Refuerzo de la seguridad de WordPress: una guía completa para proteger los sitios de WordPress

Cuando haya terminado con esta publicación, le garantizaré que su sitio de WordPress será inmune a ataques y exploits.

Espera, no puedo garantizar eso. Déjame ponerlo de esta manera, estarás equipado con los conocimientos necesarios para mantener tu sitio web relativamente seguro.

No existe la seguridad infalible. Existen medidas específicas que puede tomar para disminuir en gran medida la posibilidad de que su sitio web sea víctima de un pirateo o un ataque.

Anteriormente escribí una pequeña publicación sobre cómo los sitios web de WordPress se ven comprometidos y por qué debería invertir en buenas prácticas de seguridad. Puede leerlo aquí o le daré un pequeño resumen de las vulnerabilidades de WordPress antes de discutir las medidas específicas para reforzar su sitio web de WordPress.

WordPress en sí mismo tiene pocas vulnerabilidades y cuando se descubren, se reparan rápidamente con una actualización. Pero cuando tiene en cuenta las prácticas de seguridad de su proveedor de alojamiento web o la falta de ellas y el software de terceros que normalmente se ejecuta en los sitios web de WordPress, es más probable que su sitio web sea víctima de un pirateo debido a los errores de otras personas.

El 51% de todos los sitios web pirateados en 2021 se vieron comprometidos por temas o complementos que estaban ejecutando. El 41% fueron explotados porque eligieron el alojamiento web incorrecto y, como resultado, sus sitios fueron pirateados.

Ejecutar un sitio simple de WordPress y mantenerlo seguro no es demasiado difícil. Pero cuando agrega una combinación de software de terceros y tiene que mantener su dominio con el host correcto, se vuelve un poco más difícil.

He leído muchas publicaciones en blogs de emprendedores web exitosos que eran esencialmente hombres y mujeres de negocios que tomaron sus negocios en línea. Y cuando sus empresas en línea tuvieron éxito, se convirtieron en objetivos. Sin embargo, no es necesario que su sitio web tenga éxito o incluso que tenga algo de tráfico para que se convierta en un objetivo.

Las personas que piratean sitios web utilizan herramientas automatizadas que les permiten rastrear cientos y miles de sitios web en busca de vulnerabilidades. Su sitio web puede ser uno de esos cientos. Entonces, incluso si su sitio web no es popular, aún podría ser un objetivo.

Ahora, muchos emprendedores web conocen los estándares y medidas de seguridad necesarios para mantener seguros sus sitios web y negocios en línea. Pero lo mejor de WordPress y la web hoy en día es que ya no necesita ser un experto en tecnología o un desarrollador web para iniciar un sitio web. Y crear un sitio web no es nada difícil, es muy fácil e incluso he escrito un artículo al respecto en Colorlib (para aquellos de ustedes que buscan un poco de ayuda cuando construyen su primer sitio web de WordPress).

Crear un sitio web no es demasiado difícil, hacerlo popular es una propuesta un poco más complicada. Pero hacerlo seguro, especialmente para los emprendedores web no expertos en tecnología cuya principal preocupación gira en torno a un producto / servicio no basado en la web es bastante desafiante.

Y claro, podrían contratar a un desarrollador web para que los ayude. Pero la razón por la que prosperan muchas empresas web de pequeña escala está, sin duda, directamente relacionada con su capacidad para mantener bajos los costos. Y contratar a un desarrollador web que cobra $ 100 la hora, no cae con sus capacidades financieras.

Un profesional de seguridad web es siempre la opción preferida, pero desafortunadamente no todo el mundo tiene los ingresos comerciales necesarios para cubrir ese gasto. Y puede que esté bien, quizás no lo esté. Pero el hecho crucial es que tenemos que reconocer que incluso las pequeñas empresas recopilan información personal confidencial, como su dirección de residencia, los datos de su tarjeta de crédito, los números de teléfono y las identificaciones de correo electrónico.

No solo está en riesgo la información de su cliente debido a prácticas de seguridad posiblemente negligentes, sino que también lo estará el propio negocio que ha creado o que dedicará mucho tiempo a hacerlo. Construir un negocio en línea es un esfuerzo bastante abrumador, su éxito depende de una serie de factores, que incluyen la reputación de la marca y lo que Google piensa de su sitio web. Y créame, nadie tendrá una visión favorable de sus negocios o sus servicios, si su sitio web se cierra o es víctima de un ataque / piratería.

Teniendo en cuenta todo eso y lo que está en juego, ¿qué pasos puede "usted" dar como emprendedor web para hacer que su sitio web sea seguro?

Esta publicación está dirigida principalmente a personas cuya ocupación principal no es administrar un negocio en línea. Está dirigido a personas que de diferentes ámbitos de la vida están iniciando negocios que dependen parcial o fuertemente de una presencia en línea. Y dado que más del 65% de la web está gestionada por WP y WordPress es el CMS elegido por los emprendedores web que no son expertos en tecnología, centraré mis esfuerzos en proporcionarle los conocimientos necesarios para mantener su sitio web de WordPress seguro y protegido. .

# 1. Elija el proveedor de servicios de host adecuado

Existe una gran parte de las vulnerabilidades debido a problemas creados en el servidor de su sitio web. Encontré este hecho bastante sorprendente, su servicio de alojamiento es potencialmente la mayor fuente de vulnerabilidades de su sitio web.

Y con un host de terceros no puede hacer mucho en cuanto a retoques para proteger su sitio web.

Entonces, lo mejor que puede hacer es elegir el proveedor de servicios de alojamiento web adecuado.

Hay demasiados proveedores de alojamiento web que ejecutan sus sistemas con software obsoleto o software que no se mantiene actualmente. El problema con el software que ya no se mantiene es que, si bien es posible que no haya habido vulnerabilidades en el pasado, no existe garantía de seguridad futura. Y si se detecta una vulnerabilidad, lo cual es casi seguro, es posible que ya no se repare porque el equipo central no mantiene de forma activa versiones anteriores del software.

Cuando hablo de software, me refiero a cualquier cosa que se ejecute en su servidor para mantener su sitio activo y funcional.

• apache
• PHP
• MySQL
• MariaDB
• PostgreSQL
• PHPMyAdmin
• Certificados SSL

Incluso si han actualizado su software con un pequeño retraso, cuando se lanzan los parches de software. La ventana de oportunidad para que los piratas informáticos aprovechen las vulnerabilidades que solo se han parcheado en actualizaciones recientes se amplía y pone en riesgo su sitio web.

El alojamiento compartido, que es la opción de alojamiento para la mayoría de los negocios en línea recién iniciados, tiene un par de problemas,

• Los ataques de DOS a cualquier IP de un servidor pueden afectar a todos los sitios web alojados en ese servidor en particular.
• Las direcciones IP compartidas son un gran problema. Las direcciones IP vecinas a las suyas afectan su sitio web, si una IP compartida se incluye en la lista negra, su sitio sufre las consecuencias.
• Siempre existe la posibilidad de que algún software cargado en un servidor compartido pueda comprometer todo el servidor, aunque los proveedores de servicios de alojamiento compartido toman medidas para evitar que esto suceda.

