Cómo proteger su sitio de WordPress: última lista de verificación de seguridad de WordPress
Cómo proteger su sitio de WordPress: última lista de verificación de seguridad de WordPress
Publicado: 2023-02-23
¿Por qué es importante la seguridad de WordPress? Un sitio web es el primer punto de contacto para que los clientes potenciales te conozcan y confíen en tu marca y negocio, por lo que es importante mantener siempre saludable tu sitio web en cuanto a su seguridad.
A medida que WordPress ganó popularidad en los últimos años, se ha convertido en un punto de fascinación para los piratas informáticos para ingresar y dañar sus archivos y, finalmente, su negocio. Además de la piratería, también existen otras amenazas, como el ransomware.
En este artículo, cubriremos los siguientes temas:
Tabla de contenido
¿Por qué la seguridad de WordPress es importante?
¿Qué tan seguro es WordPress?
Complementos de seguridad de WordPress
Los 5 mejores complementos de seguridad de WordPress 2023
malcaré
Sucuri Seguridad
iThemes Seguridad
Seguridad de WordFence
SecuPress
Tipos de vulnerabilidades de seguridad de WordPress
Las 25 mejores listas de verificación de seguridad de WordPress
Conclusión:
Preguntas frecuentes
¿Por qué la seguridad de WordPress es importante?
Una de las principales razones por las que la seguridad de WordPress es importante es que una brecha de seguridad puede tener graves consecuencias.
Las brechas de seguridad pueden tener consecuencias graves, incluido el acceso no autorizado a información confidencial y daños a su sitio web.
Los piratas informáticos pueden acceder a datos confidenciales, como datos de usuario, contraseñas e información financiera, lo que lleva al robo de identidad, fraude financiero y otras formas de ciberdelincuencia.
Las infracciones de seguridad también pueden causar daños a su sitio web, incluida la desfiguración o destrucción completa de su contenido.
El ransomware es un tipo de software que puede bloquear el acceso a su sitio web y exigir un pago para liberarlo.
Google puede incluir en la lista negra y desindexar su sitio web si se ve afectado por un virus o un ataque de piratería, lo que puede tener un impacto negativo en la reputación y el tráfico de su sitio web.
Los visitantes de su sitio web también pueden recibir una advertencia sobre el problema de seguridad cuando intentan acceder a él.
Todo esto hace que sea realmente importante para usted proteger su sitio web siguiendo las mejores prácticas de seguridad de WordPress y adoptando las mejores herramientas de la industria.
Además de las herramientas y prácticas adecuadas, es muy importante comprender el papel de su proveedor de alojamiento.Es importante alojar su sitio web con un proveedor de alojamiento web confiable y confiable.
¿Cuáles son los beneficios de asegurar su sitio de WordPress?
Proteger su sitio de WordPress puede evitar el acceso no autorizado, proteger los datos confidenciales y evitar pérdidas financieras.
Puede ayudar a mantener la reputación de su sitio web al evitar que se incluya en una lista negra o se marque como inseguro.
Las clasificaciones mejoradas de los motores de búsqueda pueden resultar de mostrar a los motores de búsqueda que se toma la seguridad en serio.
Asegurar su sitio puede brindarle tranquilidad, sabiendo que está seguro y protegido.
Algunos conceptos erróneos comunes sobre la seguridad de WordPress
Hay una serie de conceptos erróneos comunes sobre la seguridad de WordPress, algunos de ellos son:
Los sitios web pequeños no son inmunes a las violaciones de seguridad, ya que los piratas informáticos suelen atacarlos debido a su vulnerabilidad y acceso potencial a redes más grandes.
Las contraseñas seguras son importantes, pero solo son un aspecto de una estrategia de seguridad integral para los sitios de WordPress.
Mantener su sitio y complementos actualizados, usar complementos de seguridad e implementar otras medidas de seguridad también son cruciales para proteger su sitio.
Incluso si no recopila datos confidenciales en su sitio, una brecha de seguridad puede dañar su sitio y su reputación, por lo que es importante tomar la seguridad en serio.
¿Qué tan seguro es WordPress?
Por WordPress, nos referimos a los archivos principales de WordPress. WordPress es muy seguro siempre que los usuarios controlen todos los demás parámetros de seguridad y sigan todos los procedimientos de seguridad. Es importante que el administrador de WordPress mantenga todos los archivos principales en la última versión y mantenga todos los temas y complementos actualizados.
