Consejos de protección para WordPress. 12 consejos para proteger tu sitio

WordPress es uno de los CMS más populares del mundo. Más del 18,9% de todos los sitios de Internet lo utilizan y el número de instalaciones ha superado los 76,5 millones. Desafortunadamente, tal popularidad tiene sus desventajas. Según el informe de Sucuri (website security & protection), WordPress es el CMS más hackeable del mundo. Sin embargo, si sigue las mejores prácticas en este asunto e implementa algunas técnicas de esta guía, se dará cuenta de que la protección de WordPress se puede fortalecer fácilmente con unos simples pasos.

Que necesitarás

Antes de comenzar, verifique lo siguiente:

• Acceso al panel de control de WordPress;
• Acceso a su cuenta de hosting (opcional).

Contenido

Paso 1. Mantener la versión actual de WordPress;
Paso 2. Uso de credenciales de inicio de sesión no estándar;
Paso 3. Habilitación de la autenticación en dos pasos;
Paso 4. Deshabilitar los informes de errores de PHP;
Paso 5. No use plantillas anuladas para WordPress;
Paso 6. Escanear WordPress en busca de malware;
Paso 7. Transferir su sitio web a un alojamiento más seguro;
Paso 8. Realice una copia de seguridad de sus datos con la mayor frecuencia posible;
Paso 9. Deshabilitar la opción de edición de archivos;
Paso 10. Eliminación de plantillas y complementos no utilizados;
Paso 11. Usar .htaccess para mejorar la seguridad de WordPress;
Paso 12. Cambiar los prefijos estándar de la base de datos de WordPress para evitar la inyección de SQL Conclusión

Paso 1. Mantener la versión actual de WordPress

Este será el primer y más importante paso para mejorar la seguridad de WordPress. Si necesita un sitio web limpio y sin malware, debe asegurarse de que la versión de su WordPress esté actualizada. Este consejo puede parecer simple, pero solo el 22% de todas las instalaciones de WordPress están en la última versión.

WordPress ha implementado la función de actualización automática en la versión 3.7, pero solo funciona para pequeñas actualizaciones de seguridad. Mientras que las actualizaciones de claves grandes deben instalarse manualmente.

En caso de que no sepa cómo actualizar WordPress, consulte esto.

Paso 2. Uso de credenciales de inicio de sesión no estándar

¿Usas "admin" como nombre de administrador en WordPress? Si la respuesta es "sí", entonces reduce seriamente la seguridad de WordPress y facilita la piratería en su panel de control. Se recomienda encarecidamente que cambie el nombre de usuario del administrador por otro (consulte este tutorial si no está seguro de cómo hacerlo) o cree una nueva cuenta de administrador con datos diferentes.

Sigue estos pasos si prefieres la segunda opción:

• Inicie sesión en el panel de control de WordPress;
• Busque la sección "Usuarios" y haga clic en el botón "Agregar nuevo";
• Crear un nuevo usuario y asignar derechos de administrador;
• Inicie sesión en WordPress con sus nuevos datos;
• Regrese a la sección Usuarios y elimine la cuenta de administrador predeterminada.

Una buena contraseña juega un papel clave en la seguridad de WordPress. Es mucho más difícil descifrar una contraseña que consta de números, letras mayúsculas y minúsculas y símbolos especiales. Herramientas como LastPass y 1Password pueden ayudarlo a crear y administrar contraseñas complejas. Además, si alguna vez necesita iniciar sesión en su panel de control de WordPress cuando se conecta a una red no segura (por ejemplo, cafeterías, bibliotecas públicas, etc.), no olvide usar una VPN segura que proteja su información de inicio de sesión.

Paso 3. Habilitación de la autenticación en dos pasos

La autenticación en dos pasos agrega una capa adicional de seguridad a su página de autorización. Una vez que se confirma el nombre de usuario, agrega otro paso que debe completar para autenticarse con éxito. Lo más probable es que ya esté usando esto para acceder a su correo electrónico, banco en línea y otras cuentas que contienen información confidencial. ¿Por qué no usarlo también en WordPress?

Aunque esto pueda parecer complicado, habilitar la autenticación en dos pasos en WordPress es muy fácil. Todo lo que necesita hacer es instalar una aplicación para la autenticación en dos pasos y configurarla para su WordPress. Puede encontrar información más detallada sobre cómo habilitar la autenticación en dos pasos en WordPress aquí.

