Consejos de seguridad de WordPress para proteger WordPress
Publicado: 2023-05-07¿Está preocupado por la seguridad de su sitio web de WordPress? Si es así, no estás solo.
WordPress es uno de los sistemas de administración de contenido más populares y es utilizado por millones de sitios web en toda la web. Sin embargo, con su popularidad viene el riesgo de vulnerabilidades de seguridad si no está debidamente protegido.
La siguiente guía le enseñará cómo seguir unos sencillos pasos para asegurarse de que su sitio web de WordPress esté a salvo de posibles amenazas en el futuro.
En este artículo, desglosaremos algunas prácticas de seguridad esenciales de WordPress para ayudar a proteger su sitio web. Cubriremos temas como elegir una contraseña segura, actualizar sus complementos y temas regularmente, usar un certificado SSL, ejecutar una estrategia de copia de seguridad y más.
Al tomar estas medidas, puede estar seguro de que su sitio web de WordPress es seguro y sus datos están a salvo.
¿Por qué necesita proteger un sitio web de WordPress?
Asegurar su sitio web de WordPress es fundamental para protegerlo de piratas informáticos y posibles ataques que podrían comprometer sus datos o dañar su reputación en línea. La implementación de medidas de seguridad, como contraseñas seguras, actualizaciones periódicas y copias de seguridad, puede evitar infracciones de seguridad y mantener seguro su sitio web.
Debe seguir varios pasos para asegurarse de que su sitio web de WordPress sea seguro para protegerlo de ataques maliciosos y accesos no autorizados. Debe tomar las medidas necesarias para proteger su sitio web lo antes posible, ya que es vulnerable a las amenazas.
La seguridad es una de las cosas más importantes de su sitio web de WordPress en esta era digital. Si no aplica las medidas de seguridad adecuadas, su sitio de WordPress lo deja a usted y a sus visitantes vulnerables a ataques maliciosos.
Los sitios web de WordPress deben estar debidamente protegidos, por lo que en esta sección discutiremos por qué es tan importante y cómo puede tomar medidas para garantizar que su sitio web de WordPress esté seguro.
WordPress es uno de los sistemas de administración de contenido (CMS) más populares en Internet y millones de sitios web lo usan.
Debido a esto, los sitios de WordPress atraen a los piratas informáticos y otros ciberdelincuentes que intentan explotar las vulnerabilidades de seguridad o robarles información confidencial.
Sin las medidas de seguridad adecuadas, su sitio web de WordPress puede verse fácilmente comprometido, lo que lo expone a usted y a sus visitantes al robo de datos, malware y otros ataques cibernéticos.
Estos son algunos de los ataques más comunes en los sitios web de WordPress:
1. La falsificación de solicitudes entre sitios ( CSRF ) es una campaña para engañar a los usuarios para que realicen acciones no previstas en una aplicación web segura.
2. Este es un ataque de denegación de servicio distribuido que inunda un sitio web con conexiones no deseadas, dejándolo inutilizable.
3. Una omisión de autenticación es un ataque que brinda a los piratas informáticos acceso a los recursos de su sitio web sin verificar su integridad.
4. Conocida como inyección SQL (SQLi) , esta amenaza corrompe los datos de su base de datos al generar consultas SQL maliciosas.
5. XSS (cross-site scripting) permite que el código malicioso fluya de un lugar a otro en un sitio.
6. Una inclusión de archivo local (LFI) obliga a un sitio web a ejecutar archivos maliciosos.
Proteger un sitio web de WordPress es vital para garantizar su seguridad y la de sus visitantes. La implementación de medidas de seguridad adecuadas puede ayudar a proteger su sitio de posibles ataques y brindarle mayor tranquilidad.
Los siguientes consejos lo ayudarán a aumentar la seguridad y protección de su sitio web de WordPress con poco esfuerzo. Su sitio web también estará protegido contra ataques maliciosos o accesos no autorizados a través de estos consejos.
Lista de verificación de seguridad de WordPress y consejos adicionales
Solo una o dos medidas de seguridad no protegerán completamente su sitio de WordPress, así que asegúrese de que todos los aspectos estén seguros.
En las siguientes partes revisaremos y discutiremos múltiples y diferentes consejos para hacer que WordPress sea más seguro.
Mejores prácticas de seguridad de WordPress
Este artículo revisará una lista de verificación de seguridad de WordPress y consejos adicionales. La seguridad en Internet es vital para el éxito de su sitio web de WordPress, por lo que aquí hay algunas cosas que debe considerar como parte de su plan de seguridad.
