Estoy compartiendo 20 consejos simples para asegurar su WordPress:
1. Configurar el bloqueo del sitio web y prohibir a los usuarios
Una función de bloqueo para intentos fallidos de inicio de sesión puede resolver un gran problema, es decir, no más intentos continuos de fuerza bruta. Cada vez que hay un intento de piratería con contraseñas repetitivas incorrectas, el sitio se bloquea y se le notifica de esta actividad no autorizada.
Descubrí que el complemento de seguridad iThemes es uno de los mejores complementos que existen. El complemento tiene mucho que ofrecer a este respecto. Puede especificar un cierto número de intentos fallidos de inicio de sesión después de lo cual el complemento prohíbe la dirección IP del atacante (como alternativa, también puede usar el complemento Iniciar sesión LockDown que se creó para ayudarlo solo con este problema).
2. Utilice la autenticación de 2 factores: presentar la autenticación de 2 factores (2FA) en la página de inicio de sesión es otra buena medida de seguridad. En este caso, el usuario proporciona detalles de inicio de sesión para dos componentes diferentes. El propietario del sitio web decide cuáles son esos dos. Puede ser una contraseña normal seguida de una pregunta secreta, un código secreto, un conjunto de caracteres, etc. Prefiera usar un código secreto mientras implementa 2FA en cualquiera de sus sitios web. El complemento WP Google Authenticator ayuda con eso con solo unos pocos clics.
3. Use el correo electrónico como inicio de sesión
De manera predeterminada, debe ingresar su nombre de usuario para iniciar sesión. Usar un ID de correo electrónico en lugar de un nombre de usuario es un enfoque más seguro. Las razones son bastante obvias. Los nombres de usuario son fáciles de predecir, mientras que los ID de correo electrónico no lo son. Además, cualquier cuenta de usuario de WordPress siempre se crea con una dirección de correo electrónico única, por lo que es un identificador válido para iniciar sesión.
El complemento WP Email Login funciona de forma inmediata para este propósito. Comienza a funcionar justo después de la activación y no requiere configuración alguna. Para probarlo, simplemente cierre sesión en su sitio web y luego vuelva a iniciar sesión, pero esta vez use la dirección de correo electrónico con la que creó la cuenta.
4. Cambie el nombre de su URL de inicio de sesión
Cambiar la URL de inicio de sesión es algo fácil de hacer. De forma predeterminada, se puede acceder fácilmente a la página de inicio de sesión de WordPress a través de wp-login.php o wp-admin agregado a la URL principal del sitio. Cuando los hackers conocen la URL directa de su página de inicio de sesión, pueden intentar ingresar por la fuerza bruta. intente iniciar sesión con su GWDb (Guess Work Database, es decir, una base de datos de nombres de usuario y contraseñas adivinados; por ejemplo, nombre de usuario: administrador y contraseña: [correo electrónico protegido] … con millones de esas combinaciones). Entonces, en este punto, si tiene Lo hemos seguido: ya hemos restringido los intentos de inicio de sesión del usuario e intercambiado los nombres de usuario por ID de correo electrónico. Ahora podemos reemplazar la URL de inicio de sesión y deshacernos del 99% de los ataques directos de fuerza bruta.
Este pequeño truco restringe el acceso de una entidad no autorizada a la página de inicio de sesión. Solo alguien con la URL exacta puede hacerlo. Nuevamente, el complemento de seguridad iThemes puede ayudarlo a cambiar sus URL de inicio de sesión. Al igual que:
Cambie wp-login.php a algo único; por ejemplo, my_new_login
Cambie / wp-admin / a algo único; por ejemplo, my_new_admin
Cambie /wp-login.php?action=register a algo único; eg my_new_registeration
5. Ajusta tus contraseñas
Juega con las contraseñas del sitio web y cámbialas regularmente. Mejore su fuerza agregando letras mayúsculas y minúsculas, números y caracteres especiales. Este generador de contraseñas es un recurso útil.
Para un hacker, la parte más atractiva de un sitio web es el panel de administración, que de hecho es la sección más protegida de todas. Entonces, atacar la parte más fuerte es el verdadero desafío y, si se logra, le da al hacker una victoria moral y el acceso para hacer mucho daño.
Esto es lo que puedes hacer:
6. Proteja el directorio wp-admin:
El directorio wp-admin es el corazón de cualquier sitio web de WordPress. Por lo tanto, si esta parte de su sitio se viola, todo el sitio puede dañarse.
Una posible forma de evitar esto es proteger con contraseña el directorio wp-admin. Con dicha medida de seguridad, el propietario del sitio web puede acceder al tablero enviando dos contraseñas. Uno protege la página de inicio de sesión y el otro el área de administración de WordPress. Si se requiere que los usuarios del sitio web tengan acceso a algunas partes particulares de wp-admin, puede desbloquear esas partes mientras bloquea el resto. Puede usar el complemento AskApache Password Protect para proteger el área de administración. Genera automáticamente un archivo .htpasswd, cifra la contraseña y configura los permisos de archivo correctos de seguridad mejorada.
