Lista de verificación de seguridad de WordPress: 17 formas de proteger su sitio
Publicado: 2023-02-06¿Está buscando una lista de verificación de seguridad de WordPress para proteger su sitio? ¿Quieres saber cómo mejorar la seguridad de WordPress?
Si sus respuestas a las preguntas anteriores son afirmativas, este artículo es solo para usted.
WordPress es sin duda uno de los mejores sistemas de gestión de contenidos (CMS). Pero también es un hecho que una gran cantidad de sitios de WordPress enfrentan problemas de seguridad.
Por lo tanto, en este artículo, hemos creado una lista de verificación de seguridad de WordPress que puede implementar en su sitio para evitar tales problemas.
¡Empecemos!
¿Por qué debería priorizar la seguridad de WordPress?
WordPress es un CMS de código abierto que permite que cualquier persona lo use, modifique y distribuya. Cualquiera puede usar la plataforma e integrar características o funcionalidades de terceros, como temas y complementos.
Pero esta libertad ha hecho que la plataforma sea vulnerable a múltiples amenazas de seguridad.
No significa que WordPress no sea bueno para crear sitios web. Sin duda, es el mejor CMS que uno puede usar.
Sin embargo, a medida que crea un sitio de WordPress, hay muchas cosas de las que debe ocuparse. Y la seguridad debe ser su principal prioridad.
Aquí hay algunas razones por las que la seguridad de WordPress es importante:
- Para prevenir atacantes: la implementación de medidas de seguridad infalibles en su sitio disuade a los atacantes. Esto se debe a que apuntar a sitios vulnerables es más fácil para ellos que aquellos con seguridad altamente mantenida.
- Para proteger la información confidencial: priorizar la seguridad de WordPress lo ayuda a proteger la información confidencial, como los datos personales de los usuarios, los detalles de pago, etc.
- Para mantener la reputación de la marca: los ataques de seguridad, como la violación de datos, provocan tiempo de inactividad y reducen el tráfico. En última instancia, esto daña la reputación de su marca.
- Para evitar pérdidas financieras: los ataques de seguridad pueden provocar pérdidas financieras, ya que es posible que deba ahorrar gastos para restaurar su sitio y honorarios legales.
Pero proteger su sitio de ciberataques también es fácil.
No requiere una codificación extensa o conocimientos técnicos. Solo necesita saber qué puede hacer e implementar ese conocimiento en su sitio.
Por lo tanto, pasemos a la guía de seguridad de WordPress que ayuda a mejorar la seguridad de su sitio.
17 formas de mejorar la seguridad de WordPress: lista de verificación definitiva
Aquí hay 17 consejos que puede implementar para asegurar su página de inicio de sesión, temas y complementos instalados, panel de administración y más.
Proteja su página de inicio de sesión de WordPress
1. Usa contraseñas seguras
Para asegurar su página de inicio de sesión de WordPress, siempre debe usar una contraseña que nadie pueda adivinar. Mejor aún, el patrón de la contraseña debe ser único.
Según los datos de NordPass, la contraseña más común es "contraseña". Tales contraseñas son fáciles de adivinar y dejan su sitio web vulnerable a los atacantes.
Por lo tanto, use una contraseña con al menos 12 caracteres. Además, su contraseña debe incluir una combinación de letras mayúsculas y minúsculas, algunos números y caracteres especiales.
También puede usar generadores de contraseñas como Delinea para crear contraseñas seguras para usted.
Mientras tanto, también ayudaría si cambia regularmente su contraseña.
2. Habilite la autenticación de dos factores
Habilitar la autenticación de dos factores es como agregar una capa adicional de seguridad.
La primera autenticación es su nombre de usuario y contraseña, mientras que la segunda utiliza una aplicación o dispositivo independiente.
Por ejemplo, puede configurar su correo electrónico o número de teléfono para la segunda autenticación. Luego autenticará al usuario mientras inicia sesión enviando un código de seguridad a un teléfono o correo electrónico.
Los usuarios solo pueden iniciar sesión si ingresan el mismo código. Para hacerlo, debe instalar y activar un complemento que agrega la funcionalidad de autenticación de dos factores.
Algunos ejemplos de dichos complementos son dos factores, autenticación de dos factores, etc.
3. Limite los intentos de inicio de sesión
Cuando establece el límite para los intentos de inicio de sesión, los atacantes no pueden iniciar sesión en su sitio de WordPress después de cruzar el límite.
