Consejos esenciales para mantener su sitio de WordPress seguro

Publicado: 2016-02-19

¡Seamos sinceros! A nadie le gusta que le pirateen su sitio web o su perfil social. Pero aquí hay dos escenarios diferentes. Déjame explicarte todo.

Hackear un perfil social significa la pérdida de datos personales y, lo que es más importante, ponerlos en las manos equivocadas. Ahora, si puede recuperar la cuenta, solo usted o sus cerrados se verán afectados.

Pero en otro caso, cuando su sitio web es pirateado, primero pierde el perfil auténtico que creó como bloguero o comercializador en línea y también afecta sus ganancias.

Supongo que el primer escenario es bastante directo y claro para ti, pero el segundo tiene mucho por debajo. No se preocupe, nos pondremos en contacto con WordPress y compartiré algunos consejos para hacerlo completamente seguro, pero primero debemos comprender los conceptos básicos y estar en la misma página.

Tabla de contenido

Después de los efectos de los hacks de sitios web

Métodos esenciales para mantener su sitio de WordPress seguro
- #1 Mantenga WordPress actualizado
- #2 Use una contraseña de administrador segura
- #3 Eliminar la versión de WordPress
- #4 Usa un servidor mejor y más confiable
- #5 Mantenga siempre una copia de seguridad actualizada
Formas superfuertes de mantener WordPress protegido
- #1 Esté atento a los complementos
- #2 Limite los intentos de inicio de sesión
- #3 Mantén oculta la página de inicio de sesión
- #4 Use temas que se ejecutan en código validado
- #5 Establecer permisos de archivo/directorio
- A ti

Después de los efectos de los hacks de sitios web

Comencemos primero con la lista de correo electrónico. Cada blogger está interesado en la creación de listas de correo electrónico y esto crea confianza entre los lectores y también genera más tráfico y conversión. Ahora, una vez que su sitio web es pirateado, ese culpable desconocido puede anotar su lista y puede enviar contenido malicioso o tal vez el que intenta venderles un artículo incorrecto (lo que nunca habría hecho). Muy pronto, el proveedor de ISP sabrá que el correo electrónico adjunto a su dominio está enviando correos electrónicos no deseados y lo bloqueará. En el futuro, cada vez que envíe un correo nuevo, irá directamente a la carpeta de correo no deseado, que nadie se atreverá a abrir.

Ahora, llegando al segundo escenario, donde afecta el dinero que gana tu blog. Bueno, una vez que pierda el perfil auténtico entre sus suscriptores de correo electrónico, ya no creerán en sus palabras y dejarán de comprar lo que ha estado recomendando y contando efectivo hasta ahora. Además, si el sitio web se cae, el tráfico se cae, lo que hace que las ganancias toquen tierra.

Finalmente, es posible que esté trabajando demasiado para recuperarse de estas dos grandes pérdidas y una tercera ocurrirá simultáneamente. En el momento en que el sitio es pirateado, comienzas a invertir el tiempo crucial en el lado equivocado. Sí, para encontrar lo que salió mal y luego hacer todo lo posible para arreglarlo y minimizar los daños. Ahora supongo que no necesito recordarte lo valioso que es el tiempo para todos nosotros.

Consejos esenciales para mantener su sitio de WordPress seguro

Para garantizar la seguridad y mantener su sitio web, esfuerzos, ganancias y tiempo en el camino correcto adjunto, debe comprender un hecho. Este hecho viene adjunto con cada sitio web de WordPress, es decir, WordPress es una plataforma de código abierto.

Incluso si no estuviera disponible gratuitamente, un hacker experto podría haberlo pirateado, pero hacerlo disponible como código abierto hace que su trabajo sea directo y simple. Aún así, los desarrolladores detrás del script de WordPress trabajaron mucho para mantener las cosas sólidas para que no parezca pan comido en manos equivocadas.

Algunos de los pasos que puede seguir para fortalecer la instalación de WordPress son extremadamente simples y parecen obvios y son una prueba completa para proteger su sitio de piratas informáticos o ataques normales. Pero también compartiré algunos métodos de primer nivel que puede aplicar y minimizar las posibilidades de ser pirateado.

Nota : ningún sitio web en Internet está completamente protegido contra ataques. ¡Necesitas entender este hecho! Pero, si fortalece la protección, al menos le está pidiendo a ese pirata informático en algún lugar que use lo mejor de su método y esfuerzos.

