12 consejos de seguridad de WordPress 2021: evita que los hackers pirateen tu sitio web

El 40% de todos los sitios web en Internet usan WordPress hoy. Y si no me equivoco, ¡tú también eres uno de ellos!

WordPress ha ganado mucha popularidad en los últimos años. Sin embargo, ¡la gran popularidad también invita a los piratas informáticos expertos!

Todos los días, más de 10 000 sitios web se incluyen en la lista negra de Google por contener códigos de software malicioso. Esto hace que la seguridad del sitio web sea un tema de suma importancia.

En el artículo de hoy, voy a discutir 12 medidas de seguridad efectivas de WordPress y consejos de seguridad que lo ayudarán a proteger su sitio web de vulnerabilidades en línea y ataques de piratas informáticos.

Entonces, sin más preámbulos, ¡vamos a sumergirnos en eso!

Consejos de seguridad de WordPress y uso del complemento de seguridad de WordPress

1) Utilice un buen servicio de alojamiento

Un buen servicio de alojamiento es un ingrediente clave en la creación de un sitio web exitoso. ¿Sabe que el número máximo de intentos de piratería se realiza en los servidores de alojamiento?

Las empresas de alojamiento con servicios de seguridad deficientes se han convertido en un caldo de cultivo para los delitos cibernéticos.

¡Bluehost es famoso por las brechas de seguridad! Sus servidores han sido pirateados varias veces debido a errores evidentes y lagunas en su código.

¿Su sitio web está alojado en Bluehost? ¿Experimenta velocidades de carga de página extremadamente lentas o interrupciones frecuentes del sitio web? Entonces es hora de que cambies a otro host.

Un mal alojamiento puede comprometer todos los datos de su sitio web. Para salvarse, siempre debe prestar mucha atención al elegir su servicio de alojamiento.

2) Use un buen complemento de seguridad

Un complemento puede marcar la diferencia en la seguridad y el rendimiento de su sitio. Pero, si su alojamiento no es satisfactorio, su sitio web siempre corre el riesgo de ser pirateado. Por lo tanto, un buen alojamiento es imprescindible.

Recomendaría dos complementos de seguridad altamente eficientes para WordPress:

1. Seguridad de Wordfence
2. iThemes Seguridad

Ambos complementos son potentes, pero Wordfence Security tiene velocidades de carga lentas en algunos sitios web, por lo que prefiero iThemes Security para mis sitios web.

3) Establecer una página de inicio de sesión diferente

Debe haber notado que puede acceder a la página de inicio de sesión para los sitios web de WordPress a través de la URL: yourwebsite.com/wp-admin . ¡Pero hay una trampa!

Si piensa desde la perspectiva de un hacker, esta información es un premio gordo. ¡Puedo acceder literalmente a la página de inicio de sesión de cualquier sitio de WordPress agregando wp-admin al final de la URL!

Los intentos máximos de piratería siempre se realizan en las páginas de inicio de sesión.

Debemos evitar cualquier posibilidad de ser hackeados. Con iThemes Security, puede cambiar la página de inicio de sesión de wp-admin a algo más como yourwebsite.com/ this_is_my_site o literalmente cualquier cosa que no sea común.

Pero también manténgalo guardado de forma segura en 3-4 ubicaciones diferentes. Si pierde esta URL, no hay otra forma de acceder a su sitio.

Así es como puede cambiar su página de inicio de sesión usando iThemes Security:

4) Utilice un nombre de usuario y una contraseña seguros

WordPress ofrece el nombre de usuario predeterminado para sus sitios web como 'admin' . Y la mayoría de los usuarios nunca se molestan en cambiarlo porque les resulta fácil y conveniente recordarlo.

Pero los nombres de usuario genéricos como 'admin' facilitan que los piratas informáticos encuentren su contraseña porque ya tienen su nombre de usuario.

Pueden usar técnicas como el ataque de fuerza bruta para adivinar su contraseña y luego robarle sus valiosos datos. (¿Se pregunta qué es Brute Force Attack? Siga leyendo para averiguarlo).

Entonces, como usuario de WordPress, esté un paso por delante de los piratas informáticos y comience a aplicar contraseñas seguras en su sitio.

Con el complemento iThemes Security, puede configurar estos ajustes en muy poco tiempo.

5) Establecer un límite en el número de intentos de inicio de sesión

Entonces, estábamos hablando de Brute Force Attack. Es una especie de ataque cibernético en el que el pirata informático sigue probando diferentes combinaciones de contraseñas para iniciar sesión en su cuenta hasta que encuentra la correcta/contraseña de destino.

