Guía de seguridad de WordPress: hacer que WordPress sea seguro 2022

Imagínate esto:

Abres tu sitio de WordPress, con los ojos brillantes, la cola peluda y listo para cargar tu última publicación de blog... solo para encontrarte con un montón de contenido extraño que dirige a las personas a comprar píldoras farmacéuticas en sitios web incompletos.

Es la peor pesadilla de la mayoría de los webmasters, pero es algo que le puede pasar a su sitio de WordPress... si no implementa las mejores prácticas de seguridad adecuadas.

No estamos tratando de asustarte: WordPress es seguro. Tiene un equipo de seguridad dedicado y un ejército de colaboradores y desarrolladores expertos para ayudar a que siga siendo así.

Pero si no está construyendo sobre esa base segura siguiendo las mejores prácticas de seguridad de WordPress, podría estar abriendo la puerta para que los actores maliciosos metan sus colmillos en su sitio web.

En esta publicación, estamos aquí para ayudarlo a aprender cuáles son esas mejores prácticas para que pueda evitar que ese escenario de pesadilla se convierta en realidad.

Con ese fin, vamos a cubrir las siguientes secciones:

• ¿WordPress es seguro?
• Por qué no deberías esperar a poner tu seguridad en orden
• 21 cosas que puede hacer con respecto a la seguridad ahora mismo
• Los riesgos de una brecha de seguridad
• Cómo saber si su sitio ha sido pirateado
• Tres complementos de seguridad de WordPress de primer nivel
• Tres tácticas de seguridad más importantes para implementar
• Monitoreo y reparación de brechas de seguridad de WordPress

Si bien puede llevarle un par de horas trabajar con las mejores prácticas en esta publicación, esa pequeña inversión ahora pagará dividendos en el futuro en forma de un sitio de WordPress seguro y a prueba de balas.

¿Es seguro WordPress?

WordPress impulsa más del 43% de todos los sitios web en Internet, lo que significa que es un objetivo jugoso para los actores maliciosos.

El hecho de que WordPress sea tan popular también significa que es utilizado por una amplia variedad de personas, incluidas personas con niveles de conocimiento muy diferentes. Piense en un desarrollador experimentado frente a alguien que acaba de lanzar su primer blog... y todos los demás.

Aquí hay buenas y malas noticias…

Buenas noticias:

WordPress es seguro. Es por eso que es utilizado por tanta gente normal, así como por grandes organizaciones como la Casa Blanca de EE. UU. y Facebook.

Facebook y la Casa Blanca no confiarían sus sitios web a una plataforma insegura. Además, el 43% de los sitios web en Internet no se ejecutarían en WordPress si no fuera seguro.

Malas noticias :

Muchos sitios de WordPress son pirateados. En los informes de sitios web pirateados de Sucuri, WordPress es habitualmente la plataforma más pirateada ( recuerde, es muy popular ).

Entonces, ¿cómo puede WordPress ser seguro y también tener sitios pirateados? ¿No son esas cosas mutuamente excluyentes?

Bueno, la respuesta está completamente en cómo la gente usa WordPress.

Si es proactivo acerca de seguir las mejores prácticas de seguridad, como las que cubriremos en esta publicación, puede mantener su sitio de WordPress seguro y evitar problemas.

WordPress cuenta con un gran aparato de seguridad, incluido un equipo de seguridad oficial de más de 50 miembros y una variedad de desarrolladores experimentados que crean extensiones seguras y señalan posibles problemas.

Esas personas hacen un gran trabajo al hacer que WordPress sea seguro, pero aún debe hacer su parte si quiere que siga siendo así.

Si no se basa en el arduo trabajo de esos colaboradores de WordPress y sigue las mejores prácticas, puede cometer errores que abren agujeros en el software de WordPress, ya sea usando una contraseña débil, instalando un complemento vulnerable u otra cosa.

Por qué no debería esperar para tomarse en serio la seguridad de WordPress

La seguridad de WordPress es una de esas cosas que parece que no es un gran problema... hasta que es realmente un gran problema .