Complementos de seguridad de WordPress
Es recomendable utilizar complementos de seguridad de WP confiables, como Wordfence, Sucuri o All in One WordPress Security and Firewall. Hay versiones gratuitas y de pago de estos complementos. Estos complementos de seguridad vigilan toda actividad sospechosa y bloquean los ataques. Puede configurar fácilmente estos complementos utilizando sus respectivos paneles.
Los servidores de WPOven ya vienen equipados con todas las características de estos complementos de seguridad, y puede configurarlos y monitorearlos desde el panel de control de WPOven.
Los 5 mejores complementos de seguridad de WordPress 2023
Estos complementos son baratos. Pero se puede aprovechar a precios aún más baratos durante el Black Friday.
malcaré
Recomendamos Malcare ya que viene con escaneo y limpieza instantáneos de malware. Puede borrar automáticamente su sitio web en los pasos más simples usando este complemento. También ofrece puesta en escena incorporada y muy buen soporte. El precio comienza en solo $ 99 por año .
Descargar ahora
Sucuri Seguridad
Sucuri Security es un complemento de seguridad de WP muy efectivo con características que incluyen auditoría de actividad de seguridad, monitoreo de integridad de archivos, escaneo remoto de malware y monitoreo de lista negra, con notificaciones por correo electrónico. Tiene una opción gratuita y de pago con una suscripción mensual a partir de $ 9.99 / mes .
Descargar ahora
iThemes Seguridad
Itheme Security es un complemento de seguridad muy versátil con opciones como análisis de malware, registro de acciones del usuario y comparación de archivos en línea, entre otras. Además, hay muchas otras opciones integradas en este complemento, como cambiar las URL para el tablero de WordPress, eliminar la información del encabezado RSD, cambiar la ruta del contenido de wp, etc. Tiene una opción gratuita y de pago con una suscripción anual a partir de $99 poraño .
Descargar ahora
Seguridad de WordFence
Wordfence tiene reglas de firewall de malware actualizadas y una lista de direcciones IP maliciosas, con funciones como Bloqueo de países y deshabilitar o agregar 2FA a XML-RPC. Tiene una versión especial para multisitio conocida como Wordfence Central como un método probado para asegurar múltiples sitios dentro de su entorno multisitio. Tiene una opción gratuita y de pago con una suscripción anual a partir de $ 119 poraño .
Descargar ahora
SecuPress
SecuPress es un simple complemento de seguridad de WordPress con análisis de malware; que bloquean bots e IP sospechosas. Es una instalación de WordPress simple pero efectiva y proporcionará informes de seguridad en PDF. También se ocupa del uso de nombres de usuario y contraseñas seguros con sus funciones, como establecer la vigencia de la contraseña y prohibir el uso de nombres de usuario que se puedan adivinar fácilmente. Tiene una opción gratuita y otra de pago con una suscripción anual a partir de 60€ alaño .
Descargar ahora
Leer: Los 5 mejores complementos de eliminación de malware de WordPress para proteger el sitio web
Tipos de vulnerabilidades de seguridad de WordPress
Para comprender cómo proteger su sitio web, es importante comprender qué tipo de factores amenazan su seguridad de WordPress, aquí hay una lista de amenazas:
puertas traseras
Ataques de denegación de servicio (DoS)
Secuencias de comandos entre sitios (XSS)
Redirecciones maliciosas
Intentos de inicio de sesión de fuerza bruta
Trucos farmacéuticos
Suplantación de identidad
puertas traseras
Los piratas suelen apuntar a puntos vulnerables no convencionales en WordPress, como archivos vulnerables en el paquete principal de WordPress, archivos de temas o complementos y acceso FTP desde computadoras no seguras.
Los archivos maliciosos pueden parecerse a los archivos legítimos de WordPress, lo que dificulta su identificación y eliminación.
Los archivos de puerta trasera se pueden usar para explotar sitios de WordPress creando usuarios de WP ilegítimos y robando datos de usuarios.
Actualizar y escanear regularmente sus archivos usando complementos como WordFence, SiteCheck o Sucuri puede ayudar a prevenir este tipo de ataques y mejorar la seguridad de WordPress.
