Cómo proteger su sitio de WordPress de los piratas informáticos

Publicado: 2021-12-30

¿Cómo proteger mi sitio de WordPress de los piratas informáticos? Si esta es una pregunta que te haces con demasiada frecuencia, no estás solo. Gracias a la popularidad de la plataforma WordPress, los sitios web de WordPress siempre corren un mayor riesgo de ataques y piratería. Afortunadamente, existen formas probadas y confiables de proteger los sitios de WordPress de los piratas informáticos . Y no, no necesitas ser un experto en WordPress para aplicarlos en tu sitio.

En este artículo, compartimos contigo 14 pasos que puedes seguir para proteger tu sitio de WordPress contra los piratas informáticos. Empecemos.

¿Cómo proteger un sitio de WordPress de los piratas informáticos?

No importa el tamaño o el dominio de su sitio web, ningún sitio web está a salvo de los piratas informáticos que siempre están buscando formas de expandir su red maliciosa en Internet. Ya sea implementando scripts automatizados para 'rastrear' su sitio de WordPress y detectar cualquier vulnerabilidad, o usándolos para obtener acceso a su cuenta de WordPress, ninguna parte de su sitio web está a salvo de los piratas informáticos.

La protección de WordPress contra los piratas informáticos significa esencialmente proteger cada parte de su sitio web contra malware, ataques de fuerza bruta y otras amenazas. Las 14 medidas de seguridad que estamos a punto de compartir ofrecen una base sólida para que pueda hacer precisamente eso:

1. Utilice un alojamiento web seguro

Un servidor y entorno de alojamiento seguro es un elemento fundamental para proteger su sitio de WordPress. Asegúrese de que su empresa de alojamiento priorice mantener sus sitios alojados a salvo de ataques a través de servicios como copias de seguridad periódicas, protección de cortafuegos y análisis de malware.

Si actualmente está alojado en un host compartido, considere migrar a un host en la nube o un host administrado que brinde una garantía más sólida de un entorno seguro.

2. Usa contraseñas seguras

Las contraseñas seguras son probablemente la medida más fácil para proteger WordPress de los piratas informáticos y detener los ataques de fuerza bruta. Evite estrictamente el uso de contraseñas como "123456" o "contraseña" que son fáciles de adivinar. En su lugar, asegúrese de que cada contraseña tenga al menos 10-12 caracteres y contenga una combinación de letras, números y caracteres especiales.

Usar contraseña segura

Si tiene muchos usuarios, puede usar herramientas de administración de contraseñas como 1Password o LastPass para generar y almacenar automáticamente contraseñas más seguras para cada usuario.

3. Habilite la autenticación de dos factores (2FA)

Si bien las credenciales de inicio de sesión sólidas siempre son efectivas para detener los ataques de fuerza bruta, hay disponible una capa adicional de protección de la página de inicio de sesión mediante la autenticación de dos factores (o 2FA). Esta medida garantiza que incluso si los usuarios "maliciosos" pueden adivinar las credenciales de inicio de sesión correctas, también deben ingresar el código de verificación correcto que se envía solo al dispositivo del usuario "genuino".

Autenticación de dos factores

Para implementar 2FA, todo lo que necesita hacer es instalar y activar un complemento 2FA como Google Authenticator.

4. Limite los intentos de inicio de sesión

Para tener éxito en la entrada de la cuenta, los ataques de fuerza bruta hacen intentos repetidos de adivinar las credenciales de usuario correctas. De forma predeterminada, los sitios de WordPress permiten un número ilimitado de intentos de inicio de sesión. Sin embargo, eso no debería impedirle limitar el número de intentos de inicio de sesión a 3 o 4.

Limite los intentos de inicio de sesión

Todo lo que necesita es instalar la herramienta CAPTCHA que muestra la pantalla CAPTCHA después de varios intentos fallidos de inicio de sesión. Esta herramienta también es eficaz para determinar si un usuario 'humano' o un 'bot' está intentando acceder a la cuenta de inicio de sesión.

