15 trucos de seguridad de WordPress para proteger su sitio web de WordPress

Ha habido muchas noticias sobre los sitios web de WordPress que han sido pirateados últimamente. Y muchas personas han comenzado a cuestionar la seguridad de WordPress debido a los ataques recientes.

Por lo tanto, si posee un sitio web de WordPress, debe actuar sobre estas 15 técnicas de seguridad de WordPress que le enseñaré en esta guía.

Antes de pasar directamente a eso, déjame advertirte.

Mientras estás aquí ocupado leyendo este artículo, es posible que algún script kiddie esté intentando piratear tu sitio web (WordPress o no).

¿Seriamente?

Si.

“¿Por qué algunos chicos perderían su tiempo conmigo? No es que yo sea un gran negocio”.

Bueno, no quiero aumentar sus preocupaciones, pero a los piratas informáticos les gustan los sitios web pequeños porque son un blanco fácil.

¿Por qué la seguridad del sitio web es un gran alboroto?

Bien, alguien está tratando de entrar en mi sitio web, pero ¿por qué debería importarme? Especialmente, ya que tengo una copia de seguridad de todo. Podría eliminar WordPress y volver a instalarlo.

Tu pregunta es válida. Pero, ¿qué pasa si el pirata informático ha obtenido acceso a su copia de seguridad y alojamiento web?

Además, existen otros riesgos si un pirata informático obtiene el control de su sitio web, algunos de ellos son…

1. Los piratas informáticos pueden robar su información y la de sus visitantes, y utilizarla con fines ilegales.
2. Si recién está comenzando a recibir visitantes, el tiempo de inactividad lo afectará a largo plazo.
3. La gente comenzará a cuestionar la calidad de su sitio web.
4. Los atacantes pueden publicar algo ofensivo o ilegal en su sitio web, por lo que es posible que deba enfrentar consecuencias (legales o de otro tipo).

Pero, ¿por qué alguien haría todo el esfuerzo solo para causar problemas a un sitio web pequeño como el mío?

1. Un sitio web pequeño es fácil de hackear.
2. Los piratas informáticos prueban sus herramientas en sitios web pequeños para un proyecto más grande.
3. Pueden usar su servidor web para enviar correos electrónicos no deseados.
4. Los intrusos utilizan los recursos de los sitios web pequeños para atacar a los "grandes". Su servidor web puede ser parte de una botnet para ataques DDoS.
5. Los piratas informáticos pueden usar su sitio web para propagar malware. Miles de sitios web pequeños es una buena manera de propagar malware porque los propietarios de sitios web pequeños no pueden permitirse expertos en seguridad para verificar la seguridad.
6. Los piratas informáticos pueden usar su sitio web para aumentar el tráfico y la clasificación de Google de su propio sitio web mediante la publicación de vínculos de retroceso.

Por lo tanto, incluso si recién está comenzando a configurar un sitio web, debe tener mucho cuidado con la seguridad. No se trata solo de ti. Su descuido también podría afectar a otros (ataque DDoS).

WordPress fue pirateado, ¿debería buscar otras plataformas?

En primer lugar, ningún sistema (sitio web o computadora personal) es seguro. La gente incluso ha encontrado formas de piratear sistemas de espacio de aire (computadoras aisladas).

Cualquiera que sea la plataforma que elija, los piratas informáticos encontrarán una forma de acceder a ella.

La razón por la que tantos sitios web de WordPress son pirateados es porque WordPress es muy popular. Alrededor del 27% de los sitios web usan WordPress, y está creciendo. Entonces, WordPress se ha convertido en una mina de oro para los piratas informáticos y los spammers.

Los cyberpunks atacan constantemente a WordPress porque si logran encontrar una vulnerabilidad, podrían tomar el control del 27% de Internet.

Otra razón por la que los sitios de WordPress son pirateados es porque es un entorno abierto. Los usuarios pueden codificar y modificar los sitios web ellos mismos. Pueden agregar complementos de terceros.

Entonces, ¿debería encontrar otro CMS para su sitio web?

No.

El problema no está en el código central de WordPress, son los complementos y los temas que instala. Pero claro, como dije antes, ningún sistema es completamente seguro.

Si WordPress en sí mismo no fuera seguro, ¿por qué lo usaría el 27% de la web?

Muchos voluntarios se preocupan especialmente por mantener el sistema central y el repositorio de WordPress. Los temas y complementos que están disponibles en el repositorio de WordPress se prueban exhaustivamente en cuanto a seguridad y confiabilidad.

Además, el equipo de WordPress aborda todos los problemas de seguridad con mucha habilidad. Lanzan actualizaciones con parches de seguridad constantemente. Por lo tanto, puede confiar en WordPress para su sitio web.