Negación de servicio
El uso de temas y complementos de desarrolladores confiables es importante para evitar errores vulnerables en el código.
En este tipo de ataque, los piratas informáticos aprovechan los puntos débiles del código para aumentar el uso de RAM del servidor mediante solicitudes recurrentes, lo que puede hacer que el sitio web deje de responder a otros visitantes.
Se pueden usar varios sistemas para ocupar un solo recurso, lo que exacerba el problema y puede provocar enormes pérdidas comerciales.
La vulnerabilidad de WordPress se puede reducir siguiendo las mejores prácticas y consejos para la codificación segura y la administración de sitios web.
Secuencias de comandos entre sitios (XSS):
Los piratas informáticos pueden inyectar archivos vulnerables en su instalación de WordPress para robar datos de los visitantes del sitio web, incluidas contraseñas importantes.
Estos ataques se encuentran comúnmente en complementos desarrollados por desarrolladores nuevos o que no son de confianza.
Los ataques de secuencias de comandos entre sitios (XSS) se ejecutan a través de JavaScript y CSS y pueden dañar a los visitantes del sitio web de varias maneras, como el robo de cookies, la plantación de troyanos, el registro de teclas, el phishing y el robo de identidad.
Las consecuencias de un ataque XSS pueden ser graves, ya que es posible que los visitantes del sitio web ni siquiera se den cuenta de que sus datos se han visto comprometidos.
Para evitar ataques XSS, es importante usar solo complementos confiables y mantener la instalación y los complementos de WordPress actualizados a la última versión.
Leer: Errores más comunes de WordPress
Redirecciones maliciosas
Los piratas informáticos pueden usar un código de redirección para redirigir a los visitantes del sitio web a otros sitios web.
Este código de redirección a menudo se inyecta en un archivo, generalmente un archivo .htaccess.
Cuando los visitantes intenten acceder a su sitio web o a una página específica, serán redirigidos a un sitio web malicioso.
Esto puede hacer que su negocio pierda la confianza de los clientes potenciales.
Intentos de inicio de sesión de fuerza bruta
Los piratas informáticos suelen utilizar secuencias de comandos automatizadas para identificar contraseñas débiles y obtener acceso al panel de control de WordPress.
Los ataques de fuerza bruta son otro método común utilizado por los piratas informáticos para obtener acceso al backend de un sitio web, lo que puede provocar el robo de datos personales y comerciales, la eliminación de archivos del sitio web y otras formas de daño.
Los ataques de fuerza bruta se pueden prevenir implementando medidas como limitar los intentos de inicio de sesión, usar Captcha en las pantallas de inicio de sesión y habilitar inicios de sesión de autenticación de dos factores.
Estas medidas son cruciales para garantizar la seguridad de su sitio web de WordPress.
Trucos farmacéuticos
Mantenga sus archivos principales de WordPress, archivos de temas y archivos de complementos actualizados a las últimas versiones.
Los piratas informáticos pueden explotar archivos desactualizados inyectando códigos que muestran anuncios farmacéuticos a sus visitantes, a menudo promocionando drogas ilegales como Viagra.
Estos anuncios pueden aparecer dentro de la página o como ventanas emergentes, lo que genera una pérdida de confianza entre los visitantes de su sitio web.
Suplantación de identidad
Los piratas informáticos utilizan correos electrónicos de phishing para engañar a los usuarios para que hagan clic en un enlace que expone sus contraseñas. El correo electrónico parece provenir de una fuente confiable, pero no lo es.
Los piratas informáticos pueden usar su servidor y la instalación de WordPress para enviar correos electrónicos maliciosos a la lista de correo electrónico de sus víctimas.
Es difícil identificar si su sitio web está infectado por secuencias de comandos de phishing, pero los análisis regulares pueden ayudar a evitar este problema.
