Guía de seguridad de WordPress para autónomos ocupados (2024)

Aunque WordPress está diseñado para ser seguro, no lo es del todo. Requiere un mantenimiento regular y tu responsabilidad aumenta aún más cuando administras el WordPress de tus clientes.

Esta guía de seguridad de WordPress enumera formas efectivas de configurarlo y olvidarlo para que los autónomos y las agencias automaticen la seguridad de los sitios de WordPress de sus clientes. Para cada nuevo cliente que incorpore, siga esta lista de verificación para protegerse contra futuras amenazas.

¿Listo? Empecemos.

16 estrategias de seguridad de WordPress para proteger los sitios de WordPress

Por mucho que la seguridad de WordPress se base en seguir las mejores prácticas, es igualmente importante utilizar herramientas confiables que puedas configurar y olvidar. Dicho esto, aquí están las estrategias de seguridad de WordPress, junto con las herramientas adecuadas y los pasos prácticos para implementarlas correctamente.

1. Elija alojamiento seguro para los sitios de los clientes

Es crucial establecer una base sólida. Para los sitios de WordPress, esto comienza con la elección de un alojamiento web seguro y optimizado para WordPress. Todos los datos del sitio de sus clientes se almacenarán en un alojamiento web, por lo que es fundamental utilizar un alojamiento confiable, como SiteGround.

Elegir el plan de alojamiento optimizado para WordPress de SiteGround es perfecto, ya que ofrece seguridad total: se encargará de la mayoría de las estrategias que discutiremos en esta publicación.

Por ejemplo, con SiteGround, obtienes los complementos Security Optimizer y Speed ​​Optimizer de forma gratuita, por lo que no tienes que comprar opciones de terceros. Autoinstala y actualiza la versión de WordPress para mantenerla actualizada. Finalmente, incluye soluciones avanzadas de almacenamiento en caché, un firewall de aplicaciones web (WAF), copias de seguridad diarias y certificados CDN y SSL gratuitos.

SiteGround es conocido por su galardonado soporte al cliente 24 horas al día, 7 días a la semana, por lo que no tendrá que estar disponible para sus clientes las 24 horas, los 7 días de la semana. Puede aprovechar el soporte de SiteGround para responder a sus clientes cuando no esté disponible. Para simplificar las cosas, ya que administrará varios clientes, optar por un alojamiento web que se encargue de la mayoría de las cosas por usted es inteligente y lógico.

Obtenga SiteGround

SiteGround ofrece mucho más de lo que comentamos. Lea esta publicación para conocer las funciones de alojamiento optimizadas para WordPress de SiteGround para que pueda utilizarlas en todo su potencial.

2. Utilice un tema de WordPress confiable

De manera similar, utilizar un tema de WordPress confiable, seguro y de buena reputación reduce el riesgo de ataques o problemas de rendimiento que podrían afectar los sitios web de sus clientes. Un tema de buena calidad como Divi también te brinda muchos beneficios, como actualizaciones periódicas, seguridad HTTPS, compatibilidad con complementos y protección contra vulnerabilidades.

Divi es un tema seguro de WordPress en el que confían más de un millón de propietarios de sitios. Es un tema altamente personalizable que te permite diseñar cualquier tipo de sitio web y editar cada rincón con su conjunto premium de herramientas:

• Un constructor visual de arrastrar y soltar para diseñar un sitio moviendo elementos
• Divi Quick Sites para generar un sitio en pleno funcionamiento en menos de dos minutos
• Divi AI para permitir que AI cree un sitio web para usted
• Y muchas herramientas, como pruebas divididas integradas, miles de diseños de páginas prediseñadas y cientos de elementos de contenido, para crear un sitio único.

Pero lo que realmente hace que Divi se destaque es su enfoque en la seguridad. Así es como nos aseguramos de que Divi sea un tema seguro para los usuarios de Divi:

• Actualizaciones periódicas: actualizamos Divi y solucionamos errores para que sea seguro y optimizado para un rendimiento máximo.
• Compatibilidad con complementos de seguridad: Divi está diseñado para ser compatible con complementos de seguridad populares de WordPress para que pueda mejorar fácilmente la seguridad del sitio de sus clientes.
• Documentación y soporte completos: puede acceder a nuestra documentación detallada y soporte dedicado para configurar el tema de forma segura y abordar cualquier problema de seguridad.
• Autenticación de usuario y control de acceso: el módulo Formulario de inicio de sesión de Divi le permite limitar el acceso únicamente a miembros autorizados.
• Minimizar las dependencias de terceros : Divi minimiza los posibles riesgos de seguridad con código externo al reducir la dependencia de scripts y bibliotecas de terceros.
• Optimización del rendimiento: el rendimiento mejorado reduce el riesgo de ataques de denegación de servicio (DoS), lo que contribuye indirectamente a la seguridad general de los sitios web que utilizan Divi.

