¿Cómo puedo asegurar mi sitio de WordPress?

Sucuri es una empresa de renombre que ofrece una gran seguridad en Internet, como soluciones de firewall y antivirus para todo tipo de propietarios de sitios web.

El software le brinda una amplia gama de medidas y herramientas preventivas: si está registrado con Sucuri, está a salvo de ataques de fuerza bruta, vulnerabilidades de software y script y también eventos de día cero.

En mi trabajo anterior, he usado este complemento para el sitio de WordPress de varios clientes y noté lo bien que están, por lo tanto, recomendaría encarecidamente el servicio Sucuri CloudProxy.

Los 5 puntos más importantes de Sucuri

1. Bloquea todos los ataques

Es muy bueno escuchar que antes de afectar a su servidor, este firewall de complemento ayudaría a bloquear todos los ataques.

Son una de las compañías de seguridad más exitosas, siempre investigan e informan al equipo central de WordPress y a otros complementos de terceros con respecto a posibles problemas de seguridad.

Recientemente, su equipo está solucionando los problemas de seguridad con la ayuda de los respectivos desarrolladores.

2. Monitoreo de integridad del sitio web

El escáner Sucuri le está entregando el paquete Sucuri 2-in-1 Website AntiVirus.

En cada 3 horas, monitorea su sitio y también se asegura de que su sitio esté a salvo de malware, inyecciones de enlaces maliciosos, spam, etc.

El otro trabajo del escáner es verificar que ninguno de los servicios populares como Google, Norton, AVG, Phishtank, Opera y otros no puedan incluir su sitio en la lista negra.

3. Registro de auditoría del sitio

Todo en su sitio se mantiene seguro mediante el seguimiento de todo con el complemento WordPress de Sucuri.

Aquí todo estará alerta para usted, como cambios de archivos, nuevas publicaciones, nuevos usuarios, últimos inicios de sesión, intentos fallidos de inicio de sesión y más.

4. Escaneo del lado del servidor

Si sus usuarios infectan con malware, los hackers no se preocupan.

Tal vez su objetivo es simplemente agregar anuncios de banner en su publicación anterior / puede reemplazar sus enlaces de afiliado.

Es muy difícil atrapar este tipo de hacks porque no son obvios y no estás en la lista negra para este tipo de hacks.

En este momento, el escaneo del lado del servidor es fácil de usar.

Este escáner del lado del servidor del complemento puede revisar cada uno de los archivos individuales (incluso archivos que no son Wp) y le asegurará que no haya nada sospechoso / dañino en su servidor.

Sucuri también audita eventos que incluyen cambios de archivos y le informa según sus necesidades.

5. Servicio de limpieza de malware

Incluso todas las razones anteriores son suficientes para justificar el costo, puede obtener el servicio de limpieza de malware con páginas ilimitadas si tiene la eliminación de la lista negra.

Todavía no tenemos la oportunidad de usar esta parte del servicio, pero ¿te imaginas que si tienes expertos en seguridad limpiará tu sitio?

Si desea consultar con expertos en seguridad, en promedio le cobrará $ 250 / hora.

Que los expertos en seguridad consulten bastante caro pero Sucuri tiene una opción adicional para asegurar su sitio que no será pirateado.

El primer lugar al que irán los hackers cuando quieran hackear su sitio web será su área de administración de WordPress. La misma área también es vulnerable a la piratería, sin importar el tipo de plataforma que esté utilizando.

El área de administración de WordPress contiene un usuario administrador y una contraseña segura destinada a impedir que otras personas accedan a su configuración web. Para acceder al área de administración, debe ingresar el nombre de usuario y la contraseña en la página de inicio de sesión.

Aunque el área de administración de WordPress se crea teniendo en cuenta las medidas de seguridad, la página sigue siendo vulnerable a los piratas informáticos que requieren medidas de seguridad adicionales. Al emplear varios métodos para administrar la protección del área, puede minimizar en gran medida las posibilidades de una violación de seguridad.

Entonces, ¿cómo se asegura de que su área de administración de WordPress sea segura? Echemos un vistazo a los mejores y más confiables métodos.

1. Crear enlaces de inicio de sesión personalizados

Para acceder a su panel de administración de WordPress, debe escribir en su sitio con /wp-login.php. Si usa una contraseña en más de una ubicación y se vio comprometida, esto hace que sea bastante fácil para un hacker acceder a su sitio. Se recomienda que utilice un enlace de inicio de sesión personalizado único para su sitio web. Esto hace que sea más difícil ser hackeado.

Puede crear fácilmente enlaces de inicio de sesión personalizados utilizando el complemento Stealth Login . El complemento le permite crear URL personalizadas que puede usar para registrarse, iniciar sesión, cerrar sesión y administrar su sitio de WordPress.

También puede habilitar el “Modo invisible” para evitar que cualquier usuario acceda a su ‘wp-login.php’ directamente. Luego puede crear una URL de inicio de sesión más críptica. Hacer esto asegura que si alguien puede descifrar su contraseña, no será tan fácil encontrar su página de inicio de sesión. Este tipo de acción también evita que cualquier bot malicioso acceda a su archivo wp-login.php y lo ataque.

