Cómo fortalecer WordPress: una guía de 18 pasos con herramientas esenciales
Publicado: 2024-08-01Los sitios web de WordPress pueden volverse vulnerables si no se mantienen bien. Algunas actualizaciones omitidas o un complemento incorrecto y su sitio está en riesgo. Los atacantes también pueden ingresar a través de la página de inicio de sesión si no está protegida adecuadamente o detener su sitio con ataques distribuidos de denegación de servicio (DDoS).
¿Demasiado pesimismo y fatalidad?
Bueno, afortunadamente, estos ataques se pueden prevenir fácilmente si tomas las medidas necesarias para fortalecer WordPress. El sistema de gestión de contenidos (CMS) le brinda control total sobre la configuración de su sitio, lo que significa que puede implementar estrategias para protegerlo de diferentes tipos de ataques.
En este artículo, le brindaremos un curso completo sobre seguridad de WordPress. Discutiremos qué herramientas debe usar, repasaremos 18 pasos para fortalecer WordPress y le mostraremos cómo Jetpack Security puede ayudarlo a mantener su sitio seguro con un solo complemento. ¡Hagámoslo!
La importancia de fortalecer su sitio de WordPress
Los ciberatacantes tienden a buscar en la web sitios con vulnerabilidades que puedan explotar. Incluso si su sitio es relativamente nuevo, los atacantes aún pueden atacarlo para distribuir malware o robar datos.
Eso hace que la seguridad de WordPress sea crucial para todos los sitios web. En el momento de escribir este artículo, hay más de 50.000 vulnerabilidades documentadas en WordPress. Esto incluye más de 7.800 complementos vulnerables conocidos y aproximadamente 670 temas.
Las vulnerabilidades continúan aumentando año tras año, debido a la creciente popularidad de WordPress y la gran cantidad de nuevos complementos y temas en el mercado.
Si su sitio es un objetivo, es posible que pierda el acceso a él y sus datos puedan verse comprometidos. Dependiendo de la gravedad de la infracción, la reparación de su sitio web puede llevar un tiempo y eso puede provocar la pérdida de muchas conversiones. Además, si dirige un negocio en línea más grande, ser víctima de un delito cibernético puede provocar graves pérdidas financieras.
La buena noticia es que hay muchas cosas que puedes hacer para proteger tu sitio web de WordPress. Pero para mantenerlo seguro, deberá ser proactivo.
Herramientas esenciales para fortalecer su sitio de WordPress
A lo largo de esta guía, nos referiremos a varias herramientas de seguridad que puede utilizar. Estos le ayudarán a implementar medidas para reforzar su sitio de WordPress. Echemos un vistazo a cuáles son.
1. Un escáner de vulnerabilidades
Un escáner de vulnerabilidades es un software que busca en su sitio web problemas de seguridad. En el caso de WordPress, un escáner revisará los archivos, complementos y temas de su sitio para buscar posibles brechas en la protección que los atacantes puedan aprovechar.
El escáner compara los datos que encuentra con una base de datos de vulnerabilidades, como WPScan. Esta es la base de datos más grande de vulnerabilidades de seguridad conocidas de WordPress, que se actualiza continuamente.
Jetpack Protect es una de las mejores opciones cuando se trata de escanear su sitio web en busca de vulnerabilidades. El complemento le permite aprovechar la base de datos de WPScan ejecutando escaneos automáticos en su sitio web.
Si Jetpack detecta una vulnerabilidad, se lo notificará y le mostrará cómo solucionar el problema. En la mayoría de los casos, esto implicará eliminar o actualizar los complementos o temas vulnerables.
2. Un escáner de malware
Un escáner de malware funciona de manera similar a un escáner de vulnerabilidades. En este caso, el software se centra en encontrar archivos infectados y ayudarle a ponerlos en cuarentena o eliminarlos para que pueda eliminar el malware de su sitio web.
En la mayoría de los casos, los escáneres de vulnerabilidades y malware funcionan de la mano. WPScan, por ejemplo, puede ayudarle a identificar vulnerabilidades y malware en su sitio web de WordPress.