Las 25 mejores listas de verificación de seguridad de WordPress
Encuentre un alojamiento de WordPress seguro, confiable y de confianza
Realice copias de seguridad frecuentes
Mantenga la última versión de PHP en el servidor
Nombres de usuario y contraseñas fuertes
Protección DDOS
Certificado SSL HTTPS
Deshabilitar XML-RPC
Deshabilitar la ejecución de archivos PHP
Cerrar sesión de usuarios inactivos
Eliminar archivos de complementos y temas no utilizados
Use la menor cantidad de complementos posible
Agregar captcha o pregunta de seguridad a la pantalla de inicio de sesión
Permisos robustos de archivos y carpetas
Limite los intentos de inicio de sesión
Autenticación de dos factores
Cambiar la URL de inicio de sesión predeterminada
Asegure la URL de inicio de sesión
Actualizar prefijo de base de datos
Deshabilitar la edición de archivos
Archivo seguro wp-config
Ocultar versión de WP
1. Encuentre un alojamiento de WordPress seguro, confiable y de confianza
Como se discutió anteriormente, es importante elegir un proveedor de alojamiento que sea muy particular en cuanto a la seguridad, siga un alto estándar de medidas de seguridad y tenga un buen sistema de soporte.
Un buen proveedor de alojamiento siempre:
Esté atento a las actividades sospechosas de los piratas informáticos y establezca puntos de control para protegerse contra cualquier tipo de ataque.
Utiliza herramientas de última generación para identificar ataques pequeños y grandes, mediante el monitoreo continuo del servidor. También puede consultar la monitorización del sitio web aquí de forma gratuita.
Tenga todos los scripts (incluidas las últimas versiones de PHP), el software y el hardware utilizados basados en la última tecnología y que se actualicen con frecuencia.
Cortafuegos de usuario y sistemas de detección de intrusos.
Mantenga copias de seguridad periódicas y proporcione opciones de copia de seguridad y restauración fáciles y automáticas.
Escanee todos los archivos contra malware, ransomware y otros virus.
Proporciona soporte HTTPS.
Disponer de un excelente personal de apoyo para tomar medidas en caso de cualquier incidencia.
Ofrezca planes de alojamiento administrado de WordPress, especialmente diseñados para las necesidades de WordPress.
WPOven El alojamiento administrado todo incluido de WordPress ofrece todo lo anterior para ayudarlo a ejecutar su sitio web de WordPress sin preocuparse por la seguridad. WPOven bajo su plan de alojamiento administrado de WordPress también ofrece:
Algunas características clave que ofrece WPOven
Exploraciones diarias de malware
Protección DDOS
Limpieza gratuita de malware
Copias de seguridad externas diarias y restauración con un solo clic
Configuración del servidor endurecido
Configuración de permisos de archivo con un clic.
Seguridad y rendimiento optimizados del servidor para WordPress y WooCommerce
Actualice temas y archivos directamente desde el panel de control de WPOven
HTTPS/SSL gratis para cada sitio web
La copia de seguridad está disponible hasta por 14 días.
Leer: Los mejores servicios y planes de mantenimiento de WordPress – WPOven
2. Mantenga la última versión de PHP en el servidor
El uso de la última versión de PHP es importante para mantener sólida la base de su sitio web de WordPress, ya que todos los archivos se desarrollan utilizando códigos PHP.
Las versiones de PHP tienen soporte por hasta 2 años contra problemas de seguridad y brindan los parches de seguridad necesarios durante este período.
Las versiones anteriores a PHP 7.0 no son seguras, mientras que la versión más actual, PHP 7.3, está optimizada para la velocidad y la seguridad.
WPOven solo usa la versión de PHP 7.0 y superior y permite a los usuarios elegir la versión de PHP que les gustaría usar, lo que reduce la vulnerabilidad de WordPress.
3. Realice copias de seguridad frecuentes
Es recomendable realizar copias de seguridad frecuentes de los archivos y la base de datos de su sitio web de WordPress.
Puede realizar copias de seguridad manualmente o utilizando complementos de WordPress como UpdraftPlus, VaultPress, BackupBuddy o cualquier otro complemento de copia de seguridad.
Puede programar copias de seguridad automáticas utilizando estos complementos y asegurarse de que también haya una opción de restauración fácil.
Para mantener las copias de seguridad seguras en caso de problemas con el servidor, es mejor mantenerlas fuera del servidor.
Servicios de copia de seguridad de WordPress:
Hay algunos servicios de copia de seguridad de WordPress externos disponibles para usar que almacenan las copias de seguridad en la nube. Algunos de los servicios pagos son como:
VaultPress: es un servicio de respaldo basado en suscripción y una solución de seguridad general que incluye escaneos regulares, sistema de defensa contra correo no deseado, monitoreo de tiempo de actividad y otras características de seguridad.