2. Use contraseñas seguras

Cuanto más popular sea su sitio web, más vulnerable es a la piratería. La forma más fácil de hackear un sitio web es descifrando las contraseñas de inicio de sesión. No hace falta decir que cuanto más débiles sean sus contraseñas, más fácil será descubrirlas. La mayoría de los propietarios de sitios web no piensan demasiado en sus contraseñas y suelen elegir algo fácil de recordar.

La mayoría de las veces, las contraseñas son el eslabón más débil de esta cadena. ¿La razón? La forma en que generalmente se manejan o eligen las contraseñas es demasiado temeraria. Lo bueno es que la mayoría de los sitios web ahora le mostrarán qué tan fuerte o débil es su contraseña. Para mantenerse seguro, haga que su contraseña de WordPress tenga al menos 7 caracteres de largo mezclando mayúsculas, minúsculas, números y símbolos.

3. Limite los intentos de inicio de sesión

Un truco que usan los hackers para descifrar contraseñas es usar un script para adivinar su contraseña. Esto significa que seguirán intentando iniciar sesión. Para evitar que lo consigan, agregue un límite de intento de inicio de sesión. Esto limitará la cantidad de veces que alguien intenta iniciar sesión en su sitio web con una contraseña incorrecta. El intento de inicio de sesión limita el trabajo al bloquear el sitio siempre que haya numerosos intentos de inicio de sesión y le notifica sobre la actividad no autorizada.

Puede limitar fácilmente los intentos de inicio de sesión con el complemento de seguridad iThemes. El complemento detecta malware, lo elimina y mantiene su sitio web de futuros ataques. El complemento de seguridad iThemes mantendrá su sitio web protegido contra las amenazas de seguridad más comunes al bloquear las cuentas de WordPress, forzar la identificación de dos factores, mantener contraseñas seguras, ocultar sus páginas de administrador e inicio de sesión, etc.

El complemento de seguridad iThemes es muy flexible y está diseñado de manera que pueda ser utilizado fácilmente tanto por principiantes como por usuarios experimentados. El complemento también le permite personalizarlo y configurarlo de acuerdo a cómo desea que funcione.

4. Agregar autenticación de 2 factores

Mejore la seguridad de su área de administración de WordPress agregando la autenticación de 2 factores a su página de inicio de sesión. La autenticación de 2 factores requerirá que cada usuario proporcione detalles de inicio de sesión para dos componentes separados. Puedes decidir cuáles serán estos dos componentes. Esto puede ser una contraseña y una respuesta a una pregunta secreta.

Puede agregar autenticación de 2 factores en su sitio web de WordPress utilizando el complemento WP Google Authenticator . Es fácil de usar, lo tendrás funcionando en unos pocos clics.

5. Eliminar la cuenta de usuario administrador

Cuando instales WordPress, se creará automáticamente una cuenta de administrador. La cuenta también viene con un administrador de usuario generado automáticamente. El perfil de administrador de usuario tiene una configuración predeterminada y no es tan seguro, por lo que es un objetivo fácil.

Es aconsejable eliminar el usuario administrador predeterminado y crear uno segundo. Primero, asegúrese de cerrar sesión en el backend e iniciar sesión con los nuevos detalles de administrador. Entonces ahora puede eliminar el usuario administrador predeterminado.

6. Proteja su directorio wp-admin

El directorio wp-admin es la fuerza impulsora detrás de su sitio web de WordPress. Un ataque a este directorio dañará en gran medida su sitio web. En realidad, podría hacer que su sitio web se bloquee. La mejor manera de proteger su directorio wp-admin es usar una contraseña. Esto significa que accederá a su tablero usando dos contraseñas. Uno en la página de inicio de sesión y otro en el área de administración de WordPress.

Utilice el complemento AskApache Password Protect para proteger con contraseña su directorio wp-admin. El complemento generará automáticamente un archivo .htpasswd, cifrará la contraseña elegida y luego configurará los permisos correctos de seguridad mejorada.

7. Cifrar datos usando SSL

Esta es probablemente la mejor manera de asegurar el área de administración de su sitio web. El certificado Secure Socket Layer (SSL) se asegurará de que los datos transferidos desde los navegadores de los usuarios a los servidores sean seguros. Esto hace que sea muy difícil para los piratas informáticos romper la conexión. Un certificado SSL ayudará a que su sitio web tenga una clasificación más alta porque se considera seguro.

Hay muchas compañías que venden certificados SSL, pero también puede obtenerlo de su compañía de alojamiento como parte del paquete de alojamiento. Por ejemplo, SiteGround ofrece Let’s Encrypt gratis cuando compra su paquete de alojamiento.

8. Controle sus archivos a menudo

Observe regularmente cualquier cambio que tenga lugar en los archivos de su sitio web. Acunetix WP Security es un buen complemento que puede ayudarlo a monitorear sus archivos. El complemento controlará sus archivos de forma rutinaria y ofrecerá sugerencias sobre cómo proteger los permisos de los archivos y la base de datos, la protección del administrador de WordPress y mucho más.