Puede que sus clientes no, pero usted conoce la importancia de la seguridad, así que utilice un tema seguro como Divi para todos sus sitios. Divi no sólo es seguro sino también perfecto para agencias y autónomos. Con la membresía anual de Divi de $89, obtienes descargas e instalaciones ilimitadas, por lo que no es necesario comprar licencias separadas para cada cliente; una membresía de Divi es suficiente para administrar los sitios de tu cartera.

Obtener Divi

3. Realice un seguimiento de todos los sitios en un solo panel

La gestión manual de varios sitios de WordPress sin una herramienta de seguimiento puede salirse de control rápidamente. Iniciar sesión en diferentes paneles de WordPress, recordar nombres de usuario y contraseñas y realizar un seguimiento de las actualizaciones puede resultar abrumador. Es por eso que deberías utilizar un administrador de sitios de WordPress como Divi Dash.

Divi Dash es un administrador de sitios de WordPress que le permite asegurarse de que los sitios de sus clientes estén siempre actualizados. Puede realizar un seguimiento de las actualizaciones de temas, complementos y WordPress de sus clientes en un solo panel. También le muestra el estado del sitio, la base de datos y los informes de WordPress para que pueda optimizar todos los sitios web en un solo lugar sin iniciar sesión en sitios individuales. Puedes usar Divi Dash para estas tareas:

• Actualización masiva de WordPress, complementos y temas
• Programe actualizaciones automáticas para complementos, temas y WordPress
• Inicie sesión con un clic en los paneles de WordPress de sus clientes
• Optimice la base de datos de WordPress eliminando comentarios no deseados, publicaciones eliminadas, etc.
• Supervise y solucione los problemas de salud del sitio con antelación
• Colaborar y asignar roles de usuario a los miembros del equipo.

Un panel de administración de WordPress simplifica el mantenimiento de la seguridad de muchos sitios en un solo lugar. Con Divi Dash, puedes optimizarlo aún más automatizando las actualizaciones para evitar el riesgo de pasar por alto, lo que podría generar amenazas en el futuro.

La mejor parte es que Divi Dash es completamente gratis con tu membresía Divi. Cuando compras tu membresía Divi por $89, obtienes acceso a Divi Dash en tu área de membresía de Elegant Themes, por lo que no es necesario pagar por separado un administrador de sitio de WordPress.

Obtén Divi Dash (gratis con Divi)

4. Mantenga actualizados WordPress, temas y complementos

Dejar WordPress, complementos y temas sin actualizar es como dejar las puertas abiertas para que entren amenazas. Sin actualizaciones periódicas, los sitios de sus clientes se vuelven vulnerables, ya que estas actualizaciones generalmente abordan problemas críticos de seguridad. Por lo tanto, lo más importante que debe hacer para proteger los sitios de sus clientes es mantener actualizados WordPress, los temas y los complementos.

Sin embargo, es más fácil decirlo que hacerlo, especialmente para los trabajadores independientes y las agencias que administran una cartera de sitios. Es un desafío manual, excepto que no lo es: con Divi Dash, que le permite realizar actualizaciones masivas y programar actualizaciones automáticas para diferentes sitios de WordPress con unos pocos clics y en un solo panel.

Puede actualizar todo usando el botón Actualizar todo en la parte superior derecha de la sección Actualizaciones . Puede revisar complementos, temas o sitios web individuales visitando Sitios web, Temas y complementos. También puedes automatizar las actualizaciones en un día y hora específicos para poder configurarlo y olvidarte de ello.

Establezca como regla mantener WordPress, los temas y los complementos actualizados. Divi Dash (gratis con tu membresía Divi) hace que administrar WordPress sea muy sencillo. Puede realizar actualizaciones masivas o programar actualizaciones automáticas para evitar tener que realizar un seguimiento de todo.

5. Fortalecer la seguridad con una seguridad sólida

Actualizar WordPress, los complementos y los temas no es suficiente para aumentar la seguridad del sitio. Necesita un complemento de seguridad de WordPress dedicado como Solid Security para habilitar las configuraciones necesarias y proteger automáticamente los sitios de sus clientes.