Mi elección para alojamiento compartido,

• Alojamiento compartido - SiteGround - Proporcionan aislamiento de cuenta que lo protege contra sitios web en el mismo servidor que pueden ser vulnerables. Actualizaciones automatizadas para el núcleo y los complementos de WP, certificado SSL gratuito y copias de seguridad diarias para Grow Big Plan y posteriores, protección contra el spam con un sistema de filtrado, un firewall, sistemas de prevención de intrusiones y monitoreo en vivo. El uso de un sistema CDN como CloudFlare protegerá su sitio web contra ataques DDoS.

SiteGround ha tenido un buen historial en términos de respuesta rápida e incisiva contra las vulnerabilidades expuestas en el pasado. En 2013, cuando se perpetraron ataques de fuerza bruta desde más de 90.000 direcciones IP, SiteGround impidió que las solicitudes llegaran incluso a sus servidores.

Los ataques de fuerza bruta pueden abrumar al servidor con carga, pero si no puede enviar una cantidad suficiente de solicitudes al servidor, no puede afectarlo. Durante el ataque, se realizaron más de 15 millones de intentos en menos de 12 horas contra sitios web en sus servidores y, sin embargo, ninguno de sus servidores sufrió problemas de rendimiento.

De hecho, después de que algunos de ellos alojaran la fuerza bruta en los sitios web de sus propios clientes para encontrar contraseñas débiles, encontraron muchos sitios web en sus servidores con contraseñas débiles e inseguras. Lo siguieron imponiendo contraseñas seguras y sus clientes fueron informados por correo. Realmente parecen preocuparse por su seguridad y garantizar el rendimiento de sus entornos de servidores compartidos incluso cuando están bajo ataque. No se puede decir lo mismo de algunas de las mayores empresas de alojamiento web compartido.

Si desea opciones alternativas a SiteGround para alojamiento compartido, enumeré algunas en una publicación anterior.

Sin embargo, si no desea preocuparse por la seguridad de WordPress y casi cualquier otra cosa técnica remota sobre la creación, mantenimiento y crecimiento de un sitio web, estará mejor con un host de WordPress administrado. Prefiero el alojamiento administrado, pero los costos son considerablemente más altos.

El precio del alojamiento administrado durante un mes también le permitirá comprar alojamiento compartido durante un período de 8 meses. Si está dirigiendo una empresa con problemas de liquidez, esto tiene un efecto muy monumental en la sostenibilidad de su negocio. Pero cualquiera sería un tonto si descartara los beneficios de un host de WordPress administrado, si se lo puede permitir.

Medidas de seguridad de WPEngine

• Protección contra escritura en disco, cualquier código malicioso que cree vulnerabilidades que puedan ser explotadas está severamente limitado por las restricciones de escritura en disco. El uso de complementos y temas con vulnerabilidades es más seguro de repente, dado que ya no pueden escribir código en su servidor que hace que su WP sea vulnerable con tanta facilidad.
• Los privilegios de escritura en disco para los usuarios que inician sesión en su tablero de WP se extienden a funciones estándar como escribir y editar publicaciones, temas que agregan nuevas hojas de estilo y activación / desactivación de complementos.
• Para eliminar y escribir archivos nuevos, debe iniciar sesión a través de un cliente SFTP.
• No se permite agregar código PHP genérico.
• Los scripts con vulnerabilidades conocidas que comprometen WP no se pueden agregar a WordPress.
• Ciertos complementos pueden rechazarse e incluso desactivarse, si sus escáneres detectan algo en el código del complemento que deja su sitio web menos seguro.
• Los planes básicos en WPEngine seguirán implicando compartir algunos servidores. En cualquier plan de alojamiento dedicado, el anfitrión proporciona un servidor completo totalmente dedicado a proporcionar recursos solo para su sitio web.
• Copias de seguridad a través de Amazon S3 y no tiene acceso a ellas. No podría comprometer sus copias de seguridad, incluso si lo intentara. Siempre existe una póliza de seguro para su sitio.
• El acceso físico a los servidores está limitado solo al personal esencial. Sus centros de datos suenan como Fort Knox con solo leerlo.
• Se especializan en WP y conocen los entresijos de la creación de un sitio seguro de WordPress.
• La recuperación en el caso de una cuenta pirateada es fácil y está asegurada sin costo alguno.
• Auditorías de código periódicas del proveedor de soluciones de seguridad de WP: Sucuri.

Piense en WPEngine de esta manera, le cuesta una bomba pero mucho menos de lo que puede costarle un sitio web pirateado. Hace que sea mucho más fácil racionalizar los costos.

Por favor, no pase por alto el hecho de que su sitio web no solo será más seguro con WPEgnine, también será mucho más rápido con toda probabilidad. Incluso los sitios web como Colorlib, que utilizan un servidor privado virtual, tienen dificultades para igualar la velocidad de un sitio web ejecutado por WPEngine.

Si todavía tiene dudas y no puede elegir entre un servidor web compartido y un servidor WP administrado, ese es un gran tema en sí mismo. Por favor, lea un artículo que escribí hace un tiempo. Con suerte, eso responderá a todas sus preguntas sobre la idoneidad de un plan de alojamiento para su sitio web.

# 2. Utilice software de terceros de confianza: temas y complementos premium

Los complementos y temas siempre son sospechosos, sea escéptico, especialmente cuando no se mantienen bien y rara vez se actualizan. Ahora puede tomar numerosos pasos discriminando los complementos en función de fallas de seguridad, pero siempre vale la pena tomar nota de las acciones que toman sus complementos con WP Security Audit Log.

Un registro de seguridad es muy útil para el desarrollo web y los profesionales de la seguridad realizan un seguimiento de los cambios en múltiples sitios cuando manejan las necesidades de sus clientes. Cada acción de cada usuario puede contabilizarse con el complemento. El registro también ayuda a vigilar los complementos, el tema y otros comportamientos de software de terceros. Es posible que este complemento no evite un problema de seguridad, pero si algo sale mal, le resultará fácil rastrear la fuente del problema.

Otra buena práctica es que un experto en seguridad audite el complemento. Si no puede permitirse hacer eso, busque los sellos de confianza de Sucuri (Sucuri es un proveedor líder de soluciones de seguridad para usuarios de WordPress) en los complementos. Muchos complementos / temas envían voluntariamente sus productos para auditorías de código.

Elegant Themes ha auditado su tema insignia Divi. Elegant Themes es una de las casas temáticas más grandes, si no la más grande, en el nicho de WP y, sin embargo, tienen su tema insignia auditado por problemas de seguridad.

Manténgase alejado de los complementos y temas gratuitos que no tienen una gran cantidad de descargas. A veces, los complementos con un número de descargas excesivamente alto y calificaciones altas atraen a muchos más tramposos. La protección en números no es realmente aplicable. Más personas que usan un complemento lo convierten en un objetivo más grande, pero al mismo tiempo, tener miles de usuarios probablemente ayudará a identificar y protegerse contra ataques de día cero a través de actualizaciones rápidas.

El uso de complementos y temas premium no significa que se pueda garantizar la seguridad de su sitio. Pero puede estar seguro de que si se descubre algún exploit de día cero, la respuesta es generalmente rápida. Las casas temáticas y los desarrolladores de complementos tienen mucho en juego en sus productos, lo último que quieren es la apariencia de vulnerabilidad.