9. Haga una copia de seguridad de su sitio regularmente

Incluso después de poner en práctica todas las medidas mencionadas anteriormente, es importante ir un paso más allá y hacer una copia de seguridad de sus archivos porque no hay una garantía del 100% de que su sitio web sea completamente seguro. Siempre es mejor prevenir que curar.

Las copias de seguridad son excelentes porque, toca la madera, en caso de incumplimiento, puede guardar fácilmente su trabajo restaurando sus archivos. BackUp Breeze es un excelente complemento de copia de seguridad que le permite realizar copias de seguridad de su sitio de WordPress con solo un clic en cuestión de minutos.

10. Utilice la protección antivirus

Nunca puedes equivocarte con el antivirus. AntiVirus para WordPress es eficaz para proteger su sitio de WordPress contra ataques de seguridad y spam. El complemento tiene una función de prueba manual que proporciona un resultado inmediato de los archivos infectados. La función de verificación automática diaria revisa su sitio en busca de malware a diario y le envía notificaciones por correo electrónico.

El antivirus es fácil de usar. Configure el antivirus para escanear automáticamente sus archivos y bases de datos diariamente. Las notificaciones diarias son excelentes porque lo mantendrán al tanto de cualquier problema de seguridad y lo abordarán de inmediato.

11. Mantenga su software actualizado

Los desarrolladores de WordPress siempre están actualizando la plataforma para combatir las vulnerabilidades en WordPress. Por lo tanto, es importante que mantenga siempre actualizadas sus instalaciones y complementos de seguridad. Configure su sitio de WordPress y sus complementos para actualizarse automáticamente cada vez que se lancen nuevas versiones. De esta manera, puede estar seguro de no olvidar.

En conclusión

Una vez más, como se mencionó, no hay una garantía total para mantener su sitio web seguro de vulnerabilidades. Sin embargo, es mejor tener cuidado con las medidas de seguridad e intentar lo mejor posible para hacerlas cumplir. Con los consejos mencionados anteriormente, puede mejorar la seguridad de su área de administración de WordPress y mantener a raya a los hackers. Al principio, esto puede parecer abrumador, pero la mejor parte es que la mayoría de los complementos deben instalarse una vez y harán el resto sin mucha información de usted.

Mantenga los guiones, temas y complementos actualizados

Una de las cosas más fáciles y también las más importantes es mantener todo actualizado, incluidos los CMS, los temas y los complementos.

Hoy en día, es una moda construir sitios web con software de terceros como WordPress y Joomla. Estas aplicaciones ofrecen una gran facilidad de uso, pero es completamente su tarea asegurarse de que estén actualizadas. Las actualizaciones se lanzan de vez en cuando, y usted debe estar bien informado. La reparación de las vulnerabilidades conocidas en la versión anterior reduce la posibilidad de piratería.

En cuanto a los temas y complementos utilizados en su sitio, asegúrese de poder realizar un seguimiento de sus actualizaciones. Para aquellos que no han recibido actualizaciones durante mucho tiempo, 1 año, por ejemplo, deje de usarlas y busque una alternativa. Además, debe eliminar los temas y complementos no utilizados en lugar de dejarlos solo desactivados y no actualizados.

Utilice credenciales de inicio de sesión impredecibles

Debe utilizar un nombre de usuario impredecible y una contraseña complicada para acceder tanto al servidor como al sitio web. Nunca use “admin” o su nombre como nombre de usuario, y no use “admin”, “contraseña” o “1234567” como contraseña. Estas credenciales débiles dan una puerta abierta a los hackers.

Además, es mejor aplicar contraseñas seguras y cambios regulares para todos los usuarios. Por ejemplo, la longitud no debe ser inferior a ocho caracteres y se deben incluir letras mayúsculas y caracteres especiales. Si su sitio está construido con WordPress, esto se puede hacer fácilmente mediante el uso de un complemento de seguridad.

Otra tarea, que es un poco avanzada, es que debe asegurarse de que todas las contraseñas estén almacenadas de forma segura en la base de datos. Aquí hay dos sugerencias si desea aplicar seguridad adicional a las contraseñas.

  • use un algoritmo de hashing unidireccional como sha para almacenar contraseñas. En este caso, los hackers no pueden descifrar la información cifrada.
  • sal las contraseñas. Agregar sales al hash de una contraseña es eficaz para luchar contra los ataques de diccionario. Al usar una sal diferente para cada contraseña, la seguridad se puede mejorar aún más.

Asegure el área de administración de su sitio web

El área de administración es el cerebro de su sitio, por lo que debe hacer todo lo posible para evitar el acceso malicioso. El ataque de fuerza bruta es el método más frecuente para que los piratas informáticos entren en el área de administración de su sitio. Para deshacerse del riesgo, además de garantizar la seguridad del nombre de usuario y la contraseña, puede:

Limite los intentos fallidos de inicio de sesión

Puede limitar la frecuencia de las pruebas de acceso fallidas en un determinado período de tiempo. Si el error de inicio de sesión alcanza la limitación, el usuario quedará bloqueado, lo que dificulta el éxito de los ataques de fuerza bruta.