WPOven : dentro de su servicio, realizan copias de seguridad de archivos y bases de datos centrales en Amazon S3 y tienen una capacidad de restauración con 1 clic.Según el paquete elegido, puede elegir la frecuencia de la copia de seguridad (incluso 2 veces al día) y elegir entre servidores de EE. UU. o de la UE.
BlogVault: es un proveedor de soluciones de copia de seguridad, migración, puesta en escena, restauración y gestión de WordPress con una tasa de restauración del 100 %.
Complementos de copia de seguridad de WordPress:
También puede usar algunos complementos gratuitos y muy confiables. Algunos complementos proporcionan copias de seguridad en el servidor, mientras que otros proporcionan copias de seguridad fuera del servidor que almacenan archivos de copia de seguridad en ubicaciones fuera del servidor como AmazonS3, Google Cloud, Dropbox, MS Azure, Rackspace, etc.
Leer: 10 mejores complementos de copia de seguridad de WordPress para 2023 (gratis y de pago)
4. Utilice nombres de usuario y contraseñas fuertes
Use nombres de usuario y contraseñas fuertes y difíciles de adivinar para mantener seguro su sitio web de WordPress.
Cambie su contraseña cada pocos meses o semanas para mejorar la seguridad de su sitio web de WordPress.
Evite usar el nombre de usuario predeterminado y popular 'admin' como nombre de usuario para WordPress.
Utilice el proceso de instalación con un solo clic para generar detalles de inicio de sesión extremadamente seguros para el panel de administración de WordPress.
Mantenga seguras todas las demás contraseñas asociadas con su sitio web de WordPress, incluidos FTP, CPanel, correos electrónicos (asociados con cuentas de usuario de WordPress), contraseñas de bases de datos, etc.
5. Protección DDOS
La dura realidad de los ataques DDOS es que incluso las versiones más actualizadas de WordPress no pueden prevenir tales ataques. Solo se puede prevenir asegurando los servidores de alojamiento. Existen algunas herramientas de terceros que puede instalar en sus sitios web de WordPress para evitarlo.
Nota : si utiliza socios confiables y confiables como WPOven , puede usar sus herramientas para monitorear el análisis del sitio web, el rendimiento del servidor y los datos de uso de recursos.
Es importante identificar el aumento anormal en el uso de recursos y notificar a su proveedor de servicios.
Su proveedor puede verificar todos los registros necesarios y tomar las medidas necesarias para detener el ataque de denegación de servicio.
6. Certificado SSL HTTPS
Los propietarios de sitios web pasan por alto la importancia de SSL, la mayoría piensa que es solo una señal necesaria solo si su sitio web involucra transacciones financieras. Un certificado SSL en un sitio web es fundamental para establecer una conexión segura entre su sitio web y el navegador del usuario.
Otro beneficio adicional de usar HTTPS es obtener mejores clasificaciones en los motores de búsqueda.
WPOven proporciona un certificado HTTPS gratuito a través de LetsEncrypt con un clic, instalación con renovación automática para todos los sitios.
7. Deshabilitar XML-RPC
XML-RPC permite la ejecución de múltiples procesos con un solo comando, pero los piratas informáticos pueden utilizarlo de manera malintencionada para piratear un sitio web.
La solución más efectiva para evitar esto es deshabilitar completamente XML-RPC para su sitio web de WordPress.
Puede usar los complementos disponibles para deshabilitar XML-RPC, como el complemento gratuito "Deshabilitar XML-RPC" o el complemento de pago de "Perfmait".
Pero si está utilizando WPOven , no necesita preocuparse por eso, ya que ya está deshabilitado de forma predeterminada en su servidor para todos sus sitios web alojados.
8. Deshabilitar la ejecución de archivos PHP
Hay ciertos directorios en el entorno de instalación de WordPress donde no es necesario ningún tipo de ejecución de PHP. Un ejemplo de dicho directorio es el subdirectorio de cargas en wp-content.