Tiene muchas cosas en su plato en términos de marketing y crecimiento de su sitio, por lo que es fácil empujar la seguridad hacia atrás porque es difícil vincular las mejoras de seguridad con las métricas de crecimiento como el tráfico o los ingresos.

Estamos siendo un poco francos aquí, pero esa línea de pensamiento es increíblemente miope. Implementar la lista de verificación de seguridad de WordPress a continuación lleva algo de tiempo y potencialmente un poco de dinero, pero esos costos palidecen en comparación con lo que "pagará" si su sitio es violado.

Una brecha de seguridad fácilmente le “costará” más en términos de tiempo perdido, ingresos, tráfico SEO y confianza con sus visitantes.

Básicamente, no quiere jugar con la seguridad de su sitio. Dedique tiempo ahora para protegerse de un costo enorme más adelante.

20 cosas que puedes hacer ahora mismo sobre la seguridad de WordPress

Hasta ahora, hemos hablado de teoría. Ahora, comencemos a pasar a algunas tácticas prácticas para bloquear su sitio, comenzando con una lista de verificación de seguridad de WordPress que puede implementar para proteger su sitio hoy.

1. Comprender los temas básicos de seguridad de WordPress

Antes de cambiar nada en su sitio, querrá comprender los temas básicos de la seguridad de WordPress:

• Limite el acceso : limite el acceso a su sitio, tanto a través de métodos previstos (cuentas de usuario) como métodos no previstos (vulnerabilidades).
• Contener problemas : si un actor malicioso obtiene acceso, desea limitar el daño que puede causar.
• Solo use terceros confiables : si bien el núcleo de WordPress es seguro, cada extensión que agrega a su sitio es una vulnerabilidad potencial.

2. Aplicar rápidamente las actualizaciones de WordPress

Para proteger su sitio de las vulnerabilidades de seguridad emergentes, es esencial aplicar de inmediato las actualizaciones principales de WordPress, las actualizaciones de complementos y las actualizaciones de temas. Esto es especialmente cierto en el caso de las actualizaciones de seguridad, que debe aplicar inmediatamente*.

*Las actualizaciones de seguridad tienen dos puntos en el número de versión, por ejemplo, 5.9.1. Puede esperar para aplicar las principales actualizaciones de funciones, que solo tienen un punto, por ejemplo, 5.9.

3. Use contraseñas seguras para todo

El uso de contraseñas seguras y únicas para su cuenta de administrador de WordPress, cuenta de alojamiento y otras herramientas (por ejemplo, credenciales SFTP) puede ayudar mucho a prevenir ataques de fuerza bruta y otros tipos de ataques basados ​​en inicio de sesión.

Para almacenar contraseñas de forma segura, puede utilizar un administrador de contraseñas como Bitwarden o LastPass. Estos administradores de contraseñas también pueden ayudarlo a generar contraseñas únicas.

4. Usa complementos de confianza

Instale solo complementos de desarrolladores confiables que todavía mantienen activamente el complemento para tener en cuenta las nuevas versiones de WordPress y las vulnerabilidades recién descubiertas.

5. Asegure su computadora

Asegúrese de que la computadora que usa para acceder a su sitio de WordPress esté limpia. Use un software antivirus de calidad y realice escaneos regulares de malware.

6. Bloquee su página de inicio de sesión

Además de usar contraseñas seguras, puede proteger su página de inicio de sesión utilizando tácticas como limitar los intentos de inicio de sesión y la autenticación de dos factores. Puede lograr esto con complementos específicos de funciones gratuitos, como Limitar intentos de inicio de sesión recargados y Autenticación de dos factores. O bien, puede usar algunos de los amplios complementos de seguridad de WordPress que discutiremos más adelante en esta publicación.

También puede cambiar la URL de inicio de sesión de WordPress. Si bien esto no agrega mucha seguridad de inicio de sesión adicional si está implementando los consejos anteriores, puede reducir el tráfico de bots.

