Consejos para proteger su sitio web de WordPress contra vulnerabilidades

Puede terminar en este artículo buscando ¿Cómo proteger el sitio web de WordPress contra exploits? o

¿Cómo prevenir el sitio de WordPress contra hacks y malware?

O los consejos aseguran su sitio web de WordPress contra todos los exploits.

Por supuesto, este es el artículo correcto y habla sobre todo tipo de técnicas, herramientas y complementos para ayudarlo a proteger su sitio web de WordPress.

Según W3Techs, WordPress impulsa más del 58% de todos los sitios web que usan CMS, lo que representa el 24,9% de todos los sitios web del mundo.

Entonces, con el aumento en el uso de WordPress y con la popularidad cada vez mayor de lo fácil que es configurarlo y lo fácil que es usar, ha habido un aumento en el uso de más y más temas de WordPress, así como complementos.

Pero como es fácil, también hay un jinete que lo acompaña. Se vuelve bastante fácil para los piratas informáticos piratearlo si se usa en todas sus configuraciones predeterminadas.

De ahí la necesidad de comprender la seguridad y proteger su sitio web con WordPress porque a nadie le gusta que pirateen su sitio web.

Es obvio cuando buscas en Google esta palabra clave: "prevenir el hackeo de WordPress" y obtienes 8 millones o más de resultados que indican cuán desesperadamente la gente, como los desarrolladores y los usuarios novatos, quieren conocer técnicas y herramientas de prevención de hackeo para su sitio web de WordPress.

Aquí hay una lista de consejos y herramientas, así como técnicas que nosotros, como desarrolladores de temas de WordPress, podríamos pensar.

Por supuesto, este artículo puede conducir a una discusión y se pueden hacer más aportes y más adiciones a medida que pasa el tiempo.

Comenzaremos con las técnicas más simples y luego pasaremos a las más complejas:

Consejos más simples para la seguridad:

1. Alojamiento : Su alojamiento juega un papel crucial e importante en la seguridad de su sitio web de WordPress. Muchas veces es el host malo el que te piratea.

Si tiene un excelente alojamiento, muchas cosas se pueden resolver rápidamente y la mayor parte de su frustración se puede reducir. Por ejemplo: Las copias de seguridad son fáciles.

Los ataques de fuerza bruta y el spam y la inyección de SQL a menudo se controlan y evitan. De ahí que hablaremos de los hosts más recomendados y sus herramientas.

una. Alojamiento compartido : la mayoría de las personas solo quieren iniciar su sitio web y, por lo tanto, no quieren gastar mucho en su primera visita y, por lo tanto, seleccionan el alojamiento compartido como su plataforma.

Hay miles de empresas de hospedaje que brindan hospedaje compartido y posiblemente no podamos agregarlas todas aquí, pero incluimos solo 4 hospedajes compartidos que hemos probado personalmente y podemos recomendar.

Sin embargo, podría haber un servicio incluso mejor o similar. Háganos saber:

I. Bluehost : Bluehost ha sido referido constantemente por WordPress.org en su página de alojamiento: https://wordpress.org/hosting/ Es un buen punto de partida para el alojamiento compartido en caso de que necesite un sitio web de WordPress, ya que tiene alojamiento premium de WordPress para alojamiento compartido futuro y simple con instalación de 1 clic.

Dado que es un alojamiento compartido que le cuesta de 3 a 4 USD por mes, no puede quejarse mucho de la falta de funciones o servicios.

Sin embargo, tiene una herramienta automatizada para la copia de seguridad conocida como asistente de copia de seguridad que viene junto con cpanel que puede usar. Por lo tanto, las copias de seguridad pueden garantizar que esté seguro y, si alguna vez piratean su sitio web, puede restaurar la copia de seguridad.

ii. Una pequeña naranja : estamos alojados personalmente en este alojamiento y la mayoría de las características presentes en Bluehost están presentes aquí. Pero sobre todo lo que más nos gusta y podemos decir que es incluso mejor que el anfitrión anterior es el soporte.

Los tickets de soporte se responden dentro de 5 a 6 horas y siempre podemos chatear con alguien en el chat en vivo dentro de unos minutos.

El soporte es lo que hace que este host se destaque del resto porque hay muchas respuestas y ayuda que pueden proporcionar de forma gratuita. Todo lo que necesitas hacer es pedírselos. Ejemplo: instalación de caché del servidor NGINX, copias de seguridad y cómo usarlas, etc.

iii. SiteGround : otro alojamiento compartido de WordPress popular que también proporciona buenas herramientas para que pueda hacer una copia de seguridad de su sitio web. Resto cpanel y características estándar están presentes. El chat también es proactivo y los tickets de soporte se responden con frecuencia.

IV. Godaddy : Godaddy es el registrador de dominios más grande y, por lo tanto, muchos también lo prefieren para su alojamiento. Overtime Godaddy también ha realizado varios cambios para convertirlo en un alojamiento confiable para WordPress.

También ha comenzado a brindar alojamiento estándar de Cpanel WordPress que permite realizar copias de seguridad y otras herramientas fáciles de usar.