Paso 4. Deshabilitar los informes de errores de PHP

Los informes de errores de PHP pueden ser bastante útiles si está desarrollando un sitio web y desea asegurarse de que todo funcione correctamente. Sin embargo, mostrar errores a todo el mundo es una grave omisión en la seguridad de WordPress.

Deberías arreglar esto lo antes posible. No se preocupe, no tiene que ser programador para deshabilitar los informes de errores de PHP en WordPress. La mayoría de los proveedores de servicios de alojamiento ofrecen esta opción en el panel de control. Si no, simplemente agregue las siguientes líneas a su archivo wp-config.php. Puede usar el cliente FTP o el Administrador de archivos para editar el archivo wp-config.php.

informe_error(0);
@ini_set('mostrar_errores', 0);

Paso 5. No uses plantillas anuladas para WordPress

Recuerda, “el único queso gratis está en la ratonera”. Lo mismo se aplica a las plantillas y complementos anulados.

Hay miles de complementos y plantillas anulados en Internet. Los usuarios pueden descargarlos de forma gratuita, utilizando diferentes archivos compartidos o archivos torrent. No saben que la mayoría de ellos están infectados con malware o enlaces a métodos negros de optimización de motores de búsqueda.

Deje de usar complementos y plantillas anulados. Esto no solo es poco ético, sino que también daña la seguridad de WordPress. Eventualmente, pagará más a un desarrollador para limpiar su sitio web.

Paso 6. Escanear WordPress en busca de malware

Los hackers a menudo usan agujeros en plantillas o complementos para infectar WordPress. Por lo tanto, es importante revisar su blog con más frecuencia. Hay muchos complementos bien escritos disponibles para este propósito. WordFence se destaca entre la multitud. Ofrece una guía de uso y la capacidad de probar automáticamente, junto con un montón de otras configuraciones diferentes. Incluso puede recuperar archivos modificados/infectados con unos pocos clics. Está disponible de forma gratuita. Estos hechos deberían ser suficientes para que lo instales ahora mismo.

Otros complementos populares para mejorar la seguridad de WordPress:

• Seguridad a prueba de balas . A diferencia de WordFence, del que hablamos anteriormente, BulletProof no analiza sus archivos, pero le brinda un firewall, protección de base de datos, etc. Una característica distintiva es la capacidad de configurar e instalar el complemento con unos pocos clics.
• Seguridad Sucurí . Este complemento lo protege de los ataques DDOS, tiene una lista negra, escanea su sitio web en busca de malware y controla su firewall. Si encuentra algo, se le notificará por correo electrónico. Google, Norton, McAfee: este complemento incluye todas las listas negras de estos programas.

Paso 7. Transferir tu sitio web a un hosting más seguro

Este consejo puede parecer extraño, pero las estadísticas muestran que más del 40% de los sitios web de WordPress fueron pirateados debido a agujeros de seguridad en sus cuentas de alojamiento. Estas estadísticas deberían alentarlo a mover WordPress a un alojamiento más seguro. Algunos datos clave a tener en cuenta al elegir un nuevo hosting:

• Si se trata de un alojamiento compartido, asegúrese de que su cuenta esté aislada de otros usuarios y que no haya riesgo de infección de otros sitios web en el servidor.
• El alojamiento tiene una función de copia de seguridad automática;
• El servidor tiene un firewall de terceros y una herramienta de escaneo.

Paso 8. Realice una copia de seguridad de sus datos con la mayor frecuencia posible

Incluso los sitios web más grandes son pirateados todos los días, a pesar de que sus propietarios gastan miles de dólares para mejorar la seguridad de WordPress.

Incluso si sigue las mejores prácticas en esta área y ha aplicado los consejos de este artículo, aún necesita hacer copias de seguridad periódicas de su sitio web.

Hay varias formas de crear una copia de seguridad, por ejemplo, puede descargar manualmente los archivos del sitio y exportar la base de datos, o utilizar las herramientas que ofrece su empresa de alojamiento. Otra forma es usar complementos de WordPress. Los más populares de ellos son:

• VaultPress;
• Copia de seguridad de WordPress;
• BackupGuard.

Incluso puede automatizar el proceso de creación y almacenamiento de copias de seguridad de WordPress en Dropbox.

