TechBlogSD - Todo para WordPress y desarrollo WEB
Instrucciones de WEB y WordPress, noticias, reseñas de temas y complementos

Guía de seguridad de WordPress: 28 consejos para proteger su sitio

1

WordPress impulsa a más del 35% de los sitios web en Internet. Debido a la gran popularidad y la naturaleza de código abierto, los sitios de WordPress son uno de los principales objetivos de los piratas informáticos y el software malicioso. Su sitio de WordPress podría ser un objetivo fácil para los atacantes debido a un nombre de usuario de administrador simple, contraseñas sencillas y temas o complementos obsoletos. Pero no se preocupe, es fácil proteger su sitio siguiendo unos sencillos pasos. Aquí hay una guía de seguridad de WordPress paso a paso para que los principiantes comprendan varios aspectos de la protección de su sitio contra atacantes y vulnerabilidades.

Relacionado: Descargue la guía de seguridad de WordPress en formato PDF.

Guía de seguridad de WordPress

  1. Mantenga su computadora y dispositivo móvil libres de virus
  2. Utilice un alojamiento seguro
  3. Mantenga su instalación actualizada
  4. Utilice contraseñas seguras
  5. Sin nombre de usuario de administrador
  6. Gestión segura de roles
  7. Use temas y complementos confiables
  8. Deshabilitar el editor de temas y complementos en la interfaz de administración
  9. Bloquear la ejecución de PHP desde el panel
  10. Detener el ataque de fuerza bruta
  11. Bloquear usuarios, IP y bots sospechosos
  12. Deshabilitar la exploración de directorios
  13. Desactivar la versión de WordPress
  14. Cambiar el prefijo de la tabla de la base de datos
  15. Cambiar la URL de administración de WordPress
  16. Utilice los permisos de archivo correctos
  17. Seguimiento de cambios de archivo
  18. Utilizar la configuración básica del cortafuegos
  19. Denegar el acceso al archivo de registro
  20. Deshabilitar XMLPRC y pingbacks
  21. Maneje los datos confidenciales de forma segura
  22. Prevenir SPAM
  23. Copia de seguridad periódica del sitio
  24. Escanear el sitio en busca de malware
  25. Monitorear errores 404
  26. Proteja los archivos "wp-config.php" y ".htaccess"
  27. Proporcionar acceso seguro a terceros
  28. Usar complemento de seguridad

1 Mantenga su computadora y su dispositivo móvil seguros

Guía de seguridad de WordPress: 28 consejos para proteger su sitio

La construcción de un sitio web necesita muchos recursos como documentos, imágenes, scripts, archivos y videos. Es posible que deba tener una computadora portátil y un dispositivo móvil dedicados para seguir creando su contenido. Especialmente en la plataforma WordPress autohospedada, la mayoría de las veces se requiere acceder de forma remota al servidor a través de FTP para fines de resolución de problemas y carga. Por lo tanto, instale antivirus en su computadora y escanee los archivos con regularidad. No olvide escanear los archivos de plugins y temas antes de subirlos a su sitio de WordPress.

Cargar un solo script o archivo con código malicioso en su servidor arruinará todo su arduo trabajo. Su empresa de alojamiento probablemente también bloqueará su cuenta por causar problemas al servidor. Además, asegúrese de acceder a su panel de WordPress solo a través de una conexión WiFi segura y evite las redes públicas para proteger sus datos.

2 Alojamiento seguro

La instalación de WordPress necesita un alojamiento de pago que debe comprarse en cualquiera de las empresas de alojamiento. Como nuevo usuario de WordPress, puede tender a gastar menos dinero y terminar comprando un alojamiento compartido barato para su sitio. Sin duda, tarde o temprano te arrepentirás de tu decisión de elegir una mala empresa de hosting. Cuando se encuentra en un servidor compartido, es importante que todos los sitios de ese servidor funcionen de forma segura.

