La lista de verificación de seguridad: 4 cosas a considerar antes de lanzar su sitio de WordPress

Ya sea que cree su propio sitio web utilizando nuestros mejores temas profesionales de WordPress o que alguien más lo haga por usted, la seguridad de su sitio siempre debe permanecer en la parte superior de su lista de prioridades.

Pero, como muchos propietarios de sitios saben, hay más para mantener un sitio en funcionamiento que agregar contenido, procesar pedidos y ejecutar el plan de marketing.

Las infracciones de seguridad pueden variar desde molestas, como mensajes de correo electrónico SPAM a través de formularios de contacto, hasta costosas, como en los casos en que su sitio está fuera de línea y no puede obtener ingresos.

En el extremo más extremo del espectro, una brecha de seguridad puede incluso conducir a resultados peligrosos, exponer información y comprometer aún más la seguridad en línea de sus visitantes.

Afortunadamente, mantener un sitio web seguro y protegido no tiene por qué ser costoso ni llevar mucho tiempo. Decenas de miles de otros propietarios de sitios web hacen de la seguridad de su sitio la máxima prioridad y, en el mercado libre, esto significa una gran cantidad de complementos y servicios para elegir.

Se combinan para mantener su sitio en línea y mantener la confianza de los visitantes, sin importar qué malos actores puedan enviar en su dirección. Este artículo describe especialmente la lista de verificación de seguridad antes de lanzar un sitio web.

Aquí hay cuatro consideraciones importantes que debe hacer antes de poner su sitio en vivo. También se aplican incluso si ya está en línea, ya que son fáciles de implementar en sitios existentes y, cuando se trata de la seguridad del sitio, ¡siempre es mejor tarde que nunca!

La lista de verificación de seguridad: 4 cosas a considerar antes de crear un sitio web de WordPress

1. Comience con un complemento de seguridad todo en uno

Como se mencionó en la introducción, en un momento en que hay un complemento de WordPress para todo, la seguridad del sitio nunca se perdería.

Según Security Week, 18,5 millones de sitios web están infectados con malware en un momento dado. La misma fuente continúa diciendo que el sitio web promedio es atacado 44 veces al día.

Eso fue en 2018, y con un promedio de medio millón de sitios nuevos que se lanzan diariamente, los números son imposibles de ignorar.

Los nuevos propietarios de sitios pueden cometer el error de suponer que su sitio no es de interés para un posible atacante. Sin embargo, vale la pena considerar que nadie quiere administrar un sitio que nadie visita.

Ya sea que agregue su URL a los materiales impresos, optimice su contenido para los motores de búsqueda o grite sobre el lanzamiento en las redes sociales, el objetivo suele ser atraer la atención de su público objetivo. Desafortunadamente, al hacerlo, es inevitable que su sitio también esté expuesto a los bots.

En su mayor parte, las infracciones de seguridad del sitio web rara vez son manuales. Aquellos dispuestos a invertir tiempo y esfuerzo para ingresar al backend de un sitio cuando normalmente no deberían identificar objetivos específicos.

En cambio, la mayor parte de las infracciones, especialmente en sitios más pequeños y nuevos, provienen de bots y scripts. Utilizan los mismos motores de búsqueda que los usuarios y, a menudo, ejecutan los mismos patrones de ataque relativamente básicos con los que han tenido éxito en el pasado.

Lo bueno de los patrones es que son fáciles de identificar cuando alguien sabe lo que está buscando. Los desarrolladores detrás de complementos de seguridad populares son las personas perfectas para el trabajo y analizan estos intentos para garantizar una protección sólida.

Wordfence, iThemes Security y Sucuri son opciones inmensamente populares, y cada una cuenta con opciones gratuitas y de pago.

Por supuesto, la actualización paga a menudo vale la pena, pero si tiene un presupuesto limitado o quiere esperar a ver cómo funciona un sitio antes de invertir más, las versiones gratuitas son infinitamente mejores que nada.

2. Asegúrese de haber instalado el cifrado SSL en el sitio

Una de las cosas más importantes de la lista de verificación de seguridad es el cifrado SSL. Algunos propietarios de sitios pueden sentir que instalar el cifrado SSL es un desafío técnico. Sin embargo, los servidores web ahora facilitan al máximo la configuración de esta funcionalidad en un sitio web de WordPress.

Algunos hosts lo hacen posible con un solo clic y aseguran que su certificado sea válido a perpetuidad. En el peor de los casos, solo es necesario seguir unas pocas instrucciones y copiar y pegar un par de claves de seguridad. Lo más importante de todo es que vale la pena hacerlo.

Como Kaspersky cubre con mayor detalle, un certificado SSL garantiza que las conexiones entre los sitios web y los visitantes estén seguras.

Antes solo se consideraba esencial para aquellos que procesaban transacciones financieras en sus sitios web, SSL ahora es prácticamente un estándar por derecho propio y da como resultado la protección HTTPS en todas las comunicaciones.

De hecho, si un sitio afirma en su código tener un certificado pero parece haber errores en su legitimidad, los navegadores como Google Chrome mostrarán una advertencia de página completa, aconsejándole a un visitante potencial que se dé la vuelta.