5. Cambie su nombre de usuario predeterminado "admin "

Para una fácil usabilidad, WordPress asigna inicialmente un administrador predeterminado para cada nueva cuenta de WordPress. Este administrador es útil en la fase inicial para configurar su sitio web de WordPress y crear usuarios adicionales. Sin embargo, usar el nombre de usuario "admin" tiene su parte de problemas de seguridad.

Para dificultar los ataques de fuerza bruta, cambie este nombre de usuario a un nombre de usuario más exclusivo que sea difícil de adivinar. La mejor manera es crear un nuevo administrador (con un nombre de usuario más fuerte) y luego eliminar el usuario "administrador" predeterminado.

6. Mantenga su núcleo, complementos, temas actualizados

La mayoría de las vulnerabilidades de WordPress son el resultado de una versión obsoleta de Core WordPress o de complementos y temas instalados. Los piratas informáticos buscan constantemente versiones de software más antiguas, que pueden explotar en su beneficio. La mejor protección contra los piratas informáticos es mantener su sitio de WordPress actualizado a la última versión.

Puede aplicar actualizaciones periódicas desde la cuenta de alojamiento de WordPress o habilitar actualizaciones automáticas. Hay un beneficio adicional de mantener su sitio actualizado. La mayoría de las actualizaciones de temas y complementos de WordPress contienen mejoras de velocidad y rendimiento que podrían hacer que su sitio web de WordPress sea más rápido y fluido.

7. Haga una copia de seguridad regular de su sitio web

Aunque estrictamente no es una medida de seguridad que pueda proteger a WordPress de la piratería , una buena estrategia de copia de seguridad y restauración le permite minimizar el tiempo de inactividad y la pérdida de ingresos. Si ejecuta un sitio de comercio electrónico, una copia de seguridad garantiza que no corre el riesgo de tiempo de inactividad o pérdida de registros o transacciones de clientes.

Aunque puede realizar copias de seguridad manuales del sitio web de los archivos principales del sitio web y la base de datos, el uso de un complemento de copia de seguridad de WordPress como BlogVault o BackupBuddy puede liberar su tiempo, ya que automatizan y programan todo el proceso de copia de seguridad. Si tu

8. Agregue un certificado SSL

Cuando agrega un certificado SSL a su sitio, básicamente migra su sitio web al protocolo HTTP seguro (o HTTPS) desde el protocolo HTTP menos favorecido. HTTPS encripta todos los datos transmitidos entre tu sitio web y tu usuario para su seguridad y la tuya.

HTTPS y SSL

¿Cómo puedes pasarte a HTTPS? Agregue un certificado SSL, que se puede obtener de su empresa de alojamiento web o mediante un complemento SSL como Let's Encrypt.

9. Deshabilitar la edición de archivos

Con el editor de archivos de WordPress, los piratas informáticos pueden obtener el control del sitio web y ejecutar código PHP 'dañino' en el sitio. Esto puede ser una amenaza para la seguridad cuando una cuenta de administrador se ve comprometida. La mejor solución es deshabilitar la edición de archivos agregando el siguiente código al archivo wp-config.php de su sistema WordPress:

 define( 'DISALLOW_FILE_EDIT', true );

10. Restrinja el acceso al sitio y las funciones de los usuarios

El acceso sin restricciones al sitio web para todos los usuarios puede ser un riesgo importante de WordPress, particularmente para el panel del administrador. Lo bueno es que ahora puede restringir el acceso a páginas web seleccionadas en función de las funciones de los usuarios. Para hacer esto, debe instalar el complemento "Restringir contenido Pro" y configurar las páginas en las que desea un acceso de usuario limitado.