Si usa Jetpack y tiene acceso al plan de seguridad (o actualiza Protect a premium), el complemento escaneará su sitio web en busca de malware y vulnerabilidades. Si encuentra algún problema con su sitio web, el complemento le brindará opciones para resolver estos problemas, a menudo con solo uno o dos clics.
3. Un firewall de aplicaciones web (WAF)
Probablemente esté familiarizado con el concepto de firewall. Este es un programa que bloquea el tráfico entrante o saliente desde un servidor o computadora.
Un firewall de aplicaciones web (WAF) funciona de manera similar. Está diseñado para ayudarlo a bloquear el tráfico malicioso entrante o evitar que el malware en su sitio envíe información.
La mayoría de los WAF vienen preconfigurados con reglas sobre qué tipo de conexiones bloquear. Incluso pueden identificar direcciones IP maliciosas conocidas según su configuración.
Jetpack Protect incluye un WAF con ajustes de configuración sencillos. Puede configurar el WAF para que utilice reglas automáticas, que los expertos en seguridad de Jetpack proporcionan y actualizan periódicamente. Estas reglas automáticas están diseñadas para bloquear exploits de alta gravedad, de modo que incluso si tiene una vulnerabilidad en una extensión, la regla WAF pueda proteger su sitio.
El complemento también le permite colocar direcciones IP específicas en una lista de permitidos o de bloqueo. Esto puede resultar útil si desea limitar quién puede acceder al panel.
4. Una solución de respaldo externa
Las herramientas de respaldo hacen copias de su sitio web y las restauran si es necesario. La idea detrás de las copias de seguridad es que siempre tendrá una copia reciente de su sitio en caso de que no funcione correctamente o de que se enfrente a un problema de seguridad que no pueda solucionar fácilmente.
Para mayor seguridad, se recomienda almacenar copias de seguridad tanto dentro como fuera de su sitio, en caso de que una de ellas falle. De esta manera, los datos de su sitio web nunca se pierden realmente.
Si bien puede realizar una copia de seguridad de su sitio manualmente, utilizar un complemento dedicado como Jetpack VaultPress Backup puede brindarle tranquilidad y automatizar todo el proceso.
Este complemento crea copias de seguridad en tiempo real de su sitio web y las almacena fuera del sitio por hasta 30 días. Todo esto ocurre de forma automática, aunque también puedes crear tus propias copias de seguridad manuales si lo deseas.
Jetpack guarda cualquier cambio que realices en tu sitio a medida que ocurren. Esto elimina el riesgo de pérdida parcial de datos cuando necesita restaurar una copia de seguridad reciente. Simplemente vaya al registro de actividad y elija la fecha y hora que desea restaurar, y Jetpack comenzará a restaurar su sitio de inmediato (incluso si está totalmente fuera de línea).
Hablando del registro de actividad…
5. Un registro de actividad para monitorear los cambios del sitio.
Un registro de actividad es una herramienta que le brinda un desglose de las cosas que suceden en su sitio web. Puede utilizar estos registros para monitorear diferentes tipos de actividad, incluidos inicios de sesión, instalaciones de complementos, cargas de publicaciones e incluso cambios en la configuración de su sitio.
No se puede subestimar la importancia de un registro de actividad. Si colabora con otras personas para administrar un sitio web, esta herramienta le dará una idea de lo que hacen los demás.
También puede utilizar un registro de actividad para solucionar problemas. Por ejemplo, si su escáner de vulnerabilidad detecta repentinamente un problema con un complemento, puede consultar los registros para ver cuándo se instaló el complemento y quién lo instaló.
Jetpack incluye un registro de actividad con una cuenta gratuita de WordPress.com, donde puedes ver los últimos 20 eventos en tu sitio. Con una licencia premium, tendrás acceso a eventos de al menos los últimos 30 días.
Cómo reforzar su sitio de WordPress en 18 pasos
Además de las herramientas que cubrimos en la sección anterior, también deberás tomar medidas para fortalecer WordPress. Estas son las medidas de seguridad más importantes para su sitio.
1. Haga una copia de seguridad de su sitio
Las copias de seguridad son quizás la parte más importante de una estrategia de seguridad integral. Tener copias de seguridad recientes en todo momento significa que si su sitio web está siendo atacado o infectado por malware, siempre podrá restaurar su contenido.