Sin embargo, usted, como propietario de un sitio web, también debe tener mucho cuidado. Siempre debe monitorear su sitio web regularmente.

¡Aquí hay 15 medidas de seguridad de WordPress que debe seguir para minimizar el riesgo de que su sitio web sea pirateado!

Consejo profesional: siempre haga una copia de seguridad de sus archivos de WordPress, incluida la base de datos, antes de realizar cambios en sus archivos e instalar complementos de seguridad.

Nota: Algunos de los enlaces de esta guía son enlaces de afiliados. Ganamos una cierta cantidad de comisión si compra servicios/productos a través de los enlaces, sin ningún costo adicional para usted. Dicho esto, no recomendamos productos que no valen la pena.

1. Use un nombre de usuario y una contraseña únicos

Cuando instala WordPress, WordPress crea automáticamente un nombre de usuario llamado "admin". Creo que es una gran característica porque me ahorra la tediosa tarea de ingresar mi propio nombre de usuario. Puedo concentrarme en otras cosas realmente importantes. ¡Gracias, WordPress!

Sé que sé. Esa es una excusa estúpida. Pero, ¿cambió el nombre de usuario "admin" predeterminado al instalar WordPress? ¡Bienvenido al club!

Cuando los piratas informáticos intentan iniciar sesión en su panel de administración, primero prueban "admin" como nombre de usuario.

¿Cuál es el problema con el nombre de usuario cuando tienes una contraseña segura?

Bueno, sé que tener una contraseña segura es algo bueno. Pero, si todavía usa "admin" como su nombre de usuario, está reduciendo el esfuerzo del hacker a la mitad. Las permutaciones se reducen.

Los piratas informáticos pueden simplemente probar la combinación de diferentes contraseñas ya que conocen su nombre de usuario.

Pero, lo malo es que no puedes cambiar los nombres de usuario en WordPress.

Aunque puede instalar algún complemento para cambiar el nombre de usuario, no recomiendo usar complementos para tareas simples.

Por lo tanto, simplemente cree un nuevo usuario con privilegios administrativos y luego elimine el antiguo usuario administrador. No te preocupes, WordPress te preguntará qué quieres hacer con las publicaciones que creó el usuario.

Al crear un nuevo usuario, use un nombre de usuario que no sea demasiado obvio, como "myname" o "mysitename".

En cuanto a la contraseña, la regla simple es que su contraseña debe ser compleja , larga y única .

Compleja: su contraseña debe contener al menos 1 número, 1 letra mayúscula y 1 carácter especial.

Larga: su contraseña debe tener al menos 10 caracteres.

Única: Su contraseña no debe contener palabras o frases comunes. Y debe usar contraseñas diferentes para cada sitio web.

Después de aplicar las reglas de contraseña anteriores, su contraseña debería verse así: LTwYgrsewDhw@ertzK9#M!K%

Esa es una contraseña segura. Pero el problema es que somos seres humanos y eso es difícil de recordar.

Por lo tanto, utilice herramientas como LastPass y KeePass. Son gratuitos y puedes usarlos en múltiples dispositivos.

Si todavía piensa que puede salirse con la suya con contraseñas simples porque es creativo, espero que esto le haga cambiar de opinión.

2. Utilice la autenticación de dos factores

Ahora ha utilizado un nombre de usuario único y una contraseña segura para su panel de administración de WordPress.

¡Estupendo!

Ese es un paso hacia una mejor seguridad de WordPress.

Pero, no importa cuán fuertes sean, ¡las contraseñas se pueden descifrar! Los piratas informáticos utilizan ataques de fuerza bruta (hablaremos de ello más adelante) para penetrar en su sitio web. Un fuerte ataque de fuerza bruta puede descifrar cualquier contraseña.

Es por eso que debe comenzar a usar la autenticación de dos factores en su sitio web. Mejorará la seguridad.

La autenticación de dos factores requiere que ingrese un código de seguridad además del nombre de usuario y la contraseña para iniciar sesión. Una vez que active la autenticación de dos factores, recibirá un código (de un solo uso) en su teléfono inteligente. Podrá iniciar sesión solo después de ingresar el código.

Lo sé, esto es una molestia, pero, recuerda, es mejor prevenir que curar. A menos que los gurús de la seguridad encuentren algunas opciones de inicio de sesión de ADN, dos factores son el mejor método de seguridad que existe.

Desafortunadamente, WordPress no tiene configuraciones integradas para agregar autenticación de dos factores. Deberá usar un complemento llamado Google Authenticator.