7. Realice copias de seguridad periódicas

Hacer copias de seguridad periódicas y almacenarlas en un lugar largo es un gran elemento de seguridad de WordPress. Si tiene una copia de seguridad reciente, una brecha de seguridad en el peor de los casos es un inconveniente en lugar de una catástrofe cuando se trata de los datos de su sitio.

La mayoría de los hosts administrados de WordPress ofrecen copias de seguridad automáticas fuera del sitio hoy en día. Si no, puede usar un complemento como UpdraftPlus.

8. Utilice alojamiento seguro

Utilice un host de WordPress de alta calidad que implemente protocolos de seguridad sólidos, como firewalls y escaneos de malware. Si bien no debe confiar solo en su host, un host de WordPress de calidad puede contribuir en gran medida a proteger su sitio de WordPress.

9. Instale un certificado SSL y use HTTPS

Asegúrese de haber instalado un certificado SSL y configure su sitio para obligar a todo el tráfico a la versión segura de HTTPS. Esto garantiza que cualquier dato que pase entre el navegador web de un visitante y el servidor de su sitio esté encriptado.

Puede consultar el equipo de soporte de su host o la documentación para aprender cómo instalar un certificado SSL y los complementos como Really Simple SSL pueden ayudarlo a forzar el tráfico HTTPS en su sitio.

10. Use SFTP y no almacene contraseñas

Asegúrese de usar SFTP cuando se conecte al servidor de su sitio, en lugar de FTP simple (que no está cifrado). Además, trate de evitar almacenar sus contraseñas SFTP en su cliente FTP a menos que estén encriptadas y protegidas con contraseña.

11. Deshabilitar XML-RPC

XML-RPC ayuda a algunas aplicaciones, como una aplicación para iPhone, a conectarse a su sitio de WordPress. La mayoría de las personas nunca usará estas aplicaciones para conectarse, lo que significa que XML-RPC es solo un vector de vulnerabilidad innecesario para ataques de fuerza bruta o DDoS.

Por esa razón, la mayoría de las personas deshabilitan XML-RPC, lo que puede lograr con un complemento como Disable XML-RPC o uno de los complementos de seguridad generales que discutiremos más adelante.

12. Deshabilitar la edición de archivos

De forma predeterminada, WordPress permite a los usuarios administradores editar directamente los archivos de temas y complementos desde el tablero de WordPress, lo cual es una gran vulnerabilidad si un actor malicioso alguna vez accede a su tablero.

Puede desactivarlo agregando una línea a su archivo wp-config.php .

13. Supervisión de problemas de seguridad

La implementación de políticas regulares de monitoreo de seguridad puede ayudarlo a detectar problemas antes de que se conviertan en problemas mayores. Hablaremos sobre las prácticas de monitoreo adecuadas más adelante en esta publicación.

14. Archivos y carpetas de clave segura de WordPress

Algunos archivos y carpetas de WordPress son especialmente vulnerables, por lo que deberá prestar especial atención a la seguridad del archivo wp-config.php y las carpetas wp-admin y wp-includes .

15. Implemente los permisos de archivo adecuados

Los permisos de archivo controlan el acceso que los usuarios y programas tienen a los archivos y carpetas en su servidor de alojamiento. Si no están configurados correctamente, pueden dar a los actores malintencionados acceso a archivos importantes, como su archivo wp-config.php o .htaccess .

Para conocer los permisos adecuados para WordPress, puede leer esta página de WordPress.org.

16. Considere el registro de actividad

El registro de actividad le permite realizar un seguimiento de lo que sucede en su sitio, lo que puede ayudarlo a detectar comportamientos sospechosos antes de que se conviertan en un problema importante.

Para configurar el registro de actividad, puede usar un complemento especializado como WP Activity Log. O bien, algunos complementos de seguridad de WordPress para todo uso también incluyen la funcionalidad de registro.