Lo ideal es utilizar un complemento que automatice las copias de seguridad. Esto elimina el riesgo de olvidarse de realizar una copia de seguridad después de realizar cambios importantes en su sitio web.
Como mencionamos, Jetpack VaultPress Backup es una poderosa solución de respaldo que se incluye sola o con un plan calificado como Jetpack Security. Utiliza un sistema de respaldo en tiempo real. Esto significa que guarda cada vez que realiza un cambio en su sitio, por lo que cada nueva modificación queda protegida de inmediato.
Este sistema es preferible a las copias de seguridad programadas. Con este último, corre el riesgo de perder datos si el último punto de restauración está demasiado atrás. Esto no es un problema si usa VaultPress Backup.
2. Instale un complemento de seguridad todo en uno
Hay muchos complementos de seguridad de WordPress para elegir. Algunas herramientas están diseñadas para propósitos específicos, como habilitar un WAF o la autenticación de dos factores (2FA). Otros adoptan un enfoque más holístico y combinan múltiples funciones para proteger su sitio.
La idea detrás de los complementos de seguridad todo en uno es minimizar la cantidad de herramientas de terceros que necesita configurar en su sitio web y, al mismo tiempo, obtener acceso a tantas funciones como sea posible.
Jetpack ofrece una amplia gama de funciones de seguridad. Si opta por el complemento gratuito, obtendrá acceso a un registro de actividad, funcionalidad WAF, una opción de autenticación segura y más.
Puede ampliar la gama de funciones de seguridad que ofrece el complemento registrándose en el plan Jetpack Security. Este plan le brinda acceso a una solución de respaldo, escaneo automatizado de malware con soluciones disponibles con un solo clic, protección contra spam y más.
En términos de valor, Jetpack Security ofrece una de las soluciones de seguridad más completas para los usuarios de WordPress. Y si lo deseas, siempre puedes comenzar a usar el complemento gratuito y actualizar a la versión premium una vez que te sientas cómodo.
3. Actualiza el núcleo de WordPress
Actualizar WordPress a su última versión es una de las cosas más importantes que puede hacer para mejorar la seguridad de su sitio web. Esto se debe a que las versiones más nuevas tienden a incluir correcciones y mejoras de seguridad. Además, los desarrolladores del software suelen lanzar parches para corregir vulnerabilidades urgentes.
El uso de versiones obsoletas de WordPress también puede generar problemas de compatibilidad con complementos y temas. Estos pueden hacer que elementos clave de su sitio web dejen de funcionar.
Mantener WordPress actualizado es sencillo. Cuando acceda al panel, WordPress le indicará si hay actualizaciones disponibles. Puede actualizar WordPress haciendo clic en Panel → Actualizaciones .
Tenga en cuenta que actualizar WordPress puede generar problemas de compatibilidad si sus complementos o temas no son compatibles con la versión más reciente. Para recuperarse de esto, querrá crear una copia de seguridad de su sitio antes de actualizaciones importantes.
Si utiliza VaultPress Backup, esto no será necesario. El complemento hará una copia de seguridad de su sitio en tiempo real para que tenga un punto de restauración disponible antes de la actualización, en caso de que necesite restaurar su sitio.
4. Elimine los complementos y temas no utilizados
A medida que su sitio crece, es posible que necesite nuevos complementos e incluso podría cambiar a un tema diferente. Esto podría introducir más vulnerabilidades en su sitio. Como regla general, es inteligente eliminar cualquier complemento o tema que ya no necesite.
El proceso es sencillo.
Vaya a su página de complementos o temas en el panel. Luego, desactiva y elimina aquellas que ya no utilices.
Si decide reinstalar algunos de estos complementos más adelante, está bien. Sólo te llevará unos minutos instalarlos y activarlos, aunque es posible que tengas que configurarlos nuevamente.
5. Actualice todos los complementos y temas restantes.
Después de limpiar su lista de complementos y temas, querrá verificar si alguno de los elementos restantes en su sitio requiere actualizaciones. Las actualizaciones de complementos y temas pueden ser tan importantes como las actualizaciones principales de WordPress en términos de seguridad, ya que son algunos de los vectores de ataques más comunes.