Cíñete a los complementos que figuran en el directorio de WordPress.org para obtener complementos gratuitos. Las calificaciones más altas y el número de descargas hacen que el complemento sea una apuesta más segura hasta cierto punto. Consulte el historial de los complementos creados por el mismo autor en el pasado, un buen indicador del pedigrí del programador. También verá que ciertos autores tienen especial cuidado para garantizar la seguridad de sus complementos / temas.

La última fecha actualizada es otro factor a tener en cuenta. Asegurarse de que la última versión del complemento sea compatible con la última versión de WordPress es otro punto esencial para marcar en la lista de verificación antes de instalar y activar un complemento.

Como habrás adivinado, lo que se aplica a los complementos también se aplica a los temas. Algunas cosas para recordar, cuando se trata de usar complementos y temas.

• Los complementos premium son mejores en el sentido de que es probable que sus equipos respondan a cualquier vulnerabilidad de seguridad mucho más rápido que los complementos gratuitos.
• Utilice el registro de auditoría de seguridad de WP y realice un seguimiento de todo lo que se ejecuta bajo el capó de su sitio web.
• Ciertamente, hay seguridad en los números porque es mucho más probable que se informe y se aborde una amenaza a la seguridad. Pero no puedo evitar sentir que esto es un arma de doble filo, los complementos / temas con un gran número de descargas también tienen muchas más probabilidades de convertirse en objetivos de los piratas informáticos.
• El directorio de complementos de WP.org se puede manipular para proporcionar excelentes calificaciones para complementos con un menor número de descargas y calificaciones.
• Consulte el autor del complemento, su historial y productos anteriores. Si han tenido problemas de seguridad en el pasado, no necesariamente indican que sus complementos / temas sean malos, pero no es una buena señal.
• Discrimina implacablemente contra los complementos / temas, lee reseñas, especialmente las que brindan malas calificaciones para el producto (asegúrate de investigar las razones por las que estos productos fueron mal calificados) en mercados como Envato, incluso para complementos premium. Lea las secciones de comentarios de reseñas de productos para complementos y temas. Al escribir reseñas sobre productos específicos de WordPress o al crear una publicación de lista de temas, siempre busco en la sección de comentarios las quejas de los usuarios que han descargado / comprado el producto. Este ejercicio siempre es fructífero, casi siempre aprenderá algo sobre el producto que desea comprar o descargar.
• Si el plugin / tema ha tenido su código auditado por Sucuri u otro proveedor de soluciones de seguridad WP de buena reputación, aumenta la probabilidad de que el producto sea bastante sólido en términos de seguridad.
• Puede protegerse contra complementos fraudulentos con complementos de seguridad como Wordfence o iThemes Security. Además, puede usar la función de escaneo de sitios gratuitos de Sucuri que busca en su código WP scripts maliciosos.

Ninguno de los pasos anteriores garantiza que nunca descargará un complemento o tema incorrecto, pero reduce las posibilidades de que se vea afectado por problemas de seguridad.

Ahora, asumiendo que está utilizando el host, el tema y los complementos correctos. Estaré describiendo y explicando las medidas de seguridad necesarias que debe tomar para que su sitio web sea seguro.

Al describir las medidas de seguridad individuales, tenga en cuenta que recomiendo complementos independientes diseñados para aplicaciones de seguridad específicas.

Más adelante en esta publicación, hablaré sobre Wordfence, un complemento de seguridad freemium completo y también sobre las soluciones de seguridad de Sucuri. Debe saber que ambos cumplen casi todas las funciones de seguridad que pueden haber sido discutidas anteriormente en la publicación y más en algunos casos.

Entonces, a menos que desee obtener más información sobre las medidas de seguridad individuales en detalle, puede pasar a la última parte donde analizo las funciones de un complemento de seguridad y los proveedores de soluciones de seguridad como Sucuri.

Pero si es la primera vez que usa WordPress, le recomiendo que lea toda la publicación para comprender completamente la importancia de cada medida de seguridad diferente.

# 3. Proteja su página de inicio de sesión

La página de inicio de sesión de WordPress es un objetivo principal para los ataques de fuerza bruta. Su página de inicio de sesión es definitivamente una parte vulnerable de su sitio web, si no implementa las medidas de seguridad adecuadas para obstaculizar a los atacantes.

Discutiré la importancia de mantener una página de inicio de sesión sólida y segura con múltiples medidas de seguridad que hacen que su sitio sea seguro y lo proteja contra ataques de fuerza bruta.

Contraseñas seguras y nombre de usuario inusual

El administrador no es un buen nombre de usuario. WordPress anteriormente tenía admin como el nombre de usuario predeterminado de la cuenta de administrador principal. Hoy, sin embargo, al instalar WordPress, puede elegir un nombre de usuario diferente. Pero cuando la gente generalmente comienza a usar WordPress, especialmente por primera vez, muchos siguen optando por admin como nombre de usuario. "Admin" es un nombre de usuario extremadamente predecible y hace que su sitio sea mucho más fácil de ingresar.

También puede probar el complemento Admin Renamer Extended que puede cambiar su nombre de usuario.

Las contraseñas, la elección de una cadena de caracteres aleatoria inusual ayudará a crear la primera línea de defensa contra las personas que pretenden dañar su sitio web u obtener información confidencial almacenada en los servidores de su sitio.

Una lista de las 5 contraseñas más comunes compiladas por SpashData.

1. 123456
2. contraseña
3. 12345
4. 12345678
5. QWERTY

Un niño de trece años muy motivado puede adivinar admin y 123456. Con contraseñas como las mencionadas anteriormente, su sitio se ha perdido, especialmente si recibe un tráfico decente.

Las mejores contraseñas son una combinación de mayúsculas y minúsculas con puntuación y caracteres especiales. Preferiblemente, use algo que no tenga ningún significado y asegúrese de que tenga al menos más de 10 caracteres. No hay una razón particular para 10 caracteres, pero recuerde que se vuelve exponencialmente más difícil descifrarlos, si las contraseñas son más largas.

Si su contraseña no tiene ningún sentido y no hay una razón lógica o sentimental detrás de su contraseña, obviamente es mucho más difícil de adivinar. Recuerde, cómo Sherlock adivina la contraseña del móvil de Irene Addler: "SOY _ _ _ _ BLOQUEADO". Bueno, ¡incluso Sherlock tendría dificultades para adivinar una contraseña que no se puede razonar!

Si tiene dificultades para averiguar qué contraseña usar, pruebe herramientas como Strong Password Generator o Secure Password Generator, ambas herramientas en línea disponibles gratuitamente para encontrar una buena contraseña para el inicio de sesión de administrador de su sitio web.

Los complementos de seguridad también imponen contraseñas seguras para el administrador y todos los usuarios. Esto es importante, incluso si sus usuarios no tienen el estado de administrador y los privilegios que lo acompañan, alguien con acceso a una cuenta de nivel de editor comprometida en WordPress podría hacer bastante daño.

Otro buen consejo para recordar siempre es cambiar tus contraseñas con frecuencia. Si tiene dificultades para recordar todas sus contraseñas, utilice un administrador de contraseñas. Puede probar One Password, Last Pass, KeePass o DashLane para almacenar todas sus contraseñas de forma segura.

