Formas de proteger su blog de WordPress

WordPress tiene la reputación de no ser seguro. La mayoría de los propietarios de sitios web creen que la naturaleza de código abierto de la plataforma la hace vulnerable a todos los ataques y violaciones de seguridad que existen. Sin embargo, eso está lejos de ser el caso. La mayoría de las brechas de seguridad de WordPress provienen de errores humanos. Por lo tanto, puede proteger cualquier sitio web de WordPress si toma las mismas precauciones que tomaría con cualquier plataforma. Si bien ninguna plataforma es perfecta, puede proteger su blog de WordPress si sigue algunas precauciones.

Protección de la página de inicio de sesión para evitar ataques de fuerza bruta

La página de inicio de sesión de WordPress es la característica más atacada de la plataforma. Es la puerta al backend de administración de su sitio web. Debido a esto, los piratas informáticos intentan abrirse camino a través de la fuerza bruta. Si bien debe usar una página de inicio de sesión personalizada, si debe usar lo que WordPress le brinda, puede proteger su blog de las siguientes maneras.

Agregue una función de bloqueo y prohíba a los usuarios

Los complementos de bloqueo evitan los ataques de fuerza bruta al bloquear el sitio después de que detecta intentos de inicio de sesión fallidos repetitivos. A continuación, recibiría un aviso por estos inicios de sesión no autorizados. Si bien la mayoría de los complementos de seguridad ofrecen esta función, desea uno que también le permita prohibir la dirección IP del atacante.

Usar autenticación de 2 factores

La autenticación de 2 factores (2FA) también es una medida de seguridad muy efectiva. Utiliza inicio de sesión utilizando dos componentes diferentes. Usted, como propietario del sitio web, decide cuáles son esos componentes. Tiene la opción de usar una contraseña y una pregunta secreta, código, caracteres o aplicaciones móviles de autenticación, como la aplicación Google Authenticator.

Crear ID de correo electrónico en lugar de nombres de usuario

Las direcciones de correo electrónico son únicas, lo que las hace difíciles de predecir. WordPress requiere una dirección de correo electrónico única para cada cuenta. Por lo tanto, tiene sentido usarlo también como identificador de cuenta.

Cambie el nombre de su URL de inicio de sesión

Si no puede agregar un complemento a su instalación, siempre puede cambiar la dirección web de la página de inicio de sesión. Es una característica simple que hará que su sitio web sea inmediatamente un 99% más seguro.

Contraseñas seguras

Cambiar y usar contraseñas seguras siempre son buenos consejos para cualquier sitio web, WordPress u otro. De hecho, debe usar esta práctica con todas sus cuentas, y no solo con su propio sitio web. Cambiar su contraseña regularmente tiene mucho sentido.

Cerrar sesión de usuarios inactivos

Cuando los usuarios dejan su sitio abierto en sus pantallas, representan una amenaza para la seguridad. Cualquiera puede pasar y cambiar la información. Incluso pueden alterar la cuenta del usuario o secuestrar todo el sitio web. Puede eliminar esta amenaza simplemente cerrando sesión automáticamente después de un límite de tiempo establecido.

Protección del panel de administración de WordPress

Si bien la página de inicio de sesión es la más atacada, los piratas informáticos realmente quieren su panel de administración. Por lo tanto, debe convertirlo en la parte más protegida de su sitio web.

Asegure el Directorio de Wp-Admin

Por lo tanto, la mayoría de sus esfuerzos de seguridad de WordPress deberían incluir el directorio "/wp-admin". Para empezar, debe tener la carpeta protegida con contraseña. Es posible que deba enviar dos contraseñas para acceder al tablero, pero ese es un pequeño precio a pagar por la seguridad adicional.

Usar cifrado SSL

SSL (Secure Socket Layer) siempre es una buena opción. También es un requisito de SEO si desea que Google y otros motores de búsqueda importantes incluyan su sitio web. Debería obtener un certificado SSL para su blog lo antes posible. También es una excelente manera de asegurar su área de administración.

Restringir el uso de su cuenta de usuario

Solo necesita tantas cuentas de usuario como necesite. Nunca desea dar acceso a varias personas a su panel de administración. Ese privilegio solo debe ir a aquellos que realmente lo necesitan para mantener su blog. Incluso entonces, aún desea restringir el acceso de alguna manera.

