.php o /wp-admin/

Por lo tanto, debe tomar las medidas adecuadas para bloquear la entrada de usuarios no deseados a su página de back-end de WordPress.

Cambiar URL de inicio de sesión

Si es un desarrollador de WordPress, ya sabe cómo cambiar la URL predeterminada del backend del sitio, pero para usuarios avanzados o usuarios de bricolaje, un complemento o extensión de seguridad avanzada puede permitirle hacerlo. Por lo tanto, puede cambiar

  • /wp-login.php a /Su-Nombre-de-Dominio-login.php
  • /wp-admin/o /Su-nombre-de-dominio-admin/
  • /wp-login.php?action=registrar o /su-nombre-de-dominio-registro

Por lo tanto, este tipo de URL personalizada puede ayudarlo a protegerse de los ataques de fuerza bruta en gran medida.

Cambie el nombre de usuario

De forma predeterminada, la mayoría de los desarrolladores de WordPress establecen la palabra clave 'Admin/admin' como nombre de usuario. Facilita el trabajo de los piratas informáticos y usuarios no deseados para acceder al backend de su sitio de WordPress y tienen que emplear su base de datos Guess Work (GWDb) solo para adivinar la contraseña.

Si cambia su nombre de usuario predeterminado a algo que es impredecible como su dirección de correo electrónico, puede reducir la amenaza de los atacantes y su software.

Cambia la contraseña

There are many ways to protect the password.

Al igual que el nombre de usuario, la contraseña siempre está amenazada. Hay muchas formas de proteger las actividades de adivinación de contraseñas. Por ejemplo, usar una contraseña muy compleja con una combinación de minúsculas, mayúsculas, números y símbolos.

Sin embargo, las tendencias recientes de autenticación de dos factores son una forma excelente y sólida de asegurar el acceso a su backend para todos los niveles de usuarios. Los teléfonos móviles/teléfonos inteligentes son dispositivos útiles para acceder a OTP (contraseña de un solo uso) para autenticar el sistema 2FA.

Configuración de bloqueo y prohibición

Para evitar intentos de fuerza bruta e implementar el bloqueo o prohibición de esas direcciones IP, hay muchos complementos y software disponibles para reconocer intentos repetidos de inicio de sesión o registro. Los complementos le permiten establecer una cantidad de intentos fallidos y proporcionar otras funciones para evitar el acceso no autorizado al backend de su sitio web.

Asegurar el panel de administración de su sitio web de WordPress

For WordPress backend users, the dashboard is the most engaging and highly used part of the backend.

Para los usuarios de backend de WordPress, el panel de control es la parte más atractiva y más utilizada del backend. Proporciona todas las herramientas y opciones para administrar todo el sitio web desde el uso predeterminado hasta la personalización. Si alguien piratea el tablero con éxito, será la mayor victoria para los piratas informáticos y la más dañina para los propietarios del sitio web.

Por lo tanto, debemos tomar medidas especiales para el panel de administración de WordPress . Las siguientes son posibles medidas que podemos tener en cuenta a partir de ahora.

Cuide el directorio 'wp-admin'

Todo se coloca en un directorio wp-admin que le permite administrar los sitios web completos, incluidos los recursos y los archivos. Por lo tanto, evitar el acceso no autorizado al directorio significa eliminar la mayoría de los peores por adelantado.

Hay algunos complementos desarrollados por la comunidad de WordPress para proteger el directorio con contraseña. Por lo tanto, los usuarios administradores de WordPress deben usar dos contraseñas diferentes para acceder al tablero. Uno para la página de inicio de sesión y otro para el tablero. Dichos complementos generan automáticamente el archivo [.htpasswd], luego cifran la contraseña y configuran los permisos del archivo.

Agregar usuarios administradores con suficiente cuidado

Aparte del superadministrador que tiene todos los privilegios del backend, otros usuarios también tienen acceso al backend con diferentes niveles de acceso a las características y funciones del backend. El acceso basado en roles al backend es posible, y puede otorgarles diferentes nombres de usuario y contraseñas que considere más seguros.

Supervisar archivos importantes en el directorio de administración

Puede usar algunos complementos para monitorear actividades sospechosas para que todos los usuarios administradores tomen medidas en tiempo real cada vez que se detecten amenazas de seguridad.

Cifrar datos

Security Socket Certificate (SSL)

Si ha implementado el Certificado de socket de seguridad (SSL) que utiliza la última tecnología de encriptación para proteger sus datos almacenados e intercambiados, puede evitar que suceda algo malo en el medio y proteger todas las áreas de administración de WP, así como el sitio web.

Asegurar la base de datos de su sitio de WordPress

La plataforma de WordPress depende en gran medida de la base de datos porque todos los activos del sitio web se almacenan en bases de datos en su mayoría formatos tabulares en tipos de bases de datos SQL, ya sean textos, imágenes, código de diseño, contenido multimedia y cualquier cosa en un sitio de WordPress tiene un lugar en la base de datos.

Para proteger las bases de datos de las inyecciones de SQL y otros ataques cibernéticos, puede proteger su base de datos con las siguientes medidas.

Establecer contraseña para la base de datos

Puede establecer una contraseña segura para su base de datos y restringir el acceso a la base de datos hasta el rol de superadministrador para minimizar la manipulación de la base de datos o las posibilidades de errores.

Cambiar el prefijo de WP

Si va a instalar un sitio web de WordPress, puede encontrar una configuración para una tabla de base de datos, y es un prefijo de tabla WP. De forma predeterminada, es wp- y debe cambiarlo para evitar inyecciones de SQL como ataques a bases de datos. Puede cambiarlo de wp- a Your-Domain-Name como un prefijo personalizado.