También es muy importante estar atento a cualquier comportamiento sospechoso en su sitio web y podría ayudarlo a evitar cualquier daño a su sitio web. Seguir estos pasos es la mejor manera de asegurarse de que su sitio web esté protegido contra amenazas que puedan dañarlo en el futuro.
A pesar de la popularidad y el poder de WordPress, puede ser vulnerable a ataques si no se implementan medidas de seguridad.
1. Actualice el núcleo, los complementos y los temas de WordPress regularmente
Cualquier propietario de un sitio web debe hacer que mantener sus sitios de WordPress seguros sea una prioridad. Una forma de hacerlo es mantener actualizados los complementos, los temas y el núcleo de WordPress.
Las actualizaciones son necesarias porque a menudo corrigen fallas de seguridad y otros errores que pueden dejar su sitio abierto a ataques en el futuro.
Afortunadamente, WordPress facilita la actualización de su núcleo, complementos y temas. Puede buscar actualizaciones disponibles en el panel de administración de WordPress; la mayoría de las actualizaciones se instalarán automáticamente.
Si está utilizando un alojamiento administrado de WordPress, también puede tener opciones adicionales para realizar actualizaciones automáticas con regularidad.
Además, generalmente es una buena idea usar solo complementos y temas de fuentes confiables. Los complementos y temas anulados pueden contener código malicioso, por lo que es mejor evitarlos si es posible. Verificar las reseñas y las calificaciones puede ayudarlo a decidir si un complemento o tema es confiable.
Finalmente, si tiene un sitio de comercio electrónico, debería considerar invertir en herramientas y servicios de seguridad adicionales. Estos pueden ayudar a proteger su sitio de ataques maliciosos y proporcionar capas adicionales de protección más allá de simplemente mantener su software actualizado.
2. Utilice las credenciales de inicio de sesión seguras de WP-Admin
Para proteger su sitio web, necesita credenciales de administrador de WordPress únicas y seguras.
Una contraseña segura debe incluir una combinación de mayúsculas, minúsculas, números y caracteres especiales.
Nunca use nombres de usuario y contraseñas predecibles, como admin
o user
para el nombre de usuario o 12345
como contraseña.
Además, cambiar su contraseña de administrador de WordPress con regularidad es esencial, especialmente después de cualquier actualización importante de WordPress, para que los piratas informáticos no puedan obtener acceso a través de una falla de seguridad obsoleta.
3. Use temas y complementos confiables de WordPress
El uso de temas y complementos confiables de WordPress es esencial para mantener su sitio web seguro. Los temas de WordPress gratuitos o baratos de fuentes no confiables pueden ser tentadores, pero podrían dejar su sitio web vulnerable a los piratas informáticos. También se recomienda encarecidamente no utilizar temas o complementos anulados.
Los complementos y temas verificados por el equipo de WordPress son los más seguros de usar cuando se trata de seguridad, ya que se actualizan continuamente para proteger contra posibles vulnerabilidades.
Además, asegúrese de estar atento a los desarrolladores que ofrecen soporte para sus productos y que actualizan su código regularmente, ya que esto garantizará que, si surge un posible problema de seguridad, se detecte lo antes posible.
Muchos temas y complementos ahora están disponibles de fuentes confiables, con actualizaciones periódicas, correcciones de errores y otras características valiosas. Si está buscando un tema confiable, lea más sobre los mejores temas de WordPress y también le sugerimos el tema Publisher.
Además, también debe leer las reseñas de otros usuarios para estar lo más seguro posible de que los temas y complementos que pretende utilizar son de la más alta calidad.
Todos los temas y complementos también deben verificarse en busca de puertas traseras o código malicioso. Puede usar servicios que hagan esto si no se siente cómodo haciéndolo usted mismo.
4. Use un complemento de seguridad de WordPress
Proteger su sitio web es un paso importante que todo propietario de un sitio web debe tomar. Los complementos de seguridad de WordPress pueden hacer precisamente eso.
Puede usar estos complementos para proteger su sitio de WordPress de ataques maliciosos, detectar y eliminar malware y mejorar la seguridad en general.
Elija un buen complemento de seguridad de WordPress que sea adecuado para su sitio web de la variedad disponible.