17. Agregue los últimos encabezados de seguridad

Los encabezados de seguridad HTTP pueden ayudar a proteger su sitio al controlar cómo los navegadores web interactúan con el contenido de su sitio. Por lo general, los configurará a nivel del servidor: KeyCDN tiene una excelente publicación que explica los encabezados de seguridad más importantes.

18. Proteja su base de datos

El uso de un prefijo de tabla de base de datos único y un nombre de base de datos único puede dificultar un poco que los actores maliciosos inyecten contenido malicioso en su base de datos, aunque algunos expertos debaten su utilidad. Dado que este cambio es fácil de aplicar, vale la pena incluso si es una pequeña cantidad de "seguridad por oscuridad".

19. Deshabilitar enlaces activos

Hacer que otros sitios enlacen sus imágenes puede no ser un riesgo de seguridad directo, pero puede tener un efecto negativo en su servidor en términos de recursos desperdiciados, por lo que es una buena práctica de seguridad deshabilitar los enlaces directos.

20. Configure la protección DDoS por adelantado

Tenga un plan para hacer frente a los ataques distribuidos de denegación de servicio. Puede preguntarle a su anfitrión qué protecciones tienen o agregar su sitio a Cloudflare para que pueda habilitar rápidamente el modo "Estoy bajo ataque" de Cloudflare si es necesario.

¿Cuáles son los riesgos cuando se viola un sitio?

Hay tres tipos principales de riesgos si su sitio es violado...

Riesgos para los visitantes de su web

Si almacena datos sobre sus visitantes, los actores maliciosos podrían obtener acceso a toda esa información, lo que podría causar problemas con el robo de identidad o el robo financiero según los datos que almacene.

Los actores maliciosos también podrían intentar engañar a los usuarios para que descarguen archivos maliciosos e infecten sus computadoras.

Riesgos para los propietarios del sitio

Una brecha de seguridad puede causar problemas directos en forma de pérdida de datos, pérdida de tiempo e indisponibilidad del sitio. Si no mantiene copias de seguridad periódicas ( que, con suerte, no es el caso después de leer esta guía ), es posible que incluso pierda todo su sitio y necesite reconstruirlo desde cero.

Una infracción también puede causar problemas menos tangibles, como la pérdida de confianza de los visitantes o un daño general a la reputación.

Riesgo para otros sitios

Si está utilizando alojamiento compartido y/o aloja algunos de sus otros sitios en la misma cuenta de alojamiento, un sitio que se vulnere puede propagarse rápidamente a otros sitios si los sitios no están estrechamente aislados entre sí. De esta manera, tener un sitio infectado puede actuar como un dominó para eliminar otros sitios, incluso si esos sitios serían seguros.

Cómo saber si su sitio de WordPress ha sido pirateado

Hay dos formas de descubrir que su sitio ha sido pirateado:

• Signos reactivos : descubre un problema porque lo ve en su sitio.
• Señales proactivas : sus protocolos de monitoreo de seguridad lo alertan sobre el problema antes de que se manifieste en su sitio.

Idealmente, desea utilizar herramientas que le permitan solucionar problemas de manera proactiva, en lugar de esperar a que se conviertan en un problema. De esa manera, puede minimizar el daño a su sitio.

Signos reactivos de piratería

• Alerta del navegador : la mayoría de los navegadores mostrarán una advertencia si visita una página infectada. Si eso sucede cuando visitas tu propio sitio, sabes que tienes un problema.
• Alerta del motor de búsqueda : Google también alertará a los visitantes si hacen clic en un enlace que lleva a un sitio infectado. Dice algo como "Este sitio puede ser pirateado".
• Servicios para webmasters : si usa Google Search Console, Google lo alertará sobre problemas de seguridad si va a Seguridad y acciones manuales → Problemas de seguridad .
• Visitantes de la web : si los visitantes de la web encuentran contenido malicioso, pueden decírselo directamente.