Cree ID de correo electrónico en lugar de nombres de usuario Use un nombre de usuario de administrador diferente

Al igual que la página de inicio de sesión, todos conocen la cuenta predeterminada de "administrador" de WordPress. Las personas solo necesitan adivinar su contraseña y están en su sitio web. Puede detener esto cambiando el nombre de usuario de la cuenta de administrador.

Supervise sus archivos

Finalmente, siempre debe monitorear sus archivos en busca de cambios no autorizados a través de complementos como Wordfence.

Asegure la base de datos

Si no pueden entrar por la puerta principal, los hackers intentarán por la puerta trasera. Los datos de su sitio web están en una base de datos. Asegúrelo tanto como sea posible.

Cambiar el prefijo de la tabla

Para rastrear la información de su sitio, WordPress asigna un prefijo a todas las tablas de la base de datos que crea. Deberías cambiar esto por algo único. El prefijo predeterminado hace que su sitio sea vulnerable a los ataques de inyección SQL.

Copias de seguridad periódicas

Nunca puede asegurar su blog a la perfección, pero puede asegurarse de que siempre puede restaurarlo a la normalidad. Solo necesita copias de seguridad periódicas fuera del sitio.

Contraseñas seguras de bases de datos

Al igual que con sus cuentas de usuario, desea una contraseña segura para su cuenta de base de datos.

Supervisar y auditar registros

WordPress y MySQL registran todo. Si necesita ver qué le sucedió a su sitio web, puede consultar estos archivos de registro. De esa manera, sabrá qué cambió y quién hizo los cambios.

Proteja su servidor

Su solución de alojamiento de sitios web puede ofrecer una infraestructura de red segura, pero nunca debe escucharlos por completo; será importante considerar la seguridad de sus datos de usuario y la forma en que acceden a sus archivos privados. Siempre asegúrese de que su sitio web sea lo más seguro posible.

Asegure Wp-config.php

Este archivo contiene la configuración predeterminada de su sitio web y la información de la base de datos. Por lo tanto, es el archivo más importante en el directorio raíz de su sitio. Por lo tanto, desea que sea imposible acceder a él.

No permitir la edición de archivos

Cualquier persona con acceso a su panel de control de WordPress puede cambiar sus archivos de WordPress, incluidos sus complementos y temas. Puede detener esto configurando "define ('DISALLOW_FILE_EDIT', true);" bandera en el archivo wp-config.

Usar acceso FTP seguro

Solo debe usar SFTP o SSH para cargar archivos en su sitio. Secure FTP garantiza que sus transferencias de archivos sean siempre seguras. Si su host ya lo proporciona, eso es genial. Sin embargo, puede hacerlo manualmente según sea necesario.

Permisos de directorio seguro

Los permisos incorrectos conducen a infracciones. Por lo tanto, desea reescribirlos a lo que es necesario para que su sitio web funcione. Por lo general, desea configurar los permisos de su directorio en "755" y sus archivos en "644".

Deshabilitar la lista de directorios

En la mayoría de los servidores web, si un directorio no tiene un index.html u otra página "predeterminada" registrada, el servidor producirá una lista completa del directorio si alguien accede al directorio. Debe desactivar esto manualmente en el archivo .htaccess de su sitio web.

Hotlinking de bloque

Hotlinking le permite copiar y publicar imágenes y medios de un sitio web a otro. Si bien hace posible compartir, también roba ancho de banda del servidor original. Puede aumentar el rendimiento del sitio y reducir las tarifas de alojamiento simplemente bloqueando esta función en su sitio.

Protéjase contra los ataques DDoS

Los ataques DDoS son los ataques relacionados con el servidor más comunes en cualquier sitio web. Los atacantes usan múltiples programas y sistemas para sobrecargar su servidor. Si bien mantiene sus archivos seguros, puede bloquear su sitio si no se resuelve.

Otras formas de proteger su blog de WordPress

Estas son solo algunas de las formas en que puede proteger su blog o sitio web de WordPress. A medida que surgen nuevas amenazas, el grupo de desarrollo de WordPress y los desarrolladores de todo el mundo aceptan el desafío de proteger sus datos y páginas. Solo necesita mantener su instalación, temas y complementos de WordPress actualizados con sus últimas versiones. Otras formas incluyen el uso de alojamiento administrado de WordPress, ocultar sus números de versión y mantenerse informado sobre cualquier desarrollo de seguridad en la comunidad de WordPress. La comunidad le ofrece la oportunidad de hacer preguntas y obtener respuestas que no puede obtener de una simple publicación de blog. Con este consejo, puede estar seguro de que su sitio web es lo más seguro posible.