WordPress le notificará sobre cualquier complemento disponible y actualizaciones de temas cuando acceda al panel. Idealmente, actualizará los componentes de su sitio tan pronto como haya nuevas versiones disponibles.
Puede hacer esto desde las páginas de complementos y temas en el panel.
Si está demasiado ocupado para revisar su sitio todos los días, puede habilitar las actualizaciones automáticas para cada complemento. Esta es una medida simple, pero puede minimizar drásticamente el riesgo de vulnerabilidades en su sitio web.
6. Aplique una política de contraseñas segura
Muy a menudo, las infracciones de sitios web no son causadas por vulnerabilidades de WordPress sino por errores humanos. Muchas personas utilizan credenciales débiles para iniciar sesión en sus sitios web, lo que facilita a los piratas informáticos el acceso al panel.
La mejor manera de evitar esto es aplicar una política de contraseñas segura. Cuando registra una cuenta en su sitio web de WordPress, se genera una contraseña segura para usted.
Si usa Jetpack, también tendrá acceso a la funcionalidad de autenticación de dos factores (2FA), que puede usar para proteger aún más la página de inicio de sesión.
Esto puede resultar muy útil si tiene varios usuarios en su sitio (como autores y administradores de tienda). Incluso si sus usuarios utilizan contraseñas débiles, tendrá el recurso de 2FA para proteger su sitio web contra atacantes con acceso a estas credenciales (más sobre esto más adelante).
7. Limite los intentos de inicio de sesión
En términos generales, si alguien no puede recordar sus datos de inicio de sesión, normalmente probará algunas credenciales diferentes y luego solicitará un restablecimiento de contraseña.
Si observa (a través de los registros de actividad) que una persona está probando una gran cantidad de combinaciones de nombre de usuario y contraseña, probablemente se esté enfrentando a un ataque. Por eso es una buena idea limitar la cantidad de intentos de inicio de sesión que un usuario puede realizar dentro de un período de tiempo específico.
Esta es una característica que está disponible en Jetpack. El complemento ofrece protección de fuerza bruta que puede reconocer direcciones IP maliciosas conocidas y bloquearlas para que no intenten iniciar sesión.
La protección de fuerza bruta está activa de forma predeterminada con Jetpack. Puedes revisar su configuración yendo a Jetpack → Configuración. Aquí, también puede agregar direcciones IP permitidas, para que Jetpack no le impida por error acceder a la página de inicio de sesión.
8. Refuerce la seguridad de inicio de sesión con 2FA
Una encuesta reciente indica que más del 40 por ciento de los desarrolladores consideran la implementación de 2FA como su máxima prioridad. Esta medida minimiza el riesgo de que los atacantes obtengan acceso a su sitio web con credenciales robadas.
La autenticación de dos factores es una característica de seguridad crítica ya que muchos usuarios tienen contraseñas débiles o reutilizan sus credenciales en una variedad de sitios. Con 2FA, requiere que estos usuarios proporcionen otra forma de autenticación.
Como comentamos, Jetpack le permite utilizar 2FA para su sitio web de WordPress. Esto requiere que los usuarios configuren una cuenta de WordPress.com. Luego pueden usar esta cuenta para iniciar sesión en otros sitios web de WordPress, incluso aquellos que usan la versión de código abierto de WordPress.
2FA está disponible con la versión gratuita de Jetpack. La función se puede activar o desactivar y no es necesario modificar configuraciones avanzadas para configurarla, ya que depende de WordPress.com.
9. Eliminar cuentas de usuario no utilizadas
Las cuentas de usuario inactivas pueden representar un riesgo de seguridad para su sitio web, especialmente si tienen permisos de alto nivel (hablaremos más sobre esto en la siguiente sección). Estas cuentas brindan oportunidades adicionales de violaciones de seguridad, ya que sus credenciales pueden verse comprometidas y compartidas en la web.
Es por eso que muchos sitios web eliminarán automáticamente su cuenta si está inactiva durante largos períodos de tiempo (después de advertirle, por supuesto). WordPress le brinda control total sobre su lista de usuarios, lo que significa que puede agregar o eliminar usuarios a voluntad.
Eliminar usuarios es un proceso sencillo. Vaya a Usuarios → Todos los usuarios , busque la cuenta y seleccione la opción Eliminar . WordPress le pedirá confirmación, pero no es necesario que el usuario apruebe la eliminación de la cuenta.