Para deshabilitar el directorio, cree un nuevo archivo .htaccess en ese directorio específico y pegue el siguiente código en él:
<Files *.php> Deny from all </Files>
9. Cierre de sesión de usuarios inactivos
A veces, los usuarios pueden cerrar sus navegadores sin cerrar sesión correctamente. Los piratas informáticos pueden aprovechar esta oportunidad para acceder al panel de control de WordPress y apoderarse de las credenciales de los usuarios. Puede usar un complemento para cerrar automáticamente la sesión de los usuarios inactivos después de una duración establecida. Esto es muy importante para la seguridad de su wp.
10. Eliminar temas no utilizados y archivos de complementos
Identifique complementos innecesarios y elimínelos del sistema
Eliminar temas predeterminados como Twenty Seventeen y Twenty Nineteen
Mantenga solo un tema predeterminado como opción alternativa en caso de falla del tema principal
Asegúrese de que el tema alternativo se actualice regularmente, incluso si no está en uso.
11. Minimización de las instalaciones de complementos
Expliquemos esto con un ejemplo. Muchos temas modernos y creadores de páginas (Avia, Thrive, Elementor, etc.). Si su tema o el creador de páginas que está utilizando ya tiene un elemento de formulario de contacto, no necesita un complemento de formulario de contacto separado para formularios simples. Es recomendable evitar el uso de complementos adicionales a menos que haya alguna necesidad especial. Se debe dar la debida importancia a la seguridad de WP.
12. Agregue Captcha o pregunta de seguridad a la pantalla de inicio de sesión
Otro método popular para mejorar la seguridad de WordPress es un método simple de agregar un captcha o una pregunta de seguridad en la pantalla de inicio de sesión. Puede usar los complementos disponibles para hacer esto.
13. Robustos permisos de archivos y carpetas
Es un paso muy importante para evitar que su sitio web sea atacado. Básicamente, hay tres tipos de permisos de archivo (Leer, Escribir, Ejecutar). Para un rendimiento óptimo y efectivo del sitio web, es importante comprender qué archivos necesitan qué nivel de permiso. Puede configurar estos permisos de archivos y carpetas a través del Administrador de archivos o mediante el software FTP.
Pero en WPOven, la seguridad wp todo en uno ofrece permisos de archivo de un solo clic a través de su tablero.
14. Limite los intentos de inicio de sesión
Los piratas informáticos realizan intentos continuos de iniciar sesión en su WordPress usando conjeturas de contraseña. Puede controlar mediante el uso de complementos para limitar los intentos de inicio de sesión.
El alojamiento administrado de WordPress de WPOven ya cubre esto en todos sus planes.
15. Autenticación de dos factores
Habilite la autenticación de dos factores para seguridad de inicio de sesión adicional
La autenticación de dos factores requiere un código OTP adicional antes de iniciar sesión
El código OTP se recibe en su teléfono a través de SMS o llamada telefónica
Use complementos como Google Authenticator o Duo Two-Factor Authentication
Ambos complementos tienen sus respectivas aplicaciones para Android y iPhone.
Una vez que se agrega la autenticación de dos factores, la pantalla de inicio de sesión tendrá opciones adicionales para enviar un código de autenticación
Ingrese el código generado recibido en su teléfono correctamente para iniciar sesión
La autenticación de dos factores es un gran método para prevenir ataques de fuerza bruta.
16. Cambiar la URL de inicio de sesión predeterminada
Los piratas informáticos buscan la URL de inicio de sesión predeterminada para el panel de control de WordPress, que es websitename.com/wp-login.php o websitename.com/wp-admin/. Una de las soluciones obvias es cambiar la URL de inicio de sesión a otra cosa. Puede hacer esto usando uno de los complementos como el complementode inicio de sesión WPS Hideo el complemento premiumPerfmatters.
17. Asegure la URL de inicio de sesión
Puede proteger su URL de inicio de sesión de administrador de WordPress mediante la autenticación HTTP. Cada vez que alguien intente acceder a la URL de administración, tendrá que usar un nombre de usuario y una contraseña adicionales para acceder a este enlace. Puede leer más sobre enlaces de anclaje aquí
Nota: No use esto en comercio electrónico ni en ningún sitio que tenga miembros que deban iniciar sesión.
18. Actualizar el prefijo de la base de datos:
Por defecto, las instalaciones de WordPress usaban prefijos de tabla como wp_, lo que hace que sea más fácil de adivinar para los piratas informáticos. El método obvio para evitar esto es cambiar el prefijo de la tabla a otra cosa, lo cual no es fácil de adivinar para los piratas informáticos.