Es común que cientos o incluso miles de sitios compartan una única dirección IP de servidor. Cuando un sitio en su servidor es pirateado, hay más posibilidades de que todo el servidor pueda ser pirateado y usted también se verá afectado. Hubo muchos casos en el pasado, miles de sitios en un servidor fueron pirateados ya que el pirata informático podía derribar el servidor a través de la vulnerabilidad en un solo sitio web.

WordPress recomienda pocas empresas de alojamiento seguro como Bluehost, SiteGround y DreamHost. Sin embargo, debe consultar con la empresa antes de comprar un plan de alojamiento.

Guía de seguridad de WordPress: 28 consejos para proteger su sitio

Alojamiento recomendado de WordPress

Asegúrese de que se pueda realizar una copia de seguridad completa de su sitio periódicamente y que la copia de seguridad se almacene fuera del servidor. Desde el punto de vista de la seguridad, almacenar la copia de seguridad en el mismo servidor no sirve de nada cuando el servidor mismo está siendo atacado.

3 Manténgase actualizado

WordPress tiene tres componentes principales para actualizar con frecuencia.

  • Tema
  • Complementos
  • Archivos principales de WordPress

Dado que las amenazas pueden evolucionar durante un período de tiempo, estos tres componentes deben actualizarse a las versiones más recientes y seguras. Se recomienda encarecidamente habilitar la actualización automática para sus versiones de WordPress para que los parches de seguridad se instalen automáticamente sin su intervención. También asegúrese de actualizar los temas y complementos en su servidor de alojamiento para que sean seguros y estén actualizados.

Obtenga más información sobre cómo funciona WordPress.

4 Establecer contraseña segura

Generalmente, los usuarios instalan WordPress a través de los servicios de instalación con un solo clic ofrecidos por las empresas de alojamiento. Este es un proceso de menos de 5 minutos y hay posibilidades de que no proporcione una contraseña muy segura durante este proceso de instalación rápida, especialmente cuando lo hace por primera vez. Además, la mayoría de los usuarios se olvidan de actualizar la contraseña después de la configuración inicial y algunos usuarios inteligentes incluso usan la contraseña como "contraseña".

El sitio de WordPress autohospedado necesita muchas contraseñas por diferentes razones. Asegúrese de tener contraseñas seguras para todas sus cuentas y proteja las credenciales de personas desconocidas.

  • Contraseña de inicio de sesión para el panel de administración de WordPress
  • Contraseña de inicio de sesión de la cuenta FTP
  • Contraseña para su base de datos
  • Contraseñas para diferentes usuarios en su sitio como administrador, editores, colaboradores, etc.
  • La contraseña de inicio de sesión de su cuenta de hosting
  • Contraseña para acceso a cPanel y phpMyadmin

También puede utilizar la autenticación de dos factores para iniciar sesión en su panel de WordPress. Esto ayuda a tener dos contraseñas, por ejemplo, una para el inicio de sesión inicial en el panel y se enviará una contraseña adicional a su dispositivo móvil para el inicio de sesión final. Cambie la contraseña de inmediato si ve que algo va mal en su sitio. Utilice nuestra herramienta gratuita de generación de contraseñas para crear contraseñas complejas y verifique la seguridad de su contraseña utilizando nuestra herramienta gratuita de verificación de seguridad de contraseñas.

Relacionado: Descargue la guía de seguridad de WordPress en formato PDF.

5 Cambiar el nombre de usuario del administrador

De manera similar a las contraseñas, es un hábito para la mayoría de nosotros proporcionar un nombre de usuario simple como "admin". El primer intento de cualquier bot o pirata informático para iniciar sesión en su sitio es con el nombre de usuario "admin" y la contraseña como "contraseña". Una vez que se complete la instalación, WordPress no le permitirá cambiar el nombre de usuario. Por lo tanto, proporcione un nombre de usuario y una contraseña complejos durante la instalación para que los piratas informáticos y los bots no puedan adivinarlos fácilmente.