Paso 9. Deshabilitar la opción de edición de archivos

Como probablemente sepa, WordPress tiene un editor incorporado que le permite editar archivos PHP. Esta función es tan útil como probablemente dañina. Si los piratas informáticos obtienen acceso a su panel de control, lo primero que notarán es el Editor de archivos. Algunos usuarios de WordPress prefieren desactivar esta función por completo. Se puede deshabilitar editando el archivo wp-config.php agregando el siguiente código:

define ('DESHACER_ARCHIVO_EDITAR', verdadero);

Eso es todo lo que necesitas para deshabilitar esta función en WordPress.

IMPORTANTE. En caso de que desee habilitar esta función nuevamente, use el cliente FTP o el Administrador de archivos para su alojamiento y elimine este código del archivo wp-config.php.

Paso 10. Eliminación de plantillas y complementos no utilizados

Limpie su sitio web en WordPress y elimine todas las plantillas y complementos no utilizados. Los piratas informáticos suelen utilizar plantillas y complementos deshabilitados y desactualizados (incluso complementos oficiales de WordPress) para acceder a su panel de control o para descargar contenido malicioso en su servidor. Al eliminar complementos y plantillas que dejó de usar (y tal vez olvidó actualizar) hace mucho tiempo, reduce los riesgos y hace que su sitio web de WordPress sea más seguro.

Paso 11. Usar .htaccess para mejorar la seguridad de WordPress

.htaccess es un archivo necesario para el correcto funcionamiento de los enlaces de WordPress. Sin las entradas correctas en el archivo .htaccess, obtendrá muchos 404.

No muchos usuarios saben que .htaccess se puede usar para mejorar la protección de WordPress. Por ejemplo, puede bloquear el acceso o deshabilitar la ejecución de PHP en carpetas específicas.

IMPORTANTE. Antes de realizar cambios en el archivo, haga una copia de seguridad del archivo .htaccess anterior. Para hacer esto, puede usar el cliente FTP o el Administrador de archivos.

Deshabilitar el acceso a la parte administrativa de WordPress

El siguiente código le permitirá acceder a la parte administrativa de WordPress solo desde ciertas direcciones IP.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Control de acceso de administrador de WordPress"
Tipo de autenticación básico

orden denegar, permitir.
Negar todo
permitir desde xx.xx.xx.xx.xxx
permitir desde xx.xx.xx.xx.xxx

Tenga en cuenta que “xx.xx.xx.xx.xxx” es su dirección IP. Puede utilizar este sitio web para comprobar su dirección IP actual. Si usa más de una conexión para administrar el sitio en WordPress, asegúrese de haber escrito otras direcciones IP (agregue tantas direcciones como necesite). No se recomienda usar este código si tiene una dirección IP dinámica.

Deshabilitar la ejecución de PHP en carpetas específicas

A los piratas informáticos les gusta cargar scripts de puerta trasera en la carpeta de descarga de WordPress. De forma predeterminada, esta carpeta solo se utiliza para almacenar archivos multimedia. Por lo tanto, no debe contener ningún archivo PHP. Puede deshabilitar fácilmente la ejecución de PHP creando un nuevo archivo .htaccess en /wp-content/uploads/ con estas reglas:

Negar todo

Protección del archivo wp-config.php

El archivo wp-config.php contiene el kernel de configuración de WordPress y los detalles de la base de datos MySQL. Por lo tanto, es el archivo más importante de WordPress. Por lo tanto, a menudo se convierte en el objetivo principal de los piratas informáticos de WordPress. Sin embargo, puede asegurarlo fácilmente usando las siguientes reglas de .htaccess:

orden permitir, negar.
Negar todo

Paso 12. Cambiar los prefijos estándar de la base de datos de WordPress para evitar la inyección de SQL

La base de datos de WordPress contiene y almacena toda la información clave necesaria para el funcionamiento de su sitio web. Como resultado, se convierte en otro objetivo para los piratas informáticos y los spammers que ejecutan código automatizado para la implementación de código SQL. Durante la instalación de WordPress, muchas personas no se molestan en cambiar el prefijo estándar de la base de datos wp_. Según WordFence, 1 de cada 5 hacks de WordPress está conectado con la implementación de código SQL. Dado que wp_ es uno de los valores estándar, los piratas informáticos comienzan con él primero. En esta etapa, consideraré brevemente proteger un sitio web en WordPress de tales ataques.