Averigüe si están disponibles la autenticación de dos factores, las comprobaciones de seguridad de la contraseña y la protección de cortafuegos.
Asegúrese de que el complemento que elija se actualice regularmente con parches de seguridad para mantenerse protegido.
Asegúrese de investigar las opciones disponibles y elija una que satisfaga sus necesidades. Proteja su sitio con un complemento de seguridad de WordPress.
5. Utilice un alojamiento seguro de WordPress
Elegir un proveedor de alojamiento seguro de WordPress debe ser una prioridad principal al proteger su sitio web.
Asegurarse de que su sitio web sea seguro comienza con la elección de un proveedor de alojamiento.
Considere las medidas de seguridad de su servidor web al elegir uno. Asegúrese de que el anfitrión que elija sea proactivo en esta área.
Un buen host debe contar con escaneo de malware regular, protección de fuerza bruta y fuertes firewalls con protección DDoS. También deben proporcionar cifrado a nivel de servidor y copias de seguridad diarias.
Además de las características de seguridad, busque un host que brinde un excelente soporte. Quiere a alguien que responda rápidamente a cualquier alerta o problema que tenga.
Además, querrá asegurarse de que el proveedor de alojamiento que elija ofrezca un alto tiempo de actividad y monitoreo porque el tiempo de inactividad puede afectar seriamente su sitio web.
Como consejo final, asegúrese de que el precio sea competitivo, ya que muchas empresas de hosting ofrecen servicios similares. Trate de encontrar descuentos u ofertas especiales para ahorrar algo de dinero también.
Al seguir estos pasos y elegir el proveedor de alojamiento adecuado, puede estar seguro de que su sitio web de WordPress es seguro y está protegido contra ataques maliciosos.
6. Instalar certificado SSL
Para proteger los datos que almacena, envía y recibe en su sitio de WordPress, debe instalar un certificado SSL como parte de sus medidas de seguridad.
Los certificados SSL seguros cifran el tráfico entre su sitio y los navegadores de los visitantes, por lo que los datos que envían o reciben no pueden ser interceptados.
La instalación de un certificado SSL también puede ayudar a mejorar la clasificación de su motor de búsqueda y hacer que su sitio web sea más atractivo para los visitantes al agregar una capa de seguridad y confianza.
Mantener su certificado actualizado y monitorearlo regularmente en busca de fallas es esencial una vez que lo haya instalado. Asegúrese de encontrar un proveedor de certificados SSL de confianza para su sitio web.
Estos consejos ayudarán a que su sitio de WordPress se mantenga seguro y los visitantes se sientan cómodos navegando.
7. Eliminar complementos y temas de WordPress no utilizados
Un paso importante para asegurar su sitio web de WordPress es eliminar regularmente los complementos y temas no utilizados. Estos elementos no utilizados pueden hacer que su sitio web sea vulnerable a violaciones de seguridad, ya que es posible que no reciban las actualizaciones o los parches necesarios.
Al eliminarlos, reduce la superficie de ataque potencial de su sitio web, lo que dificulta que los piratas informáticos encuentren vulnerabilidades.
Además, eliminar estos recursos innecesarios también puede ayudar a mejorar la velocidad de carga y el rendimiento general de su sitio web, lo que garantiza una mejor experiencia de usuario para sus visitantes.
Así que tómese el tiempo para revisar sus complementos y temas periódicamente, y elimine los que ya no sean necesarios para mantener su sitio web seguro y funcionando sin problemas.
8. Cree copias de seguridad regularmente
La creación de copias de seguridad de su sitio de WordPress es una parte esencial de la seguridad del sitio web. Las copias de seguridad regulares aseguran que, si sucede lo peor y su sitio se ve comprometido, puede restaurar rápidamente el sitio a un buen estado conocido sin perder ningún contenido.
La creación de copias de seguridad debe ser una parte integral de su proceso de seguridad de WordPress. Debe apuntar a realizar copias de seguridad diarias, aunque es posible que desee realizar copias de seguridad con más frecuencia si realiza cambios o actualizaciones frecuentes en su sitio.
Debe hacer una copia de seguridad de todos los elementos de su instalación de WordPress al crear copias de seguridad, incluida la base de datos, los archivos de WordPress y cualquier complemento, tema y otros archivos. Un buen complemento de copia de seguridad puede ayudarlo a proteger su sitio web.