7. Use SSL para cifrar datos
La implementación de un certificado SSL (Secure Socket Layer) es un movimiento inteligente para proteger el panel de administración. SSL garantiza la transferencia segura de datos entre los navegadores de los usuarios y el servidor, lo que dificulta que los piratas informáticos rompan la conexión o falsifiquen su información.
Obtener un certificado SSL para su sitio web de WordPress no es un problema. Puede comprar uno de algunas empresas dedicadas o, alternativamente, pedirle a su empresa de alojamiento que lo conecte con uno (a menudo es una opción con sus paquetes de alojamiento).
Utilizo el certificado SSL gratuito de código abierto Let’s Encrypt en la mayoría de mis sitios. Cualquier buena empresa de alojamiento como SiteGround ofrece Let’s Encrypt gratis con sus paquetes de alojamiento. El certificado SSL también afecta la clasificación de su sitio web en Google. Google clasifica los sitios con SSL más altos que los que no lo tienen. Eso significa más tráfico. ¿Ahora quién no quiere eso?
8. Agregue cuentas de usuario con cuidado
Si ejecuta un blog de WordPress, o más bien un blog de varios autores, debe tratar con varias personas que acceden a su panel de administración. Esto podría hacer que su sitio web sea más vulnerable a las amenazas de seguridad. Puede usar un complemento como Force Strong Passwords para sus usuarios si desea asegurarse de que las contraseñas que usan sean seguras. Esto es solo una medida de precaución.
Contraseñas de fuerza-fuerza
9. Cambiar el nombre de usuario administrador
Durante la instalación de WordPress, nunca debe elegir “admin” como nombre de usuario para su cuenta de administrador principal. Un nombre de usuario tan fácil de adivinar es accesible para los hackers. Todo lo que necesitan saber es la contraseña, y todo su sitio cae en las manos equivocadas. No puedo decirle cuántas veces me he desplazado por los registros de mi sitio web, y he encontrado intentos de inicio de sesión con el nombre de usuario “admin”. El complemento de seguridad iThemes puede detener dichos intentos de manera inteligente al prohibir de inmediato cualquier dirección IP que intente iniciar sesión con ese nombre de usuario.
10. Controle sus archivos
Si desea agregar seguridad adicional, puede monitorear los cambios en los archivos del sitio web a través de complementos como Acunetix WP Security, Wordfence o, de nuevo, iThemes Security.
Todos los datos e información de su sitio se almacenan en la base de datos. Cuidarlo es crucial. Aquí hay algunas cosas que puede hacer para hacerlo más seguro:
11. Cambiar el prefijo de la tabla de la base de datos de WordPress
Si alguna vez instaló WordPress, entonces está familiarizado con el prefijo wp-table que utiliza la base de datos de WordPress. Te recomiendo que lo cambies a algo único.
El uso del prefijo predeterminado hace que la base de datos de su sitio sea propensa a ataques de inyección SQL. Tal ataque puede prevenirse cambiando wp- a algún otro término, por ejemplo, puede hacerlo mywp-, wpnew-, etc.
Si ya instaló su sitio web de WordPress con el prefijo predeterminado, puede usar algunos complementos para cambiarlo. Los complementos como WP-DBManager o iThemes Security pueden ayudarlo a hacer el trabajo con solo un clic de un botón. (Asegúrese de hacer una copia de seguridad de su sitio antes de hacer algo en la base de datos).
12. Haga una copia de seguridad de su sitio regularmente
No importa cuán seguro sea su sitio web, siempre hay espacio para mejoras. Pero al final del día, mantener una copia de seguridad fuera del sitio en algún lugar es quizás el mejor antídoto pase lo que pase.
Si tiene una copia de seguridad, siempre puede restaurar su sitio web de WordPress a un estado de funcionamiento en cualquier momento que lo desee. Hay algunos complementos que pueden ayudarlo a este respecto. Por ejemplo, hay todos estos.
Si está buscando una solución premium, le recomiendo VaultPress de Automattic, lo cual es excelente. Lo tengo configurado para que cree copias de seguridad cada 30 minutos. Y si alguna vez sucede algo malo, puedo restaurar fácilmente el sitio con solo un clic. Además de eso, también revisa mi sitio en busca de malware y me alerta si está ocurriendo algo sospechoso.
13. Establezca contraseñas seguras para su base de datos
Una contraseña segura para el usuario de la base de datos principal es imprescindible, la que WordPress usa para acceder a la base de datos.
Como siempre, use mayúsculas, minúsculas, números y caracteres especiales para la contraseña. Una vez más, recomiendo el generador de contraseñas como un recurso útil.