B. Alojamiento administrado de WordPress : para aquellos que tienen un pequeño presupuesto y quieren que el alojamiento administre su seguridad por ellos.

Estas 2 empresas de alojamiento de las muchas que existen nos parecieron confiables, más baratas que el resto y, a menudo, lo ayudan a proteger su sitio web y le informan qué complementos son buenos y cuáles no.

También tienen copias de seguridad nocturnas, lo que significa que está tranquilo con ellos. Entonces, cada vez que ocurre un truco, lo cual es raro ya que lo administran, pueden restaurar la copia de seguridad rápidamente:

I. WP Engine : WP Engine le permite conocer la lista de complementos que recomiendan para la mayoría. Por lo tanto, los complementos vulnerables se mantienen a raya.

ii. FlyWheel : Flywheel le dice que no instale ningún complemento de seguridad, ya que ellos mismos manejan la seguridad, lo que significa que no necesita hacer nada una vez que instala con ellos y ellos se encargan del resto.

2. Copias de seguridad: las copias de seguridad pueden realizarse mediante el administrador de archivos cpanel oa través de ftp (para archivos) y la descarga de la base de datos mediante phpMyAdmin mediante cpanel o el acceso a la base de datos del host.

Hay cientos de tutoriales sobre cómo puede hacer una copia de seguridad de su sitio web de WordPress manualmente. Sin embargo, debería considerar leer los Procedimientos de copia de seguridad del Codex, ya que son seguros y se han redactado de forma agradable: http://codex.wordpress.org/WordPress_Backups.

Hay varios complementos también. Hablaremos de ellos en breve, ya que la mayoría de los que mencionamos aquí funcionan bien y tienen buenas críticas de otros:

una. Copia de seguridadWordPress
B. BackUpBuddy (versión paga de este complemento también presente)
C. VaultPress
D. Copia de seguridad y restauración de Dropbox
mi. Copia de seguridad y restauración de Amazon S3

3. Actualice la versión de WordPress : la mayoría de las veces, debido al uso de una versión anterior de WordPress, su sitio corre el riesgo de ser pirateado. WordPress reconoce muchas fallas y parámetros de seguridad en sus versiones anteriores y, según lo informado por otros colaboradores, se actualizan de vez en cuando.

Por lo tanto, usar la última versión de WordPress debería reducir el riesgo de ser pirateado o adjunto por malware.

4. Actualización de complementos y temas de WordPress : generalmente, de la misma manera, los autores de temas y complementos lanzan actualizaciones y funciones. La mayoría de las veces son actualizaciones de características.

Pero de vez en cuando, estos autores también reconocen fallas de seguridad y, por lo tanto, es una buena práctica seguir usando los complementos y temas actualizados también.

5. Cambie el nombre de usuario y la contraseña predeterminados: el nombre de usuario predeterminado y la contraseña predeterminada se usan como una serie simple de números o mantener el administrador está bien siempre que esté en un servidor local o en un sitio de prueba.

Pero para los sitios web comerciales, es importante que cambie el nombre de usuario y la contraseña predeterminados.

Ahora, con las últimas versiones de WordPress, es posible elegir un nombre de usuario seguro y genera una contraseña segura, pero para los usuarios con versiones anteriores de WordPress, puede ir a su perfil para cambiar su contraseña.

Sin embargo, para cambiar el nombre de usuario, use phpMyAdmin en caso de que se sienta cómodo cambiándolo desde allí o use cualquiera de los complementos a continuación:
una. Renombrador de administrador extendido
B. Cambiador de nombre de usuario

6. Autenticación de 2 pasos para ataques de fuerza bruta : la autenticación de 2 pasos es esencial en caso de que su sitio reciba muchos ataques de fuerza bruta y tenga un alto tráfico o información confidencial.

La autenticación de 2 pasos asegura el área de inicio de sesión de su sitio web de WordPress y lo hace muy complejo para los ataques de fuerza bruta. Los complementos que se pueden usar para la autenticación de 2 pasos son:
una. Clave
B. Dúo
C. autista
D. Autenticador de Google
mi. rublón

Estos simples pasos deberían hacer que un usuario se sienta tranquilo en términos de al menos tener copias de seguridad oportunas y al menos presentar su sitio web con la mínima seguridad.

Los próximos pasos que vamos a discutir son pasos más complejos para asegurar aún más su sitio web de WordPress.

Pasos complejos:

1. Pasos enumerados en Fortalecimiento de WordPress por Codex : http://codex.wordpress.org/Hardening_WordPress
La mayoría de estos pasos son para desarrolladores o para personas que han estado usando WordPress durante bastante tiempo y entienden cómo funciona wp-config.

Ha utilizado el administrador de archivos o ftp y puede implementar cambios en htaccess, wp-config, etc.