Obtenga más información sobre cómo cambiar su nombre de usuario de administrador.

Puede mantener el apodo y el nombre para mostrar diferentes al nombre de usuario para que a los piratas informáticos les resulte difícil encontrar el nombre de usuario de administrador. De manera similar, intente mantener diferentes los nombres de usuario de administrador, editor y colaborador. De lo contrario, es fácil para los piratas informáticos encontrar el nombre de usuario de administrador en su sitio con la página de archivos del autor.

6 Utilice la gestión segura de roles

WordPress ofrece muchos roles para clasificar a las personas que manejan su sitio. Administrador, editor, colaborador, suscriptor son algunos de los roles que puede asignar. Cuando tenga la función de registro habilitada en su sitio, asegúrese de ofrecer suscriptor o ningún rol a los nuevos usuarios que se registran.

Guía de seguridad de WordPress: 28 consejos para proteger su sitio

Habilitar la función de suscriptor para nuevos usuarios

Es necesario proporcionar sus credenciales de administrador para obtener cierto asistente para sus complementos o temas comerciales. Cree siempre un usuario administrador separado y proporciónelo solo en un área privada de los foros de soporte que no puedan ser vistos por otros usuarios. No olvide eliminar el usuario una vez resuelta su consulta.

7 Use temas y complementos confiables

WordPress tiene 57 miles de complementos gratuitos disponibles en el repositorio cuando se escribe este artículo. Además de estos complementos gratuitos, existe una cantidad equivalente de complementos premium y gratuitos que se ofrecen a través de varios sitios web de terceros. De manera similar, hay una gran cantidad de temas gratuitos y premium disponibles para que elijas.

Los diferentes tipos de complementos gratuitos y de pago siempre tientan a los principiantes a instalar y probar en su sitio de WordPress. La abundancia de temas y complementos puede causar una gran amenaza a la seguridad de su sitio. No hay garantía de que estos complementos y temas se mantengan y actualicen para protegerlos de las últimas vulnerabilidades. No compre ni instale complementos y temas de recursos no confiables y siempre mantenga el hábito de probar complementos y temas en su sitio de desarrollo antes de implementarlos en el sitio en vivo. Siempre opte por una versión premium para obtener el soporte adecuado en lugar de optar por versiones gratuitas.

Además de la seguridad, la instalación de más complementos también reducirá la velocidad de carga de su página. Por lo tanto, elimine los complementos innecesarios y mantenga la lista recortada lo menos posible.

Relacionado: ¿Cómo configurar su blog de WordPress con Bluehost?

8 Deshabilite la edición de archivos desde el panel de administración

WordPress le permite editar archivos PHP de temas y complementos directamente desde el panel de administración. Cuando alguien tiene acceso no autorizado a su panel de administración, puede inyectar fácilmente código malicioso desde el panel sin acceder al directorio raíz del servidor. Por lo tanto, asegúrese de eliminar el acceso del editor para proteger sus datos de las personas que acceden a su panel de administración.

Agregue el siguiente código en su archivo "wp-config.php" para deshabilitar las opciones del editor de plugins y temas en la interfaz de administración.

define('DISALLOW_FILE_EDIT',true);

Obtenga más información sobre cómo editar el archivo wp-config.php en su instalación de WordPress.

9 Prevención de la ejecución de archivos PHP

Los piratas informáticos ejecutan archivos PHP en su sitio para desencadenar acciones no deseadas. Puede bloquear a los usuarios que ejecutan archivos PHP desde su interfaz de administración desde cualquier dirección IP que no sea la suya. Para habilitar el bloqueo de ejecución de PHP, cree el archivo ".htaccess" y colóquelo dentro de la carpeta "/ wp-content / plugins /" y "/ wp-content / themes /" con el siguiente contenido:

<Files *.php > deny from all allow from "Your IP address" </Files>

10 Protección contra ataques de fuerza bruta

El ataque de fuerza bruta es la forma de intentar iniciar sesión en su sitio adivinando el nombre de usuario y la contraseña. Se puede iniciar sesión en cualquier sitio de WordPress utilizando la URL: "yoursite.com/wp-admin/" o "yoursite.com/wp-login.php/". Hay miles de robots maliciosos que intentarán iniciar sesión en su sitio de WordPress, ya que todos conocen la URL de inicio de sesión.