Querrá varias copias de sus copias de seguridad en caso de un accidente catastrófico. Si una copia de respaldo está dañada, tener otra ayudará a minimizar el tiempo de inactividad al volver a poner en funcionamiento su sitio.
Por último, pero no menos importante, asegúrese de hacer una copia de seguridad de sus archivos en un lugar seguro. Hay servicios de respaldo basados en la nube y servidores remotos que puede usar.
Consejos generales de seguridad de WordPress
Le daré algunos consejos generales en esta sección para ayudarlo a proteger aún más su sitio de los piratas informáticos y otras amenazas que puedan surgir en su camino.
1. Habilite la autenticación de dos factores para WP-Admin
La autenticación de dos factores (2FA) es una excelente manera de proteger su sitio web de WordPress. Agrega una capa adicional de protección además de su nombre de usuario y contraseña habituales, lo que dificulta que los piratas informáticos accedan a su sitio.
Al habilitar 2FA, puede estar seguro de que incluso si alguien obtiene sus credenciales de inicio de sesión, no podrá pasar del segundo paso de autenticación.
Hay varias formas de configurar la autenticación de dos factores en WordPress. La forma más fácil es usar un complemento de autenticación de dos factores como WordFence o iThemes Security . Estos complementos le permitirán configurar fácilmente la autenticación de dos factores y agregar una capa adicional de protección a su sitio web.
2. Deshabilitar Inspeccionar Elemento y Ver Fuente
Deshabilitar Inspeccionar elemento y Ver fuente es un paso importante para asegurar su sitio web de WordPress. Al hacer esto, puede evitar que los actores maliciosos accedan a información confidencial como el código fuente de su sitio web.
Para deshabilitar Inspeccionar elemento y Ver fuente en WordPress, puede usar un complemento como WPShield Content Protector.
Para deshabilitar Ver fuente, haga esto:
Paso 1: Descarga el protector de contenido WPShield.
Paso 2: Instale el complemento desde Complementos → Agregar nuevo .
Paso 3: Vaya a WP Shield → Configuración s.
Paso 4: Abra View Source Protector y habilite Ver Protector de código fuente .
Paso 5: El protector ofrece dos protocolos diferentes.
Elige el protocolo que más te convenga:
1. Deshabilitar solo teclas de acceso rápido: esta opción deshabilita por completo todas las teclas de acceso rápido, pero esta no es la opción más segura disponible, y los usuarios más avanzados podrían acceder al código fuente del sitio web.
2. Ocultar código fuente + Agregar advertencia de derechos de autor: esta opción es muy segura. Si alguien intenta abrir Ver código fuente, todo el contenido de la página se elimina y recibirá un mensaje informándole que no puede acceder al código fuente.
Paso 6: Guarde los cambios que realizó.
Para deshabilitar Inspeccionar elemento, haga esto:
Paso 1: Ve a WP Shield → Configuración .
Paso 2: Abra Developer Tools Protector y habilite Developer Tools Protector (Inspeccionar elemento) .
Paso 5: El protector ofrece tres protocolos diferentes.
Elige el protocolo que más te convenga:
1. Deshabilitar solo teclas de acceso rápido: este protocolo solo deshabilita las teclas de acceso rápido, por lo que si alguien encuentra una manera de acceder al elemento de inspección, puede usarlo.
2. Borrar el contenido de la página después de abrir las herramientas de desarrollo: si alguien intenta abrir el elemento de inspección, el contenido de la página se borrará. Esta opción es segura de usar.
3. Redirigir a una página después de abrir las herramientas de desarrollo: si alguien intenta abrir la sección de elementos de inspección, será redirigido a una página personalizada. Puede elegir la página Redirigir a la sección de página.
Paso 6: Guarde los cambios que realizó.
Al deshabilitar Inspeccionar elemento y Ver fuente, puede estar tranquilo sabiendo que su sitio web está protegido contra miradas indiscretas. Tomar las medidas necesarias para proteger su contenido ayudará a mantener su sitio web seguro y disuadir a los actores maliciosos.
Nota importante: para obtener más información, consulte nuestro artículo detallado sobre cómo deshabilitar el elemento de inspección en WordPress.
3. Limite los intentos de inicio de sesión
Si planea proteger WordPress, limitar los intentos de inicio de sesión debería ser una de las partes más críticas de cualquier lista de verificación de seguridad.
Su sitio web permanecerá seguro si limita los inicios de sesión para que los usuarios no autorizados no puedan acceder a él.