En lo que respecta a los nombres de usuario y las contraseñas, cuanto menos tengan sentido y cuanto más aleatorios sean, mejor será la seguridad que puedan ofrecer a su sitio web.

Limite el número de intentos de inicio de sesión

Los ataques de fuerza bruta tienen como objetivo las páginas de inicio de sesión de los sitios web de WordPress. Si no lo sabe, la mayoría de los ataques de fuerza bruta implican probar diferentes combinaciones alfanuméricas para descifrar la contraseña del sitio para un nombre de usuario en particular.

Ahora, incluso si asume que un ataque de fuerza bruta no tiene éxito, debe reconocer el hecho de que consume enormes cantidades de memoria del servidor y potencia de procesamiento. Es casi seguro que esto ralentizará su sitio web y hará que se ralentice. Muchos hosts también ofrecen protección contra ataques de fuerza bruta. Esto se debe a que en un servidor compartido, su sitio que consume una cantidad indebida de recursos podría afectar a todos.

Pero la técnica más sencilla para protegerse de los ataques de fuerza bruta es limitar el número de intentos de inicio de sesión. Si alguien no puede atacar repetidamente su servidor con múltiples combinaciones de nombre de usuario y contraseña, un ataque de fuerza bruta no funcionará.

El bloqueo de inicio de sesión, la solución de seguridad de inicio de sesión y la protección de inicio de sesión de fuerza bruta tienen como objetivo evitar el acceso a su sitio web a través de intentos de pirateo de fuerza bruta. Brute Protect ha sido adquirido por el equipo Automattic y ahora es parte de Jetpack y ofrece protección contra ataques de fuerza bruta.

Casi todos los complementos de protección de inicio de sesión tienen una interfaz similar.

Todos estos complementos funcionan básicamente mediante el seguimiento de las direcciones IP que repetidamente intentan y no logran iniciar sesión. Después de varios intentos fallidos de inicio de sesión, las direcciones IP particulares no pueden acceder a la página de inicio de sesión de su sitio.

Login Security Solution fuerza una autenticación de correo electrónico de WordPress y un cambio de contraseña por correo electrónico, si determina que el usuario que ha iniciado sesión actualmente es bastante sospechoso.

El complemento puede imponer contraseñas seguras y exigir cambios frecuentes de contraseñas a los usuarios. También los intentos de pirateo son rastreados por rangos de IP que repetidamente intentan obtener acceso de manera ilegítima, se bloquean durante períodos de tiempo más largos para disuadirlos de intentar ingresar a su sitio web.

Autenticación de inicio de sesión en dos pasos

La autenticación de un inicio de sesión agrega una capa adicional de seguridad además de una contraseña segura, un nombre de usuario inusual y un número limitado de intentos de inicio de sesión fallidos.

El proceso de autenticación de inicio de sesión en dos pasos hace que su sitio sea más que doblemente seguro. Iniciar sesión en su sitio de WordPress requiere un código de autenticación que solo se puede recibir a través de un mensaje móvil. Dado eso, es bastante poco probable que un pirata informático robe su móvil en preparación, su sitio web permanecerá seguro contra la fuerza bruta y otras técnicas de piratería que se basan en pasar la página de inicio de sesión de su sitio web.

Google Authenticator es un complemento útil que se basa en una aplicación instalada en su Android / iPhone / Blackberry que le proporciona el código de autenticación necesario para iniciar sesión con éxito en su sitio web. Puede habilitar esta aplicación solo para el nivel de privilegios de administrador o emplearla usuario por usuario.

Me gusta mucho el siguiente complemento, tienen la intención de enviar a las personas que intentan iniciar sesión sin el código de autenticación a un redireccionamiento con una URL personalizable. La página de inicio de sesión sigilosa también bloquea completamente los bots.

Si un usuario no cumple con la secuencia de inicio de sesión completa, se rechaza el intento de inicio de sesión. Otra técnica que se puede usar para bloquear bots es usar captcha en las páginas de inicio de sesión, puede usar Login No Captcha reCaptcha para evitar que los bots inicien sesión.

Cambiar la URL de la página de inicio de sesión de WordPress

Hemos hablado de limitar los intentos de inicio de sesión, autenticar los inicios de sesión y la importancia de utilizar una contraseña segura y un nombre de usuario inusual.

Ahora vamos a ocultar o cambiar la página de inicio de sesión, este tipo de modificaciones de seguridad también se conocen como seguridad a través de la oscuridad. Sé que esto parece un poco exagerado. Pero quédese conmigo aquí, porque este paso no es más difícil que las medidas de seguridad sugeridas anteriormente para proteger su página de inicio de sesión.

Los ataques de fuerza bruta son efectivos solo si pueden encontrar la página de inicio de sesión. Si deja su página de inicio de sesión sin cambios, los piratas informáticos podrían encontrar sus páginas de inicio de sesión.

Intentemos ocultarles la página de inicio de sesión. Puede hacer esto cambiando la URL de la página de inicio de sesión con WPS Hide Login. El complemento realmente no cambia nada, simplemente intercepta las solicitudes de página y hace que el directorio wp-admin y las páginas wp-login.php sean inaccesibles. Deberá recordar la nueva página de inicio de sesión configurada durante la activación del complemento.

Las opciones alternativas para cambiar la URL de su página de inicio de sesión incluyen otros dos complementos, Proteja a su administrador y Renombrar wp-login.php.

SSL

Aunque menciono SSL para proteger su página de inicio de sesión, SSL es una característica extremadamente importante y necesaria de cualquier página en la que maneja información confidencial. Y esto incluye prácticamente todas las páginas de muchos sitios web, ya que hay formularios de suscripción de blogs en todas las páginas web.

Si usted o sus visitantes / clientes alguna vez comparten información privada confidencial como direcciones, detalles de tarjetas de crédito o incluso comparten sus ID de correo electrónico con usted. Entonces les debes proteger su información.

SSL es una capa adicional de protección (Secure Socket Layer) que convierte el http a https y en el proceso hace que toda la información compartida sea mucho más segura.

Así es como la página de publicación de edición en la que trabajo, para Colorlib se ve con SSL. ¿Observa el "https:" de color verde en la barra de URL?

SSL es básicamente algo que codifica su información en algo que no se puede leer como lo hacemos con el texto sin formato. Entonces, cuando la información viaja entre sus servidores y cualquier navegador, cualquiera que obtenga acceso a ella no puede encontrarle ningún sentido. Hay una clave privada y una clave pública. Una vez que SSL hace que la información fluya de manera divertida e ilegible, necesitamos darle sentido nuevamente al final del navegador. Aquí es donde entra la clave privada para que las cosas vuelvan a ser legibles. El mecanismo en juego es muy similar a un candado y una llave matemáticos.

SiteGround, nuestro host compartido recomendado, proporciona protección SSL de forma gratuita. También puede comprar un certificado SSL de una autoridad de certificación. Si ejecuta complementos de seguridad como Wordfence, se puede habilitar SSL.

Recomendaría SSL en todo el sitio, muchos sitios de WordPress ColorLib incluido utilizan SSL en todo el sitio. Si no es SSL en todo el sitio, definitivamente debe forzar SSL para las páginas de inicio de sesión como mínimo.

