Cómo proteger el sitio de WordPress, guía paso a paso para proteger su sitio de WordPress

La gente tiende a tener la idea errónea de que cualquier cosa libre y de código abierto es menos segura. Pero la verdad es que las comunidades de código abierto como las que están detrás de WordPress son muy grandes y se aseguran de mantener WordPress actualizado con las últimas prácticas de seguridad y controles de calidad. Solo necesita seguir las mejores prácticas y tomar las precauciones necesarias. Debe tener un conocimiento claro de Cómo proteger el sitio de WordPress para proteger su sitio web.

Comencemos con una guía paso a paso sobre cómo proteger el sitio de WordPress, y luego puede seguir leyendo para obtener más consejos adicionales para garantizar un sitio web seguro.

Guía sobre cómo proteger el sitio de WordPress

Antes de comenzar a aprender los conocimientos para proteger el sitio de WordPress, comprenda por qué es necesario en primer lugar. Como toda actividad relacionada con el sitio web, la seguridad requiere su tiempo, esfuerzo y recursos. Tomarlo en serio y asignar los recursos necesarios es totalmente gratificante porque no hacerlo causará varios daños a la reputación de su marca y al crecimiento de su negocio.

Según un informe, más del 70 % de las instalaciones de WordPress son propensas a los ataques de más de 40 000 sitios web de WordPress que figuran en el top 1 millón en las clasificaciones de Alexa.

Un sitio web bajo ataque puede dar lugar a acuerdos comerciales perdidos, pérdida de privacidad, pérdida de tiempo de computadora y puede causar grandes pérdidas financieras. Considere los recientes ataques de ransomware que llevaron a muchas empresas a pagar sus piquetes para recuperar sus datos de los piratas informáticos.

Por eso, el principal objetivo de las medidas de seguridad tiene que ser la prevención más que la reacción. Debe emplear las herramientas y prácticas adecuadas para no dejar espacio para que el malware y los ataques cibernéticos se aprovechen de usted.

Paso 1: Mantén tu WordPress actualizado.

WordPress está respaldado por una creciente comunidad de desarrollo que se asegura de seguir brindando parches de seguridad y soluciones para cubrir una vulnerabilidad descubierta. Puede obtener estas actualizaciones cuando mantiene su WordPress actualizado regularmente.

Para la mayoría de las actualizaciones menores, puede establecer la configuración de WordPress para habilitar las actualizaciones automáticas. Asegúrese de actualizar su versión de WordPress a la última versión tan pronto como se lance una nueva versión.

Los últimos lanzamientos no solo le brindan seguridad actualizada; también le brindan las últimas funciones y mejoras sobre sus funciones existentes. Las actualizaciones de WordPress son esenciales para el buen funcionamiento del sitio y son cruciales para la seguridad y la estabilidad de su sitio.

Consejo profesional: WordPress 5.5 ya está disponible, actualice su sitio web a la última versión ahora.

Paso 2: actualice complementos y temas

Además del núcleo de WordPress, también debe actualizar todos los complementos y temas que usa regularmente.

Es posible que esté utilizando una serie de complementos y temas de terceros, algunos de los cuales pueden tener un mantenimiento deficiente. Intente reemplazar estos complementos con mejores alternativas que garanticen actualizaciones periódicas y funciones de seguridad. Los complementos obsoletos pueden tener vulnerabilidades de las que quizás no esté al tanto. Si su sitio está ejecutando algún complemento que no está utilizando actualmente, desactívelo.

Realice una auditoría mensual de todos sus complementos disponibles y elija conservar solo aquellos que sean necesarios.

Paso 3: Usa contraseñas seguras

Hay varias cuentas de usuario, como la cuenta de detención, la cuenta de administrador de WordPress, las cuentas de FTP, las cuentas de la base de datos y más, que manejaría al ejecutar un sitio de WordPress. Cada una de estas cuentas requerirá una identificación de correo electrónico y una contraseña segura para asegurar el uso autorizado.

Por lo tanto, elija direcciones de correo electrónico personalizadas específicas para este propósito y use contraseñas seguras. Puede ser difícil recordar todas las contraseñas, pero es una medida necesaria para garantizar la seguridad. Puede intentar usar un administrador de contraseñas para ayudar a administrar todas sus contraseñas.

Paso 4: Establecer niveles de acceso adecuados

Cuando está ejecutando un sitio de WordPress en equipo o tiene varios autores invitados escribiendo en su sitio, asegúrese de asignar funciones y capacidades de usuario adecuadas a cada usuario.

Comprenda los roles disponibles en WordPress y cree cuentas de usuario solo con respecto al rol asignado.

Paso 5: elija una plataforma de alojamiento segura

Esta es probablemente la parte más importante de la seguridad de WordPress. Un buen socio de alojamiento debería poder proporcionar las medidas de seguridad adecuadas para evitar fugas de datos y ataques cibernéticos. Aquí hay algunas cualidades de una buena plataforma de alojamiento que debe verificar al elegir una.