Estos pasos seguramente actúan como un punto de partida para asegurar su sitio web. Sin embargo, algunos de los pocos complementos de seguridad que discutiremos a continuación colocarán una cobertura neta de seguridad en su sitio web de WordPress y, por lo tanto, también debe verificar los siguientes:

2. Complementos que ayudarán en las detecciones de malware y cambio de detección de archivos :

una. Sucuri Site Scan : Sucuri Site Scan tiene bastantes pestañas. En la primera pestaña hay configuraciones generales sobre cuándo recibir notificaciones de alertas como inicio de sesión, ataques de fuerza bruta, registro de nuevos usuarios, alertas por intentos fallidos de inicio de sesión, instalación de complementos, etc.

Entonces, si tiene muchos usuarios en su sitio web y muchos administradores o editores que podrían instalar el complemento, estas características son útiles y esenciales.

El segundo es el escaneo de malware que le informa sobre cualquier tipo de malware o código malicioso presente en cualquier complemento o directorio de temas.

También comprueba si hay archivos de error, archivos modificados, si los hay. El escaneo debe reducirse si el tráfico de su sitio es bajo y está alojado en un alojamiento compartido, ya que el escaneo también ocupa una gran cantidad de RAM de alojamiento.

La tercera parte es el fortalecimiento de la seguridad, como eliminar la versión de WordPress (ya que las versiones inferiores son más propensas a piratería, los piratas informáticos verifican la versión y saben en qué versión qué tipo de vulnerabilidades de seguridad están presentes).

Por lo tanto, la eliminación de la versión de WordPress, el directorio de carga donde se almacenan los medios debe protegerse y fortalecerse, restringiendo el acceso a wp-content, readme.html para fortalecerse, la cuenta de administrador predeterminada para eliminarse y cambiarse, el prefijo de la base de datos predeterminado para cambiarse Protección de Sucuri Firewall .

No hemos probado esto, pero aparece usando Cloudproxy Firewall, que afirma que debería ayudarlo a proteger su sitio web contra DDOS, fuerza bruta e inyecciones de SQL. Si ha utilizado esta función, háganoslo saber, ya que no tenemos pruebas de que este firewall realmente ayude.

B. Antivirus : Otro complemento que nos ha resultado útil es Antivirus. Detecta archivos de tema de WordPress y archivos de base de datos para seguridad y explotación.

La única desventaja de este complemento de seguridad es que usará wp-cron y si configura un escaneo diario y en caso de que su alojamiento compartido no sea tan poderoso y su sitio web sea más grande en tamaño.

En términos de páginas, publicaciones y base de datos, este complemento podría consumir una gran cantidad de recursos a medida que escanea los archivos y las tablas de la base de datos.

C. Anti-Malware and Brute Force Security de ELI : Anti-malware and Brute Force Security, como su nombre indica, hace un gran trabajo en este sentido.

En caso de que se registre para el complemento en gotmls.net, obtendrá todas las actualizaciones de las amenazas conocidas. También escanea htaccess en busca de scripts, verifica las vulnerabilidades de timethumb y le advierte, verifica los scripts de puerta trasera y le pide que no lo use, y verifica su inicio de sesión en busca de vulnerabilidades.

Entonces, de esta manera, este complemento hace la tarea de antimalware. También comprueba todos los archivos originales de WordPress. Puede usarlo y verificar si hay algún problema en su sitio web existente y corregirlo.

D. Comprobador de autenticidad de temas : Bueno, en la mayoría de los casos, tratamos de escanear los complementos y la seguridad general del tablero de WordPress, como el inicio de sesión, los archivos de WordPress, etc.

Pero los temas de WordPress y su seguridad también son importantes porque puede haber secuencias de comandos innecesarias o códigos maliciosos ofuscados que pueden piratearse fácilmente.

Por lo tanto, este complemento sirve como una buena herramienta para escanear y verificar su tema y, una vez que sepa qué archivos no son deseados o qué código es problemático, puede remitirlo al autor del tema original para eliminarlo o cambiar el código.

Para prácticas más seguras o si hay demasiadas vulnerabilidades, utilice un tema más seguro. Para la mayoría de los casos, para las comprobaciones de temas, funciona mejor que Antivirus.

3. Complementos de seguridad que protegerán su sitio web de WordPress

una. All in One WP Security and Firewall : este se ocupa de lo siguiente, que resume la mayor parte de la seguridad que puede tomar en su sitio web:
I. Seguridad de inicio de sesión de usuario
ii. Seguridad de la cuenta de usuario
iii. Seguridad de registro de usuario
IV. Seguridad de archivos del sistema
v. Configuración del cortafuegos
vi. Función de lista negra
vii. Seguridad de la base de datos
viii. copias de seguridad
ix. Cortafuegos y fuerza bruta

B. Seguridad de WordFence

C. Mejor seguridad de WP (ahora iThemes Security)

D. Seguridad a prueba de balas

4. Otros se mantienen fuera de esta lista pero pueden ser útiles :

una. Acunetix WP Security : recientemente han surgido muchas críticas negativas para este complemento en WordPress.org, por lo que no podemos recomendarlo.

B. 6Scan Security : muchos clientes se han quejado de que el sitio se queda en blanco después de la instalación de este complemento y, por lo tanto, no podemos recomendarlo.

C. Escáner de exploits

D. Escáner de malware web Quttera