Los navegadores como Chrome incluso bloquean el acceso a sitios web con certificados malos o caducados en SSL.

Es posible que deba averiguar si su CDN entrega contenido fácilmente a través de SSL y, a veces, las redes publicitarias pueden presentar problemas al ofrecer contenido a través de SSL. Agregar SSL en todo el sitio puede presentar dificultades significativas; debe leer este artículo muy perspicaz sobre las dificultades de habilitar SSL en todo el sitio.

Google le da un pequeño impulso (1%) en su clasificación de búsqueda, si usa SSL en sus sitios web. Este hecho, en sí mismo, debería justificar el uso de SSL. Por qué ? Bueno, Google comprende, como la mayoría de los profesionales del desarrollo web, la importancia de garantizar la seguridad de los datos de sus lectores / visitantes.

SSL también se puede aplicar en su pantalla de inicio de sesión mediante el complemento de seguridad de Wordfence. También se espera que los certificados de seguridad estén disponibles gratuitamente en algún momento de 2015.

Lea más sobre la administración sobre SSL en WordPress.org.

# 4. Protección de su núcleo de WP, base de datos y uso de permisos de archivo correctos

En muchas de estas medidas de seguridad, modificaremos su núcleo de WP y deberá estar familiarizado con cómo usar el cliente FTP para realizar cambios y cargarlo. Y dado que la mayoría de estos consejos de seguridad implican cambiar o modificar su núcleo de WP, podría romper su sitio web. Haga una copia de seguridad de su núcleo de WordPress y de todo su contenido antes de continuar, un error se puede deshacer fácilmente con una copia de seguridad.

Claves de seguridad de WordPress

WordPress utiliza cookies para identificar y verificar a los usuarios que han iniciado sesión para comentar y realizar cambios desde el tablero de WP.

Estas cookies contienen información de inicio de sesión y sus datos de autenticación. La contraseña tiene un hash, lo que significa que se aplica una fórmula matemática para hacerla ilegible y no se puede leer sin aplicar las matemáticas una vez más para que sea legible.

Podemos agregar una capa adicional de protección alrededor de esta cookie con WP Security Keys. Se trata de un conjunto de variables aleatorias que mejoran la seguridad de la información almacenada en una cookie de usuario. Hay 4 claves, a saber, AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY y NONCE_KEY.

Una contraseña no cifrada como WordPress o 12345 se puede romper fácilmente, si alguien puede reconstruir la cookie de autenticación. Pero la encriptación con claves de seguridad WP hace que esto sea mucho más difícil.

¿Cómo se agregan las llaves de seguridad de WP?

1. Abra el archivo wp-config.php.
2. Busque "claves y sales únicas de autenticación".
3. Utilice una herramienta generadora de claves automática en línea.
4. Copie las claves de la herramienta en línea y reemplace el conjunto de claves existente, sobrescribiéndolo en wp-config.php.
5. Guárdalo.
6. Puede repetir el mismo proceso cada mes aproximadamente.

Recuerde, cada vez que cambie las claves de seguridad, se cerrará la sesión de los usuarios y tendrán que volver a iniciar sesión en sus cuentas.

iThemes Security proporciona las herramientas necesarias para hacer esto desde el tablero de WP. Y también te enviarán un recordatorio todos los meses para que cambies tus llaves de seguridad.

Proteja con contraseña sus directorios de WP

Esto se puede hacer desde su cPanel o desde el panel de control de cualquier proveedor de alojamiento web. En el cPanel, abra Seguridad> Directorios protegidos con contraseña. Encontrará una lista de todas las carpetas de su sitio. Comience con una carpeta importante como wp-admin.

Encontrará un cuadro de diálogo que le solicita que cree un usuario proporcionando un nombre de usuario y una contraseña. Ahora cree el nuevo usuario. Después de esto, si necesita acceder a la carpeta wp-admin en su sitio web, debe ingresar el nombre de usuario y la contraseña para acceder al sitio web.

Esto agrega una capa adicional de protección basada en contraseña a las partes más importantes de su sitio web.

Utilice FTP seguro (SFTP)

Se requiere un sistema de transferencia de archivos para llevar los datos de su sitio web a su servidor web cuando agrega nuevos cambios que le gustaría incorporar. Con un protocolo de transferencia de archivos normal o un FTP, aumentan las posibilidades de que alguien intercepte y encuentre vulnerabilidades para explotar su sitio web.

Necesitará el cliente adecuado para usar una conexión SFTP para cargar nuevos archivos y código modificado. Puede usar FileZilla para comenzar.

Además, necesitará algunos detalles específicos sobre su cuenta de alojamiento web. Generalmente, cada host proporcionará información específica para ayudarlo a configurar un protocolo de transferencia de archivos seguro. Normalmente tendrá una clave SSH que es generada por el host, esta clave debe agregarse a su cliente SFTP como FileZilla y es sencillo configurar una conexión segura para la transferencia de archivos a partir de ahí.

Usar permisos de archivo correctos

El acceso a sus archivos debe tener los permisos adecuados. Es posible escribir en su WordPress desde el servidor web. El problema surge cuando comparte ese entorno con varios sitios web que también pueden tener sus sitios web en un servidor compartido.

Generalmente, las carpetas de WordPress y los archivos de WordPress tienen permisos específicos en diferentes hosts. Con el acceso de shell, puede ejecutar los siguientes dos comandos para mantener sus carpetas y archivos de WordPress seguros y accesibles solo para el usuario correcto.

 find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Protecting WordPress using .htaccess

While editing .htaccess file, please add code before # BEGIN WordPress or after # END WordPress. Any code added within these two hashtags can be overwritten by WordPress and we wouldn't want any new security protocols we've added to disappear. So when you add any code to the .htaccess file, please remember to stay out of the section starting with # BEGIN and ending with # END.

The wp-includes contains files that aren't necessary for any user, but it contains files necessary for running WP. We can protect it by preventing access and adding some text to the .htaccess file. Keeping in mind to stay out of the code within hashtags.

Add this little snippet of code to the .htaccess file.

 # Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>


# BEGIN WordPress <-- Always add code outside, before this line in your .htaccess file -->

This wouldn't work for wp multi sites. Remove this line – RewriteRule ^wp-includes/[^/]+\.php$ – [F,L], this will offer less security but it will work for multisite.

Your wp-config.php file contains sensitive information about your connection details and the WP security keys we previously discussed. Modifying your .htaccess will protect your website against hackers, spammers and significantly beef up your website's protection.

This process involves moving your .htaccess file out of your WP install and to a location accessible only with an FTP client or cPanel or from the web server.

Add this to the top your .htaccess file.

 <files wp-config.php>
order allow,deny
deny from all
</files>

This will essentially prevent access to anyone who surfs for the wp-config.php file and only access from the web server space will be permitted.

All this added protection is great, but remember all of this was accomplished from your .htaccess file. That means if someone can access your .htaccess file, all your added security isn't helpful.

Add the following to the top of your. htaccess file. It will prevent access to your .htaccess file.

 <files .htaccess>
order allow,deny
deny from all
</files>

You can add more modifications to .htaccess file, if you'd like.