Características clave de la seguridad sólida

• Escaneo de malware
• Prevención de ataques de fuerza bruta
• Autenticación de dos factores (2FA)
• Limitar intentos de inicio de sesión
• Aplicación segura de contraseñas
• Comprobaciones de permisos de archivos
• Deshabilite XML-RPC (para ataques DDoS e intentos de fuerza bruta)
• Cambiar la URL de inicio de sesión predeterminada de WordPress
• Deshabilitar la indexación de directorios
• Lista blanca de IP para wp-admin
• Copias de seguridad automáticas de bases de datos
• Encabezados de seguridad HTTP
• Registro y supervisión de la actividad del usuario
• Detección y alertas de cambios de archivos

Al utilizar Solid Security, puede automatizar muchas tareas de seguridad cruciales, minimizando el riesgo de error humano y al mismo tiempo garantizando que los sitios de WordPress de sus clientes estén monitoreados y protegidos continuamente.

¡Muchas de las tareas mencionadas en esta publicación se pueden realizar solo con este complemento!

Obtenga seguridad sólida

Sin embargo, no basta con instalar el complemento. Debe configurar los ajustes correctos para implementar la mejor seguridad. Aquí está nuestro tutorial detallado sobre cómo configurar Solid Security.

6. Habilite 2FA y limite los intentos de inicio de sesión

Varios usuarios que inician y cierran sesión en WordPress pueden poner en riesgo la seguridad. Por lo tanto, es necesario realizar un seguimiento de los inicios de sesión de los usuarios de WordPress. Puedes hacer algunas cosas, como configurar 2FA, limitar los intentos de inicio de sesión y ocultar la URL de inicio de sesión de WordPress.

Primero, configurar 2FA permite que solo los usuarios autorizados, como su cliente, usted y los miembros del equipo, accedan a WordPress. Para configurar 2FA, puede instalar el complemento Solid Security, que permite iniciar sesión correctamente solo si el usuario ingresa el código de autenticación correcto.

A continuación, debes limitar los intentos de inicio de sesión. Los piratas informáticos prueban múltiples combinaciones de contraseñas para obtener acceso no autorizado. Al establecer un límite, reduce el riesgo de estos ataques y protege los datos confidenciales. Solid Security también le permite configurar protección de fuerza bruta.

Finalmente, debe ocultar las URL de inicio de sesión de WordPress de sus clientes, lo que dificulta que los piratas informáticos adivinen los nombres de usuario y las contraseñas. Utilice la configuración Ocultar backend de Solid Security para modificar la URL de inicio de sesión y ocultar la predeterminada. Es uno de los mejores complementos de seguridad, pero también puedes consultar JetPack para obtener más funciones.

Obtenga seguridad sólida

7. Asignar los permisos de usuario necesarios

También debe asegurarse de que solo se asignen los permisos necesarios a los miembros del equipo con roles de usuario específicos para que personas limitadas tengan acceso completo al sitio. Idealmente, su cliente debería tener acceso de administrador, pero es posible que no administre su sitio con tanta frecuencia. Para esas situaciones, puede asignar acceso a miembros confiables del equipo.

A diferencia del editor de funciones de WordPress, Divi Dash y Divi Role Editor le permiten administrar fácilmente el acceso de los usuarios a un nivel granular.

Agregue más usuarios, elimine un usuario e inicie sesión en un sitio con un solo clic. Divi Teams también funciona con Divi Dash, por lo que todos los miembros de tu equipo pueden acceder a Divi Dash de forma gratuita. No necesitan rastrear los nombres de usuario y contraseñas de todos sus clientes: Divi Dash los almacenará con cada cliente y perfil de usuario.

Con Divi Role Editor, puede modificar los permisos de acceso para diferentes roles de usuario para cada cliente en función de sus solicitudes específicas. Por ejemplo, para restringir el acceso de los administradores de la tienda a Divi Page Builder, deshabilite la configuración del Generador de páginas para el Administrador de la tienda.

Utilice Divi Dash y Divi Role Editor para monitorear el acceso de los usuarios y proteger los sitios de sus clientes contra el acceso no autorizado. Al otorgar a los miembros del equipo solo los permisos necesarios, también puedes proteger páginas críticas como la configuración del administrador.

Para mayor seguridad, también debe monitorear periódicamente la actividad de los usuarios en los sitios de sus clientes. Para automatizar este paso, instale el complemento WP Activity Log, que rastrea y notifica sobre actividades sospechosas.

Obtener registro de actividad de WP

8. Bloquear el spam automáticamente

A medida que los sitios web de sus clientes crecen, aumenta el riesgo de comentarios spam y envíos de formularios. Para evitar limpiar manualmente el spam, utilice Solid Security para obtener protección automatizada:

• Funciones de la lista negra: bloquee direcciones IP de spam conocidas o rangos completos para evitar el acceso.
• Integración de reCAPTCHA: integre Google reCAPTCHA para proteger el correo electrónico, los comentarios y los formularios de contacto, garantizando que solo los usuarios reales puedan enviar entradas.
• Bloqueo de bots: evite que los bots envíen spam a través de secciones de comentarios, formularios de contacto y formularios de registro.