Por supuesto, muchos usuarios también utilizarán una VPN para proteger sus comunicaciones con un sitio, pero eso no es una excusa para renunciar a la protección HTTPS.

Si bien existe una clara diferencia entre HTTPS y una VPN, el propietario del sitio debe implementar el primero, mientras que el segundo es una capa de protección adicional por parte del visitante.

La legislación en línea está evolucionando rápidamente y la privacidad en línea ha sido un tema candente durante varios años. Al ser propietario de un sitio web, una persona tiene la responsabilidad de hacer todo lo posible para mantener segura la información del usuario.

Esto no tiene que ser costoso o técnicamente intensivo, pero un propietario responsable del sitio debe, al menos, asegurarse de haber tomado precauciones razonables para proteger los datos.

La integración de SSL es un paso fundamental para hacerlo. Google también considera esta precaución como un factor de clasificación, y agregar uno puede resultar en un ligero impulso en el rendimiento de búsqueda.

3. Proteja la página de inicio de sesión

A menos que haya fallas más graves en la forma en que se diseñó un sitio web, o que se esté realizando un ataque más enfocado, como un DDOS (Distributed Denial-of-Service), la mayoría de los posibles atacantes requieren acceso al área de administración de back-end de un WordPress. instalación para hacer daño severo.

Una molestia menor de WordPress es que la página de inicio de sesión predeterminada suele ser la misma en todos los sitios, con '/wp-admin/' agregado al dominio principal.

Esos bots y scripts que mencionamos anteriormente están condicionados para intentar acceder a esta página como estándar. Una solución rápida para reducir su potencia es simplemente moverlo.

Tiene la ventaja de poder marcarlo, anotarlo o cambiarlo con la frecuencia que prefiera. Si se cambia a una ubicación aleatoria, un ataque automático tendría tanta dificultad para encontrar la página como para averiguar la contraseña.

Muchos de los complementos de seguridad mencionados anteriormente permiten a los usuarios cambiar su página de inicio de sesión predeterminada con unos pocos clics. También es posible codificar manualmente el cambio usando CSS y complementos independientes como LoginPress.

Al dar este paso, también tiene sentido verificar dos veces sus credenciales. Antes de que un sitio se active, es tentador hacer que el procedimiento de inicio de sesión sea lo más fluido y sencillo posible.

Sin embargo, cuando un sitio se abre al mundo, es igualmente atractivo para hacerles la vida más difícil a los posibles atacantes.

Asegúrese de utilizar una contraseña segura para cada cuenta con privilegios de inicio de sesión y, potencialmente, guárdelas con un administrador de contraseñas como LastPass o RoboForm . Trate de evitar nombres de inicio de sesión obvios también: 'administrador', 'editor' y el nombre del sitio deben evitarse.

Recuerde, el nombre adjunto a las publicaciones no tiene que ser el mismo que el nombre utilizado para iniciar sesión, por lo que no debe preocuparse por hacerlo públicamente visible.

4. Organice copias de seguridad periódicas

Si asegurar un sitio web de WordPress fuera un trabajo rápido, fácil e infalible, nadie se molestaría en llevar a cabo las decenas de millones de ataques automatizados que se producen cada día.

Pero, desafortunadamente, a veces hay brechas de seguridad, mientras que esos scripts tienen suerte en otros. Por lo tanto, tiene sentido mantener copias de seguridad periódicas de su sitio y, lo que es más importante, mantenerlas en otro lugar que no sea el servidor.

Las copias de seguridad también combaten uno de los elementos más a menudo pasados ​​por alto en la seguridad de un sitio web: el error del usuario. Incluso los propietarios de sitios web más experimentados se equivocan, y un simple clic erróneo puede comprometer fácilmente las sólidas defensas.

Hacer un hábito de copias de seguridad periódicas también minimiza el daño en casos más allá de la seguridad. Los sitios que se caen y se vuelven irrecuperables son raros y de poca importancia, pero cuando un cambio de código específico puede hacer caer un sitio web grande, a menudo puede ser más fácil revertir los cambios que tomarse el tiempo para identificar el problema.

Esto puede significar perder algunos días de recopilación y publicación de datos, pero a menudo es un pequeño precio a pagar a cambio de un sitio web sin compromisos.

Como era de esperar, los complementos suelen ser la mejor solución aquí una vez más. La copia de seguridad Updraft Plus es sin duda la más popular.

Si bien definitivamente hay una curva de aprendizaje para aprovecharlo al máximo, el complemento está a la altura de sus contrapartes de seguridad al ofrecer versiones gratuitas y de pago, y la primera hace un excelente trabajo en los sitios nuevos.

Además, se puede configurar para realizar copias de seguridad de sitios completos y luego enviarlos por correo electrónico o almacenarlos en una de varias cuentas de almacenamiento en la nube.

En general, un excelente sitio web de WordPress no solo llama la atención e incorpora contenido sorprendente, sino que pone la seguridad de ellos mismos y de sus visitantes en la parte superior de la lista de prioridades.

El artículo trata sobre la lista de verificación de seguridad antes de lanzar su nuevo sitio web. Con tantos complementos que son tan fáciles de usar y configurar como los nuestros, incluso los principiantes virtuales de WordPress pueden crear un sitio seguro y listo para lanzar.