Use los mensajes de error apropiados

Cuando falla un intento de inicio de sesión, algunos scripts devuelven mensajes de error que le dicen al usuario que el nombre de usuario / contraseña es incorrecto, lo que de hecho ayuda a los piratas informáticos. Por lo tanto, debe cambiar los mensajes de error para que sean más vagos como “El nombre de usuario o la contraseña ingresados ​​son incorrectos”. Si no sabe cómo hacerlo, lea este tutorial personalizado de la página de inicio de sesión.

Limitar la IP

Si su sitio web solo tiene varios contribuyentes, simplemente puede permitir que sus IP accedan al área de administración y luego prohibir todas las demás IP. Este es un método de seguridad bastante efectivo. Pero no es una opción adecuada para sitios con una gran cantidad de autores.

Asegure el correo electrónico del administrador

Solo para evitar posibles problemas, no use los correos electrónicos que figuran en la página “contáctenos” ni ninguna otra sección obvia de su sitio como correo electrónico de administrador.

Mejora la seguridad de la base de datos

Hoy en día, muchos atacantes desearían apuntar a bases de datos porque incluyen la información más valiosa de su sitio. A continuación se presentan las mejores prácticas de seguridad de la base de datos.

Ejecute bases de datos en un servidor separado

Si es posible, debe mantener el servidor de la base de datos independiente, sin compartir el mismo servidor con el servidor web, por lo que incluso si el servidor web está comprometido, sus bases de datos aún están seguras. Usted no controla esto a menos que esté utilizando servidores dedicados, pero puede preguntarle al proveedor de alojamiento antes de realizar una compra.

Cambiar el prefijo de la tabla de la base de datos

Cuando utiliza instaladores de 1 clic para instalar scripts de terceros como WordPress, se crea automáticamente una base de datos con un prefijo de tabla predeterminado que es altamente predecible. Si no ha realizado ningún cambio en el proceso de instalación, debe ingresar a su base de datos y dar a las tablas un prefijo más seguro.

Evite usar un servidor compartido

En el caso de que esté ejecutando un sitio web con mucha información sensible o valiosa, no use hosting compartido. Como se sabe, el alojamiento compartido es barato pero no lo suficientemente seguro. Debe considerar el alojamiento de VPS al menos para sitios de negocios.

Archivos seguros

Hay algunas cosas que puede hacer para proteger los archivos, pero se debe prestar mucha atención a las dos tareas enumeradas a continuación.

Eliminar la carpeta de instalación de scripts

Después de instalar correctamente los scripts, debe eliminar la carpeta de instalación lo antes posible. La carpeta no sirve para su sitio, pero deja archivos ejecutables y otra información que los atacantes pueden usar para dañar su sitio.

Cambiar permisos de archivo

Los permisos de archivo determinan quién puede ejecutar, leer o escribir los archivos. Debe asegurarse de que ningún archivo en su servidor esté configurado con permisos peligrosos “777” que permitan a cualquiera leer, escribir y ejecutar el archivo. En términos generales, las siguientes reglas son adecuadas para la mayoría de los sitios web.

  • establecer permisos “755” para directorios y carpetas.
  • establecer permisos “644” a archivos individuales.

Puede cambiar el permiso de archivo mediante el Administrador de archivos en cPanel o un cliente FTP como FileZilla.

Asegure las cargas de archivos

Permitir la carga de archivos puede ser un problema grave de seguridad del sitio web porque algunos archivos pueden contener un script indetectable que abre la puerta de su sitio al pirata informático cuando se ejecuta. ¿Entonces qué deberías hacer?

Por supuesto, puede no permitir completamente la carga de archivos, pero esta no es la solución para la mayoría de los sitios web que necesitan imágenes por cualquier motivo. Hay algunos trucos mejores que puedes probar.

Limitar el tipo de archivo de carga

Es un paso básico para evitar que los usuarios carguen archivos ejecutables. Solo debe permitir la carga de imágenes limitando los tipos de archivo a “jpg”, “jpeg”, “png” y “gif”. En este caso, los archivos con extensiones como .html no podrán cargarse.

Cambie los permisos de archivo de la carpeta de carga a “666”

Al hacerlo, no se pueden ejecutar todos los archivos de la carpeta, por lo que incluso si hay un script oculto, no puede dañar su sitio web. Este método generalmente se ignora, pero es mejor que lo tome en serio.

Almacenar archivos cargados en una carpeta privada

Esta es una solución avanzada que requiere habilidades de codificación. Puede almacenar todos los archivos cargados en una carpeta que no se encuentra en la raíz de su sitio web para que no todos tengan acceso directo. Pero deberá crear un script para llevar los archivos de la carpeta privada a los navegadores de los visitantes. No estamos discutiendo cómo hacerlo aquí, y puede buscar en Google un tutorial detallado si está interesado.