Signos proactivos de piratería

• Escáner de malware : un escáner de malware puede detectar código malicioso en su servidor incluso si no ha comenzado a afectar la interfaz de su sitio.
• Verificaciones de integridad de archivos : si los archivos principales de WordPress no coinciden con las versiones oficiales, eso es una señal de que algo podría estar mal en su sitio. La mayoría de los complementos de seguridad le avisarán automáticamente si se ha modificado un archivo principal.
• Monitores de tráfico: monitorear el tráfico de su sitio de WordPress lo ayudará a detectar irregularidades a medida que ocurren.

Los tres mejores complementos y herramientas de seguridad de WordPress

Si desea un poco más de tranquilidad en lo que respecta a la seguridad de WordPress, puede considerar usar un complemento o servicio de seguridad de WordPress dedicado.

Si bien estas herramientas no eliminan por completo la necesidad de estar atento, pueden manejar la mayoría de las mejores prácticas de seguridad de WordPress por usted.

Aquí hay tres de los mejores:

1. Valla de palabras

Wordfence es el complemento de seguridad de WordPress más popular en WordPress.org. Tiene un conjunto completo de características que pueden proteger y monitorear todas las áreas de seguridad de su sitio:

• Firewall de aplicaciones web (WAF) para bloquear de forma proactiva las amenazas antes de que puedan dañar su sitio. Incluye un conjunto de definiciones en constante actualización para bloquear las amenazas emergentes.
• Escaneo de malware y seguridad para detectar infecciones o vulnerabilidades de seguridad.
• Funciones de seguridad de inicio de sesión que incluyen limitación de intentos de inicio de sesión, autenticación de dos factores, protección de contraseña filtrada, desactivación/reforzamiento de XML-RPC y más.
• Registro en tiempo real para detectar actores maliciosos.
• Notificaciones para alertarlo instantáneamente sobre posibles problemas en su sitio.
• Muchas otras tácticas de endurecimiento más pequeñas, incluida la detección de cambios de archivos.
• Panel de seguridad central que le permite administrar la seguridad de múltiples sitios desde un solo lugar.

Hay una versión gratuita en WordPress.org y Wordfence Premium comienza desde $99.

2. Sucurí

Sucuri es dos cosas:

1. Un complemento gratuito en WordPress.org que implementa prácticas básicas de fortalecimiento de la seguridad.
2. Un servicio de firewall pago que se encuentra frente a su servidor y bloquea el tráfico malicioso antes de que pueda llegar a su sitio.

Para obtener la mejor protección, querrá usar ambas herramientas.

El complemento gratuito de Sucuri implementa las siguientes funciones de refuerzo de seguridad:

• Monitoreo de integridad de archivos
• Registros de auditoría
• Supervisión automática de listas negras
• Opciones básicas de endurecimiento, como deshabilitar la edición de archivos y bloquear ciertos archivos PHP
• Monitoreo de inicio de sesión fallido para detectar ataques de fuerza bruta
• Alertas automáticas de seguridad por correo electrónico

Para usar el servicio de firewall, cambiará los servidores de nombres de su dominio a Sucuri y el firewall de Sucuri protegerá su sitio a nivel de red.

El complemento Sucuri es gratuito, pero el cortafuegos comienza en $ 10 por mes. También puede pagar un plan completo de seguridad del sitio web que incluye limpieza y eliminación de malware. Esos planes comienzan en $ 200 por año.

3. Seguridad de iTemas

iThemes Security es otra herramienta popular que puede ayudarlo a fortalecer su sitio y monitorearlo en busca de problemas de seguridad.

Esto es con lo que puede ayudar:

• El escáner del sitio detectará automáticamente las vulnerabilidades conocidas en su sitio.
• Protección de inicio de sesión que incluye autenticación de dos factores, limitación de intentos de inicio de sesión, dispositivos confiables, requisitos de contraseña segura y más.
• Registros de seguridad, incluido el registro de eventos de seguridad y el registro de actividad del usuario.
• Detección de cambios de archivos para ver si los archivos principales se han modificado.
• Notificaciones por correo electrónico para alertarlo instantáneamente sobre posibles problemas de seguridad.
• Fortalecimiento general de WordPress, incluida la desactivación de XML-RPC, la desactivación de la edición de archivos, la verificación de permisos de archivos y más.