Ya no pueden ingresar el nombre de usuario y la contraseña adivinando varias veces. También previene ataques de fuerza bruta, una de las formas más fáciles de atacar cualquier sitio web.
Hablaremos más sobre los ataques de fuerza bruta en la siguiente sección.
Cuando un pirata informático o atacante no puede iniciar sesión al intentarlo varias veces, pasará a otros sitios vulnerables. Además, se bloquearán si no ingresan la contraseña correcta.
Para limitar los intentos de inicio de sesión, puede usar un complemento como Limitar intentos de inicio de sesión recargados, que ofrece la funcionalidad.
4. Cambie la URL de inicio de sesión predeterminada
Una de las formas más fáciles para que los atacantes ataquen su sitio de WordPress es a través de la URL de inicio de sesión. Es fácil encontrar la URL de inicio de sesión predeterminada de WordPress si no la ha cambiado.
La URL de inicio de sesión predeterminada para cualquier sitio web de WordPress es nombre-dominio/wp-login o nombre-dominio/wp-admin .
Por ejemplo, la URL de inicio de sesión del sitio web example.com es www.example.com/wp-admin .
Por lo tanto, debe cambiar la URL de su página de inicio de sesión y utilizar una URL de inicio de sesión personalizada. Una URL de inicio de sesión única es difícil de encontrar para los atacantes.
Puede usar el complemento de registro de usuario para cambiar la URL de inicio de sesión predeterminada.
5. Cambiar nombre de usuario predeterminado – admin
Los nombres de usuario como admin y administrador son genéricos y fáciles de adivinar. Por lo tanto, debe cambiar el nombre de usuario de administrador a algo único para que nadie pueda descifrarlo.
Usar una dirección de correo electrónico para iniciar sesión es incluso mejor que un nombre de usuario.
WordPress no permite cambiar nombres de usuario por defecto. Pero puede cambiar el nombre de usuario creando un nuevo administrador y eliminando el anterior.
Puede crear un nuevo usuario navegando a Usuarios >> Agregar nuevo y asignando el rol de Administrador .
También puede usar el complemento de cambio de nombre de usuario como Easy Username Updater o actualizar el nombre de usuario desde phpMyAdmin.
Asegure sus temas y complementos instalados
6. Descargue temas y complementos de fuentes confiables
WordPress ofrece muchos complementos y temas increíbles para agregar funcionalidades adicionales a su sitio. Pero sería mejor si tuviera mucho cuidado al elegir esos temas y complementos.
Para usar temas y complementos gratuitos, descárguelos siempre del repositorio de WordPress. Además, elija el tema o el complemento mirando las reseñas de los usuarios.
Y para los temas y complementos premium, debe comprarlos en el sitio web oficial del tema y complemento respectivos.
Por ejemplo, puedes comprar la versión premium del tema de WordPress – Zakra, desde su sitio web oficial, zakratheme.com.
O también puede comprar temas de un mercado de renombre como ThemeForest de Envato.
Además, también puede ocultar los detalles del tema que está utilizando en su sitio de WordPress para mayor seguridad.
7. Actualizar temas y complementos
Como WordPress actualiza regularmente su núcleo, los temas y complementos de terceros también lanzan actualizaciones frecuentes.
Por lo tanto, debe actualizarlos tan pronto como reciba la notificación de la nueva versión. Con cada nueva versión, los temas y complementos corrigen sus errores y brechas de seguridad.
Además, se hacen compatibles para adaptarse a la versión recién lanzada de WordPress.
Para verificar si tiene la última versión de temas y complementos, puede ir a Actualizaciones en su tablero.
Además, los temas y complementos que no se actualizan durante demasiado tiempo presentan riesgos de seguridad para su sitio. Por lo tanto, cambie inmediatamente el tema y el complemento si ya no se actualizan.
También puede leer nuestro artículo sobre cómo actualizar WordPress, temas y complementos a la última versión.
8. Use el complemento de seguridad de WordPress
Otra cosa importante que debe hacer para mantener la seguridad de su sitio es usar un complemento de seguridad.
Hay muchos complementos de seguridad creados para cuidar la seguridad del sitio de WordPress. Por lo tanto, encuentre un complemento de seguridad confiable e instálelo en su sitio web.
Mientras tanto, debe elegir un complemento de seguridad actualizado, verificado y seguro como Sucuri Security que puede prevenir posibles ataques de WordPress.
También tenemos una lista de excelentes complementos de seguridad que puede consultar.
9. Eliminar temas y complementos no utilizados
Después de ejecutar un sitio web de WordPress durante años o meses, es posible que haya probado muchos temas y complementos.