Si bien Solid Security brinda una sólida protección general, puede mejorar aún más su defensa agregando un complemento antispam especializado como CleanTalk, que ofrece filtrado de spam en tiempo real en comentarios, formularios y páginas de WooCommerce.

De vez en cuando, puedes optimizar manualmente la base de datos de WordPress de tu cliente usando Divi Dash. Para el sitio web de un cliente, desplácese hasta la sección Optimización y haga clic en Eliminar todo. Esto limpiará los comentarios spam y los elementos basura.

Al combinar Solid Security, CleanTalk y Divi Dash, puede proteger eficazmente los sitios de sus clientes contra el spam y, al mismo tiempo, optimizar el proceso de limpieza.

9. Automatizar las copias de seguridad de WordPress

Es necesario realizar copias de seguridad de los sitios de WordPress con regularidad para que, cuando un pirata informático dañe su sitio, pueda restaurar rápidamente la versión intacta y restaurar su sitio. Como profesional independiente o agencia, realizar una copia de seguridad manual de cada sitio puede resultar un desafío, especialmente cuando hay que hacerlo a diario.

Puede automatizar copias de seguridad periódicas de modo que la última versión del sitio de su cliente se descargue y almacene automáticamente en la nube todos los días sin su participación. Con UpdraftPlus, es posible.

Crea copias de seguridad diarias, las almacena en la nube y protege los datos almacenados cifrándolos.

UpdraftPlus también incluye una herramienta de migración fácil de usar que le permite copiar todo su sitio web o moverlo a un nuevo host con solo unos pocos clics. Esto hace que la actualización de su sitio sea más rápida, reduce el tiempo de inactividad y elimina la molestia habitual de transferir un sitio web.

Lea nuestra revisión detallada de UpdraftPlus para configurarlo correctamente y habilitar más configuraciones para aumentar la seguridad de su sitio.

Obtenga UpdraftPlus

10. Configurar análisis automáticos de malware

Saltarse los análisis regulares de malware puede hacer que los sitios web de sus clientes sean blancos fáciles para los piratas informáticos. Esto puede provocar el robo de información, una clasificación de búsqueda más baja y la pérdida de la confianza del cliente.

Sin embargo, comprobar manualmente cada sitio lleva tiempo y es posible que se pasen por alto algunas amenazas. Para facilitar las cosas, utilice JetPack, que busca automáticamente problemas de seguridad y detecta amenazas en tiempo real, manteniendo los sitios seguros sin necesidad de monitorearlos constantemente.

Otra gran opción es Solid Security, que también ofrece un sólido escaneo de malware y monitoreo automatizado.

De esta manera, automatiza los análisis de malware para todos los sitios de sus clientes y los protege contra amenazas en línea. No lo haces manualmente; el complemento lo hace. Simplemente recibirás una notificación sobre cualquier actividad sospechosa para que puedas tomar medidas rápidamente y evitar contratiempos.

Obtener JetPack

11. Protéjase contra ataques DDoS con una CDN

Los ataques DDoS, abreviatura de denegación de servicio distribuida, significan inundar su sitio con tráfico de spam para hacerlo inaccesible para usuarios reales. Cuanto más popular sea su sitio, más fácilmente se verá afectado por ataques DDoS.

Sin una CDN, los sitios de WordPress pueden verse fácilmente abrumados por ataques DDoS, donde demasiado tráfico podría ralentizar el sitio o incluso bloquearlo. Una red de entrega de contenido (CDN) como Cloudflare ayuda a proteger su sitio al distribuir el tráfico entre muchos servidores en todo el mundo. Esto mantiene el sitio funcionando sin problemas durante momentos de mucho tráfico y hace que las páginas se carguen más rápido para los visitantes.

Si utiliza Siteground, obtendrá Cloudflare con sus planes de alojamiento de WordPress. Dado que Cloudflare y Siteground están integrados, activar Cloudflare en su sitio de WordPress y configurar registros DNS se vuelve fácil.

Obtenga Cloudflare

12. Instalar certificados SSL

Los clientes a menudo pasan por alto la instalación de un certificado SSL, pero no saben que afecta drásticamente la seguridad de su sitio. Sin el cifrado HTTPS, los datos entre los usuarios y el sitio pueden verse alterados, lo que podría exponer información confidencial.