Una característica que iThemes Security no ofrece es un firewall: los desarrolladores recomiendan emparejarlo con el servicio de firewall de Sucuri si desea un firewall.

Si bien hay una versión gratuita limitada de iThemes Security en WordPress.org, querrá iThemes Security Pro para obtener la mejor protección. Comienza en $80.

Concéntrese en estas tres cosas para obtener el mayor ROI de seguridad de WordPress

Como muchas cosas en la vida, la seguridad de WordPress sigue el principio de Pareto 80/20. Es decir, centrarse en clavar algunas tácticas de seguridad fundamentales de WordPress le ayudará a tener un sitio seguro.

Entonces, si bien creemos que es importante seguir la lista de verificación de seguridad de WordPress que compartimos anteriormente, centrarse en solo tres áreas lo protegerá de la mayoría de los problemas con la seguridad de WordPress.

Vamos a repasarlos…

1. Complementos

Si bien el software central de WordPress es seguro ( siempre que lo mantenga actualizado ), los complementos introducen variables que el equipo central no puede controlar, lo que los convierte en uno de los mayores vectores de ataque para los actores malintencionados.

Sin embargo, los complementos también son una parte esencial de WordPress, por lo que no usarlos no es una opción realista.

Aquí hay tres formas de continuar beneficiándose de los complementos mientras minimiza en gran medida sus riesgos:

• Evite los complementos abandonados : si un complemento ya no se mantiene, eso significa que no hay nadie allí para solucionar los problemas recién descubiertos y mantenerlo compatible con las versiones más nuevas de WordPress.
• Compre solo a desarrolladores acreditados : use desarrolladores confiables como HeroThemes que siguen las mejores prácticas de seguridad de WordPress y se mantienen al tanto de las amenazas emergentes.
• Actualice regularmente : incluso los mejores complementos de los mejores desarrolladores a veces pueden tener vulnerabilidades recién descubiertas. Los desarrolladores de calidad parchearán estas vulnerabilidades antes de que se conviertan en un problema, siempre que actualice de inmediato.

2. Ataques de fuerza bruta

Los ataques de fuerza bruta son un vector de ataque común que se basa en ingresar a su sitio a través de la página de inicio de sesión. No importa qué tan seguro sea el resto de su sitio: si un actor malicioso puede adivinar su nombre de usuario y contraseña, tiene las llaves de la puerta principal.

Aquí le mostramos cómo protegerse:

• Use contraseñas seguras y únicas : elija una contraseña segura para todas sus cuentas y no reutilice la misma contraseña en varios lugares.
• Limite los intentos de inicio de sesión : evite que las personas usen fuerza bruta en su página de inicio de sesión limitando los intentos de inicio de sesión fallidos y/o agregando un CAPTCHA.
• Considere la autenticación de dos factores : para una mayor seguridad, puede considerar usar la autenticación de dos factores a través de SMS o, idealmente, una aplicación de teléfono inteligente o una clave de hardware.
• Nombre de usuario único : no use "admin" como su nombre de usuario e intente que su nombre de usuario sea difícil de adivinar.

3. Cuenta de alojamiento

Su sitio de WordPress podría estar perfectamente bloqueado; pero si un actor malicioso obtiene acceso a su cuenta de alojamiento, puede hacer prácticamente lo que quiera con su sitio.

Para detener esto, también es esencial bloquear su cuenta de alojamiento y su servidor:

• Use contraseñas seguras : al igual que con su cuenta de WordPress, use contraseñas únicas y seguras para sus cuentas de hosting y SFTP.
• Habilite la autenticación de dos factores : la mayoría de los proveedores de alojamiento admiten la autenticación de dos factores: aprovéchela.
• Use SFTP : conéctese siempre a través de SFTP y no de FTP sin cifrar.
• No almacene contraseñas SFTP : no almacene contraseñas SFTP sin cifrar en su cliente FTP.