Métodos esenciales para mantener su sitio de WordPress seguro

Basado en la dureza, estoy dividiendo los métodos. Entonces, comencemos con los más obvios. También puedes llamarlos los esenciales.

#1 Mantenga WordPress actualizado

Como dije anteriormente, el equipo detrás del script de WordPress ya está al tanto de las desventajas en el departamento de seguridad y están muy interesados en hacer que su producto permanezca seguro. Para garantizar esto, siempre están trabajando para mejorar su producto y publican actualizaciones técnicas y de seguridad con regularidad.

Mantén WordPress actualizado

Ahora, es su deber mantener su sitio web actualizado con cada nuevo lanzamiento. Puede omitir una actualización técnica menor, pero si se trata de una de seguridad, se recomienda encarecidamente que tome medidas. Para su información, antes de tomar la decisión, asegúrese de que todos los complementos que está utilizando sean compatibles con esa versión recién lanzada.

#2 Use una contraseña de administrador segura

Cualquiera que haya conocido los conceptos básicos de WordPress y el panel de control sabe que se puede acceder fácilmente a la parte de back-end a través de la página de inicio de sesión /wp-admin. Ahora, no puede cambiar ese hecho, pero lo que puede hacer es usar una contraseña segura que sea difícil de adivinar e incluso más difícil de predecir para un software a través de algunos algoritmos (sí, hay muchos disponibles para hacer tales predicciones). También debe eliminar el usuario administrador predeterminado y crear uno nuevo con un nombre único y una contraseña segura configurada para acompañarlo.

Cuando digo 'fuerte' me refiero a que necesita crear una contraseña con una combinación de letras pequeñas, letras grandes, números y caracteres especiales. En estos días, WordPress mismo sugiere una contraseña segura que es generada por el sistema pero difícil de recordar para los humanos. Por lo tanto, cree su propia contraseña segura y recuérdela o use el sistema que se le ofrece y manténgala segura e intente memorizarla.

#3 Eliminar la versión de WordPress

A continuación, cada instalación de WordPress muestra la versión exacta que se está utilizando. Puede ver la versión del script utilizado en cualquier sitio web que aún no lo haya ocultado. Ahora, una vez que un pirata informático conoce la versión de WordPress, se vuelve demasiado fácil para él / ella comenzar el trabajo posterior. Por otro lado, si la versión no está confirmada, entonces tiene que investigar mucho para encontrar primero la versión y luego comenzar a atacar las vulnerabilidades que la acompañan.

Entonces, para eliminar la versión de WordPress, que no afecta la funcionalidad de ninguna manera, debe usar un complemento llamado Eliminar versión o seguir las instrucciones compartidas por Jeff Starr en su blog.

#4 Usa un servidor mejor y más confiable

Si ha elegido un host del que nadie ha oído hablar y no ofrece un servicio de calidad que cumpla con los estándares industriales, entonces ha tomado una decisión equivocada desde el principio. Ahora, primero debe realizar una copia de seguridad completa de su sitio web, tanto el front-end como la base de datos, y luego transferirlo a un host mejor y más confiable.

Si su presupuesto es demasiado bajo, puede elegir entre Bluehost, iPage, ASmallOrange, etc., pero si su presupuesto le permite avanzar más, puede elegir DreamHost, InMotion, SiteGround o cualquier otro nombre conocido de su elección. Mantener un buen host en el backend garantiza una seguridad de primer nivel para el servidor donde se encuentra su sitio web y también un guardia dedicado para evitar que las cosas se vuelvan locas. En resumen, nunca opte por un host del que no haya podido encontrar buenas críticas.

#5 Mantenga siempre una copia de seguridad actualizada

Como mencioné en mi último punto, es necesario mantener una copia de seguridad de la versión actualizada del sitio web. De esta manera, incluso si el pirata informático obtiene acceso a su sitio web, puede eliminar todos y cada uno de los elementos del servidor y actualizar el sitio web utilizando la copia de seguridad de la última mejor versión.

Esta no es una forma de proteger el sitio web, pero sin duda ayuda a mantener el sitio vivo después del desastre. Además, el sitio de WordPress tiene muchos problemas técnicos y, en esos casos, su sitio web puede fallar. Por lo tanto, tener una copia de seguridad de la última mejor versión puede ayudarlo a mantenerse en el mejor lado.

Formas superfuertes de mantener WordPress protegido

A continuación, los siguientes son los métodos de primer nivel que puede seguir para mantener el sitio de WordPress alejado de los ataques de piratería.