Y también hay una alta probabilidad de que no haya eliminado esos temas y complementos no utilizados como se muestra en la imagen a continuación. Todos los temas excepto Zakra son temas inactivos.
Pero debe saber que sus temas y complementos no utilizados son vulnerables a las amenazas de seguridad.
Como permanecen en su sitio sin ninguna actualización, pueden invitar a otro malware a su sitio. Por lo tanto, asegúrese de eliminar los temas y complementos inactivos de su sitio web.
Aquí está la guía completa sobre cómo eliminar temas no utilizados que puede seguir.
Asegure su Panel Administrativo
10. Actualice regularmente el software principal de WordPress
WordPress trae muchas correcciones a sus errores y problemas relacionados con la seguridad con cada actualización. No actualizar su núcleo de WordPress significa invitar a los atacantes.
¡Pero no te preocupes! Es muy fácil actualizar el núcleo de WordPress con un solo clic. Para su comodidad, WordPress le notifica cada actualización importante directamente en su tablero.
Por lo tanto, mantenga su WordPress actualizado para evitar cualquier ataque. Sin embargo, cree una copia de seguridad del sitio web antes de actualizar el núcleo de WordPress.
11. Cree una copia de seguridad regularmente
La creación de una copia de seguridad de todo el sitio web ayuda a restaurar su sitio web en caso de ataques de seguridad. De esta manera, no perderá ningún dato importante debido a la brecha de seguridad.
Además, puede ser una gran ventaja más adelante si realizas por error algunos cambios en tu sitio web.
Además del sitio web, también debe crear una copia de seguridad de su base de datos.
La buena noticia es que no lleva tiempo hacer una copia de seguridad de su sitio. Simplemente puede instalar un complemento de copia de seguridad como UpdraftPlus, que se encarga del resto.
Aquí está la lista completa de complementos de copia de seguridad entre los que puede elegir.
12. Habilitar el cortafuegos de aplicaciones web
Un firewall de aplicaciones web (WAF) puede bloquear todo el tráfico web malicioso antes de que llegue a su sitio web.
Supervisa y filtra el tráfico entrante y saliente entre Internet y una aplicación web. El WAF permite enviar solo tráfico genuino a su servidor web.
Por lo tanto, protege las aplicaciones web de ataques como cross-site scripting (XSS), inyección SQL, etc.
Para habilitar un WAF, puede instalar un buen complemento de WordPress de seguridad como Wordfence, Sucuri Security y Cloudflare.
13. Ocultar archivo wp-config
El archivo wp-config consta de toda la información relacionada con la configuración de un sitio de WordPress.
Tiene parámetros que se conectan a la base de datos, claves de seguridad, contraseñas y muchos más. Si el atacante accede a este archivo desde su sitio web, puede causar un problema grave.
Por lo tanto, debe ocultar el archivo wp-config de los atacantes.
De forma predeterminada, el archivo wp-config se encuentra en la carpeta public_html. Por lo tanto, simplemente puede cambiar la ubicación del archivo.
14. Otorgar acceso según el rol de usuario
WordPress tiene la función de asignar roles de usuario. De forma predeterminada, hay 5 roles de usuario en WordPress con privilegios específicos.
Por lo tanto, debe otorgar acceso de usuario a su sitio web según su función.
Por ejemplo, si tiene un equipo de blog, asígneles el rol de autor o editor para publicar, editar y actualizar solo el artículo. No requieren derechos de administrador.
La administración es uno de los roles más importantes, y debes distribuirlo solo a quienes lo requieran.
15. Escanea regularmente el sitio web
Como sabes, más vale prevenir que curar. Por lo tanto, debe escanear regularmente su sitio web. Esto asegura que su sitio esté a salvo de malware.
Elija de nuestra lista de los mejores complementos de seguridad e instale cualquier complemento en su sitio. Incluso si detecta algún malware, puede eliminarlo a tiempo.
Los complementos como Jetpack pueden detectar automáticamente cambios en sus archivos, encontrar comportamientos maliciosos y proteger su sitio.
También le notifican sobre problemas críticos, supervisan el tiempo de inactividad y corrigen automáticamente las amenazas comunes.
Obtenga seguridad a través del hosting
16. Elija un servicio de alojamiento de WordPress seguro
El servicio de alojamiento que ha comprado es el hogar de su sitio web. Por lo tanto, debe ser muy consciente al elegir el servicio de alojamiento.
