¿Qué es mejor que un sitio web bien construido? Un sitio web bien construido con seguridad robusta.
Quédese conmigo, ya que descubriré algunas de las mejores prácticas de seguridad para su sitio web de WordPress. No solo son amigables para principiantes, sino que estas prácticas son muy asequibles, si no totalmente gratuitas.
Al final de este artículo, tendrá un plan de acción para proteger su sitio contra todo tipo de ciberamenazas. Entonces, ¡abróchate el cinturón y comencemos!
Tabla de contenido
¿Es seguro su sitio de WordPress?
Si bien WordPress se considera el CMS más popular hasta la fecha, esta reputación tiene algunas consecuencias. Usado por más 35% de los sitios web en Internet, WordPress se convierte en un objetivo favorito para los ataques de malware. Solo en 2018, Sucuri informó que alrededor de 23,000 sitios web de WordPress fueron víctimas de violaciones de seguridad.
¿Eso significa que WordPress tiene un sistema de seguridad terrible?
¡De nada! Por el contrario, la principal causa de las brechas de seguridad en los sitios web es la falta de conciencia de seguridad de los usuarios.
Como un CMS de buena reputación, WordPress hace su parte al publicar parches de seguridad y actualizaciones de software con regularidad. A pesar de eso, esas actualizaciones harán poca diferencia a menos que sepa qué hacer con ellas.
En resumen, usted juega un papel importante en la seguridad de su sitio web.
Ahora que conoce su función y responsabilidad como webmaster, es hora de explorar qué puede hacer para mejorar la seguridad de su sitio web. Eche un vistazo a las mejores prácticas de seguridad a continuación e intente implementarlas en su sitio web.
Utilice nombres de usuario y contraseñas fuertes
La creación de credenciales de inicio de sesión sólidas puede ser la práctica de seguridad más fácil que cualquiera puede realizar, pero muchos usuarios aún no lo hacen. Por extraño que parezca, 23,2 millones de cuentas todavía usan «123456» como su contraseña. El mismo problema se aplica a los nombres de usuario, donde muchos usuarios usan los nombres de usuario estándar como «admin» y «administrador».
Si necesita ayuda para encontrar contraseñas seguras, hay muchas generadores de contraseñas por ahí se puede utilizar de forma gratuita. En cuanto a los nombres de usuario, puede incorporar números y caracteres especiales en las palabras clave para que sean más únicos.
El uso de credenciales de inicio de sesión débiles hará que su sitio web sea vulnerable a ataques de fuerza bruta. Este tipo de ataque cibernético utiliza un enfoque de prueba y error para adivinar sus credenciales de inicio de sesión. Por lo tanto, es mejor evitar el uso de palabras clave comunes para su información de inicio de sesión.
Si tiene la costumbre de olvidar la contraseña, entonces puede considerar usar Ultimo pase para recordarlo y usarlo con un solo clic. En cuanto a los nombres de usuario, puede incorporar números y caracteres especiales en las palabras clave para que sean más únicos.
Ocultar inicio de sesión de WordPress
Este simple truco puede proteger sus sitios WP de atacantes que se dirigen a ataques de fuerza bruta. Usar WPS Ocultar inicio de sesión Complemento gratuito para cambiar la URL de inicio de sesión a algo único.
Habilitar la autenticación de dos factores
Una vez que haya asegurado sus credenciales de inicio de sesión de administrador, puede mejorar aún más el proceso de inicio de sesión al habilitar la autenticación de dos factores. Este proceso de seguridad crea una capa adicional de protección que requiere que los usuarios obtengan un código único de una aplicación de autenticación. Al implementarlo en su sitio web, solo los usuarios con las credenciales de inicio de sesión y el código correctos pueden iniciar sesión en su cuenta.
WordPress tiene muchos complementos de autenticación de dos factores para elegir. Algunos de los mejores incluyen Autenticador de Google, Autenticación de dos factoresy dos factores.
Cambiar el prefijo de la base de datos de WordPress
La base de datos del sitio web es el objetivo favorito de los ataques de inyección SQL. Estos tipos de ciberataques obligan a la base de datos a ejecutar código malicioso, lo que permite a los piratas informáticos modificar o eliminar los datos que contiene libremente. Como los ataques de inyección SQL comprenden alrededor 80% de los intentos de piratería lanzado por mes, no debe tomar esta amenaza a la ligera.
Uno de los factores que hacen que su base de datos sea propensa a los ataques de inyección SQL es el uso del prefijo de base de datos predeterminado wp_. Usando una base de datos predecible, el prefijo permite a los piratas informáticos adivinar los nombres de sus tablas y causar estragos en su base de datos. Por lo tanto, le recomiendo encarecidamente que lo cambie lo antes posible.
Aquí hay un detallado guía sobre cómo cambiar el prefijo de la base de datos de WordPress. También puede probar el Complemento Cambiar prefijo de tabla.
Deshabilitar el informe de errores de PHP
La función de informe de errores de PHP lo ayuda a localizar errores dentro de los archivos PHP mucho más rápido. Sin embargo, también permite que otras personas vean las vulnerabilidades de su sitio. Por lo tanto, le recomiendo que deshabilite esta función por completo.
WordPress desactiva la función de informe de errores de forma predeterminada. Si está habilitado por alguna razón, debe deshabilitarlo manualmente al modificando el archivo wp-config.php. Dependiendo de su servicio de alojamiento web, varios proveedores de alojamiento también le permiten administrar esta configuración desde su panel de control.