Es posible que desee ponerse en contacto con los usuarios antes de eliminar sus cuentas. Pero si una cuenta ha estado inactiva durante años, probablemente debería eliminarse.
10. Asigne el rol correcto a los usuarios restantes.
Después de limpiar la lista de usuarios, el siguiente paso debería ser revisar los permisos de los usuarios restantes. WordPress utiliza un sistema de roles simple, en el que cada rol tiene un conjunto predeterminado de permisos.
El único rol de usuario con acceso completo a todas las configuraciones de WordPress es el de administrador. Por motivos de seguridad, sólo debería haber un administrador. Otras funciones de WordPress incluyen autores, editores, contribuyentes y suscriptores.
Algunos complementos también agregan nuevos roles de usuario con permisos actualizados.
Cada rol viene con permisos que permiten a los usuarios realizar determinadas tareas. Los autores, por ejemplo, pueden publicar y editar sus propios posts, pero no los creados por otros usuarios.
Idealmente, ningún usuario debería tener un rol que le otorgue más permisos de los que necesita. Asignar roles incorrectos puede generar problemas de seguridad, ya que los usuarios pueden cambiar la configuración de WordPress que no deberían tocar.
Es importante revisar la lista de usuarios periódicamente para asegurarse de que todos tengan asignadas las funciones correctas. Esta sencilla práctica le ayudará a minimizar los problemas de seguridad causados por miembros del equipo con permisos incorrectos.
11. Cambie el nombre de la cuenta "admin" predeterminada
La cuenta de administrador de WordPress es la joya de la corona para los atacantes. Si obtienen acceso a él, podrán hacer lo que quieran en su sitio web, incluido robar datos y colocar malware.
De forma predeterminada, WordPress utiliza el nombre de usuario de administrador para la cuenta de administrador. Puede cambiar esto mientras crea la cuenta, pero no después.
Si está utilizando el nombre de usuario de administrador , es fácil de adivinar para la mayoría de los atacantes, lo que significa que solo necesitan obtener su contraseña. WordPress no le permite cambiar los nombres de usuario existentes, ni siquiera como administrador.
Para evitar esto, puede crear una nueva cuenta de administrador, con un nombre de usuario más seguro, y luego eliminar la primera. Tenga en cuenta que sólo puede hacer esto si es el administrador.
12. Cambiar el prefijo de base de datos predeterminado
De forma predeterminada, WordPress usa el prefijo wp_ para las bases de datos del sitio. Esto hace que sea relativamente fácil adivinar el nombre de la base de datos, lo que a su vez puede ayudar a los atacantes a conectarse a ella.
Puede reducir el riesgo de que las herramientas automatizadas de inyección SQL identifiquen la base de datos cambiando ese prefijo. Idealmente, harás esto durante el proceso de configuración. El asistente de configuración de WordPress le preguntará qué prefijo de base de datos utilizar antes de configurar su sitio web.
Si su sitio ya está activo, deberá modificar el archivo wp-config.php para cambiar el prefijo de la base de datos. Conéctese al sitio web utilizando el protocolo de transferencia de archivos (FTP) y busque el archivo wp-config.php en el directorio raíz de WordPress.
Edite el archivo y busque la línea que dice $table_prefix = 'wp_';. Continúe y reemplace el valor wp_ con el prefijo que desea usar. Su cliente FTP debería cargar los cambios cuando guarde y cierre el archivo.
Ahora, acceda a la base de datos usando phpMyAdmin. Seleccione su base de datos y use SQL pestaña en la parte superior de la pantalla para ejecutar la siguiente consulta para cada tabla en la base de datos:
RENOMBRAR la tabla wp_xxxx A otherprefix_xxxx;
Así es como debería verse esa consulta en la vida real:
Este es un proceso muy sensible, por lo que debes asegurarte de tener una copia de seguridad completa del sitio (incluida la base de datos) antes de intentar cambiar los prefijos.
Una vez finalizado el proceso, asegúrese de que su sitio web esté funcionando bien. Si encuentra algún error, es posible que haya olvidado cambiar el nombre de una de las tablas de la base de datos o haya ejecutado la consulta incorrecta.