Monitoreo, identificación y reparación de brechas de seguridad de WordPress

Si implementa todas las tácticas de seguridad de WordPress anteriores, es de esperar que nunca tenga que lidiar con una brecha de seguridad.

Sin embargo, siempre es posible que algo se escape, por lo que es importante contar con un plan para detectar y solucionar problemas de seguridad.

Monitoreo de vulnerabilidades

• Escanee su sitio : use herramientas como Sucuri SiteCheck para detectar problemas de listas negras y escanee su servidor con un complemento de seguridad.
• Google Search Console : preste atención a las advertencias en la sección de problemas de seguridad.
• Use el comando del sitio de Google en la búsqueda : busque site:yoursite.com para ver si Google ha indexado contenido que parece malicioso. Esto podría ser contenido que no creaste o contenido con títulos extraños/meta descripciones.
• Registro de actividad : navegue por el registro de actividad de su sitio para detectar actividades sospechosas.
• Verifique el análisis : busque caídas o picos inexplicables en su análisis de tráfico.
• Archivo .htaccess : preste atención a los cambios en su archivo .htaccess, ya que aquí es donde muchos actores colocarán redireccionamientos maliciosos o configurarán reglas de agente de usuario para ocultar su spam de SEO de los visitantes humanos.

Identificar problemas

Una vez que sus esfuerzos de monitoreo hayan detectado que algo anda mal, es hora de identificar el problema específico en su sitio para que pueda solucionarlo y hacer que su sitio funcione. Para hacer esto, puede usar un complemento de seguridad para escanear su sitio e identificar archivos maliciosos y puertas traseras.

Arreglando tu sitio

Una vez que haya identificado el problema específico, es hora de arreglar su sitio.

Hay algunas rutas diferentes que puede tomar aquí según la gravedad de la infección y su nivel de conocimiento:

• Use un complemento de seguridad : muchos complementos de seguridad ofrecen soluciones con un solo clic, ya sea limpiando el archivo o revirtiendo su sitio a una versión limpia.
• Contrate a un experto : si se siente abrumado, puede pagar por un servicio experto como Seguridad del sitio web de Sucuri o Servicios de limpieza del sitio de Wordfence.
• Realice una limpieza manual : si tiene los conocimientos técnicos, puede limpiar su sitio manualmente. MalCare tiene una guía detallada sobre cómo realizar una limpieza manual.

Si su sitio ha sido incluido en la lista negra de Google, también querrá solicitar una revisión después de limpiar su sitio. Puede hacerlo desde la sección Problemas de seguridad en Google Search Console.

Mantenga su sitio de WordPress seguro

WordPress es seguro, pero las formas en que las personas usan WordPress no siempre son seguras.

Tomarse un poco de tiempo ahora para crear un plan proactivo para la seguridad de WordPress pagará dividendos en la forma de un sitio seguro y evitará la necesidad de lidiar con una brecha en el futuro.

Puede implementar los consejos de esta publicación y seguir una lista de verificación de seguridad de WordPress como la lista de verificación de Wordfence. Si desea una mano amiga, también puede obtener ayuda de un desarrollador o contratar un servicio de mantenimiento de WordPress.

La seguridad de WordPress tampoco es algo en lo que estés solo. Tienes a toda la comunidad de WordPress en tu sitio ayudándote a crear sitios más seguros.

Aquí en HeroThemes, nos enfocamos en crear complementos y temas seguros y confiables que le permitan ampliar su sitio de WordPress mientras lo mantienen seguro. Hay montones de otros desarrolladores haciendo lo mismo.

Si se adhiere a extensiones como estas y sigue otras mejores prácticas de seguridad, puede disfrutar de los beneficios de un sitio seguro de WordPress.