Mantener un nombre de usuario y contraseña de administrador seguros es esencial para que los bots no puedan adivinar. Por otro lado, miles de bots que ingresan a su página de inicio de sesión aumentarán la utilización de CPU y RAM de su servidor. Esto llevará a su empresa de alojamiento a prohibir su cuenta, especialmente en entornos de alojamiento compartido.

Hay muchos complementos de seguridad disponibles para WordPress para proteger los ataques de fuerza bruta mediante uno o una combinación de los siguientes métodos.

  • Habilite el número máximo de intentos de inicio de sesión para que el usuario quede bloqueado después de algunos intentos. Usted, como administrador, recibirá una notificación sobre el bloqueo con el nombre de usuario y los detalles de IP.
  • Utilice captcha en los formularios de inicio de sesión y registro para proteger los intentos de inicio de sesión automático de los bots.
  • Cuando los robots maliciosos conocidos intenten iniciar sesión, serán redirigidos al servidor localhost para evitar que se carguen en su servidor.
  • Cambie la URL de inicio de sesión de su panel de administración.
  • Mantener una lista blanca para permitir que solo esas direcciones IP accedan a la página de inicio de sesión. A todas las demás direcciones IP se les negará el acceso a su página de inicio de sesión.
  • Prevención de inicio de sesión basada en cookies que permite que solo las personas que tienen una cookie especial configurada en su navegador inicien sesión en su sitio.
  • Usando la técnica de honeypot para insertar un campo oculto en la página de inicio de sesión. Como los bots tienden a llenar todos los campos en la página de inicio de sesión, se puede evitar que accedan a su sitio fácilmente.

Aprenda cómo prevenir un ataque de fuerza bruta en el sitio de WordPress en detalle.

11 Bloquear usuarios sospechosos, bots y listas negras de IP

Otro aspecto importante de la seguridad es monitorear a los usuarios y bots que acceden a su sitio. Como la mayoría de los servicios de alojamiento de pago se basan en el límite de tráfico, es necesario controlar los robots automatizados que rastrean su sitio. Puede encontrar los detalles del tráfico utilizando una de las herramientas de estadísticas disponibles en su cuenta de alojamiento como "Awstats". Los usuarios individuales, el nombre del agente de usuario de los bots y las direcciones IP se pueden bloquear para proteger su sitio.

También puede bloquear fácilmente todas las direcciones IP distintas a la suya creando un archivo ".htaccess" y colóquelo dentro de la carpeta "/ wp-admin /" con el siguiente código:

order deny,allow allow from "Your IP address" deny from all

Si accede al panel de administración desde más de una dirección IP, permita múltiples direcciones IP agregando múltiples comandos de permiso como se muestra a continuación:

order deny,allow allow from "Your IP address1" allow from "Your IP address2" allow from "Your IP address3" deny from all

También puede bloquear el país completo mediante el uso de complementos de bloqueo de países.

12 Deshabilitar la exploración de directorios

La exploración de directorios permite a cualquier usuario explorar la estructura de directorios de su sitio. Por ejemplo, cualquiera puede abrir la carpeta "/ wp-content / plugins /" en el navegador y comprobar todos los complementos instalados en su sitio. Cuando un pirata informático sabe que hay un complemento problemático en su sitio, será una puerta de entrada fácil para secuestrar su sitio.

La exploración de directorios se puede desactivar agregando la siguiente directiva en el archivo ".htaccess" ubicado en el directorio raíz de su servidor.