Utilice las herramientas y tecnologías de seguridad del sitio web

Las herramientas de seguridad adicionales pueden mantenerlo bien informado sobre el peligro de su sitio y ayudarlo a eliminar los problemas.

Registrarse Herramientas para webmasters de Google

Google Webmaster Tools es una gran ayuda para mejorar la seguridad del sitio web. Le enviará notificaciones cuando su sitio esté infectado por malware, para que pueda responder de inmediato y limpiar el malware.

Usar SSL

Un certificado SSL es importante para todos los sitios web que hacen negocios en línea. Asegura la transferencia de información confidencial entre el servidor web y el sitio web, lo que hace que sea menos posible que la información sea robada. Después de instalar un certificado SSL, notará que el HTTP se ha transformado en HTTPS, junto con un símbolo de bloqueo en la barra de direcciones.

Considere SiteLock

Ya sea que esté ejecutando un sitio web basado en CMS o un sitio HTML, SiteLock puede ayudarlo con la seguridad. Es una solución paga que proporciona monitoreo diario de malware y vulnerabilidad. Los escaneos se realizan automáticamente. SiteLock también incluye un firewall de aplicación web.

Use un firewall de aplicaciones web

Los firewalls de aplicaciones web se usan para controlar todo el tráfico a su sitio web y filtrar el tráfico según la política configurada. Pueden bloquear la mayoría de los ataques conocidos y el tráfico de varias listas negras. Y también pueden reducir los riesgos de seguridad causados ​​por las secuencias de comandos entre sitios (XSS) y la inyección de SQL.

Use un complemento / extensión de seguridad

Las aplicaciones de código abierto como WordPress y Joomla vienen con una gran cantidad de complementos fáciles de usar y con muchas funciones que brindan protección integral a los sitios web. Puede leer los comentarios y luego seleccionar el que mejor se adapte a sus necesidades. Pero recuerde no usar más de un complemento de seguridad a la vez.

Manténgase informado de las nuevas tecnologías y nunca deje de aprender

Internet es un lugar en constante cambio donde los piratas informáticos siguen actualizando las habilidades y técnicas. Por lo tanto, también debe aprender cosas nuevas y aplicar las últimas tecnologías para asegurar su sitio.

Si ha encontrado algunos blogs excelentes sobre la mejora de la seguridad del sitio web, suscríbase al boletín. Entonces podrá conocer los últimos virus y errores en Internet y mantenerse a la vanguardia en la lucha contra los piratas informáticos.

Estoy compartiendo 20 consejos simples para asegurar su WordPress:

1. Configurar el bloqueo del sitio web y prohibir a los usuarios

Una función de bloqueo para intentos fallidos de inicio de sesión puede resolver un gran problema, es decir, no más intentos continuos de fuerza bruta. Cada vez que hay un intento de piratería con contraseñas repetitivas incorrectas, el sitio se bloquea y se le notifica de esta actividad no autorizada.

Descubrí que el complemento de seguridad iThemes es uno de los mejores complementos que existen. El complemento tiene mucho que ofrecer a este respecto. Puede especificar un cierto número de intentos fallidos de inicio de sesión después de lo cual el complemento prohíbe la dirección IP del atacante (como alternativa, también puede usar el complemento Iniciar sesión LockDown que se creó para ayudarlo solo con este problema).

2. Utilice la autenticación de 2 factores: presentar la autenticación de 2 factores (2FA) en la página de inicio de sesión es otra buena medida de seguridad. En este caso, el usuario proporciona detalles de inicio de sesión para dos componentes diferentes. El propietario del sitio web decide cuáles son esos dos. Puede ser una contraseña normal seguida de una pregunta secreta, un código secreto, un conjunto de caracteres, etc. Prefiera usar un código secreto mientras implementa 2FA en cualquiera de sus sitios web. El complemento WP Google Authenticator ayuda con eso con solo unos pocos clics.

3. Use el correo electrónico como inicio de sesión

De manera predeterminada, debe ingresar su nombre de usuario para iniciar sesión. Usar un ID de correo electrónico en lugar de un nombre de usuario es un enfoque más seguro. Las razones son bastante obvias. Los nombres de usuario son fáciles de predecir, mientras que los ID de correo electrónico no lo son. Además, cualquier cuenta de usuario de WordPress siempre se crea con una dirección de correo electrónico única, por lo que es un identificador válido para iniciar sesión.

El complemento WP Email Login funciona de forma inmediata para este propósito. Comienza a funcionar justo después de la activación y no requiere configuración alguna. Para probarlo, simplemente cierre sesión en su sitio web y luego vuelva a iniciar sesión, pero esta vez use la dirección de correo electrónico con la que creó la cuenta.