Cambiar la tabla de prefijos para un sitio de WordPress existente

IMPORTANTE. ¡Seguridad primero! Antes de comenzar, asegúrese de tener una copia de seguridad de su base de datos MySQL.

Parte uno. Cambiando el prefijo en wp-config.php

Encuentre su archivo wp-config.php usando el cliente FTP o el Administrador de archivos y busque la línea con $table_prefix.

Puede agregar números, letras o guiones bajos adicionales. Después de eso, guarde sus cambios y continúe con el siguiente paso. En esta guía, usaré wp_1secure1_ como el prefijo de la nueva tabla.

Mientras está en su archivo wp-config.php, busque el nombre de su base de datos para saber cuál cambiar. Mire en la sección define('DB_NAME'.

La segunda parte. Actualización de todas las tablas de la base de datos

Ahora necesita actualizar todos los registros en su base de datos. Esto se puede hacer usando phpMyAdmin.

Encuentre la base de datos definida en la primera parte e inicie sesión en ella.

Por defecto, la instalación de WordPress tiene 12 tablas y cada una de ellas debe actualizarse. Sin embargo, esto se puede hacer más rápido usando la partición SQL en phpMyAdmin.

Cambiar cada tabla manualmente llevará una gran cantidad de tiempo, así que use consultas SQL para acelerar el proceso. La siguiente sintaxis le permitirá actualizar todas las tablas en su base de datos:

RENOMBRAR la tabla `wp_commentmeta` A `wp_1secure1_commentmeta`;
RENOMBRAR la tabla `wp_comments` A `wp_1secure1_comments`;
RENOMBRAR la tabla `wp_links` A `wp_1secure1_links`;
RENOMBRAR la tabla `wp_options` A `wp_1secure1_options`;
RENOMBRAR la tabla `wp_postmeta` A `wp_1secure1_postmeta`;
RENOMBRAR la tabla `wp_posts` A `wp_1secure1_posts`;
RENOMBRAR la tabla `wp_terms` A `wp_1secure1_terms`;
RENOMBRAR la tabla `wp_termmeta` A `wp_1secure1_termmeta`;
RENOMBRAR la tabla `wp_term_relationships` A `wp_1secure1_term_relationships`;
RENOMBRAR la tabla `wp_term_taxonomy` A `wp_1secure1_term_taxonomy`;
RENOMBRAR la tabla `wp_usermeta` A `wp_1secure1_usermeta`;
RENOMBRAR la tabla `wp_users` A `wp_1secure1_users`;

Algunas plantillas o complementos de WordPress pueden agregar tablas adicionales a la base de datos. Si tiene más de 12 tablas en su base de datos MySQL, agregue las tablas restantes manualmente a su consulta SQL y ejecútela.

Parte tres. Comprobación de opciones y tablas de metadatos personalizadas

Dependiendo de la cantidad de complementos instalados, algunos valores en su base de datos deben actualizarse manualmente. Puede hacerlo ejecutando consultas SQL separadas para las opciones y las tablas de metadatos.

Para la tabla de opciones, utilice:

SELECCIONE * DESDE `wp_1secure1_options` DONDE `option_name` COMO `%wp_%`

Para la tabla de metadatos:

SELECCIONE * DESDE `wp_1secure1_usermeta` DONDE `meta_key` COMO `%wp_%`

Cuando reciba los resultados de la consulta, simplemente actualice todos los valores de wp_ a su prefijo recién configurado. En la tabla de metadatos del usuario, debe editar el campo meta_key, mientras que para la tabla de opciones, debe cambiar el valor de option_name.

Asegurar nuevas instalaciones de WordPress

Si planea instalar nuevos sitios web de WordPress, no tiene que volver a hacerlo. Puede cambiar fácilmente los prefijos de las tablas de WordPress durante el proceso de instalación.

¡Felicidades! Ha mejorado con éxito la seguridad de su base de datos.

Conclusión

Aunque WordPress es el CMS más pirateable del mundo, no es tan difícil mejorar su protección. En esta guía, le he dado 12 consejos a seguir para mantener WordPress seguro.

Biografía del autor : Roy es un entusiasta de la tecnología, un amoroso padre de gemelos, un programa en una compañía de software personalizado, editor en jefe de TheHomeDweller.com, lector codicioso y jardinero.