Options All -Indexes

Aprenda a editar archivos .htaccess en el sitio de WordPress.

13 Deshabilitar la versión de WordPress

Los sitios de WordPress muestran la versión de WordPress que utiliza en el código fuente de las páginas. Puede hacer clic derecho y ver el código fuente de su sitio de WordPress en el navegador para encontrar la información de la versión como se muestra a continuación:

<meta name="generator" content="WordPress 5.5" />

Idealmente, no es necesario ocultar esta etiqueta del metagenerador si está actualizando rápidamente a la última versión. Se recomienda ocultar la información de esta versión si no está utilizando la última versión o no la actualiza periódicamente.

Las versiones antiguas de WordPress tienen muchas vulnerabilidades conocidas que se corrigen a lo largo del tiempo. Los piratas informáticos pueden usar esta información de versión para encontrar los sitios que usan versiones antiguas y pueden inyectar esas vulnerabilidades fácilmente. Además de la etiqueta del metagenerador, WordPress también muestra el número de versión en la mayoría de las hojas de estilo y archivos de script añadiendo el sufijo “/?ver=5.5 ″. Utilice complementos de seguridad para eliminar completamente la información de la versión de todos los códigos fuente.

Oferta de SEO: Optimice su sitio con la prueba gratuita especial de 14 días de Semrush Pro.

14 Cambiar el prefijo de la tabla de la base de datos

Cuando instale WordPress, se le promoverá para que ingrese el prefijo para las tablas de su base de datos MySQL. WordPress agrega de forma predeterminada "wp_" a todas las tablas de la base de datos como prefijo. Por ejemplo, todo el contenido de texto de su sitio de WordPress se almacena en la tabla "wp_posts". Esto facilita el trabajo de los piratas informáticos para inyectar código malicioso en las tablas de su base de datos directamente a través de un acceso inadecuado.

En general, la instalación con un solo clic de las empresas de alojamiento web siempre agrega un prefijo complejo a su base de datos de WordPress. Pero al instalar WordPress manualmente, si ha proporcionado un prefijo simple, le recomendamos que lo cambie ahora. Puede cambiar el prefijo de la tabla de la base de datos utilizando cualquiera de los complementos de seguridad, ya que cambiar manualmente es una tarea bastante difícil para los principiantes.

Al cambiar el prefijo, está mejorando la protección de su base de datos, ya que los piratas informáticos no pueden adivinar los nombres correctos de las tablas.

15 Cambiar la URL de inicio de sesión de WordPress

Cambiar la URL de inicio de sesión reducirá los ataques de fuerza bruta, ya que ningún bot y pirata informático encuentra la manera de iniciar sesión en su sitio. Los complementos como iThemes Security y All in one WP Security y firewall ofrecen una manera fácil de cambiar la URL de inicio de sesión. Puede mantener la URL con algo como ” http://yoursitename.com/dontattack1me4/ " que contenga alfanuméricos para hacerlo más seguro.

16 Uso de permisos de archivo correctos

Cada archivo y carpeta en su instalación de WordPress viene con un permiso de archivo definido. Esto ayuda a decidir quién puede leer, escribir o ejecutar ciertos archivos en el sitio. Generalmente, archivos como "wp-config.php" y ".htaccess" deben protegerse con el permiso adecuado para que el grupo público no pueda acceder a estos archivos.

Guía de seguridad de WordPress: 28 consejos para proteger su sitio

Cambiar el permiso de archivo usando FileZilla

Los permisos de archivo predeterminados definidos por WordPress son en su mayoría suficientes para proteger sus datos. Pero el problema surge cuando instala complementos y temas que cambiarán o crearán muchas carpetas en su instalación. Es una buena práctica escanear su sitio y asegurarse de tener los permisos correctos para todas las carpetas importantes.

