Cómo proteger su sitio web de wordpress

Publicado: 2020-05-01

Cada creador de sitios de WordPress debe preocuparse por la seguridad de su sitio, Google pone en la lista negra (blacklist) más de 10,000 sitios todos los días, porque estos sitios han sido infectados con malware.

Desafortunadamente, no solo les sucede a otros. Cuanto antes se dé cuenta de ello, mejor será para usted.

Incluso si el kernel de WordPress es muy seguro gracias a un centenar de desarrolladores, el hecho es que sigue siendo vulnerable, ya que es un objetivo muy frecuente para los piratas informáticos porque alrededor del 25% de los sitios web están hechos con WordPress.

Como webmaster, hay muchas cosas que puede hacer para aumentar la seguridad de su sitio de WordPress.

Es por eso que decidí escribir este artículo con la esperanza de que fuera lo más simple y claro posible.

Verá que hay muchos pasos que puede seguir para evitar que un hacker infecte o destruya su sitio.

Si bien estas medidas no eliminarán completamente los riesgos, los reducirán considerablemente.

En caso de que su sitio web ya esté infectado por programas maliciosos, le recomendamos que siga estos pasos, que lo guiarán para eliminar los programas maliciosos de su sitio.

Entonces empecemos.

¿Necesita ayuda para mantener su sitio web 100% seguro? ¡Reserve su llamada con WP Buffs ahora y obtenga un 10-20% de descuento!

Visita WP Buffs

1: Actualice WordPress y sus temas y complementos.

WordPress se actualiza regularmente, los temas y los complementos de calidad también. Esto es crucial para la seguridad y la estabilidad de su sitio.

1: Actualice WordPress y sus temas y complementos.
Diseñado por Freepik

2: Refuerza tus contraseñas para proteger WordPress

El ataque más común es el robo de contraseñas debido a una contraseña relativamente débil.

Puede complicar considerablemente la tarea de un pirata informático al fortalecer su contraseña de WordPress, pero también al conectarse a su cuenta FTP, su base de datos, su host, sus correos electrónicos, etc.

A muchos de ustedes no les gusta usar una contraseña demasiado compleja por miedo a olvidarla. En este caso, te aconsejo que utilices un “gestor de contraseñas”.

Un administrador de contraseñas almacenará todas sus contraseñas en una nube segura y le permitirá administrarlas con una sola contraseña.

Hay muchos, pero te recomiendo LastPass , es fácil de usar y gratuito.

3: Instale un complemento de copia de seguridad

3: Instale un complemento de copia de seguridad
Diseñado por Freepik

Hacer una copia de seguridad de su sitio es una buena manera de reparar cualquier daño que un pirata informático podría haberle hecho a su sitio.

En caso de un ataque, un complemento de copia de seguridad le permitirá restaurar su sitio a un estado anterior al ataque.

Hay muchos complementos de copia de seguridad para WordPress, pero no todos son iguales. Debe ser fácil de usar, permitirle hacer una copia de seguridad de todo su sitio, hacer copias de seguridad automáticas periódicas y, por supuesto, poder guardar sus copias de seguridad fuera de los servidores de su host (disco duro, nube, etc.).

Aquí hay tres que cumplen con todos los criterios anteriores. Los tres tienen una versión gratuita y de pago.

  • UpdraftPlus
  • Compañero de copia de seguridad
  • Duplicador

4: Instale un complemento de seguridad

Después de ver las copias de seguridad, el siguiente paso es instalar un complemento de seguridad que monitoree constantemente su sitio y rastree cualquier actividad sospechosa que pueda estar ocurriendo allí.

  • Análisis antimalware
  • Detección de corrupción de archivos
  • Bloqueo de usuarios
  • Etc

Complemento recomendado:

  • Wordfence (versión gratuita y de pago)
  • Seguridad de iThemes (versión gratuita y de pago)
  • Sucuri

5: Elige un tema de calidad

Un tema de WordPress de calidad es un tema seguro que no tiene vulnerabilidades conocidas, que se actualiza regularmente, que cumple con los estándares de codificación apropiados y que es compatible con su versión de WordPress pero también con otros elementos de su sitio, como complementos.

Tener un tema que cumpla con todos estos criterios no solo lo ayudará a evitar errores, errores de compatibilidad y un montón de problemas similares, sino que también limitará las posibilidades de ataque, ya que su sitio de WordPress tendrá menos vulnerabilidades de seguridad para explotar. Así que evita a toda costa cualquier tema anulado.