Protegemos su sitio. Tú diriges tu negocio.
Jetpack Security proporciona seguridad completa y fácil de usar para sitios de WordPress, que incluye copias de seguridad en tiempo real, un firewall de aplicaciones web, escaneo de malware y protección contra spam.
Asegure su sitio13. Ocultar /wp-admin y /wp-login.php
Probablemente reconozca ambos sufijos de URL. Se utilizan para iniciar sesión en WordPress y acceder al panel. Son fáciles de recordar, pero pueden facilitar el acceso a su sitio web a los piratas informáticos.
Desde el punto de vista de la seguridad, tiene más sentido utilizar un sufijo diferente para ambas URL. Para comenzar, puede consultar este tutorial sobre cómo cambiar la URL de inicio de sesión de WordPress. Esto incluye instrucciones para cambiar wp-login y wp-admin.php tanto manualmente como mediante complementos.
14. Instale un certificado SSL para cifrar datos.
Hoy en día, no hay ninguna razón para que los sitios web no utilicen certificados de capa de conexión segura (SSL). Estos certificados validan la legitimidad de su sitio y le permiten utilizar el protocolo HTTPS para enviar y recibir datos cifrados.
Algunos navegadores advertirán a los usuarios si su conexión a un sitio no es segura o si tiene un certificado SSL no válido o caducado.
Puede seguir esta guía para obtener un certificado SSL gratuito para su sitio web e instalarlo. También puede utilizar uno de los servidores web recomendados por Jetpack, todos los cuales ofrecen certificados SSL gratuitos con configuración automática.
15. Restringir el acceso FTP por dirección IP
De forma predeterminada, cualquier persona que tenga acceso a las credenciales FTP de su sitio web puede conectarse utilizando ese protocolo. Esto significa que, si los atacantes consiguen sus credenciales, pueden modificar casi cualquier aspecto de su sitio.
Algunos servidores web le brindan medidas de seguridad FTP avanzadas, como limitar el acceso por dirección IP. Esto le permite elegir qué direcciones pueden conectarse a su sitio web a través de FTP.
Sólo el administrador y otros miembros del equipo que requieran acceso vía FTP deben tener los permisos necesarios. Esto puede ayudar a minimizar los incidentes de seguridad y ayudarle a identificar quién realizó cambios en archivos clave si tiene problemas con WordPress.
Idealmente, no usará FTP en absoluto y, en su lugar, elegirá SFTP o SSH para acceder a su servidor.
Este proceso variará dependiendo de su proveedor de alojamiento web. Si no está seguro de si su proveedor de hosting le permite restringir el acceso FTP por dirección IP, puede consultar su documentación.
16. Permisos seguros de archivos y directorios
Los sistemas basados en UNIX utilizan reglas de permisos basadas en conjuntos de números. Los archivos y directorios individuales pueden tener diferentes conjuntos de permisos, que rigen quién puede acceder a ellos, editarlos y ejecutarlos.
Puede leer más sobre cómo funcionan los permisos de UNIX en el Manual para desarrolladores de WordPress.
Por ahora, es importante tener en cuenta que existen niveles de permisos ideales para los sitios web de WordPress y sus sistemas de archivos.
Estos son:
- 644 o 640 para archivos. El primer conjunto de números le otorga al propietario acceso completo de lectura y escritura al archivo, y otros usuarios del grupo solo tendrán acceso de lectura. El segundo conjunto de permisos no ofrece acceso de lectura a los usuarios.
- 755 o 750 para directorios. Este conjunto de permisos funciona de la misma forma que el último ejemplo, pero con directorios. 755 le otorga al propietario acceso completo de lectura y escritura, y otros miembros del grupo tienen acceso de lectura.
Puede cambiar los permisos de archivos para su sistema de archivos de WordPress mediante FTP. Para hacer esto, haga clic derecho en un archivo o directorio y seleccione la opción de permisos de archivo (esto puede variar según el cliente FTP que utilice).
Algunos clientes FTP le permitirán establecer permisos de archivos marcando casillas específicas y utilizando el sistema numérico. Eres libre de elegir la opción que prefieras.