Las contraseñas débiles simplemente tardan unos segundos en descifrarse. Los fuertes pueden tomar mucho tiempo. Debido a que el proceso de adivinación de la contraseña requiere una cantidad considerable de tiempo, este ataque también se denomina búsqueda exhaustiva.

Este es un método muy confiable para descifrar la contraseña de alguien porque eventualmente, después de probar todas las combinaciones, ¡seguramente encontrarán la contraseña objetivo, sin importar cuán segura sea!

Según las estadísticas, en 2017, ¡alrededor del 5 % de las infracciones de seguridad ocurrieron debido a ataques de fuerza bruta! ¡Así que puedes imaginar lo simple que es realizar este ataque!

Sin embargo, puede controlar estas actividades estableciendo un límite en el número de intentos de inicio de sesión.

Por ejemplo, si un usuario intenta iniciar sesión en su cuenta más de 3 veces, quedará bloqueado durante 24 horas. Esto garantizará una mayor seguridad. iThemes Security le ofrece excelentes configuraciones de personalización para los intentos de inicio de sesión.

6) Implementar autenticación de dos factores

Como ya hemos visto, los piratas informáticos eventualmente pueden encontrar todas las combinaciones de contraseñas utilizando un ataque de fuerza bruta. Esto significa que no importa cuán segura sea su contraseña, ¡su cuenta nunca estará segura!

Aquí es donde 2FA marca su presencia. 2FA (autenticación de dos factores) es una capa adicional de seguridad después de proteger sus cuentas con contraseñas.

Proporciona un segundo método de verificación de la identidad del usuario al combinar dos factores: lo que sabe (por ejemplo, su contraseña) y lo que tiene (por ejemplo, su huella digital u otra característica de identificación).

Cada vez que alguien intenta iniciar sesión en su cuenta, la autenticación de dos factores envía una OTP (contraseña de un solo uso) única a su dispositivo a través de SMS. Una vez que ingresa ese código, le permite acceder a la cuenta.

Este método es, con diferencia, el más seguro y eficaz de todos, y todo el mundo debería utilizarlo en sus cuentas para garantizar la máxima seguridad.

6) Utilice Cloudflare para la protección contra ataques DDoS

DDoS (Distributed Denial of Service) es un ataque cibernético en el que los piratas informáticos utilizan una red de computadoras zombis llamada 'Botnet' para interrumpir el tráfico normal y romper su sitio web.

El propósito principal de un ataque DDoS es hacer que su sitio web no esté disponible para los usuarios reales, al inundarlo con más solicitudes de las que su servidor web puede manejar.

En palabras simples, es como un atasco de tráfico no deseado que no permite el paso de personas genuinas.

Entonces, ¿cómo se puede prevenir este atasco de tráfico? ¡Cloudflare es tu salvavidas en este caso! Protege su sitio web de todas las actividades maliciosas en línea como ataques DDoS, virus, bots y otros elementos intrusivos.

También mejora la velocidad de carga de su página, ayuda en las clasificaciones de los motores de búsqueda y proporciona un certificado SSL gratuito para ayudar a garantizar una mayor seguridad de sus comunicaciones en línea de terceros.

Puede obtener un certificado SSL gratuito y protección contra ataques DDoS a través de estos sencillos pasos:

1. Crea una cuenta en Cloudflare.com
2. Añade tu página web
3. Elija el plan gratuito/pago según su elección
4. Agregue los servidores de nombres de Cloudflare en sus registros DNS.

Esto vinculará su sitio web a Cloudflare y podrá disfrutar de sus características de seguridad sobresalientes.

7) Evite el uso de complementos y temas anulados

La mayoría de los usuarios de WordPress ni siquiera saben que están usando temas/complementos anulados.

Los temas y complementos anulados son características premium que se distribuyen de forma gratuita. El distribuidor podría agregar su propio código malicioso en su código fuente y robar sus datos.

Otro inconveniente de los temas/complementos anulados es la falta de actualizaciones. El desarrollador publica actualizaciones con frecuencia para solucionar los problemas de seguridad del software.

Pero para los temas Nulled, el distribuidor no es un desarrollador legal. Por lo tanto, no hay actualizaciones disponibles. Por lo tanto, son altamente vulnerables a los piratas informáticos de terceros.

Finalmente, no hay opciones de soporte o personalización con temas Nulled. No puede cambiar las fuentes, los colores de fuente, la posición de los widgets u otros elementos en la página.

Por lo tanto, nunca use temas anulados. Siempre debe optar por temas GPL (GNU General Public Licence). Una Licencia GPL es una licencia libre e identificada que da a sus usuarios la libertad de usar y cambiar su código de software.