4. Cambie el nombre de su URL de inicio de sesión

Cambiar la URL de inicio de sesión es algo fácil de hacer. De forma predeterminada, se puede acceder fácilmente a la página de inicio de sesión de WordPress a través de wp-login.php o wp-admin agregado a la URL principal del sitio. Cuando los hackers conocen la URL directa de su página de inicio de sesión, pueden intentar ingresar por la fuerza bruta. intente iniciar sesión con su GWDb (Guess Work Database, es decir, una base de datos de nombres de usuario y contraseñas adivinados; por ejemplo, nombre de usuario: administrador y contraseña: [correo electrónico protegido] … con millones de esas combinaciones). Entonces, en este punto, si tiene Lo hemos seguido: ya hemos restringido los intentos de inicio de sesión del usuario e intercambiado los nombres de usuario por ID de correo electrónico. Ahora podemos reemplazar la URL de inicio de sesión y deshacernos del 99% de los ataques directos de fuerza bruta.

Este pequeño truco restringe el acceso de una entidad no autorizada a la página de inicio de sesión. Solo alguien con la URL exacta puede hacerlo. Nuevamente, el complemento de seguridad iThemes puede ayudarlo a cambiar sus URL de inicio de sesión. Al igual que:

Cambie wp-login.php a algo único; por ejemplo, my_new_login

Cambie / wp-admin / a algo único; por ejemplo, my_new_admin

Cambie /wp-login.php?action=register a algo único; eg my_new_registeration

5. Ajusta tus contraseñas

Juega con las contraseñas del sitio web y cámbialas regularmente. Mejore su fuerza agregando letras mayúsculas y minúsculas, números y caracteres especiales. Este generador de contraseñas es un recurso útil.

Para un hacker, la parte más atractiva de un sitio web es el panel de administración, que de hecho es la sección más protegida de todas. Entonces, atacar la parte más fuerte es el verdadero desafío y, si se logra, le da al hacker una victoria moral y el acceso para hacer mucho daño.

Esto es lo que puedes hacer:

6. Proteja el directorio wp-admin:

El directorio wp-admin es el corazón de cualquier sitio web de WordPress. Por lo tanto, si esta parte de su sitio se viola, todo el sitio puede dañarse.

Una posible forma de evitar esto es proteger con contraseña el directorio wp-admin. Con dicha medida de seguridad, el propietario del sitio web puede acceder al tablero enviando dos contraseñas. Uno protege la página de inicio de sesión y el otro el área de administración de WordPress. Si se requiere que los usuarios del sitio web tengan acceso a algunas partes particulares de wp-admin, puede desbloquear esas partes mientras bloquea el resto. Puede usar el complemento AskApache Password Protect para proteger el área de administración. Genera automáticamente un archivo .htpasswd, cifra la contraseña y configura los permisos de archivo correctos de seguridad mejorada.

7. Use SSL para cifrar datos

La implementación de un certificado SSL (Secure Socket Layer) es un movimiento inteligente para proteger el panel de administración. SSL garantiza la transferencia segura de datos entre los navegadores de los usuarios y el servidor, lo que dificulta que los piratas informáticos rompan la conexión o falsifiquen su información.

Obtener un certificado SSL para su sitio web de WordPress no es un problema. Puede comprar uno de algunas empresas dedicadas o, alternativamente, pedirle a su empresa de alojamiento que lo conecte con uno (a menudo es una opción con sus paquetes de alojamiento).

Utilizo el certificado SSL gratuito de código abierto Let’s Encrypt en la mayoría de mis sitios. Cualquier buena empresa de alojamiento como SiteGround ofrece Let’s Encrypt gratis con sus paquetes de alojamiento. El certificado SSL también afecta la clasificación de su sitio web en Google. Google clasifica los sitios con SSL más altos que los que no lo tienen. Eso significa más tráfico. ¿Ahora quién no quiere eso?

8. Agregue cuentas de usuario con cuidado

Si ejecuta un blog de WordPress, o más bien un blog de varios autores, debe tratar con varias personas que acceden a su panel de administración. Esto podría hacer que su sitio web sea más vulnerable a las amenazas de seguridad. Puede usar un complemento como Force Strong Passwords para sus usuarios si desea asegurarse de que las contraseñas que usan sean seguras. Esto es solo una medida de precaución.

Contraseñas de fuerza-fuerza

9. Cambiar el nombre de usuario administrador

Durante la instalación de WordPress, nunca debe elegir “admin” como nombre de usuario para su cuenta de administrador principal. Un nombre de usuario tan fácil de adivinar es accesible para los hackers. Todo lo que necesitan saber es la contraseña, y todo su sitio cae en las manos equivocadas. No puedo decirle cuántas veces me he desplazado por los registros de mi sitio web, y he encontrado intentos de inicio de sesión con el nombre de usuario “admin”. El complemento de seguridad iThemes puede detener dichos intentos de manera inteligente al prohibir de inmediato cualquier dirección IP que intente iniciar sesión con ese nombre de usuario.

10. Controle sus archivos

Si desea agregar seguridad adicional, puede monitorear los cambios en los archivos del sitio web a través de complementos como Acunetix WP Security, Wordfence o, de nuevo, iThemes Security.

Todos los datos e información de su sitio se almacenan en la base de datos. Cuidarlo es crucial. Aquí hay algunas cosas que puede hacer para hacerlo más seguro:

11. Cambiar el prefijo de la tabla de la base de datos de WordPress

Si alguna vez instaló WordPress, entonces está familiarizado con el prefijo wp-table que utiliza la base de datos de WordPress. Te recomiendo que lo cambies a algo único.