Puede instalar un complemento como Limitar intentos de inicio de sesión recargados para limitar los intentos de inicio de sesión. Este complemento le permite establecer el número máximo de intentos fallidos de inicio de sesión antes de que el usuario quede bloqueado. Puede personalizar la duración del bloqueo desde unos pocos minutos hasta un día completo.
Para utilizar Limitar el intento de inicio de sesión, haga lo siguiente:
Paso 1: Instalar Límite de intentos de inicio de sesión recargados desde complementos → Agregar nuevo .
Paso 2: Vaya a Configuración → Limitar intentos de inicio de sesión .
Paso 3: En Configuración de la aplicación → Bloqueo, puede configurar la limitación de intentos de inicio de sesión.
Paso 4: Guarda los cambios.
Nota importante: para obtener más información, puede consultar nuestro artículo para limitar los intentos de inicio de sesión en WordPress.
4. Cambiar la URL de la página de inicio de sesión de WordPress
Tomar las medidas necesarias para garantizar la seguridad y la integridad de su sitio de WordPress comienza con asegurar la página de inicio de sesión al comienzo del proceso.
Cambiar la URL de la página de inicio de sesión de WordPress dificulta el ingreso de usuarios malintencionados.
La página de inicio de sesión se puede cambiar con un complemento como WP Hide Login.
Cambie la URL de la página de inicio de sesión de WordPress:
Paso 1: Vaya a Complementos → Agregar nuevo e instale WPS Hide Login .
Paso 2: Vaya a Configuración → Ocultar inicio de sesión de WPS .
Paso 3: cambie el enlace de inicio de sesión en la URL de inicio de sesión.
Paso 4: Guarda los cambios.
Es importante recordar que cambiar la URL de la página de inicio de sesión de WordPress no garantizará la seguridad completa de su sitio web. Aún así, puede ayudar a disminuir las posibilidades de que los actores malintencionados obtengan acceso a su sitio web.
Además, he escrito un artículo más detallado sobre cómo cambiar la URL de inicio de sesión. Asegúrese de leerlo si está interesado.
Nota importante: para obtener más información, puede consultar nuestro artículo sobre cómo cambiar la URL de inicio de sesión de WordPress.
5. Nunca use el nombre de usuario "Administrador"
Para los usuarios de WordPress, el nombre de usuario admin
es uno de los nombres de usuario predeterminados más comunes y el que tiene más probabilidades de ser atacado por piratas informáticos.
Es importante que nunca use el nombre de usuario admin
predeterminado como su nombre de perfil de inicio de sesión. En su lugar, cree un nombre de usuario único que no sea fácil de adivinar y asegúrese de que no sea similar a otros nombres de usuario asociados con su sitio web o cualquier otra cuenta que tenga en línea.
Si su nombre está disponible en el sitio web, asegúrese de cambiar su nombre para mostrar en Usuarios → Perfil → Nombre para mostrar públicamente como .
Asegúrese de que este nuevo nombre de usuario esté vinculado a una dirección de correo electrónico que también sea segura, ya que puede usarse para restablecer contraseñas.
6. Cerrar sesión de usuarios inactivos automáticamente
Asegurar su sitio de WordPress es esencial para protegerse contra ataques maliciosos. Una forma de ayudar a hacer esto es cerrar la sesión de los usuarios inactivos automáticamente. Esto reduce el riesgo de que otra persona obtenga acceso a su sitio mientras un usuario puede estar lejos de su computadora o dispositivo.
Puede cerrar la sesión de un usuario si no interactúa con la página durante un cierto período de tiempo utilizando complementos como Complemento inactivo .
Esta opción es especialmente importante si alguien usa computadoras públicas, arriesgando sus datos y los tuyos.
Por último, mantenga actualizados sus nombres de usuario y contraseñas, especialmente si sospecha que su información podría filtrarse.
7. Deshabilitar enlaces activos
Deshabilite los enlaces directos para mantener seguro su sitio de WordPress. Hotlinking es cuando alguien vincula directamente a la imagen o archivo de otro sitio web en su propio sitio web sin alojar el archivo o la imagen ellos mismos. Esto puede consumir ancho de banda y puede ser un riesgo de seguridad.
Si desea detener los enlaces directos en WordPress, puede usar el complemento WPShield Content Protector. Esto bloquea los enlaces activos de otros sitios, por lo que solo puede vincular archivos o imágenes en su propio sitio.