17 Seguimiento de cambios en archivos

Los piratas informáticos inyectan código malicioso en su sistema de archivos y muestran su contenido en lugar del suyo cuando se abre el sitio. Por lo tanto, es una buena idea realizar un seguimiento de los cambios en los archivos importantes de su sitio. Por lo general, nadie debe cambiar todos los archivos principales con la extensión .php (como "wp-config.php") sin su conocimiento.

Puede lograr este seguimiento de archivos utilizando cualquiera de los complementos de seguridad. Estos complementos le permiten elegir un directorio y archivos específicos en su sitio para realizar un seguimiento.

18 Utilice la configuración básica del cortafuegos

Hay configuraciones de firewall básicas y avanzadas para mejorar la seguridad de su sitio de WordPress. Generalmente, estos controles se agregan en el archivo ".htaccess" y evitan que los piratas informáticos y los bots accedan a su sitio. Algunas de las configuraciones del firewall para mejorar la seguridad de WordPress incluyen:

  • Denegue el acceso a los archivos "wp-config.php" y ".htaccess".
  • Limitar el tamaño de carga de archivos
  • Eliminar la firma del servidor

19 Denegar el acceso al archivo de registro

La resolución de problemas de WordPress requiere un análisis experto de la situación. WordPress le permite habilitar el registro de depuración para que sea fácil averiguar qué está sucediendo cuando se activa la acción en su sitio. Una vez habilitada la depuración, el archivo "debug.log" se almacenará en "/wp-content/debug.log". Este es un archivo importante que debe protegerse de los piratas informáticos para evitar que se filtre información confidencial. Asegúrese de deshabilitar la depuración una vez finalizada la resolución de problemas y elimine los archivos de registro.

También puede deshabilitar el acceso del navegador al archivo "debug.log" y continuar accediendo usando FTP.

20 Deshabilitar XMLPRC y Pingbacks

Cuando controle el tráfico a su sitio, se sorprenderá al ver la cantidad de bots que intentan acceder a la página “/xmlprc.php”. Hay muchas posibilidades de que los piratas informáticos puedan usar la API XMLPRC para eliminar su sitio, incluidas vulnerabilidades como DoS o Denial of Service.

Además de los problemas de piratería, es necesario proteger el acceso a la página "xmlprc.php" para reducir la carga en su servidor de alojamiento. Asegúrese de no utilizar la función XMLPRC en su sitio de WordPress y desactívela para proteger su sitio de los piratas informáticos.

Advertencia: tenga en cuenta que algunos complementos y aplicaciones, como la aplicación WordPress para iOS, utilizan esta API XMLPRC. Si deshabilita el servicio, la aplicación o el complemento no funcionarán.

Al igual que XMLPRC, los pingbacks también pueden crear problemas de seguridad para su sitio. Puede desactivar los pingbacks desde el panel de administración y mejorar la protección de datos de su sitio.

Guía de seguridad de WordPress: 28 consejos para proteger su sitio

Deshabilitar Pingbacks en WordPress

21 Maneje los datos confidenciales de forma segura

En el mundo de la seguridad de WordPress, la piratería no significa necesariamente secuestrar siempre el sitio o el servidor. La mayoría de las veces, la piratería se realiza para robar datos confidenciales como el correo electrónico y los detalles de la tarjeta de crédito disponibles en el sitio. Use HTTPS en las páginas para recopilar datos a través de formularios, especialmente si los datos son de naturaleza confidencial, como detalles financieros, número de seguro social, etc. y envíe los datos a través de servidores de correo electrónico seguros para protegerlos de los piratas informáticos. Especialmente si tiene una tienda en línea, es obligatorio usar SSL y hacer cumplir el protocolo HTTPS para las transacciones financieras.

No utilice robots.txt para ocultar páginas y directorios importantes de los motores de búsqueda. Cualquiera puede ver su archivo robots.txt en el navegador y acceder a páginas ocultas. El uso de directivas ".htaccess" puede ayudar a controlar mejor, pero hable con el desarrollador de complementos o con un experto si no comprende cómo se almacenan y transfieren los datos.