11. Deshabilitar la exploración de directorios

Los piratas informáticos utilizan la función de exploración de directorios de WordPress para encontrar archivos que podrían tener vulnerabilidades. Además, esta función se puede utilizar para copiar sus archivos de WordPress o para obtener más información sobre la estructura de carpetas. La mejor solución es deshabilitar la exploración de directorios para que los piratas informáticos no puedan hacer un mal uso de ella. Esto se puede hacer agregando la siguiente línea de código al final de su archivo .htaccess en su carpeta de instalación:

Opciones -Índices

12. Deshabilitar la ejecución de PHP.

Por su parte, los piratas informáticos pueden insertar códigos de malware y ejecutarlos mediante archivos PHP. Puede mejorar la seguridad de su sitio de WordPress deshabilitando la ejecución de sus archivos PHP. Para deshabilitar la ejecución de PHP, abra el archivo .htaccess en la carpeta "cargas" de su instalación de WordPress y agregue el siguiente código:

 <Files *.php> deny from all </Files>

13. Use un complemento de seguridad de WordPress

Si bien los pasos descritos hasta ahora hacen un gran trabajo al protegerlo de las amenazas conocidas, puede ser difícil mantenerse al día con los piratas informáticos y sus formas innovadoras. Una de las formas más efectivas de proteger su sitio web de ataques desconocidos o raros, o incluso de múltiples tipos de malware, es invertir en un complemento de WordPress dedicado para la seguridad.

Los complementos de seguridad de WordPress como MalCare y Wordfence pueden detectar malware incluso menos conocido y puede programar y automatizar todo el proceso de escaneo de malware. MalCare incluso tiene un proceso de eliminación de malware con un solo clic para que no tenga que depender del soporte técnico externo para limpiar su sitio.

malcaré

14. Habilite un cortafuegos de WordPress

Si hay otra forma sencilla de proteger un sitio de WordPress de los piratas informáticos, es dificultarles el acceso a su sitio. Los cortafuegos actúan como la última línea de defensa contra las solicitudes de IP "sospechosas" realizadas por piratas informáticos. Actúa más como un guardia de seguridad que permite o impide que las personas ingresen a su hogar u oficina.

Pozo de fuego

Los cortafuegos realizan un seguimiento de las direcciones IP "buenas" y "malas" y permiten o bloquean automáticamente las solicitudes realizadas desde ellas.

La mayoría de los complementos de seguridad como MalCare y Sucuri tienen un firewall incorporado para bloquear todo el tráfico malicioso.

¿Por qué debería proteger su sitio de WordPress de los piratas informáticos?

Saber cómo proteger un sitio de WordPress de los piratas informáticos ya no es algo que pueda posponer para más adelante. Simplemente porque un hack impacta más que solo su presencia en la web o su clasificación SEO. Un ataque exitoso de malware o fuerza bruta, incluso durante unas pocas horas, puede dañar seriamente sus ingresos y socavar la autoridad de su marca.

Dependiendo del tipo de ataque, un hack de WordPress puede causar algunos o todos los siguientes:

  • Desfiguración completa de la página de inicio de su sitio web con anuncios "pop-up" dañinos
  • Mal uso de su esfuerzo de SEO que podría hacer que su sitio web se clasifique para palabras clave no deseadas
  • Los visitantes son redirigidos a otros sitios web no solicitados que venden productos falsos o productos farmacéuticos prohibidos.
  • Correos electrónicos no deseados o de "phishing" que se envían a sus clientes utilizando una dirección de correo electrónico comercial auténtica
  • Violaciones de datos que resultan en la pérdida de valiosos registros de clientes, detalles de transacciones financieras y otros datos confidenciales

Esperamos que este artículo lo ayude con consejos y estrategias para que sepa exactamente cómo proteger un sitio de WordPress contra malware y ataques.

¿Qué opinas de las 14 medidas de seguridad que hemos comentado? ¿Hay alguno que agregarías a esta lista? Háganos saber en los comentarios.

Saaslandia