Para deshabilitar hotlinking, haga esto:
Paso 1: Ve a WP Shield → Configuración .
Paso 3: Vaya a iFrame Hotlink Protector y habilite Protector de enlace activo iFrame .
Paso 4: Este protector ofrece cuatro protocolos diferentes.
Elige el protocolo que más te convenga:
1. Mostrar mensaje emergente en solicitudes de iFrame: este protocolo solo muestra un mensaje emergente en el iFrame. Este no es el método más seguro.
2. Bloquear y mostrar una página en blanco en iFrames: este protocolo bloquea la solicitud y muestra una página en blanco. Esta es una opción muy segura; sin embargo, podría afectar la UX del sitio web.
3. Mostrar un copyright de marca de agua en las solicitudes de iFrame: este protocolo agrega una marca de agua al iFrame. Esta es la mejor opción para el sitio web UX.
4. Redirigir la solicitud de iFrame a la página personalizada: se puede elegir una página personalizada y la página solicitada se puede redirigir allí.
Paso 5: Guarde los cambios que realizó.
Nota importante: aquí hay un artículo completo sobre la prevención de enlaces directos si está interesado en evitarlos para imágenes y otros medios.
8. Supervisar la actividad del usuario
La seguridad de un sitio de WordPress puede verse comprometida por una serie de amenazas, por lo que es esencial monitorear la actividad del usuario.
Podrá identificar actividades sospechosas y tomar medidas para evitarlas si realiza un seguimiento de quién visita el sitio, cuándo lo hace y qué está haciendo.
Usando un complemento de monitoreo de usuario como WP Activity Log Security Solution, puede rastrear la actividad del usuario en su sitio de WordPress.
Este complemento le permite establecer restricciones en las funciones de los usuarios, realizar un seguimiento de los intentos de inicio de sesión y configurar alertas para comportamientos inusuales.
9. Comprobar si hay malware
Hay varias razones por las que el malware puede ser un problema importante con respecto a la seguridad de WordPress. Tomar medidas preventivas es esencial para verificar si hay algún software malicioso que pueda haber infectado su sitio web.
Debe escanear su sitio de WordPress con una herramienta antivirus como Sucuri o WordFence para encontrar posibles amenazas y eliminarlas.
También debe ejecutar escaneos regulares en busca de malware para protegerse contra nuevas amenazas. Además, debe asegurarse de que todos los complementos y temas estén actualizados y provengan de fuentes confiables.
Seguir estos pasos puede hacer que su sitio de WordPress sea más seguro y menos vulnerable a los ataques de malware.
10. Deshabilitar el informe de errores de PHP
Debe deshabilitar el Informe de errores de PHP para asegurar su sitio web de WordPress. Le ayudará a identificar cuellos de botella y mantenerlo funcionando sin problemas.
Obtendrá información detallada sobre las rutas y las estructuras de archivos de su sitio web a través del informe de errores de PHP, para que sepa si todo funciona correctamente.
El problema es que mostrar las vulnerabilidades de su sitio en el backend es un grave riesgo de seguridad.
Si muestra un complemento específico en el que apareció el mensaje de error, los ciberdelincuentes podrían explotar las vulnerabilidades de ese complemento.
Para solucionarlo, agregue este código a wp-config.php :
error_reporting(0); @ini_set('display_errors', 0);
Al deshabilitar el Informe de errores de PHP, básicamente está eliminando la posibilidad de que su sitio pueda mostrar cualquier cosa que indique un error, que los piratas informáticos con intenciones maliciosas podrían ver.
Es importante tomar las precauciones necesarias si no desea que su información confidencial caiga en las manos equivocadas.
11. Utilice un cortafuegos de aplicaciones web
Un firewall de aplicaciones web (WAF) es una capa esencial de la seguridad de WordPress.
Un WAF monitorea y bloquea el tráfico malicioso en tiempo real, protegiendo su sitio web contra ataques maliciosos y accesos no autorizados.
También le permite personalizar las reglas para detectar actividades sospechosas y filtrar las amenazas comunes basadas en la web, como las secuencias de comandos entre sitios y la inyección de SQL.
Utilice un WAF que ofrezca la mayor cantidad de funciones y configuraciones de seguridad, como autenticación de dos factores , listas blancas y bloqueadas de direcciones IP , y cifrado de datos , para una protección óptima.
Además, asegúrese de que su proveedor de host lo actualice con frecuencia para protegerlo de errores recién descubiertos. También puede instalar un complemento de firewall en su sitio web para protegerlo correctamente.