Generalmente, los datos recopilados de los formularios se almacenan en tablas personalizadas en la base de datos y se utilizan para diferentes propósitos. Por lo tanto, asegúrese de que ninguna otra persona tenga acceso a su cuenta de alojamiento y lea las tablas de la base de datos.

22 Prevenir el spam

Aunque enviar spam no es piratería, el pirata informático puede ser un spammer para comprobar las vulnerabilidades de su sitio a través de comentarios o envíos de formularios.

  • Asegúrese de utilizar complementos de prevención de spam como Akismet para proteger su sitio de los spammers.
  • Si es necesario, puede utilizar captcha en los formularios de comentarios, inicio de sesión, registro y contacto.
  • Bloquee los comentarios que no se originen en su dominio para evitar que los bots generen comentarios automáticamente desde fuera de su sitio.

23 Tenga una copia de seguridad periódica del sitio

Desde Outlook, la seguridad y la copia de seguridad se verán en dos temas diferentes. Pero la verdad es que están interrelacionados como dos pasos de una sola actividad. Cuando un sitio es pirateado, lo primero que necesita es tener una copia de seguridad segura para restaurar el contenido.

  • Asegúrese de tener una copia de seguridad periódica de los archivos y la base de datos del sitio.
  • Guarde su copia de seguridad fuera del servidor de alojamiento.
  • Proteja su copia de seguridad del acceso no autorizado de forma similar a proteger su sitio en vivo.
  • Pruebe y confirme que la copia de seguridad funciona y se puede restaurar durante una emergencia.
  • Verifique con su anfitrión que el contenido completo del sitio está respaldado y que pueden ayudar a restaurar durante un desastre.

Realice copias de seguridad de su sitio con regularidad para que pueda restaurarse durante situaciones de emergencia. También descargue la copia de seguridad en su computadora local y manténgala alejada de su servidor de alojamiento. La copia de seguridad local le ayudará a restaurar su sitio cuando su servidor esté infectado.

Nota: Puede crear un entorno de desarrollo de WordPress local utilizando MAMP cualquier otro software y hacer una copia de seguridad de su sitio en vivo en la computadora local periódicamente.

24 Analizar en busca de malware

El software malicioso o software malicioso es un fragmento de código que el pirata informático insertará en su código normal. Puede resultarle difícil encontrar malware en un sitio, ya que es difícil diferenciar el código malicioso. Escanee periódicamente su sitio en busca de malware utilizando servicios de seguridad de pago para asegurarse de que el contenido de su sitio sea seguro. La mayoría de las empresas de alojamiento y complementos de seguridad ofrecen la función de escaneo de malware y envían el estado del escaneo a su correo electrónico.

Cuando su sitio está infectado con software malicioso o ocurre cualquier otro problema de seguridad de WordPress, lo primero que puede notar es una caída en el tráfico. Como los robots de los motores de búsqueda como Googlebot son muy inteligentes, pueden detectar el código malicioso y degradar su clasificación de búsqueda para proteger a los usuarios. Puede utilizar las herramientas de seguridad disponibles en Google Search Console y confirmar que su sitio es seguro para navegar.

Guía de seguridad de WordPress: 28 consejos para proteger su sitio

Verifique los problemas de seguridad en la Consola de búsqueda de Google

25 Monitoreo de errores 404

Los bots automatizados intentarán acceder a páginas que no existen en su sitio, lo que generará un error 404. La supervisión del error 404 le dará una idea de quién está intentando acceder a las URL antiguas o no existentes en su sitio.

Por ejemplo, un bot o un usuario que intenta acceder a una página que no existe “… / pago /” debe bloquearse. Esto indica que el bot o el usuario está tratando de adivinar las posibles páginas ocultas en su sitio para obtener datos confidenciales.