Realice una copia de seguridad periódica de la base de datos

Puede tener una copia de seguridad periódica de todo el sitio web o no, pero organizar una copia de seguridad de la base de datos puede evitar que se produzcan pérdidas de datos debido a varios motivos conocidos y desconocidos. Hoy tenemos complementos de copia de seguridad con privilegios especiales para realizar copias de seguridad de la base de datos con una frecuencia diferente .

Alojamiento seguro de su sitio de WordPress

Hoy en día, alojar un sitio web es fundamental para su éxito porque los motores de búsqueda requieren un alojamiento compatible con SEO ideal para cumplir con sus requisitos de clasificación. Del mismo modo, los usuarios del sitio web, incluidos los usuarios backend y frontend, la optimización del rendimiento, la optimización de la conversión y las experiencias de los usuarios dependen en gran medida del entorno de alojamiento y la calidad del alojamiento en su conjunto.

Hoy en día, tenemos varias opciones de alojamiento además de los servicios de alojamiento comunitario predeterminados de WordPress, como alojamiento compartido, alojamiento VPS, alojamiento dedicado y, lo que es más importante, servicios de alojamiento basados ​​en la nube como Kinsta para diferentes escalas y tamaños de sitios web.

Archivo seguro wp-config.php

Secure wp-config.php File.

El acceso al archivo wp-config.php de WordPress es un logro crítico para que los piratas informáticos logren sus malas intenciones fácilmente porque contiene información muy crítica sobre toda su instalación de WordPress.

La mejor manera es mover el archivo a un nivel más alto que el directorio raíz. Puede hacerlo fácilmente porque WordPress puede verlo incluso si se encuentra fuera del directorio raíz de WordPress. Por lo tanto, el servidor puede encontrarlo fácilmente en un nivel superior.

Editar archivo de prohibición

En un servidor de alojamiento, la fuente de su sitio web tiene varios archivos con información crítica y permisos para ejecutar su sitio sin problemas. Si los piratas informáticos o los elementos maliciosos piratean el servidor y acceden a esos archivos, pueden causar daños de diferente intensidad.

Si no permite la edición de archivos para nadie, excepto para el superadministrador, puede evitar esas pérdidas fácilmente. Puede hacerlo simplemente agregando una línea de código al final del archivo wp-config.

Tenga cuidado al establecer permisos de directorio

Los directorios, subdirectorios y archivos en su servidor de alojamiento son aspectos importantes de seguridad de WordPress. Si establece permisos incorrectos para estos componentes de su sitio web. Puede aumentar las posibilidades de ataques una vez que el servidor se comprometa de todos modos.

Por lo tanto, debe configurar el permiso 755 para directorios/subdirectorios y el permiso 644 para archivos. Al usar las herramientas del administrador de archivos disponibles en hosting/c-Panel, puede configurar o cambiar los permisos fácilmente. Para obtener más información acerca de los permisos de archivos: comprender los permisos de archivos y usarlos para proteger su sitio .

Conexión correcta del servidor

Tradicionalmente, usamos el protocolo FTP para la conexión al servidor. Pero SFTP o SSH es una forma más segura y confiable hoy en día para establecer una conexión con el servidor.

Protección de temas y complementos de su sitio de WordPress

WordPress Security - Securing Themes of Your WordPress Site.

La mayoría de los temas y complementos de WordPress son desarrollados por desarrolladores externos. Esos no son completamente confiables desde el punto de vista de la seguridad. Por lo tanto, debe tomar algunas medidas para representarlos de forma segura. Por ejemplo:

Tome actualizaciones periódicas

Al igual que su sitio web de WordPress, los desarrolladores/empresas de complementos y temas también publican actualizaciones para mantenerse al día con las versiones de WordPress y corregir errores y problemas que conocen gracias a los comentarios de los usuarios. Por lo tanto, intente instalar sus actualizaciones regularmente a través del panel de control utilizando un complemento apropiado.

Ocultar información de la versión de WordPress

Para los atacantes, conocer la información de su versión de WordPress, como el número, puede ayudar a desarrollar un ataque personalizado, y la información de la versión está fácilmente disponible en la fuente de WordPress. Si puede eliminar esa información de la versión usted mismo, o con la ayuda de su desarrollador de WordPress dedicado , puede hacer que la vida de los atacantes sea un poco difícil.

Conclusión

He escrito la publicación anterior teniendo en cuenta a los desarrolladores principiantes y de nivel medio de WordPress, así como a los desarrolladores dedicados de complementos de WordPress. Por lo tanto, la implementación de los consejos descritos para proteger su sitio de WordPress resultaría difícil sin la ayuda de los complementos de seguridad de WordPress más recientes y apropiados. Recomiendo instalar los siguientes complementos para su sitio y hacerlo más seguro que nunca:

  • Todo en uno WP Seguridad y cortafuegos
  • Protección de inicio de sesión de fuerza bruta
  • Seguridad a prueba de balas
  • Autenticador de Google
  • iThemes Security, anteriormente Better WP Security
  • Complemento de seguridad de WordPress de Sucuri
  • WordFence
  • Protección del sitio antivirus WP

Si aún tienes dudas y deseas contar con la ayuda de manos expertas. Perception System proporciona servicios de desarrollo de WordPress, así como instalaciones para contratar desarrolladores de WordPress para ayudar a los clientes necesitados a hacer que su sitio sea completamente seguro y protegido.