• Capacidades de monitoreo continuo de la red para detectar cualquier actividad sospechosa.
• Herramientas para bloquear ataques DDOS
• Proporcione servidores de respaldo en caso de un corte de energía o un ataque cibernético en curso.
• Hardware y software actualizados para reparar cualquier vulnerabilidad conocida
• Plan adecuado de contingencia y recuperación ante desastres para proteger los datos en caso de accidentes o percances.

Los planes de alojamiento compartido son más riesgosos que los servidores de alojamiento dedicados, ya que compartirá los recursos del servidor con otros clientes. Esto puede ponerlo en un estado vulnerable a la contaminación entre sitios donde un sitio vecino puede usarse para piratear su sitio.

Algo a tener en cuenta, hay algunos proveedores de alojamiento web que ofrecen, además de su protección básica del servidor, complementos de seguridad pagados como Sitelock.

En general, para una mayor seguridad, intente optar por un plan de alojamiento administrado de WordPress.

Paso 6. Tenga una solución de respaldo en su lugar

Mantén siempre una copia de seguridad actualizada para ayudarte en caso de un ataque o accidente importante. Las copias de seguridad permiten una restauración más rápida de su sitio de WordPress y la reversión a un estado adecuado. Hay muchas versiones gratuitas y de pago de complementos de WordPress que le permiten realizar copias de seguridad y almacenarlas de forma segura en una ubicación remota.

Almacenar en una ubicación remota es mucho más seguro en comparación con las copias de seguridad realizadas en su cuenta de alojamiento. Puede utilizar cualquier servicio de almacenamiento en la nube como Amazon y Dropbox.

Haga una copia de seguridad de su sitio una vez al día y configúrelo para que haga una copia de seguridad automática. Puede aumentar o disminuir la frecuencia de las copias de seguridad según la frecuencia de sus actualizaciones.

Paso 7. Utilice los complementos de seguridad de WordPress

Instale un buen complemento de seguridad que lo ayudará a auditar y monitorear las actividades de su sitio. Los complementos de seguridad también pueden ayudarlo a rastrear cada interacción que hace su sitio con canales de terceros y detectar cualquier actividad sospechosa o intento de piratear su sitio.

Por ejemplo, actividades como intentos fallidos de inicio de sesión y ataques de bots pueden monitorearse y bloquearse en el momento adecuado mediante complementos de seguridad. También puede realizar escaneos de malware, verificaciones de integridad de archivos y más tareas relacionadas con la seguridad utilizando complementos de seguridad. Investigue un poco sobre los mejores complementos de seguridad disponibles que se ajusten a sus necesidades y comience a usarlos.

Consejo profesional: algunos de los complementos de seguridad que puede usar son Sucuri, Wordfence Security, Defender y VaultPress.

Paso 8. Habilite el firewall de aplicaciones web

Los cortafuegos lo ayudan a proporcionar un sistema de defensa para bloquear el acceso de cualquier tráfico malicioso a su sitio. Hay dos niveles de cortafuegos que debe utilizar.

• Cortafuegos de sitios web de nivel DNS

Este firewall enrutará sus solicitudes web a través de servidores proxy en la nube y permitirá que solo el tráfico legítimo llegue a su sitio.

• Cortafuegos a nivel de aplicación

Este firewall examinará la solicitud en el lado del servidor y permitirá que sus scripts se ejecuten solo si se determina que es una solicitud genuina. Pero este tipo de cortafuegos puede aumentar la carga del servidor.

Paso 9. Cambia a https

Los sitios HTTPS son mucho más seguros que los sitios HTTP normales, ya que solo aceptan conexiones seguras basadas en cifrado. La capa de conexión SSL encripta cada transferencia de datos entre su sitio web y el navegador, lo que dificulta que los piratas informáticos accedan a su sitio web.

Los precios de los certificados SSL emitidos por autoridades privadas comienzan en $80 por año. También puede optar por certificados gratuitos otorgados bajo el programa Let's Encrypt.

Consejos sobre cómo proteger el sitio de WordPress

Lo que sea que se discutió anteriormente fue lo más básico, debe cuidarlo por seguridad. Aquí hay algunas sugerencias y consejos adicionales para hacer un sitio web bien protegido.

Use una identificación de usuario personalizada.

Deshazte del administrador de nombre de usuario habitual por algo más personal y difícil de adivinar para los piratas informáticos. Afortunadamente, WordPress ahora requiere que seleccione un nombre de usuario personalizado para su cuenta. Pero cuando realiza instalaciones con un solo clic, el nombre de usuario predeterminado se establece en admin y, por lo tanto, tendrá que instalar WordPress para establecer manualmente un nombre de usuario personalizado adecuado. En caso de que ya haya configurado admin como su nombre de usuario, cree un nuevo nombre de usuario de administrador y elimine el anterior. Puede usar un complemento o la página phpMyAdmin para esta tarea.