La incorporación de un WAF puede ayudar a mitigar los riesgos del sitio de WordPress, pero esto debería ser solo una parte de un plan de seguridad más amplio.
12. Desactivar el editor de archivos de WordPress
Es una característica excelente para los bloggers, ya que les permite editar sus archivos de WordPress directamente en el Editor de archivos. Sin embargo, también es una característica peligrosa porque un pirata informático puede acceder a su sitio y cambiar sus datos al usarlo.
Los editores de archivos pueden ser puertas de entrada para los piratas informáticos, así que desactívelos si no los está utilizando.
Puede agregar el siguiente código al final de wp-config.php en su directorio raíz de WordPress para desactivar el Editor de archivos:
define('DISALLOW_FILE_EDIT', true);
Ahora puede deshabilitar el Editor de archivos, y no debería representar un riesgo para la seguridad.
13. Cambiar el prefijo predeterminado de la base de datos de WordPress
Cambiar el prefijo de base de datos predeterminado de los sitios de WordPress los hace más seguros.
Cambiar el prefijo predeterminado de la base de datos crea una capa adicional de seguridad al dificultar que los piratas informáticos adivinen el nombre de su base de datos.
El prefijo de la base de datos de WordPress identifica la base de datos y todas las tablas que contiene. De forma predeterminada, el prefijo es wp_
, pero puede cambiarlo por otro.
Para cambiar el prefijo:
Paso 1: busque wp-config.php en los archivos de su sitio web.
Paso 2: busca esta línea
“$table_prefix = 'wp_'”
Paso 3: Cambie wp_
a algo más exclusivo, como bsprefix_
y guarde los cambios.
Paso 4: Abra su base de datos en phpmyadmin.
Paso 5: puede cambiar el nombre de las tablas en SQL con este código:
RENAME table `wp_tablename` TO `bsprefix_tablename`;
Cada tabla que necesite actualizar necesita este código.
Hay momentos en los que necesita cambiar algunos valores en las tablas, para hacerlo siga estos pasos:
Paso 1: Es posible que todavía haya tablas con el prefijo antiguo adjunto, así que identifíquelas.
Paso 2: abre SQL y ejecuta esta consulta:
SELECT * FROM `bsprefix_tablename` WHERE `field_name` LIKE '%wp_%'
En este código, bsprefix_tablename
es la tabla que ya está editando.
Paso 3: edite los resultados con el nuevo prefijo una vez que aparezcan.
14. Deshabilitar XML-RPC
Como medida de seguridad, le recomendamos que deshabilite la función XML-RPC para que su sitio web de WordPress permanezca seguro. La función XML-RPC en WordPress le permite acceder y publicar contenido a través de dispositivos móviles, habilitar trackbacks y pingbacks, y usar el complemento Jetpack.
En el archivo .htaccess, agregue un código para deshabilitarlo.
Para deshabilitar XML-PRC, agregue el siguiente código al archivo .htaccess:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 000.00.000.000 </Files>
Sin embargo, los piratas informáticos pueden explotar XML-RPC para ingresar a su sitio y hacer múltiples intentos de iniciar sesión a la vez sin ser detectado por el software de seguridad, lo que hace que su sitio sea vulnerable a los ataques.
Los piratas informáticos utilizan las API XML-RPC para acceder a los sitios de WordPress. Desactivarlo detendrá los ataques de fuerza bruta, los ataques DDoS, el spam y otros problemas.
Querrá asegurarse de que su sitio web aún funcione después de deshabilitar XML-RPC. Verifique los complementos para asegurarse de que no requieran XML-RPC para funcionar.
Nota importante: para obtener más información, puede consultar nuestro artículo sobre cómo deshabilitar XML-RPC en WordPress.
15. Ocultar la versión de WordPress
El sistema de administración de contenido de WordPress se destaca como uno de los sistemas de administración de contenido más populares en el mercado actual, lo que lo convierte en un objetivo atractivo para los usuarios malintencionados.
Oculte la versión de WordPress como una de estas prácticas de seguridad. Una versión visible de WordPress facilita que los piratas informáticos descubran qué versión se está ejecutando en un servidor, para que puedan encontrar cualquier vulnerabilidad conocida que exista en él.