Mantenga WordPress actualizado
Para mantenerse al día con los tipos cada vez mayores de ciberataques, WordPress publica periódicamente actualizaciones junto con los últimos parches de seguridad. Esta mejora no solo se aplica al núcleo de WordPress, sino también a los complementos y temas. Dicho esto, el uso de software obsoleto es una receta para el desastre.
Si bien WordPress implementa automáticamente actualizaciones menores de software, aún debe realizar actualizaciones importantes manualmente. Por lo tanto, asegúrese de buscar regularmente nuevas actualizaciones en la sección Actualizaciones de su panel de administración de WordPress para evitar tener vulnerabilidades de seguridad en su sitio.
También hay un complemento gratuito. Administrador de actualizaciones fácilesque puede usar para controlar cómo desea actualizar su núcleo, temas y complementos de WordPress.
Deshabilitar la exploración de directorios
La exploración de directorios puede brindarle un acceso rápido a la estructura del sitio ya los directorios individuales. Sin embargo, puede convertirse en un arma de doble filo si otras personas también pueden acceder a él. Los piratas informáticos a menudo lo usan para encontrar archivos, complementos y temas vulnerables, y luego los usan para obtener acceso a su sitio web.
Si está alojando su sitio WP en una plataforma premium, es posible que no tenga que preocuparse, ya que ellos se encargarán de estas optimizaciones. Sin embargo, si tiene alojamiento propio o necesita deshabilitarlo manualmente, consulte esto artículo para saber cómo deshabilitar la exploración de directorios en WordPress.
Eliminar el número de versión de WordPress
WordPress lanza continuamente actualizaciones para parchear las vulnerabilidades de seguridad de la versión anterior. Las versiones anteriores suelen estar plagadas de más vulnerabilidades. Por lo tanto, hacer pública su versión de WordPress no es la mejor idea para su sistema de seguridad web.
De forma predeterminada, su versión de WordPress está visible en la parte inferior derecha de su panel de administración y la fuente de la página. También aparece en lugares menos obvios como el RSS, CSS y scripts del sitio. hay un gran artículo que proporciona una guía paso a paso sobre cómo eliminar la versión de WordPress de estos lugares.
Deshabilitar la edición de archivos
El editor de archivos incorporado de WordPress le permite modificar el complemento y los scripts de temas mucho más fácilmente. A pesar de ello, esta característica puede poner en peligro su sitio web si cae en las manos equivocadas. Por esta razón, es mejor deshabilitar la edición de archivos por completo. Puede hacerlo agregando a continuación en el archivo wp-config.php.
define('DISALLOW_FILE_EDIT', true);
Realice copias de seguridad periódicas
Crear copias de seguridad es tan importante como proteger el sitio web. En el peor de los casos, las copias de seguridad pueden evitar que tengas que reconstruir el sitio desde cero.
El proceso puede parecer tedioso, pero hay muchos complementos de copia de seguridad como VaultPress y Bóveda de blogs que puede hacerlo sin problemas. Protip, use el complemento que tiene una función de copia de seguridad automática para ahorrar tiempo y evitar que las copias de seguridad obsoletas obstruyan su sistema.
Si no le gusta usar demasiados complementos, puede considerar usar iThemes Security Pro, que se ocupa de todo y más.
Detenga el spam y el SEO negativo
El spam está en todas partes y a nadie le gusta.
Si está ejecutando un sitio popular y no tiene un sistema adecuado de prevención de spam, entonces puede atraer a miles de spammers todos los días. Tener demasiado spam es malo para el SEO y la experiencia del usuario. Imagínese, tiene cientos de comentarios irrelevantes en una publicación de blog.
Di no al spam usando el CleanTalk antispam solución.
Usar WAF
Una de las mejores inversiones que puede hacer para proteger su sitio es usar WAF (Web Application Firewall). Ayuda a proteger su sitio de las 10 principales vulnerabilidades de OWASP, fallas de seguridad conocidas y desconocidas, código malicioso, ataques DDoS y mucho más.
Hay algunas opciones: SUCURI, malcaré, Llamarada de nube.
Administrar temas y complementos
Una de las mayores ventajas de usar WordPress es su amplia colección de complementos y temas. Irónicamente, los complementos y temas de WordPress se hacen pasar por mayor fuente de vulnerabilidad que podría poner en riesgo su sitio. Por lo tanto, debe hacer su elección sabiamente y administrar con cuidado los que ha instalado.
La forma más fácil de evitar que los piratas informáticos accedan a su sitio web a través de un software defectuoso es mediante el uso de complementos y temas con excelentes críticas y calificaciones. Estos son excelentes indicadores que le dirán que están bien mantenidos y funcionando correctamente. Además, asegúrese de buscar actualizaciones periódicamente para mejorar su rendimiento.
Terminando
Dado que las amenazas cibernéticas en todo el mundo no planean retirarse muy pronto, es esencial proteger su sitio web de WordPress de posibles peligros. Afortunadamente, hay muchas prácticas de seguridad fáciles pero efectivas que puede realizar para mejorar la seguridad general de su sitio.
Este artículo demuestra que no necesita un gran presupuesto o conocimientos técnicos avanzados para realizar algunas de las mejores prácticas de seguridad. La pregunta es, ¿estás preparado para el desafío?
¿Quiere aceptar pagos a través de su sitio web? Aquí están los mejores complementos para aceptar pagos en sitios de WordPress.
Relacionado:
Cómo usar Google Cloud SQL con WordPress.