#1 Esté atento a los complementos

Los complementos son el método más fácil para inyectar un código malicioso en el sitio web y lo peor es que, si sucede, lo harán tus manos. Para evitar que haga daño a su sitio, debe consultar las revisiones y las páginas de soporte de todos y cada uno de los complementos instalados (o a punto de instalarse en el futuro).

Esté atento a los complementos

No se puede hacer mucho sin complementos y, por lo tanto, actúan como un gran profesional para el script, pero debido a este efecto secundario, también se cuentan entre las desventajas. Puede leer los pros y los contras de WordPress en un informe detallado publicado por David Lockie. Se publicó hace dos años, pero los puntos que mencionó aún se verifican.

#2 Limite los intentos de inicio de sesión

Hay complementos para ayudarlo a lograr esto y es una forma profesional de proteger su sitio web. Está disponible un mecanismo, mejor conocido como Ataque de fuerza bruta, que ejecuta todas las combinaciones posibles de contraseñas de un sitio web y finalmente logra el resultado. Esto funciona muy fácilmente y el usuario ni siquiera necesita estar mirando la pantalla mientras este método descifra su contraseña, ya que es totalmente automático.

Entonces, ¿cómo puede proteger su sitio web de Brute Force Attack? Bueno, la desventaja de este método es que prueba todas las credenciales de inicio de sesión posibles. Puede usar esa desventaja para su beneficio al limitar los intentos de inicio de sesión. De forma predeterminada, WordPress permite infinitos intentos de iniciar sesión en un sitio. Pero, al usar algunos complementos, puede limitar esos números y reducirlos a 5 o 10. Una vez que un usuario cruza el límite, restrinja el acceso de ese usuario al sitio durante todo un día o tal vez unas pocas horas. De esta manera, Brute Force Attack requerirá mayores esfuerzos para descifrar. Puede verificar este complemento de bloqueo de inicio de sesión que me parece bueno.

#3 Mantén oculta la página de inicio de sesión

Este es otro método para disfrazar al hacker y ayudar a que su sitio web se mantenga seguro. Si el hacker no está tratando de piratear el servidor y solo busca piratear a través de la puerta trasera de WordPress, es decir, la página de inicio de sesión, entonces puede dificultar su trabajo moviendo la página de inicio de sesión a otro lugar.

Mantener la página de inicio de sesión oculta

Esto se puede lograr mediante un simple complemento Lockdown WP Admin que incluso ofrece la autenticación HTTP en la página de inicio de sesión. Además, el complemento nunca afecta a ningún otro código relacionado con el inicio de sesión o la seguridad del núcleo de WordPress y sigue funcionando con precisión.

#4 Use temas que se ejecutan en código validado

Tal como le dije que elija un servidor confiable y también que verifique los complementos, debe verificar y usar temas validados. Los temas son la segunda forma de inyectar un código malicioso en el sistema central y, por lo tanto, se recomienda enfáticamente que use solo los productos auténticos y los obtenga de fuentes confiables. En el caso de un tema gratuito, siempre use el catálogo de WordPress.org o puede obtener uno gratuito o de pago de MyThemeShop, StudioPress, ThemeForest, ElegantThemes y cualquier otro jugador importante en la ciudad.

#5 Establecer permisos de archivo/directorio

Bueno, si mira profundamente en el Administrador de archivos en el lado del servidor, encontrará un sistema de permisos de archivos o directorios. Esos simples códigos bloquean o mantienen abierto el acceso, según las configuraciones realizadas. Debe comprender esto y poner un bloqueo personalizado a sus archivos y directorios. Puede encontrar una cobertura detallada sobre el mismo aquí.

Consejo final: " Nunca acceda al sitio en la red desconocida".

Este es un consejo simple que finalmente puede mantener seguro no solo su sitio web, sino también los datos personales en su computadora portátil o teléfono inteligente. Nunca se conecte a una conexión desconocida que no utilice ningún tipo de encriptación. En el caso de usar el Wi-Fi público, siempre limite el uso a las aplicaciones de necesidad y nunca piense en acceder a su sitio web.

A ti

Finalmente, está todo en su mano qué métodos exactos debe seguir para que el sitio sea lo más seguro posible. Entiendo que seguir todos estos pasos no es un trabajo de un solo día y requiere muchos conocimientos técnicos, pero puedes encontrar fácilmente una guía dedicada para ayudarte o videos en YouTube. En el futuro, haremos todo lo posible para crear guías separadas sobre los métodos que cree que son difíciles de seguir. Háganos saber sus pensamientos y comentarios en la sección de comentarios a continuación.