Entonces, antes de comprar o instalar, asegúrese de que su tema esté bajo la licencia GPL.

8) Actualice regularmente WordPress, complementos y temas

Los desarrolladores de temas y complementos siguen solucionando constantemente las fallas y actualizando sus temas/complementos. Por lo tanto, actualícelos siempre cada 15 días; de lo contrario, podría correr el riesgo de ser pirateado.

Además, nunca deje de actualizar su sitio web de WordPress a la última versión para disfrutar de una experiencia fluida.

Por ejemplo, si alguien encuentra una manera de piratear los datos de las personas explotando el código de un tema/complemento. También está utilizando este tema/complemento.

¡Ahora, si olvida actualizar, será vulnerable a estos ataques de piratería maliciosos!

9) Eliminar complementos y temas inactivos

Supongamos que desea mostrar una galería de imágenes en su publicación. Usted instala un complemento para él, y una vez que finaliza su trabajo, ¡se encuentra en su carpeta de complementos sin usar durante años! ¿No ha sucedido esto con cada uno de nosotros?

Esta práctica podría poner en riesgo sus valiosos datos porque los piratas informáticos también han intentado manipular sus datos a través de temas y complementos inactivos. Por lo tanto, asegúrese siempre de eliminarlos si ya no se utilizan.

¿Cuántos complementos inactivos tiene en su sitio web en este momento? ¡Házmelo saber en la caja de comentarios!

10) Desactivar registro de usuario

¿Qué tipo de sitio web tienes? ¿Requiere que los usuarios creen sus cuentas en su sitio? Si no es así, lo mejor es deshabilitar los 'registros de usuarios'.

Si está utilizando su sitio web de WordPress para fines básicos de blogs, mantenga esta función desactivada porque los intentos de piratería también pueden ocurrir a través de la página de registro de usuarios.

11) Realice copias de seguridad periódicas

Esto es evidente: realice copias de seguridad del sitio web con regularidad. Pero lo importante a recordar es que debe ser una copia de seguridad fuera del sitio.

Las copias de seguridad fuera del sitio cifran, comprimen y protegen nuestros datos en un servidor diferente al servidor principal. Esto tiene muchos beneficios como:

• Ahorra espacio de almacenamiento
• Tenemos una copia de seguridad de datos en caso de que todo el sistema se bloquee
• Previene el tiempo de inactividad del sitio web
• Protege nuestros datos de ataques en línea

Pero uno debe saber cómo crear una copia de seguridad, además de cómo restaurarla también.

Un máximo de personas pueden realizar copias de seguridad, pero restaurarlas es donde ocurre el problema. Para garantizar la seguridad de su sitio, ¡aprenda estas habilidades básicas de inmediato!

12) Cambiar el prefijo de la tabla de WordPress para evitar la inyección de SQL

Las tablas de WordPress contienen toda la información sobre su sitio web, incluida su información de inicio de sesión. Por lo tanto, es el objetivo favorito de los piratas informáticos.

Y si te has dado cuenta, el prefijo para las tablas de la base de datos de WordPress es wp_ por defecto. Debido a que los usuarios normales como usted y yo no encuentran la necesidad de cambiarlo, se vuelve más fácil para los atacantes apuntar a este prefijo predeterminado y realizar una inyección SQL en nuestro sitio web.

La inyección de SQL es una técnica de piratería en la que el hacker aprovecha alguna vulnerabilidad en un tema/complemento para controlar las tablas de la base de datos del usuario, obteniendo así el mismo nivel de autoridad en la base de datos que el propietario, es decir, usted.

¿No suena aterrador? ¡El complemento iThemes Security nos ofrece opciones fáciles para editar el prefijo de la tabla y evitar la inyección de SQL sin esfuerzo!

Cómo usar el complemento de seguridad de WordPress

Para aprender cómo puede usar el complemento de seguridad de WordPress, puede ver este video. He usado la versión gratuita de iThemes Security Pro para configurar todas las medidas de seguridad de WordPress.

Conclusión

Entonces, eso fue todo por hoy. Espero que este artículo lo ayude a mantener seguro su sitio web de WordPress siguiendo estos consejos y haciendo uso de los complementos de seguridad.

¿Qué otras medidas de seguridad implementáis en vuestros sitios web? Compártalos en la sección de comentarios a continuación.

Además, si te gusta este contenido, asegúrate de suscribirte a este blog . ¡Aquí Kripesh se despide! Nos vemos en la próxima. ¡Cuídense y sigan aprendiendo, muchachos!