Afortunadamente, ocultar la versión de WordPress es relativamente sencillo. Todo lo que tienes que hacer es seguir estas instrucciones:
Paso 1: Vaya a Apariencia → Editor de archivos de temas .
Paso 2: Abra las funciones del tema, agregue el siguiente código:
function wp_remove_version() { return ''; } add_filter('the_generator', 'wp_remove_version');
La metaetiqueta de WordPress también muestra la versión y puede cambiarla agregando este código a function.php.
remove_action('wp_head', 'wp_generator');
Arreglar un sitio de WordPress pirateado
Si su sitio de WordPress ha sido pirateado, hay varios pasos que puede seguir para solucionarlo. Primero, identifique y elimine cualquier código o archivo malicioso. Luego, actualice todas las contraseñas y complementos a sus últimas versiones. Finalmente, implemente medidas de seguridad como la autenticación de dos factores y un firewall para prevenir futuros ataques.
Un sitio de WordPress pirateado puede ser una experiencia aterradora. Si tal cosa sucede, es posible que necesite ayuda para saber por dónde empezar.
Aquí hay algunos consejos para ayudarlo a reparar un sitio de WordPress pirateado. Proteger su sitio de WordPress de los piratas informáticos es esencial.
Los expertos pueden ayudarlo con este problema, pero si prefiere solucionarlo usted mismo, hay pasos que puede seguir.
Comience por cerrar su sitio web. Esto evitará que se produzcan más daños. Haga una copia de seguridad de todos sus archivos y datos importantes, por si acaso.
Es crucial averiguar de dónde provino el ataque antes de trabajar en la reparación de su sitio de WordPress pirateado.
Intente ponerse en contacto con su proveedor de alojamiento web y siga sus instrucciones. Es posible que puedan ayudar. Se ocupan de este tipo de cosas a diario y conocen su entorno de alojamiento, por lo que sabrán cómo ayudar.
Si realiza una copia de seguridad de su sitio con regularidad , puede restaurar su sitio de WordPress a una fecha en la que aún no haya sido pirateado.
Escanee en busca de malware y elimínelo . Limpie su sitio de WordPress y elimine cualquier tema o complemento inactivo. A veces, aquí es donde los piratas informáticos esconden sus puertas traseras.
Busque en la sección de usuarios de WordPress para ver quién tiene derechos de administrador. Si hay alguien sospechoso, bórralo.
Tan pronto como su base de datos de WordPress haya sido revisada en busca de códigos o secuencias de comandos maliciosos, puede comenzar a eliminar cualquier código o secuencia de comandos maliciosos de su blog . Sin embargo, es posible que desee considerar el uso de un complemento como WP Security Scan para que este proceso sea más fácil y eficiente.
Si sigue estos pasos, debería poder asegurar su sitio de WordPress y mantenerlo seguro. Solo recuerde: siempre es mejor prevenir que curar, así que actualice su sitio, use contraseñas seguras y tenga cuidado con las actividades sospechosas.
Preguntas más frecuentes
Las formas más fáciles de asegurar su sitio de WordPress son mantenerlo actualizado, deshabilitar la edición de archivos, usar contraseñas seguras, instalar un certificado SSL y hacer una copia de seguridad de todo con regularidad.
Estoy de acuerdo en que mantener tu versión de WordPress actualizada es una de las mejores formas de mantener tu sitio web seguro. Las versiones recientes de WordPress contienen parches de seguridad que protegen su sitio contra ataques potencialmente maliciosos, por lo que siempre debe mantener su versión de WordPress actualizada.
Cifrar los datos enviados a través de la red con un certificado SSL agregará otra capa de seguridad a su sitio web de WordPress. Además de ayudar a generar confianza entre usted y sus visitantes, muestra que la conexión es segura y que los datos que comparten están seguros con usted.
Hacer una copia de seguridad de los datos de su sitio web es esencial si algo le sucede a su sitio, como un pirateo o un virus. Las copias de seguridad periódicas garantizan el acceso a la versión más reciente de sus datos, que se pueden restaurar si es necesario.
Conclusión
En esta publicación de blog sobre consejos de seguridad de WordPress, discutimos la importancia de una contraseña única, autenticación de dos factores, actualizaciones periódicas de complementos, uso de complementos de seguridad y mucho más.
Hágame saber lo que piensa en los comentarios a continuación, dependiendo de si este artículo le resultó útil o no. Gracias por leer.
Manténgase actualizado con los tutoriales y noticias de BetterStudio en Facebook y Twitter.