You could, restrict files, by file types and extension. This piece of code will not only restrict access to your wp-config but it will prevent access to ini.php and your log files.

 <FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|install\.php|php\.info|readme\.html|bb-config\.php|\.htaccess|\.htpasswd|readme\.txt|timthumb\.php|error_log|error\.log|PHP_errors\.log|\.svn)">
Deny from all
</FilesMatch>
#Code courtesy - WPWhiteSecurity

Next we can disallow browsing of the WP directory contents.

 Options All -Indexes

Apart from that we can add a few other changes to improve security by making changes to the .htaccess file in WordPress.

1. Block IPs and IP ranges. You can limit access to your login pages by IP range, I would have covered it in the Login section but login page protection plugins already block IP ranges which try to access login pages through brute forcing techniques.
2. Keep bad bots at bay.
3. Prevent hot linking.

This is quite extensive and we are starting to get off point. If you'd like to do the other stuff as well, for which I haven't presented the code here, you can use this piece of custom code from WP White Security.

Please remember to keep track of which files you have moved to root directory of WP. You'll need to be aware of where each file/folder is, so that you can not only edit them but also be sure not create multiple copies in different locations which again jeopardizes the point of the entire exercise.

Turn Off PHP Error Reporting & PHP execution

PHP executions need to be kept to a minimum. Por qué ? A good example of a hack would be the Mailpoet Newsletter hack which could be used to add files which are run from the wp-content/uploads folder.

To prevent such vulnerabilities, we can deny PHP any room to run on WordPress. Add this code snippet to the .htaccess file.

https://gist.github.com/puikinsh/c8bf229921dbf6af4625

This code detects PHP files and denies access. You need to add it to the following wp folders.

• wp-includes
• wp-content/uploads
• wp-content

You'll need to create a .htaccess in the other folders. By default, it may be available in the root directory but to prevent PHP execution the .htaccess file needs to be created and added to the aforementioned folders. The three folder mentioned are primarily folders where content is uploaded and is particularly vulnerable to a PHP script that can cause a lot of problems.

PHP error reporting is a signal to all hackers who are looking for vulnerabilities that there is something not working on your website.

Adding these two lines of code to your wp-config.php file should resolve the problem.

 error_reporting(0);
@ini_set('display_errors', 0);

Although having read multiple threads and discussions about PHP error reporting, it may not work. In which case your best option is to contact your web host and ask for instructions on how you can accomplish the same.

Change the wp_ table Prefix

All WordPress tables begin with a wp_ prefix. Change this wp table prefix across your entire website and make it more difficult for a hacker to infiltrate your website.

In your wp-config.php, you'll find this line of code.

 $table_prefix  = 'wp_';

Change that to something completely random,

 $table_prefix  = 'jrbf_';

Now every table like, wp_posts, wp_users, etc will change to jrbf_posts, jrbf_users and so on.

Almost all security plugins do this for you and furthermore changing wp table prefixes may be time consuming. You can do this with PHPMyAdmin or other database managers, but I'd much rather use a security plugin like iThemes Security to accomplish it.

Similarly, you can take it a step further by changing the name of your WordPress database. This way, not only do you change the prefix but you will also be changing the names of what follows the prefix. This will make it nearly impossible for hackers to randomly guess your database name and you can not access what you can not find.

Disable XMLRPC

Generally, DDOS attacks target all web pages of WordPress websites indiscriminately. But this particular part of WordPress can become a target for DDOS attacks. I'll explain, XMLPRC is used for pingbacks and trackbacks. But it has, in the past been exploited to launch DDOS attacks on websites.

You can use a plugin like Disable XMLPRC. But you will not need it, if you use security plugins or a login protection plugin. They generally provide protection against this particular vulnerability.

# 5. Security Plugin – Wordfence/iThemes Security/ Sucuri

An effective security plugin is absolutely essential in ensuring your WordPress site's security, for the non-tech savvy at least. Security plugins perform the various functions many of which have already been discussed here, all of these added security measures add up to build a fortress around your website and its contents.

Wordfence performs a number of functions crucial to site security on a WordPress powered site,

• Real time blocking of attackers, blocking entire malicious networks and certain countries.
• Limit crawlers, bots and scrapers.
• Block users who trespass on your security rules.
• Two factor authentication via SMS, greatly improves security on login pages.
• Strong password enforcement for all users (non-admins).
• Protect against brute force attacks.
• Scan site for malicious scripts, back doors and phishing URLs on your site masquerading as comments on your website.
• Compare plugin/theme core files with files of the same listed on WordPress.org's directory.
• Run heuristics for Trojans, suspicious scripts and other potentially security endangering activities on your site.
• Firewall to block fake Google bots sent by hackers to scan for vulnerabilities.
• Real time awareness and live content access monitoring to enhance situational awareness.
• Geo-located down to a city level the threats to your website to find out the point of origin of threats to site security.
• Monitor DNS for unauthorized access.
• Keeps an eye on disk space consumption to prevent and react to Denial of Service attacks.
• It is multisite compatible.
• Falcon caching system to reduce server load.
• Full IPv6 compatibility for WHOIS lookup, location and security functions.

Some features are restricted to the premium version of the plugin. The premium version of the plugin is priced at $3.25/mo.

That being said, the free version of this plugin is a very capable site defender for your WordPress website. And you shouldn't be too apprehensive about the free version of the plugin, given that it has a rating of 4.9 on a five point scale and has been downloaded nearly a million times.

Security plugins require configuring and this can be an elaborate and long process. With Wordfence, you can to an extent at least customize all your security settings from Options under WordFence on your WordPress site menu.

Other options you can consider, if you still haven't settled on a security plugin for your WordPress site.

• Bullet Proof Security
• iThemes Security (Previously known as Better WP Security)
• Sucuri Security & Sucuri Cloudproxy For Firewall
• Todo en uno WP Security & Firewall

I do not think Wordfence is the best overall security system out there. What I mean by this is, there are better security solution providers/ managed hosting services that offer better overall security solutions for WordPress sites. But when it comes to simple security plugins that enforce good protection and security protocols, Wordfence is certainly one of the best. The not too distant second position would probably go to iThemes Security.

In the coming weeks, I'll probably write a post about all the security solutions available for WordPress, so stay tuned to Colorlib But right now, we'll stick to Wordfence as the recommended security plugin.

# 6. Update ! Update! Update! And not just your WordPress

There are hundreds of WordPress vulnerabilities in the previous/non-current versions of WordPress.

Websites tend to be slow, when it comes to updating their WordPress platform. For example, in February of 2015 only 7.4% of websites had updated to WordPress 4.1, despite the fact that it had been released more than two months prior to February.

Whenever a software vulnerability is discovered, typically the vulnerability is reported to the software vendor. The software vendor then modifies the software and adds some added protection or merely deletes some unnecessary code. This is released as a software update or a patch. This is the best possible case, but if someone with less than noble intentions discovers a vulnerability in any web based or non web based software, then he/she is likely to exploit it to the fullest.

July 2014, Mail Poet Newsletters previously known as Wysija Newsletters, a plugin which had been downloaded over 2 million times was compromised as a result of which 50,000 websites were made vulnerable to attack. An automated attack where in, an injected PHP backdoor would allow for eventual control of the site by the hacker.