Relacionado: Guía de WordPress SEO para mejorar el ranking de búsqueda.

26 Proteger archivos WP-config y .htaccess

"Wp-config.php" es el archivo de configuración que tiene información importante como el nombre de la base de datos y la contraseña de su sitio de WordPress. Se puede acceder al archivo a través de FTP o mediante una cuenta de alojamiento utilizando opciones como "Administrador de archivos". La mayoría de los complementos de seguridad agregan parámetros en este archivo de configuración para controlar el comportamiento. Es muy recomendable tener una copia de seguridad de su archivo "wp-config.php" antes de realizar cualquier configuración en los complementos relacionados con la seguridad.

De manera similar, el archivo ".htaccess" ubicado en el directorio raíz de su sitio es el archivo clave utilizado para las medidas de seguridad. Asegúrese de tener una copia de seguridad antes de modificar el archivo a través de complementos de seguridad.

27 Proporcionar acceso seguro a terceros

Cuando compra un tema o complemento de un sitio web de terceros, puede ser necesario proporcionar acceso de administrador a ellos para solucionar problemas. Siga las siguientes pautas cuando trate con desarrolladores externos:

  • Verifique todos los aspectos de la resolución de problemas y confirme la necesidad de compartir las credenciales de acceso de administrador.
  • Nunca comparta su propio acceso de administrador a sitios web de terceros.
  • Cree un nuevo nombre de usuario con acceso de administrador y proporcione.
  • Cuando ofrezca acceso FTP, asegúrese de limitar el acceso solo a la carpeta o dominio requerido.
  • Al eliminar la cuenta FTP, tenga cuidado de eliminar solo la cuenta y no los datos asociados con la cuenta FTP. La eliminación incorrecta de la cuenta FTP junto con los datos asociados borrará su contenido en cuestión de segundos.

28 Utilice complementos de seguridad de WordPress

Implementar todas las medidas de seguridad discutidas anteriormente será una tarea desalentadora para los propietarios de sitios. Afortunadamente, existen muchos complementos de seguridad de WordPress gratuitos y premium que ofrecen estas características como un paquete. Puede utilizar complementos gratuitos como All in One WP Security and Firewall o complementos parcialmente gratuitos como iThemes security / Wordfence. La mayoría de los puntos mencionados anteriormente se ofrecen como un paquete en este complemento de seguridad y facilitan su trabajo.

A continuación se muestran algunos de los complementos de seguridad más populares y le recomendamos encarecidamente que pruebe el que sea adecuado para sus necesidades antes de instalarlo en un sitio en vivo.

Complementos del paquete de seguridad

Estos complementos ofrecen la mayoría de las funciones de seguridad como un paquete.

  • iThemes Security (anteriormente Better WP Security)
  • Seguridad de Wordfence
  • Seguridad a prueba de balas
  • Todo en uno Seguridad y cortafuegos de WordPress

Complementos de protección por contraseña

  • Forzar contraseñas seguras
  • Caducidad de la contraseña de WordPress

Protección de fuerza bruta

  • Solución de seguridad de inicio de sesión
  • Inicio de sesión LockDown
  • Cambiar el nombre de wp-login.php
  • Módulo Jetpack Protect.
  • Administrador de bloqueo de WP
  • Clef: autenticación de dos factores
  • Autenticador de Google

Complemento HTTPS

  • WordPress HTTPS (SSL)

Seguridad del correo electrónico

  • Correo electrónico WP SMTP

Ultimas palabras

Aunque la lista es larga, es necesario seguir todos estos consejos de seguridad de WordPress para proteger su sitio. Como se mencionó, puede usar cualquier complemento gratuito o premium para implementar la mayoría de estas funciones. Además, recomendamos mantener la seguridad como un hábito para realizar copias de seguridad periódicas y mantener su sitio con actualizaciones oportunas.

Fuente de grabación: webnots.com
Deja una respuesta

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More