El uso del prefijo predeterminado hace que la base de datos de su sitio sea propensa a ataques de inyección SQL. Tal ataque puede prevenirse cambiando wp- a algún otro término, por ejemplo, puede hacerlo mywp-, wpnew-, etc.

Si ya instaló su sitio web de WordPress con el prefijo predeterminado, puede usar algunos complementos para cambiarlo. Los complementos como WP-DBManager o iThemes Security pueden ayudarlo a hacer el trabajo con solo un clic de un botón. (Asegúrese de hacer una copia de seguridad de su sitio antes de hacer algo en la base de datos).

12. Haga una copia de seguridad de su sitio regularmente

No importa cuán seguro sea su sitio web, siempre hay espacio para mejoras. Pero al final del día, mantener una copia de seguridad fuera del sitio en algún lugar es quizás el mejor antídoto pase lo que pase.

Si tiene una copia de seguridad, siempre puede restaurar su sitio web de WordPress a un estado de funcionamiento en cualquier momento que lo desee. Hay algunos complementos que pueden ayudarlo a este respecto. Por ejemplo, hay todos estos.

Si está buscando una solución premium, le recomiendo VaultPress de Automattic, lo cual es excelente. Lo tengo configurado para que cree copias de seguridad cada 30 minutos. Y si alguna vez sucede algo malo, puedo restaurar fácilmente el sitio con solo un clic. Además de eso, también revisa mi sitio en busca de malware y me alerta si está ocurriendo algo sospechoso.

13. Establezca contraseñas seguras para su base de datos

Una contraseña segura para el usuario de la base de datos principal es imprescindible, la que WordPress usa para acceder a la base de datos.

Como siempre, use mayúsculas, minúsculas, números y caracteres especiales para la contraseña. Una vez más, recomiendo el generador de contraseñas como un recurso útil.

Casi todas las empresas de hosting afirman proporcionar un entorno optimizado para WordPress, pero aún podemos ir un paso más allá:

14. Proteja el archivo wp-config.php

El archivo wp-config.php contiene información crucial sobre su instalación de WordPress, y de hecho es el archivo más importante en el directorio raíz de su sitio. Protegerlo significa proteger el núcleo de tu blog de WordPress.

A los piratas informáticos les resulta difícil violar la seguridad de su sitio si el archivo wp-config.php se vuelve inaccesible para ellos.

La buena noticia es que hacer que esto suceda es realmente fácil. Simplemente tome su archivo wp-config.php y muévalo a un nivel más alto que su directorio raíz.

Ahora la pregunta es, si la almacena en otro lugar, ¿cómo accede el servidor? En la arquitectura actual de WordPress, la configuración del archivo de configuración es la más alta en la lista de prioridades. Entonces, incluso si está almacenado una vez por encima del directorio raíz, WordPress aún puede verlo.

15. No permitir la edición de archivos

Si un usuario tiene acceso de administrador a su panel de WordPress, puede editar cualquier archivo que forme parte de su instalación de WordPress. Esto incluye todos los complementos y temas.

Sin embargo, si no permite la edición de archivos, incluso si un hacker obtiene acceso de administrador a su panel de control de WordPress, aún no podrá modificar ningún archivo.

Agregue lo siguiente al archivo wp-config.php (al final):

define (‘DISALLOW_FILE_EDIT’, verdadero);

16. Conecte el servidor correctamente

Al configurar su sitio, conecte el servidor solo a través de SFTP o SSH. SFTP siempre se prefiere sobre el FTP tradicional debido a sus características de seguridad que, por supuesto, no se atribuyen con FTP.

Conectar el servidor de esta manera garantiza transferencias seguras de todos los archivos. Muchos proveedores de alojamiento ofrecen este servicio como parte de su paquete. Si no, puedes hacerlo manualmente (solo busca tutoriales en Google; hay muchas cosas por ahí).

17. Establezca los permisos de directorio con cuidado

Los permisos de directorio incorrectos pueden ser fatales, especialmente si está trabajando en un entorno de alojamiento compartido.

En tal caso, cambiar los archivos y los permisos de directorio es un buen movimiento para asegurar el sitio web en el nivel de alojamiento. Establecer los permisos de directorio en “755” y los archivos en “644” protege todo el sistema de archivos: directorios, subdirectorios y archivos individuales.

Esto se puede hacer manualmente a través del Administrador de archivos dentro de su panel de control de alojamiento, o a través del terminal (conectado con SSH): use el comando ” chmod “.

Para obtener más información, puede leer sobre el esquema de permisos correcto de WordPress o instalar el complemento de seguridad iThemes para verificar su configuración de permisos actual.

18. Deshabilite la lista de directorios con .htaccess

Si crea un nuevo directorio como parte de su sitio web y no coloca un archivo index.html en él, puede sorprenderse al descubrir que sus visitantes pueden obtener una lista completa del directorio de todo lo que está en ese directorio.