Eso no es un problema si utiliza servicios de alojamiento de WordPress seguros y confiables. Hosts como Siteground facilitan la activación de un certificado SSL. Vaya a SSL Manager e ingrese el dominio que desea cifrar con HTTPS.

Obtenga SiteGround

13. Eliminar temas y complementos no utilizados

Te preguntarás cuál es el daño al mantener temas o complementos no utilizados. El problema es que, cuando no se actualizan, estos temas y complementos pueden hacer que los sitios sean vulnerables a ataques.

Tan importante como mantener todo actualizado es eliminar los temas y complementos no utilizados. Para hacer esto, puede usar Divi Dash para revisar el sitio de cada cliente individualmente. Los temas y complementos inactivos están marcados como Inactivos. Selecciónelos y desinstálelos.

Esta es una práctica única, pero conviértala en un ejercicio regular para eliminar temas y complementos no deseados para mantener su sitio seguro y optimizado para un rendimiento rápido.

Obtén Divi Dash gratis con el tema Divi

14. Cerrar sesión automáticamente en usuarios inactivos

Algunos de los miembros de su equipo dejan su sesión de WordPress conectada después de terminar su trabajo del día. Esto podría llevar a que los piratas informáticos se apoderen de los sitios de sus clientes después de haber pirateado los dispositivos de los miembros de su equipo. Es por eso que debes cerrar la sesión de los usuarios de WordPress automáticamente una vez que se vuelven inactivos.

Para solucionar este problema, instale el complemento Cierre de sesión inactivo, que cierra automáticamente la sesión de los usuarios inactivos después de un tiempo. Establezca la hora a la que desea cerrar la sesión de los usuarios después de la inactividad y listo.

15. Habilite un firewall de aplicaciones web (WAF)

Un firewall de aplicaciones web (WAF) es una herramienta de seguridad que monitorea y filtra el tráfico entrante para proteger los sitios de WordPress de ataques maliciosos como inyecciones SQL, scripts entre sitios (XSS) y ataques DDoS. Habilitar un WAF es crucial ya que agrega una capa esencial de protección a los sitios de sus clientes y evita que se exploten las vulnerabilidades.

Lo bueno es que Cloudflare ofrece un WAF integrado como parte de su servicio, lo que le permite proteger los sitios web de sus clientes de diversas amenazas cibernéticas sin necesidad de configurar un sistema WAF por separado.

Obtenga Cloudflare

16. Subcontratar soporte para los sitios de los clientes

Incluso después de hacer todo bien, los sitios de sus clientes experimentarán errores menores que podrían brindarles a los piratas informáticos una bóveda para ingresar. Es por eso que debes monitorear los sitios con regularidad y corregir los errores y problemas que aparezcan.

El problema es que, con muchos sitios, ¿cómo mantenerse al día? Si es usuario de Divi y ha optado por Divi VIP, puede extender el soporte premium a sus clientes sin costo adicional.

Esto significa que tanto usted como su cliente recibirán soporte las 24 horas del día, los 7 días de la semana, con un tiempo de respuesta de 30 minutos o menos. Siempre que hay un problema, los expertos de Divi están ahí para solucionarlo sin su intervención. No olvides que con Divi VIP obtienes descuentos exclusivos en Divi Marketplace.

Comience con la base adecuada

La seguridad de los sitios WordPress de sus clientes depende de una base sólida. Con el host de WordPress adecuado y un tema potente, puedes proteger a tus clientes de muchas amenazas. Siteground y Divi es una combinación segura con beneficios irresistibles:

• Siteground ofrece alojamiento optimizado para WordPress con funciones de seguridad integradas como Cloudflare, complementos de seguridad, copias de seguridad diarias, soluciones de almacenamiento en caché y soporte de primer nivel para problemas del sitio.
• Divi es un creador de páginas y temas de WordPress todo en uno y altamente personalizable (que también funciona en un tema de terceros) con características únicas como pruebas divididas, condiciones, un creador de temas, etc., para ayudarlo a crear sitios web impresionantes para tus clientes.
• Divi incluye más. Por ejemplo, acceso a complementos premium (Bloom y Monarch) para redes sociales y correo electrónico, Divi Quick Sites para generar sitios web en minutos, instalaciones y descargas ilimitadas y soporte premium para brindarle soluciones completas para ejecutar los sitios de los clientes de manera eficiente.
• Divi Dash es gratis con tu membresía Divi, que cuesta sólo $89 al año. No necesita pagar por un administrador de sitios de WordPress independiente para administrar los sitios de los clientes.

Obtener Divi

Preguntas frecuentes sobre la seguridad de WordPress para autónomos que gestionan clientes