Puede hacer esto en el momento de la instalación:
La instalación de WordPress de WPOven genera un prefijo de tabla aleatorio para cada uno de sus sitios web. Esto reducirá sus problemas de seguridad de WordPress.
19. Deshabilitar la edición de archivos
Los usuarios administradores de un sitio web de WordPress pueden acceder a los archivos de temas a través del editor en el tablero.
Esto hace que los archivos de temas sean vulnerables a cambios no intencionales y ataques intencionales.
Para evitar esto, puede deshabilitar la edición de archivos.
Puede hacerlo agregando la siguiente línea de código al archivo wp-config.php:
define('DISALLOW_FILE_EDIT',true);
Los usuarios de WPOven pueden usar la función de bloqueo del sitio para hacer esto con un solo clic.
20. Asegure el archivo wp-config:
El archivo wp-config.php debajo de su instalación de WordPress contiene detalles de inicio de sesión de la base de datos y otras claves de autenticación, así como otros detalles sobre su base de datos (como el prefijo de la tabla y la URL del host DB).
Hay varias formas de asegurarlo como se describe a continuación:
Cambiar la ubicación del archivo wp-config.php
Cambie las claves de seguridad de WP predeterminadas en el archivo wp-config
Denegar el acceso a wp-config.php mediante los permisos de archivo apropiados
Cambiar la ubicación de wp-config: por defecto, el archivo wp-config se encuentra en el directorio raíz de su instalación de WordPress.Solo tiene que crear otro archivo wp-config que no esté en una ubicación de fácil acceso y usarlo como referencia en el archivo wp-config original.
Cambiar las claves de seguridad de WP predeterminadas: hay 4 tipos de claves alfanuméricas generadas aleatoriamente en cada wp-config:AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEYyNONCE_KEY.Puede generar una nueva clave aleatoria utilizando esta herramienta WP Security Key.
Cambiar permisos de archivo : es recomendable cambiar los permisos de archivo para configurarlos en 400 para que no sea legible por fuentes externas.Alternativamente, puede configurarlo en 440 si 400 crea algún tipo de problema para que la instalación de WP funcione correctamente.
21. Ocultar versión de WP
Si un atacante sabe qué versión de WordPress está utilizando, puede explotar las vulnerabilidades específicas de esa versión. Por lo tanto, es recomendable ocultarlo por completo. Puede hacer esto agregando un pequeño código a su archivofunctions.php. Esto disminuye su vulnerabilidad de WordPress
function wp_version_remove_version() { return ''; } add_filter('the_generator', 'wp_version_remove_version');
Además de aparecer en el encabezado, también puede identificar la versión de WordPress a través del archivo de texto Léame. Puede eliminar este archivo (readme.html) de su instalación.
22. Escaneo regular:
Puede ejecutar escaneos a intervalos regulares usando complementos de seguridad y observar si hay cambios en los archivos originales. Existen herramientas en línea y, al usarlas, puede encontrar archivos sospechosos. Por ejemplo, al utilizar esta herramienta gratuita conocida como WPSec, puede averiguar los resultados del análisis de seguridad en línea.
23. Mantenga actualizados los temas y complementos
WordPress, los desarrolladores de temas y los desarrolladores de complementos lanzan nuevas versiones con frecuencia.
Se recomienda mantener todo actualizado con la última versión de su instalación de WordPress.
Las versiones más nuevas vienen con parches de seguridad para proteger contra nuevos virus y malware.
Las versiones obsoletas son vulnerables a los ataques y carecen de soporte por parte del desarrollador.
WPOven en un panel de seguridad de wp proporciona una interfaz para ver los complementos y temas instalados, y se pueden actualizar directamente desde el panel:
Complementos de actualización – WPOven
24. Utilice temas y complementos de confianza:
Antes de instalar cualquier tema o complemento nuevo, verifique sus calificaciones, reseñas y la cantidad de instalaciones para garantizar su calidad.
Además, consulte los registros de cambios para ver con qué frecuencia el desarrollador actualiza las versiones.
Compruebe si el complemento o tema es compatible con su versión de WordPress antes de instalarlo.