Deben proporcionar seguridad estricta y, al mismo tiempo, admitir HTTPS, proporcionar certificados SSL y administrar copias de seguridad.
Muchos proveedores de alojamiento web, como Bluehost y Hostinger, brindan una solución completa para alojar su sitio de WordPress.
17. Instalar certificados SSL
SSL (Secure Sockets Layer), o TLS (Transport Layer Security), es un protocolo para establecer enlaces encriptados y autenticados entre redes informáticas.
Garantiza la transferencia segura de información importante a través de su sitio y navegadores. El certificado SSL proporciona un par de claves criptográficas que consta de una clave pública y una privada.
La clave pública permite que un navegador web inicie una comunicación cifrada con un servidor web.
Por otro lado, la clave privada se guarda en el servidor y se utiliza para firmar páginas web y otros documentos digitalmente.
Los proveedores de servicios de alojamiento para WordPress ofrecen certificados SSL y se encargan del proceso de configuración por usted.
O también puede agregar un certificado SSL de autoridades de certificación como Cloudflare y GoDaddy.
Problemas comunes de seguridad de WordPress
Ataque de fuerza bruta
Un ataque de fuerza bruta es uno de los problemas de seguridad más comunes de WordPress. En caso de un ataque de fuerza bruta, el atacante intenta múltiples inicios de sesión adivinando la contraseña.
Los atacantes generalmente apuntan a la página de inicio de sesión del sitio web e intentan obtener acceso no autorizado. Intentan iniciar sesión hasta que su nombre de usuario y contraseña adivinados son correctos.
Por lo tanto, debe usar una contraseña segura, limitar los intentos de inicio de sesión, usar la autenticación de dos factores y cambiar la URL de inicio de sesión y el nombre de usuario predeterminados.
Inyección SQL
Una inyección de SQL apunta a la base de datos de su sitio de WordPress. Los atacantes intentan inyectar consultas SQL maliciosas en la base de datos para acceder a información no autorizada.
Cuando se ejecutan esos scripts, los atacantes pueden manipular o eliminar las filas de la tabla de la base de datos.
En el caso de WordPress, a través de la inyección SQL, los atacantes también pueden atacar el complemento y los temas que interactúan con la base de datos del sitio web.
Por lo tanto, actualizar regularmente los complementos y temas, usar un firewall y crear una copia de seguridad del sitio web puede reducir el riesgo de ataques de inyección SQL en su sitio de WordPress.
Ataque DDoS
Un ataque DDoS (Distributed Denial of Service) sobrecarga un sitio web o servidor con un volumen de tráfico inusualmente grande. Como resultado, el usuario no puede acceder al sitio web.
Los atacantes realizan el ataque mediante la creación de bots informáticos para enviar una gran cantidad de tráfico al sitio web de destino al mismo tiempo.
Para evitar tales ataques, use una red de entrega de contenido (CDN) como Cloudflare para distribuir el tráfico entrante y un firewall de aplicaciones web.
También puede monitorear regularmente el tráfico de red de su sitio y utilizar un servicio de alojamiento seguro.
Secuencias de comandos entre sitios (XSS)
Cross-Site Scripting (XSS) es otro tipo de ataque cibernético en el que un atacante intenta inyectar un código ejecutable malicioso o una secuencia de comandos en un sitio web.
Los atacantes pueden realizar un ataque XSS a través de contenido generado por el usuario, como comentarios, formularios de contacto o envíos de formularios de registro de usuarios.
Por lo tanto, siempre debe validar la entrada del usuario y usar complementos de formulario de contacto seguro como Everest Forms y complementos de registro de usuario como Registro de usuario.
Además de eso, también debe seguir otras medidas de seguridad.
¡Envolviendolo!
Entonces, eso es todo de nosotros en la lista de verificación de seguridad de WordPress. Esperamos que haya disfrutado mucho leyendo el artículo y comprenda cómo mejorar la seguridad de WordPress.
En resumen, la seguridad de su sitio de WordPress siempre debe ser su prioridad. Puede proteger sus datos e información y mantener la integridad de su sitio.
Por lo tanto, siguiendo nuestra lista de verificación de seguridad de WordPress, puede reducir el riesgo de que su sitio sea atacado. También le recomendamos que use otros productos de terceros con cuidado.
Si todavía tienes algo de tiempo, puedes explorar nuestra página de blog. Tenemos artículos increíbles que lo guiarán para eliminar el nombre del tema del pie de página, cambiar el color del enlace, etc.
Además, síganos en Twitter y Facebook para obtener las últimas actualizaciones.