December 2014, 100,000+ websites were compromised by the Revolution Slider plugin which was targeted by the SoakSoak.ru campaign. This particular malware injected JavaScript into the wp template-loader.php file. A thousand themes were affected as they had been sold with this plugin as an add-on via Envato and other WordPress marketplaces.

The XSS vulnerability in WP Super Cache, a plugin I included in my round up for the Top 6 Caching Plugins. The list of vulnerabilities in top notch free plugins is quite concerning. But there are a number of steps you can take to decrease your chances of using a vulnerable piece of code theme or plugin on your website.

You should know that most plugins with vulnerabilities have been patched. But you need to stay fully updated at all times. Updating your site to the latest versions is an extremely important part of your site defense strategy. All the previously mentioned security measures are useless, unless you update as and when the updates for WordPress and other third party software are available.

Enable Automatic Updates For Your WordPress, Plugins & Themes.

You do not want your website's update page looking like this page on a test site.

WordPress introduced automatic background updates with the release of WordPress version 3.7.

You can enable auto updates for WP, by making a change to the WP_AUTO_UPDATE_CORE constant. This change needs to be made in the wp-config.php file.

 define( 'WP_AUTO_UPDATE_CORE', true );

This will ensure that all updates major or minor are updated as soon as they are made available.

Change the update core constant to “false” and you will disable all updates. Changing it to “minor” will enable auto updates for minor changes, normally includes security patches.

You can update plugins and themes in the same manner, by editing the auto_update$type filter.

For automatic plugin updates,

 add_filter( 'auto_update_plugin', '__return_true' );

And to enable automatic theme updates,

add_filter ('auto_update_theme', '__return_true');

Si no te gusta jugar con el código, puedes usar un complemento para ayudarte. Tiene otra opción en forma de complemento, cuando se trata de garantizar la actualización sin problemas de su WP y todos los temas / complementos en su sitio. Actualizaciones automáticas avanzadas le permite habilitar actualizaciones importantes y actualizaciones menores / de seguridad de forma individual. Y el complemento también proporciona soluciones de actualización automática para temas y complementos.

Para soluciones de actualización de múltiples sitios, si necesita ayuda para manejar actualizaciones con complementos y temas de WordPress, puede probar Easy Updates Manager. También hay un servicio premium ofrecido por WP Updates que proporciona soluciones de actualización automática para complementos y temas premium.

El uso de complementos como ManageWP o un host de WP administrado como WPEngine también ayudará a resolver problemas con la actualización de WordPress y el software de terceros que utiliza en su sitio web.

Actualizar el núcleo de WordPress automáticamente se vuelve problemático cuando las cosas comienzan a fallar. Esto puede suceder debido a un código personalizado que se borra durante una actualización o problemas de compatibilidad que surgen con software de terceros (complementos y temas). Esta es una razón que puede hacer que se detenga, tal vez habilitar actualizaciones menores sea una mejor idea.

Si tiene problemas con las actualizaciones automáticas de WordPress, le recomiendo que pruebe Background Update Tester. El complemento busca y explica cualquier problema de compatibilidad.

Ejecute siempre una copia de seguridad antes de actualizar. ¡Siempre! Esto para proteger su sitio web contra cosas que salgan terriblemente mal, en cuyo caso terminará haciendo un desastre en su sitio web. Una buena práctica a seguir para protegerse contra las actualizaciones automáticas que causan estragos a través de problemas de compatibilidad con complementos, temas y, a veces, código personalizado en su núcleo de WP.

# 7. Algunas cosas más sobre la seguridad de WP: firewalls, registros de auditoría y escáneres de malware

No he hablado de los cortafuegos para WordPress. Un buen firewall logrará mucho y mitigará las formas más comunes de ataque a sus sitios web.

• Mitiga los efectos de un ataque DDoS.
• Los ataques de fuerza bruta se detienen en seco.
• Protéjase contra las vulnerabilidades del software.
• Detiene los ataques de inyección de código como los ataques SQL o XSS.
• Repare y defienda contra las vulnerabilidades de día cero.

Solo para ilustrar, aquí hay una instantánea de lo que hace el firewall Sucuri para un sitio web de WordPress.

Cortafuegos no es el término que Sucuri utiliza para describir su sistema de protección, se refieren a él como CloudProxy, que es una combinación de un cortafuegos de aplicaciones web y un sistema de detección de intrusos. Todo el tráfico malicioso se filtra y se monitorea la actividad anómala.

Los firewalls se desarrollaron tradicionalmente para monitorear conexiones, sin embargo, CloudProxy de Sucuri no solo mantendrá alejados a los malos, sino que también creará parches virtuales contra vulnerabilidades. Una vez que una solicitud de un visitante pasa a través del firewall, llega al sistema de prevención y detección de intrusiones, donde el sistema examina las solicitudes en busca de posibles patrones de ataque.

Creo que la función de parcheo virtual para protegerlo contra vulnerabilidades es un activo muy efectivo e invaluable para cualquier sitio web con demasiada personalización (significa que muchas cosas pueden salir mal cuando surgen problemas de compatibilidad). Siempre es mejor aplicar la actualización a WordPress en un área de prueba y verificar si su sitio web funciona sin problemas. Y si lo hace, puede publicar la versión actualizada de su sitio web. Pero mientras tanto, su sitio web está realmente en peligro. La protección contra ataques de día cero solo es posible a través de actualizaciones para corregir vulnerabilidades, sin embargo, este no tiene que ser el caso mientras se usa Sucuri CloudProxy.

Y aparte de eso, también mantienen registros de toda la actividad en su sitio web y buscan posibles signos de travesura.

Piense en el cortafuegos como una última medida, es el muro que un pirata informático necesita traspasar para acceder a los contenidos confidenciales de su sitio web. Las buenas prácticas en gran parte están diseñadas para que no necesite usar tanto el firewall.

El software de escaneo de malware o sitios web como Sucuri SiteCheck pueden escanear sus sitios web en busca de vulnerabilidades y posibles lagunas de seguridad. Los complementos de seguridad también tienen software de escaneo de malware para rastrear cualquier cambio que parezca anormal y sea fuente de posibles problemas de seguridad.

También mencioné anteriormente el Registro de auditoría de seguridad de WP, al tiempo que dije que es un complemento necesario para rastrear todos los cambios en su sitio web. Me gustaría reiterar ese punto, es un complemento extremadamente útil no solo para rastrear los cambios efectuados por temas y complementos, sino también para las acciones de otros usuarios. Es muy importante que utilice el registro de auditoría de seguridad de WP o ejecute algún otro complemento de registro de datos para realizar un seguimiento de todos los cambios.

El registro también es una característica clave del sistema de protección de Sucuri. A pesar de sus intentos exagerados por garantizar la seguridad, a veces suceden cosas malas y los sitios web son pirateados. Cuando eso sucede, su sistema de registro es muy útil para ayudar a los sitios web a salir de una zanja.

Los cortafuegos, los escáneres de malware y los registros de auditoría son muy útiles contra las amenazas que no se pueden predecir y los ataques de día cero. No sustituyen las buenas prácticas de seguridad de WordPress.