Deshabilitar la edición de archivos

Para deshabilitar el editor de código incorporado en WordPress, debe cambiar el archivo wp-config.php. Establezca 'DISALLOW_FILE_EDIT' en verdadero. Esta función también se puede habilitar fortaleciendo su cuenta de WordPress a través de complementos de seguridad.

Cuando no se requiere que un script se ejecute desde ciertos directorios, es seguro deshabilitarlos allí. Por ejemplo, puede deshabilitar la ejecución del archivo PHP agregando entradas relevantes al archivo htaccess

Limite los intentos de inicio de sesión

Esto se puede configurar mediante el uso de un complemento de seguridad que puede monitorear los intentos fallidos de inicio de sesión desde una cuenta y bloquearla durante un período determinado. Esto ayuda a prevenir ataques de fuerza bruta.

Fortalezca sus inicios de sesión mediante el uso de autenticación de dos factores. La autenticación de dos factores requiere un proceso de inicio de sesión de dos pasos en el que, además de una contraseña, se envía una contraseña o un mensaje de verificación único al teléfono móvil o la dirección de correo electrónico del usuario. También debe pensar en la seguridad de su página de inicio de sesión. Su URL de inicio de sesión de WordPress es uno de los lugares más vulnerables.

También puede utilizar aplicaciones de autenticación para proporcionar una sólida capa de protección para cada intento de inicio de sesión.

Personalice las convenciones de nomenclatura de la base de datos.

De forma predeterminada, las tablas de la base de datos en WordPress comienzan con un prefijo wp_, que puede permitir a los piratas informáticos adivinar los nombres de las tablas. Intente cambiar estos prefijos por nombres más personalizados que ofrezcan protección adicional.

Agregue protección de contraseña adicional a nivel del lado del servidor para frenar cualquier intento de ataques de DOS.

Deshabilite la indexación y exploración de directorios.

Cuando los piratas informáticos pueden buscar en sus directorios y archivos, pueden identificar cualquier vulnerabilidad e intentar aprovecharla. Esta configuración se puede hacer modificando el archivo htaccess.

Deshabilitar XML-RPC. XML RPC se agregó desde WordPress 3.5 como una forma de optimizar el manejo de solicitudes. Pero esto puede actuar como una puerta trasera para facilitar los ataques de fuerza bruta de los piratas informáticos. Entonces, si no tiene ningún uso para XML-RPC en su sitio, asegúrese de deshabilitarlo modificando el archivo htaccess o usando un firewall.

Cierre la sesión de los usuarios inactivos después de un período de tiempo inactivo.

Puede utilizar el complemento de cierre de sesión inactivo para cerrar automáticamente la sesión de los usuarios inactivos.

Agregue preguntas de seguridad a su pantalla de inicio de sesión para un nivel de autenticación adicional.

Ejecutar escaneos

Ejecute escaneos de malware con regularidad y, si se encuentran malware o archivos basura, asegúrese de limpiarlos. Arreglar un sitio web pirateado puede ser un asunto complicado. Es mejor contratar a un profesional de seguridad o un webmaster experimentado para que se encargue de ello. Si está tratando de hacerlo usted mismo, asegúrese de investigar bien, hacer una copia de seguridad de los archivos importantes y comenzar a arreglar su sitio.

Elija una buena empresa de alojamiento que tenga múltiples capas de seguridad.

Cuando ejecuta un sitio web que involucra datos confidenciales de clientes, debe invertir para mantener los datos seguros. Así que no caiga en la tentación de elegir planes de alojamiento más baratos que carezcan de medidas de seguridad. Haga de la seguridad la principal preocupación al elegir su plataforma de alojamiento.

Obtenga sus temas y complementos de fuentes verificadas. Los temas y complementos gratuitos pueden sonar tentadores, pero sin el mantenimiento y soporte adecuados, estos complementos o temas obsoletos pueden contener bloques de código vulnerables que pueden comprometer la seguridad de su sitio.

Además, oculte los archivos principales de WordPress como htaccess y wp-config.

Terminando

Recuerde los principios clave para proteger cualquier software: limite el acceso y configure los niveles de autorización adecuados. Además, contiene y protege los componentes críticos en una base de datos. Asegúrese de actualizar su sistema regularmente y mantenga copias de seguridad en una ubicación remota segura. Y siempre use complementos y temas solo de fuentes confiables.

Utilice contraseñas seguras, no comparta sus contraseñas, restrinja los privilegios de los usuarios y controle la actividad del sitio con regularidad. Emplee herramientas de seguridad para ayudarlo a monitorear y tomar medidas proactivas para proteger su sitio.

Y finalmente, recuerde informar cualquier problema de seguridad y busque ayuda del soporte técnico para una mayor investigación. No dude en contratar expertos para hacer frente a los problemas de seguridad.

Así que sí, eso es todo por mi parte, espero que entiendas cómo proteger el sitio de WordPress.