Si no está familiarizado con la verificación de dos pasos de Google, Evanto tuts+ tiene excelentes tutoriales sobre el uso del autenticador de dos factores de Google con WordPress.

3. Verificar al Usuario como Humano

Los piratas informáticos utilizan botnets para atacar sistemas con fuerza bruta. Y, una forma de causar problemas a los piratas informáticos es mediante el uso de un formulario reCAPTCHA.

En general, las botnets no pueden validar el reCAPTCHA, por lo que los piratas informáticos deben intentar ingresar manualmente los nombres de usuario y las contraseñas. Eso, amigo mío, es un dolor en el... ya sabes dónde.

Pero el viejo reCAPTCHA, el que usa texto distorsionado, no es eficiente. Todos hemos estado allí cuando tienes que hacer una suposición descabellada sobre algunas letras.

Para hacer que la experiencia reCAPTCHA sea más amigable para los humanos y repelente de bots, Google presentó el nuevo "No CAPTCHA reCAPTCHA". El nuevo reCAPTCHA invisible puede incluso detectar a un humano automáticamente.

Puede agregar el reCAPTCHA en su inicio de sesión, comentario y/o formulario de registro de WordPress manualmente o utilizando un complemento de reCAPTCHA sin CAPTCHA.

Pero, primero, debe obtener su clave reCAPTCHA de Google. Después de obtener las claves, ingréselo en sus códigos si lo está haciendo manualmente, o en la configuración del complemento si usa un complemento.

4. Actualizar WordPress

Siempre debes actualizar WordPress. Las actualizaciones de WordPress no son solo para agregar funciones. Las actualizaciones se lanzan, lo que es más importante, para corregir errores y agujeros de seguridad.

Pero, ¿qué sucede si tengo problemas de compatibilidad con mis temas y complementos después de actualizar WordPress? Bueno, por lo general, los buenos temas y complementos lanzan actualizaciones tan pronto como se actualiza el núcleo de WordPress.

Si los complementos o temas que usa no se han actualizado, entonces es hora de encontrar alternativas a ellos.

La mayoría de los sitios web que son pirateados usan WordPress o complementos o temas obsoletos. Las versiones desactualizadas de los complementos pueden poner en riesgo su sitio web.

Entonces, ¡actualice sus temas y complementos lo antes posible! Si no hay actualizaciones disponibles, cámbielas. Puede encontrar muchos temas y complementos actualizados en el repositorio de WordPress.

También puede probar nuestros temas de WordPress. Los actualizamos periódicamente para que no tenga que preocuparse por los problemas de seguridad de los temas.

Cómo actualizar WordPress

Actualizar WordPress es fácil. WordPress muestra automáticamente notificaciones en Dashboard si hay actualizaciones para el sistema central, temas o complementos.

Vaya a Panel de control> Actualizaciones y haga clic en los botones de actualización.

También puede habilitar las actualizaciones automáticas para que su WordPress principal, los complementos y los temas se actualicen automáticamente para versiones menores. Recibirá una notificación por correo electrónico cuando su sitio web se actualice automáticamente.

5. Deshabilitar la edición de archivos

Puede personalizar fácilmente su sitio web con el editor de código incorporado en WordPress.

Sin embargo, imagine que los piratas informáticos de alguna manera lograron iniciar sesión en su sitio web. Ahora, también pueden editar fácilmente su sitio web usando el editor. Por lo tanto, es una práctica segura deshabilitar la edición de WordPress a través del editor.

Para deshabilitar el editor, primero haga una copia de seguridad de su WordPress. Luego, ubique el archivo wp-config.php en el back-end de su sitio web. Puede encontrar wp-config.php en la carpeta raíz de su sitio web junto con otras carpetas como wp-admin y wp-content .

Puede usar el cliente FTP para conectarse al back-end del sitio web. O, si tiene acceso a cPanel, puede usar el Administrador de archivos disponible en cPanel.

Ahora, agregue la siguiente línea de código en el archivo wp-config.php y guarde el archivo

Después de que se actualice el archivo, no podrá editar las plantillas de temas usando el tablero de WordPress. Todavía puede modificar los temas usando FTP o el Administrador de archivos de cPanel.

6. Limite los intentos de inicio de sesión

Cuando instala WordPress, WordPress le pregunta si desea instalar el complemento de límite de intentos de inicio de sesión o no.

Limitar los intentos de inicio de sesión es una excelente manera de proteger su sitio web de los ataques de fuerza bruta.

Los piratas informáticos intentarán iniciar sesión en su sitio web con diferentes combinaciones de inicio de sesión. Sin embargo, si habilita el límite de intentos de inicio de sesión, está permitiendo que los usuarios intenten iniciar sesión solo una cierta cantidad de veces, después de lo cual el usuario se bloquea.