# 8. Ocultar su versión de WordPress: ¿es necesario?

He leído en algunos sitios web que ocultar su versión de WordPress aumentará su seguridad contra piratas informáticos malintencionados. El problema es que se asume que el conocimiento de las vulnerabilidades asociadas con un WordPress en particular hace que sea más probable que alguien las explote. Esto no necesariamente es cierto. Generalmente, las personas que roban información de sitios web utilizan herramientas automatizadas para escanear sitios web en busca de vulnerabilidades conocidas. Y si su versión de WordPress es vulnerable, ellos lo sabrán. No es como si los piratas informáticos revisaran un sitio a la vez y los clasificaran por versión de WordPress.

Como se indicó anteriormente, actualice su WordPress, temas y complementos lo antes posible. Los piratas informáticos no discriminan entre los sitios que muestran la versión de WordPress y los sitios web que no lo hacen.

En el improbable caso de que un pirata informático visite manualmente todos los sitios web y verifique la versión de WordPress y luego intente encontrar vulnerabilidades, puede resultarle útil ocultar su versión de WordPress.

Utilice Eliminar el complemento de versión para eliminar su versión de WordPress. Si eso no funciona para usted, entonces deberá hacer algunas modificaciones menores y esta publicación de blog debería ayudarlo.

# 9. Copia de seguridad: última línea de seguridad del sitio web

Siempre debe estar preparado para la eventualidad de que su sitio de WordPress, a pesar de todas sus medidas de seguridad, se vea comprometido. Si eso sucede, debe intervenir y arreglar las cosas. Ahora hay varias formas en las que se puede lograr la recuperación del sitio. Las copias de seguridad con restauraciones de un clic son una solución fácil para un sitio web comprometido, asumiendo que la laguna de seguridad o la vulnerabilidad ya se han solucionado.

Las copias de seguridad automáticas son una parte necesaria y esencial del arsenal de seguridad de cada sitio web de WordPress. Piense en los complementos de seguridad como su espada y la copia de seguridad como su escudo. Si su ofensiva le falla, su escudo en este caso los respaldos, se convierte en su última línea de defensa.

Recuerde, estoy asumiendo que es solo su WordPress el que está comprometido y no su servidor, que es una bolsa de gusanos completamente diferente. Pero la mayoría de los proveedores de servicios de alojamiento cuentan con un sólido equipo de seguridad que protege sus servidores contra elementos maliciosos constantemente y especialmente durante ataques globales. Escribí una publicación hace unas semanas, sobre los diferentes proveedores de servicios de alojamiento compartido, si está interesado.

Copias de seguridad: si decide que le gustaría un complemento gratuito sin pagar un centavo por los servicios de copia de seguridad, entonces diría que puede comenzar con Updraft Plus, que es un complemento freemium.

Con este complemento, puede realizar una copia de seguridad y guardar una copia de su sitio web en el almacenamiento proporcionado por varios servicios diferentes. Incluye Google Drive, Amazon S3, Dropbox, Rackspace Cloud, FTP y SFTP y correo electrónico. También debe tener en cuenta que el complemento gratuito solo permite la copia de seguridad en una ubicación. Necesitará un complemento premium si desea utilizar el complemento para guardar su sitio web en varios lugares.

Este complemento, como la mayoría de los proveedores de copias de seguridad de WordPress, guarda todo, incluido su contenido, temas y configuraciones de complementos, y también puede ejecutar una copia de seguridad de la base de datos de WordPress separada de sus copias de seguridad normales.

Si desea utilizar un servicio de copia de seguridad premium de WordPress, le recomiendo que eche un vistazo a BackUp Buddy, VaultPress o BlogVault (he trabajado con ellos en el pasado y tienen un servicio increíble).

Mantenga disponible más de una copia de su sitio web y tenga siempre una en una unidad física que no dependa de una conexión a Internet. Las copias de seguridad son una buena idea incluso desde un punto de vista no relacionado con la seguridad. Cuando experimentas con temas y complementos, cuando actualizas temas, complementos o tu WordPress, siempre existe la posibilidad de que surja un problema de compatibilidad y rompa tu sitio web.

Y según mi experiencia con las copias de seguridad automáticas, debe seguir eliminando copias de las copias de seguridad de una manera coherente con la frecuencia con la que sigue agregando contenido nuevo y sigue haciendo copias de seguridad.

Cuando se trata de mi PC, siempre prefiero las soluciones de copia de seguridad que ofrecen copias de seguridad incrementales / diferenciales en lugar de las copias de seguridad completas, pero también observa que con las anteriores, la reconstitución para la restauración lleva más tiempo. Lo mismo es definitivamente aplicable a un sistema de copia de seguridad de WordPress. Aunque, a menos que su proveedor de respaldo cobre más con restricciones estrictas en los límites de almacenamiento de datos, no debe preocuparse por eso.

Conclusión

No puedo evitarlo, esta cita de la serie de Harry Potter parece muy apropiada.

"¡Vigilancia constante!" - Ojoloco-Moody

Moody es un cazador de magos oscuros en la serie, si te lo preguntabas.

Como ya he mencionado antes, no existe la seguridad de prueba completa en la web. Puede tomar numerosas medidas de seguridad y aún así tener su sitio web pirateado. Pero asegurarse de que su sitio web funcione con SSL, que sus páginas de inicio de sesión estén reforzadas, que sus contraseñas y nombres de usuario sean notablemente desconocidos, que su sitio web esté completamente actualizado y protegido contra amenazas conocidas y que tenga una copia de seguridad completa a diario, mejora enormemente las probabilidades a su favor. .

Si desea un WordPress libre de pirateo / explotación completo, seguir todas las medidas de seguridad antes mencionadas garantizará que su sitio web tenga una seguridad hermética. Pero incluso entonces, no puede protegerse contra ataques de día cero o un hacker inteligente empeñado en romper su sitio web, aunque este es un evento muy poco probable.

Piénsalo de esta manera. Si mi sitio web es pirateado, ¿cuántos negocios e ingresos perderé? ¿Pondré en riesgo la información de mi cliente? ¿Eso me hará responsable de las demandas? Cuando llegue al punto en el que vea que los costos de piratear su sitio web son razonablemente altos, le sugiero que use un servicio de alojamiento de WordPress administrado o un gorila web realmente grande en la forma de los servicios de seguridad de Sucuri.

Su sitio web no necesita necesariamente ser popular para convertirse en un objetivo. Y nunca se convertirá en un sitio web de alto tráfico, si continuamente es víctima de hacks y ataques.

Como he dicho anteriormente sobre el hosting. Si está razonablemente seguro de su capacidad para crear un sitio web que genere ingresos que pague los costos de los mejores servicios de alojamiento / seguridad, elija el mejor. Si puede pagar los mejores servicios de seguridad / alojamiento web, valdrá la pena a largo plazo, suponiendo que no sea un desarrollador web de profesión.

Si no puede permitirse el alojamiento web mejor administrado o la seguridad de primer nivel, implemente las medidas de seguridad mencionadas anteriormente. Lo más probable es que su sitio web sea seguro.

Si tiene información adicional sobre la seguridad de WordPress o tiene diferentes ideas sobre cómo proteger su sitio web de WordPress, me encantaría escuchar sus ideas en los comentarios a continuación. Salud