A continuación hay algunos temas que suelo usar y recomendar con los ojos cerrados:

  • El tema: Oceanwp (gratis).
  • Los temas: ThemeIsle (gratis y de pago).
  • El tema: Divi (pagando).
  • El tema: extra (de pago).
  • El tema: Generar prensa (gratuita y de pago).
  • El tema: Astra (gratis y de pago).

6: Cambiar el nombre de usuario de WordPress

Si durante la instalación de versiones recientes de WordPress es posible elegir un nombre diferente al famoso “admin” antes no era así. Sin embargo, siempre es mejor que un administrador no deje un nombre de usuario conocido. Por supuesto, en este caso, no debe publicar un artículo o responder a los comentarios con el apodo de su administrador.

Existen diferentes métodos para cambiar su nombre de usuario en WordPress:

  • El método manual.
  • Usa un complemento

Lea este artículo para ver los 2 métodos en detalle (tutoriales).

https://www.wpbeginner.com/beginners-guide/how-to-change-your-password-in-wordpress/

7: Agregue dos factores de identificación (autenticación de dos factores)

Esta opción obliga a un usuario a identificarse a través de dos métodos diferentes. El método clásico con usuario y contraseña y un segundo método, que consiste en recibir un código en un dispositivo diferente al ordenador que utilizas habitualmente.

Si está utilizando Wordfence , iThemes Security o UpdraftPlus , todos ofrecen esta función de seguridad.

8: ¿Cierre de sesión automático de usuarios inactivos en WordPress?

Es común que un usuario se aleje de su pantalla por un tiempo para permanecer conectado a WordPress, lo que puede representar un riesgo de seguridad. Alguien puede secuestrar su sesión, cambiar sus contraseñas o cambiar su cuenta.

La solución consiste en instalar un plugin que se encargará de desconectar a un usuario inactivo después de un tiempo determinado.

Para ello recomiendo el plugin “Inactive Logout” es gratuito, muy sencillo de configurar y hace bien su trabajo.

Una vez instalado, vaya a " Configuración " en el panel de control de WordPress y haga clic en "Cierre de sesión inactivo " para configurar el complemento

Allí solo debes estipular el tiempo de inactividad antes de que se produzca la desconexión y un mensaje a mostrar cuando esto suceda, pulsa en “ guardar cambios ” para finalizar.

9: Agregue una pregunta de seguridad para conectarse a WordPress

Agregar una pregunta de seguridad a la pantalla de inicio de sesión de WordPress reducirá en gran medida la probabilidad de que una persona no autorizada pueda acceder a su cuenta.

Puede agregar una o más preguntas de seguridad instalando el complemento: Pregunta de seguridad de WP

10: Cambiar la URL de conexión

Por defecto la URL para conectarse a WordPress es siempre la misma: https://www.tunombre.com/wp-admin (yo pongo .com pero puede ser .net u otra extensión).

Para complicar la tarea de un posible hacker que quiera lanzar un ataque de “Fuerza Bruta” en tu sitio, puedes cambiar la URL de conexión.

Ver este complemento: WPS Ocultar inicio de sesión.

11: escáner de WordPress en busca de virus o malware y posibles vulnerabilidades de seguridad y otras vulnerabilidades

Si no ha instalado un complemento de seguridad en su WordPress y nota una caída repentina en el tráfico o una degradación de su clasificación en los motores de búsqueda, es urgente realizar un análisis completo de su sitio.

En este caso dos opciones:

O decide instalar un complemento de seguridad e iniciar un escaneo de inmediato o inicia un escaneo en línea en uno de los sitios a continuación. Todos son gratuitos y muy fáciles de usar.

Simplemente ingrese la dirección de su sitio y comience el escaneo.

  • https://wpsec.com/
  • https://app.upguard.com/webscan
  • https://www.virustotal.com/gui/home/upload

12: Desinfecte su sitio

Si ha instalado un complemento de seguridad, es poco probable que haya sido infectado. Pero muchos de ustedes todavía no lo piensan.

En primer lugar, debe entenderse que es mucho más fácil prevenir una infección de su sitio de WordPress que desinfectarlo.

La limpieza de un sitio de WordPress puede llevar mucho tiempo y, a menudo, necesitará contratar a un profesional, especialmente si no ha realizado una copia de seguridad completa de su sitio.

Los piratas informáticos instalan puertas traseras en los sitios infectados y, si no se tratan adecuadamente, es probable que vuelvan a piratear su sitio web.