Casi todas las empresas de hosting afirman proporcionar un entorno optimizado para WordPress, pero aún podemos ir un paso más allá:
14. Proteja el archivo wp-config.php
El archivo wp-config.php contiene información crucial sobre su instalación de WordPress, y de hecho es el archivo más importante en el directorio raíz de su sitio. Protegerlo significa proteger el núcleo de tu blog de WordPress.
A los piratas informáticos les resulta difícil violar la seguridad de su sitio si el archivo wp-config.php se vuelve inaccesible para ellos.
La buena noticia es que hacer que esto suceda es realmente fácil. Simplemente tome su archivo wp-config.php y muévalo a un nivel más alto que su directorio raíz.
Ahora la pregunta es, si la almacena en otro lugar, ¿cómo accede el servidor? En la arquitectura actual de WordPress, la configuración del archivo de configuración es la más alta en la lista de prioridades. Entonces, incluso si está almacenado una vez por encima del directorio raíz, WordPress aún puede verlo.
15. No permitir la edición de archivos
Si un usuario tiene acceso de administrador a su panel de WordPress, puede editar cualquier archivo que forme parte de su instalación de WordPress. Esto incluye todos los complementos y temas.
Sin embargo, si no permite la edición de archivos, incluso si un hacker obtiene acceso de administrador a su panel de control de WordPress, aún no podrá modificar ningún archivo.
Agregue lo siguiente al archivo wp-config.php (al final):
define (‘DISALLOW_FILE_EDIT’, verdadero);
16. Conecte el servidor correctamente
Al configurar su sitio, conecte el servidor solo a través de SFTP o SSH. SFTP siempre se prefiere sobre el FTP tradicional debido a sus características de seguridad que, por supuesto, no se atribuyen con FTP.
Conectar el servidor de esta manera garantiza transferencias seguras de todos los archivos. Muchos proveedores de alojamiento ofrecen este servicio como parte de su paquete. Si no, puedes hacerlo manualmente (solo busca tutoriales en Google; hay muchas cosas por ahí).
17. Establezca los permisos de directorio con cuidado
Los permisos de directorio incorrectos pueden ser fatales, especialmente si está trabajando en un entorno de alojamiento compartido.
En tal caso, cambiar los archivos y los permisos de directorio es un buen movimiento para asegurar el sitio web en el nivel de alojamiento. Establecer los permisos de directorio en “755” y los archivos en “644” protege todo el sistema de archivos: directorios, subdirectorios y archivos individuales.
Esto se puede hacer manualmente a través del Administrador de archivos dentro de su panel de control de alojamiento, o a través del terminal (conectado con SSH): use el comando ” chmod “.
Para obtener más información, puede leer sobre el esquema de permisos correcto de WordPress o instalar el complemento de seguridad iThemes para verificar su configuración de permisos actual.
18. Deshabilite la lista de directorios con .htaccess
Si crea un nuevo directorio como parte de su sitio web y no coloca un archivo index.html en él, puede sorprenderse al descubrir que sus visitantes pueden obtener una lista completa del directorio de todo lo que está en ese directorio.
Por ejemplo, si crea un directorio llamado “datos”, puede ver todo en ese directorio simplemente escribiendo http://www.example.com/data/ en su navegador. No se necesita contraseña ni nada. Puede evitar esto agregando la siguiente línea de código en su archivo .htaccess :
Opciones Todos-Índices
Los temas y complementos son ingredientes esenciales de cualquier sitio web de WordPress. Desafortunadamente, también pueden plantear serias amenazas de seguridad. Veamos cómo podemos asegurar los temas y complementos de WordPress de la manera correcta:
19. Actualice regularmente
Todos los buenos productos de software son compatibles con sus desarrolladores y se actualizan de vez en cuando, pero WordPress se actualiza con mucha frecuencia. Estas actualizaciones están destinadas a corregir errores y, a veces, tienen parches de seguridad vitales.
No actualizar sus temas y complementos puede significar serios problemas. Muchos hackers confían en el simple hecho de que las personas no pueden molestarse en actualizar sus complementos y temas. La mayoría de las veces, esos piratas informáticos explotan los errores que ya se han solucionado. Por lo tanto, si usa productos de WordPress, actualícelos regularmente. Complementos, temas, todo.
20. Elimina tu número de versión de WordPress
Su número de versión actual de WordPress se puede encontrar muy fácilmente. Básicamente se encuentra justo allí en la vista de origen de su sitio. Aquí está la cosa, si los piratas informáticos saben qué versión de WordPress usa, es más fácil para ellos crear el ataque perfecto. Puede ocultar su número de versión con casi todos los complementos de seguridad que Lo mencioné anteriormente.
Ultimas palabras
Si eres un principiante, eso fue mucho para asimilar. Todo lo que mencioné en este artículo es un paso en la dirección correcta. Cuanto más te preocupes por la seguridad de tu sitio de WordPress, más difícil será para un hacker entrar.