Si olvidó marcar esta opción durante la instalación de WordPress, no se preocupe. Puede encontrar el complemento en el repositorio de WordPress.

Vaya a Complementos> Agregar nuevo desde el menú del tablero de WordPress. Busque "Iniciar sesión" y luego instale y active el complemento.

Después de activar el complemento, vaya a Loginizer Security> Brute Force desde el menú de administración de WordPress para configurar la protección de inicio de sesión.

7. Protección contra ataques de fuerza bruta

Los piratas informáticos utilizan ataques de fuerza bruta para obtener acceso al panel de administración o a las cuentas FTP de su sitio web. Básicamente, un ataque de fuerza bruta es un método de prueba y error. Es como probar diferentes combinaciones de teclas para abrir una cerradura. Los intrusos pueden usar botnets para automatizar los ataques.

Para evitar que su sitio web se convierta en el objetivo de ataques de fuerza bruta, siga las instrucciones 1, 2, 3 y 6.

También puede cambiar la URL de inicio de sesión predeterminada (www.mywebsite.com/wp-admin/) para que los piratas informáticos tengan dificultades para encontrar el formulario de inicio de sesión en primer lugar.

Puede crear una URL de inicio de sesión personalizada utilizando un complemento llamado All In One WordPress Security & Firewall. Después de instalar el complemento, vaya a la sección Fuerza bruta para habilitar la URL de inicio de sesión personalizada. Este complemento tiene tantas características que ni siquiera necesitará ningún otro complemento de seguridad de WordPress si instala este.

8. Protección contra ataques DDoS

Con tantos dispositivos habilitados para Internet, la frecuencia de los ataques DDoS ha ido en aumento.

DDoS es un método para inundar un sitio web/servicio con tráfico falso con la intención de cerrar el servicio. Los piratas informáticos utilizan sistemas infectados (que tienen malware) para realizar ataques DDoS. En 2016, los piratas informáticos arruinaron DYN y desconectaron muchos sitios web famosos como Twitter, Amazon, Reddit y Netflix.

Por lo tanto, siempre debe estar preparado para hacer frente a los ataques DDoS.

Siguiendo las medidas de seguridad mencionadas anteriormente (1, 2, 3, 4, 6 y 7), ya está preparado para los ataques DDoS.

Además de eso, también recomendaría usar servicios en la nube como CloudFlare o MaxCDN. Pueden ayudarlo a mitigar los ataques DDoS.

Del mismo modo, el almacenamiento en caché de su sitio web también puede ayudarlo a proteger su sitio web de la sobrecarga de tráfico. Puede almacenar en caché su sitio web utilizando complementos como WP Super Cache.

9. Escanee en busca de malware y elimínelo

Ya que estás leyendo mis consejos de seguridad con tanto cuidado (realmente espero que lo estés), déjame decirte algo más aterrador, ¡si aún no has entrado en pánico!

¡Los piratas informáticos son astutos! Es posible que ya hayan colocado algún malware en sus archivos web.

Por lo tanto, ¡debe escanear su servidor web en busca de archivos maliciosos lo antes posible! Y, eliminarlos.

¿Como hacer eso?

Conecte un complemento de seguridad. Sucuri Security es el mejor complemento gratuito para detectar y eliminar malware en WordPress.

Si no le gusta agregar complementos o desea realizar un escaneo completo del lado del servidor, suscríbase a Sucuri. Este servicio te cuesta.

Si no puedes pagar Sucuri (sé que es caro), hay una autopista. Debido a que te he estado predicando sobre todas estas cosas tecnológicas, creo que te mereces un regalo.

¡Aquí se explica cómo escanear y eliminar malware de su sitio web de forma gratuita!

Primero, descargue la carpeta public_html de su servidor utilizando un cliente FTP de su elección. Luego, escanee la carpeta descargada usando un software antivirus (Norton, Kaspersky u otro) en su computadora. Asegúrese de que el programa antivirus esté actualizado.

Después de eso, reemplace el antiguo archivo public_html con el recién limpiado usando FTP. ¡Tan fácil como eso!

10. Buen servidor web

El servidor web juega un papel importante, muy importante, en la seguridad del sitio web.

Un buen servidor web le brinda soporte y herramientas para abordar ataques DDoS, ataques de fuerza bruta y malware. Por lo tanto, recomiendo el alojamiento de SiteGround porque mantienen la seguridad en alta prioridad.

Generalmente, un plan de alojamiento compartido es más vulnerable porque el servidor se comparte con otros sitios web. Los piratas informáticos pueden usar otros sitios web en el mismo servidor para atacar su sitio web en alojamiento compartido. Este concepto se denomina contaminación entre sitios.