17. No permitir la edición de archivos
WordPress incluye editores de archivos de temas y complementos listos para usar, aunque algunos servidores web los desactivan de forma predeterminada. Estos son editores de texto simples que puede usar desde el panel para realizar cambios en el código de los complementos y temas de su sitio web.
Habilitar la edición de archivos desde el panel representa un riesgo para la seguridad. Significa que si los atacantes obtienen acceso al panel, pueden modificar directamente el código del sitio sin necesidad de credenciales FTP ni acceso al panel de alojamiento.
Si su proveedor de alojamiento web le permite utilizar la edición de archivos en WordPress, puede desactivar esta opción manualmente modificando el archivo wp-config.php . Abra el archivo y agregue la siguiente línea de código al final antes de la línea que dice /* Eso es todo, ¡deje de editar! Feliz blog. */ :
define('DISALLOW_FILE_EDIT', true);
Asegúrese de que el valor esté establecido en "verdadero", luego guarde los cambios en wp-config.php y ciérrelo. Si revisa el panel ahora, los editores de temas y complementos ya no deberían aparecer allí.
18. Asegure su archivo wp-config.php
Como ha visto en esta guía de refuerzo de WordPress, el archivo wp-config.php es fundamental desde el punto de vista de la seguridad. Puedes modificar el código del archivo para aumentar la protección de tu sitio web, por lo que es esencial que nadie más tenga acceso a él.
Ya hemos visto una forma de proteger su archivo wp-config.php del acceso no autorizado. Principalmente, implica limitar quién puede conectarse a su sitio web a través de FTP. Idealmente, solo tendrá una o una cantidad limitada de direcciones IP autorizadas para conectarse a través de FTP para reducir el riesgo.
La segunda medida de seguridad que puede tomar es asegurarse de que existan los permisos de archivo adecuados. Si bien los niveles de permiso recomendados para otros archivos son 644 o 640, el archivo wp-config.php debe configurarse en 440 o 400. Esos niveles de permiso significan que otros usuarios además del administrador ni siquiera podrán obtener acceso de lectura. al archivo.
La importancia de las copias de seguridad para la recuperación ante desastres
Automatizar las copias de seguridad es posiblemente la medida de seguridad más importante. Con una copia de seguridad externa reciente a mano, siempre puedes restaurar tu sitio web si algo sale mal.
Si utiliza VaultPress Backup, no necesita preocuparse por crear copias de seguridad manualmente. Puede verificar las copias de seguridad disponibles yendo a Jetpack → VaultPress Backup y haciendo clic en el Ver tus copias de seguridad en el botón de la nube .
Esto le mostrará todas las copias de seguridad disponibles y le ofrecerá la opción de restaurar cualquiera de ellas con un solo clic. VaultPress Backup crea copias en tiempo real de su sitio cada vez que realiza cambios en él, por lo que siempre tendrá copias de seguridad recientes disponibles.
Cómo gestiona Jetpack Security las copias de seguridad para su tranquilidad
Echemos un vistazo más de cerca a cómo Jetpack Security maneja las copias de seguridad. Tenga en cuenta que las siguientes funciones solo están disponibles con planes premium como Jetpack Security, Jetpack Complete o VaultPress Backup.
1. Copias de seguridad en tiempo real
La mayoría de las soluciones de respaldo requieren que usted cree respaldos manualmente o que los genere según un cronograma. Por ejemplo, es posible que tenga la opción de realizar copias de seguridad diarias, semanales o mensuales.
Las copias de seguridad diarias son un gran comienzo, pero incluso así, corre el riesgo de perder datos críticos cuando necesita restaurar su sitio web. Si realizó algún cambio en el sitio después de esa copia de seguridad diaria y antes de la siguiente, deberá volver a implementarlo.
VaultPress Backup resuelve este problema creando copias de su sitio en tiempo real. Cada vez que realices cambios, el complemento hará una copia de seguridad y tendrás un nuevo punto de restauración disponible. Esto significa que no corre ningún riesgo de perder datos.
2. Almacenamiento externo ultraseguro
El almacenamiento puede ser un problema con la mayoría de las soluciones de respaldo. Puede almacenar copias de su sitio en su servidor, localmente o incluso utilizando el almacenamiento en la nube. Las soluciones externas son mejores desde una perspectiva de seguridad porque si el servidor falla, aún tienes acceso a ellas.