Verifique el historial del desarrollador y otros productos que hayan creado para asegurarse de su experiencia y la calidad de sus productos.
Con el registro de WPOven, puede obtener temas y complementos premium gratuitos de WordPress.
25. Protege los archivos multimedia de WordPress
Proteja los archivos multimedia de WordPress contra la indexación de Google y el acceso directo a la URL del archivo con unos pocos clics usando Prevent Direct Access (PDA) Gold. De hecho, el complemento ofrece protección masiva de cualquier carga de archivos a la biblioteca multimedia de WordPress, incluidos, entre otros, PDF, DOCX, PPTX, PNG, JPG, MP4 y MP3.
PDA Gold le permite restringir el acceso directo a archivos solo a usuarios autorizados. Eso significa que el permiso de acceso al archivo se puede configurar para administrador, usuarios registrados o incluso usuarios específicos y membresías personalizadas.
Además, puede crear enlaces de descarga con caducidad ilimitada y luego compartirlos con un grupo de usuarios y suscriptores. Estos enlaces de descarga caducan automáticamente después de un período de tiempo o clics.
Por último, pero no menos importante, PDA Gold proporciona una interfaz de usuario intuitiva para asegurar su sitio de WordPress de inmediato:
Ocultar versión de WordPress
Prevenir el hotlinking de imágenes
Proteger la carpeta de cargas de WordPress
Bloquee el acceso directo a archivos confidenciales de WordPress, por ejemplo, readme.html y license.txt
Proteja todos los archivos que se encuentran en las cargas y/o en el directorio raíz con una función de protección de carpetas
Hay otros recursos donde puede encontrar detalles sobre los problemas de seguridad recientes. Aquí están:
Base de datos de vulnerabilidades de WPScan: este es un catálogo de todas las vulnerabilidades identificadas en WordPress, temas, complementos y API. Los usuarios pueden enviar sus propios incidentes para que otros usuarios estén al tanto de los problemas.
ThreatPress: Es otra base de datos de vulnerabilidades que su equipo de I+D actualiza diariamente.
Conclusión:
El artículo anterior debe haberle dado una buena idea de cómo hacer que su WordPress sea seguro, pero es importante comprender y darse cuenta de que un buen proveedor de alojamiento es su socio para hacer que su sitio web sea seguro. Su sitio web es sinónimo de su negocio, y un sitio web seguro genera confianza en sus clientes potenciales, lo cual es esencial para el crecimiento del negocio.
Ha tomado la decisión correcta si ha elegido a WPOven como su socio de hospedaje, si aún no lo ha hecho, dé el primer paso para hospedar su sitio web con WPOven y fortalezca su sitio web con tecnología de punta, que a la vez es muy conveniente de usar.
Preguntas frecuentes
¿WordPress es seguro?
Sin embargo, WordPress en sí mismo es una plataforma muy segura siempre que los usuarios controlen todos los demás parámetros de seguridad y sigan todos los procedimientos de seguridad. Sin embargo, puede fortalecer aún más la seguridad siguiendo las mejores prácticas de seguridad de WordPress.
¿Se piratea fácilmente WordPress?
WordPress es una plataforma segura, pero como cualquier otra plataforma de sitio web, puede ser vulnerable a las amenazas de seguridad si no se asegura y mantiene adecuadamente. Los piratas informáticos pueden explotar vulnerabilidades en complementos, temas o código personalizado mal codificados. La implementación de las mejores prácticas de seguridad puede reducir en gran medida el riesgo de ser pirateado.
¿Cómo garantizo la seguridad en WordPress?
Medidas básicas de seguridad de WordPress que puedes seguir: 1. Usa contraseñas seguras 2. Mantenga WordPress y complementos actualizados 3. Haga una copia de seguridad de su sitio de WordPress con regularidad 4. Limite los intentos de inicio de sesión 5. Usa la autenticación de dos factores 6. Proteja su computadora y su red
Artículos Relacionados:
7 formas simples de proteger su sitio de negocios WP
La importancia de proteger su información confidencial en...
El complemento Jetpack: todo lo que necesita para su WordPress...
Versión de mantenimiento y seguridad de WordPress 3.5.2
¿Pueden las actualizaciones de seguridad de WordPress ser malas para su sitio web?