A menudo se considera mejor obtener alojamiento dedicado o alojamiento VPS, pero son costosos. Como principiante, es posible que no tenga el presupuesto para ello.

¿Significa eso que te arriesgas? No. Incluso el alojamiento compartido se puede proteger.

Una buena empresa de alojamiento web como SiteGround instala cortafuegos como ModSecurity, incluso en planes de alojamiento compartido. Además, limitan la cantidad de sitios web en un servidor y escanean los servidores en busca de malware con regularidad.

Del mismo modo, si su servidor web puede proporcionarle Sucuri Security, es un punto a favor.

11. Elija complementos y temas sabiamente

Bueno, elija complementos y temas sabiamente. Eso es todo lo que necesitas saber sobre este tema.

La opción de instalar complementos y temas de terceros es lo que hace que WordPress sea vulnerable a los piratas informáticos.

Los complementos y temas de WordPress disponibles en el repositorio de WordPress son seguros. Pero si necesita agregar algunos complementos o temas manualmente, siempre verifique si hay malware, utilizando un software antivirus, antes de cargarlos en su WordPress.

Además, antes de instalar complementos o temas, verifique las revisiones y la última fecha de actualización.

12. Eliminar temas y complementos innecesarios/obsoletos

Mantén siempre limpio tu WordPress.

Si actualmente no está utilizando ningún complemento o tema, y ​​están desactualizados, elimínelos. Podrían estar invitando a los piratas informáticos.

Del mismo modo, vaya al back-end de WordPress y verifique si tiene archivos innecesarios comparándolos con los archivos predeterminados de WordPress.

O bien, podría simplemente hacer una nueva instalación de WordPress.

Primero, haga una copia de seguridad de sus bases de datos y WordPress. Luego, elimina WordPress. E instala un nuevo WordPress actualizado.

Asegúrese de informar a sus visitantes durante el mantenimiento mostrando una página de mantenimiento.

13. Asegure .htaccess y wp-content.php

Solo Dios sabe lo que pueden hacer los piratas informáticos si acceden a su archivo .htaccess o wp-content.php.

Por lo tanto, siempre debe ocultar el archivo .htaccess y wp-content.php. Incluso si no sabe codificar, puede proteger fácilmente .htaccess y wp-content.php insertando algunos códigos en el archivo .htaccess.

Mantenga una copia de seguridad del archivo .htaccess antes de realizar cambios en él.

Localice el archivo .htaccess desde la raíz de su sitio web y agréguele las siguientes líneas de código.

Código para ocultar wp-config.php

Código para ocultar el archivo .htaccess

14. Ocultar información confidencial

Asegúrese de eliminar (o al menos renombrar) el archivo readme.html después de instalar WordPress. El archivo Léame le dirá a los piratas informáticos qué versión de WordPress está utilizando.

Además, si ha creado un archivo phpinfo.php o i.php, le recomiendo que lo elimine o le cambie el nombre. Este archivo contiene toda la información sobre su servidor.

Además, deshabilite la indexación de directorios. Los atacantes pueden ver la estructura de sus carpetas y archivos con la exploración de directorios. No es necesario ser un experto en tecnología para hacerlo. Simplemente vaya al archivo .htaccess y agregue el siguiente código al final del archivo.

15. Manténgase a la vanguardia y actualizado

Los hackers siempre van un paso por delante de todos los expertos en seguridad. En realidad, un experto en seguridad ni siquiera sabría acerca de un agujero de seguridad hasta que alguien irrumpa en un sistema.

Por lo tanto, manténgase siempre informado y actualizado sobre noticias y temas de seguridad. Siga a las empresas de seguridad en Twitter o Facebook, o incluso suscríbase a sus boletines.

Kerbsonsecurity es un excelente blog para mantenerse actualizado sobre problemas de seguridad.

Conclusión

¡Haz que el juego de adivinanzas sea difícil para los piratas informáticos!

No puede evitar que los piratas informáticos pirateen. Todo lo que puedes hacer es prepararte para los ataques.

Los buenos están trabajando duro para proteger WordPress de los piratas informáticos, pero ocurren errores.

Mantenga siempre una copia de seguridad de su sitio web, en caso de que los piratas informáticos se apoderen de su sitio web. Mantenga la copia de seguridad en un lugar seguro (múltiples lugares si es posible).

Finalmente, siga los 15 consejos antes mencionados para asegurar un sitio de WordPress. ¡Y manténgase actualizado, temas, complementos y WordPress!

Que la fuerza esté con usted.