VaultPress Backup ofrece su propia solución de almacenamiento externo. No necesita configurar el complemento para que funcione con proveedores de almacenamiento en la nube a medida que obtiene acceso al almacenamiento Jetpack.
El complemento almacenará automáticamente las copias de seguridad de los últimos 30 días fuera del sitio. En cualquier momento, puede seleccionar una de estas copias de seguridad y restaurarla.
3. Restauraciones con un clic
VaultPress Backup facilita la restauración de su sitio web. Todo lo que necesitas hacer es seleccionar la copia de seguridad que deseas restaurar y confirmar tu elección, y el complemento se encargará del resto.
Cuando vuelva a acceder a su sitio web, verá la versión que restauró usando VaultPress Backup. A partir de ese momento, puede continuar realizando cambios en el sitio.
Preguntas frecuentes
Si todavía tiene preguntas sobre cómo proteger su sitio web de WordPress o VaultPress Backup, esta sección las responderá.
¿Qué es el endurecimiento de WordPress y por qué es importante?
Reforzar WordPress se refiere al proceso de aumentar la seguridad de su sitio. Esto dificulta que los atacantes accedan al sitio web.
¿Cuáles son las amenazas más comunes a los sitios de WordPress?
La mayoría de las vulnerabilidades de WordPress provienen de complementos, temas y núcleos de WordPress obsoletos. Es más probable que el software obsoleto tenga vulnerabilidades que los atacantes puedan aprovechar para acceder a su sitio web o hacerse con el control de él.
¿Cómo puedo monitorear mi sitio de WordPress en busca de vulnerabilidades de seguridad?
La forma más sencilla de monitorear su sitio en busca de vulnerabilidades es utilizar un escáner de seguridad. Jetpack Security aprovecha WPScan para revisar su sitio web en busca de vulnerabilidades conocidas de WordPress.
Además, Jetpack puede ayudarle a solucionar cualquier problema de seguridad que encuentre el complemento durante los análisis.
¿Qué debo buscar en un complemento de seguridad de WordPress?
Los mejores complementos de seguridad de WordPress ofrecen una colección de funciones que ayudarán a proteger su sitio web y al mismo tiempo minimizarán la necesidad de otras herramientas de terceros. Puede usar Jetpack con el plan Jetpack Security para obtener acceso a funciones como copias de seguridad en tiempo real, WAF, protección contra spam, implementación 2FA y más.
¿Cuántos sitios confían en Jetpack para la seguridad de su sitio web?
Jetpack es uno de los complementos de WordPress más populares del mercado debido a su gran cantidad de funciones de seguridad y optimización del rendimiento. Más de cinco millones de sitios web utilizan Jetpack, por lo que es una excelente opción tanto para usuarios nuevos como experimentados de WordPress.
¿Jetpack Security también puede ayudar con los comentarios spam y el envío de formularios?
Jetpack Security incluye funciones de protección contra spam que bloquean o filtran automáticamente comentarios spam basándose en algoritmos y datos avanzados. También puedes revisar los comentarios marcados para asegurarte de que no haya falsos positivos.
¿Dónde puedo obtener más información sobre Jetpack Security?
Si desea obtener más información sobre Jetpack Security, puede visitar la página de inicio del plan. Allí podrás encontrar información adicional sobre sus características y registrarte en un plan.
Proteja su sitio web con Jetpack Security
Hay muchas formas de reforzar su sitio web de WordPress. Algunos de estos implican implementar medidas de seguridad como cambiar las URL predeterminadas de inicio de sesión y del panel, proteger su archivo wp-config.php y más. Sin embargo, en la mayoría de los casos, lo más impactante que puede hacer para proteger su sitio es utilizar un complemento de seguridad todo en uno.
Jetpack Security es una solución poderosa. Le permite proteger su página de inicio de sesión y defender su sitio contra ataques DDoS. También proporciona copias de seguridad en tiempo real, protección de spam y mucho más.
Si no está seguro de por dónde comenzar cuando se trata de endurecer WordPress, consulte la seguridad de Jetpack. ¡Puede registrarse para un plan y comenzar a proteger su sitio web de inmediato!