Por ejemplo, si crea un directorio llamado “datos”, puede ver todo en ese directorio simplemente escribiendo http://www.example.com/data/ en su navegador. No se necesita contraseña ni nada. Puede evitar esto agregando la siguiente línea de código en su archivo .htaccess :

Opciones Todos-Índices

Los temas y complementos son ingredientes esenciales de cualquier sitio web de WordPress. Desafortunadamente, también pueden plantear serias amenazas de seguridad. Veamos cómo podemos asegurar los temas y complementos de WordPress de la manera correcta:

19. Actualice regularmente

Todos los buenos productos de software son compatibles con sus desarrolladores y se actualizan de vez en cuando, pero WordPress se actualiza con mucha frecuencia. Estas actualizaciones están destinadas a corregir errores y, a veces, tienen parches de seguridad vitales.

No actualizar sus temas y complementos puede significar serios problemas. Muchos hackers confían en el simple hecho de que las personas no pueden molestarse en actualizar sus complementos y temas. La mayoría de las veces, esos piratas informáticos explotan los errores que ya se han solucionado. Por lo tanto, si usa productos de WordPress, actualícelos regularmente. Complementos, temas, todo.

20. Elimina tu número de versión de WordPress

Su número de versión actual de WordPress se puede encontrar muy fácilmente. Básicamente se encuentra justo allí en la vista de origen de su sitio. Aquí está la cosa, si los piratas informáticos saben qué versión de WordPress usa, es más fácil para ellos crear el ataque perfecto. Puede ocultar su número de versión con casi todos los complementos de seguridad que Lo mencioné anteriormente.

Ultimas palabras

Si eres un principiante, eso fue mucho para asimilar. Todo lo que mencioné en este artículo es un paso en la dirección correcta. Cuanto más te preocupes por la seguridad de tu sitio de WordPress, más difícil será para un hacker entrar.

Las mejoras de seguridad para los sitios de WordPress son muy importantes. No quieres que tu sitio web sea pirateado, ¿verdad? Esto podría ser un problema grave.

¿Qué malware podría hacer?

  • infectar archivos (PHP, JS, etc.),
  • robar su base de datos (incluidos los clientes de WooCommerce y los detalles de la transacción),
  • robar inicios de sesión y contraseñas,
  • envíe spam (a sus clientes o cree un servidor de spam desde su sitio),
  • infectar los navegadores del usuario o PC / móvil completo o el suyo.

¿Qué debe hacer si tendrá un malware?

  1. ¡No entres en pánico! WordPress es el CMS más popular del mundo. Esto provocó que sea el objetivo de la mayor cantidad de ataques de hackers.
  2. Vaya a este sitio -> ¿Ha sido pirateado?
  3. Asegúrate de haber hecho el segundo punto con cuidado.
  4. Encuentra lugares sospechosos infectados por malware (te recomiendo usar Perfect Dashboard) para eso. Puede usar el análisis de malware y también encontrar cambios en los archivos Core de WordPress).
  5. Después de eso, restaure su copia de seguridad porque tiene una copia de seguridad, ¿verdad?
  6. Cuida la seguridad. Agregue Firewall de aplicaciones web, como Sucuri (nunca, absolutamente nunca, use complementos como: WordFence Security (Búsqueda), All in one WP Security and Firewall (Búsqueda), iThemes Security (Búsqueda) o Bulletproof Security (Búsqueda) – han tiene serias vulnerabilidades de seguridad!)

¿Qué debe hacer para mejorar la seguridad de su sitio web?

  • no use el inicio de sesión igual que el nombre de dominio
  • use contraseñas seguras para WordPress, hosting y base de datos
  • use bases de datos separadas para cada sitio web con un nombre de usuario diferente al nombre de la base de datos
  • usar proveedores de alojamiento de dominio separados
  • no use instaladores automáticos como Installatron, esto es puro maldad 🙂
  • usar un prefijo de tabla fuerte

Qué más:

  • para guardar la contraseña, use administradores de contraseña seguros externos como LastPass , no el navegador incorporado
  • siempre use temas y complementos de fuentes seguras
  • actualice su núcleo, tema y complementos regularmente: le recomiendo usar Perfect Dashboard con pruebas visuales después de cada actualización
  • haga copias de seguridad : lo mismo aquí, en Perfect Dashboard puede programar copias de seguridad automáticas con prueba de malware y escanear en busca de cambios personalizados en los archivos principales y almacenarlos en servidores seguros externos

Métodos avanzados:

  • cambiar sales predeterminadas Qué, por qué y cómo de las claves de seguridad de WordPress
  • ocultar algunos archivos
  
 Orden permitir, negar 
 Negar todo 
 
  • ocultar versión
  remove_action ('wp_head', 'wp_generator');
  • página de inicio de sesión segura
  
 AuthType Basic
 AuthGroupFile / dev / null
 AuthName "¿Qué estás buscando?"
 AuthUserFile /path/.htpasswdrequire 
 usuario válido
 
  • eliminar XMLRPC
  add_filter ('xmlrpc_enabled', '__return_false');
  • … y muchos muchos mas…

Espero haber ayudado!

Hay muchos pasos que puede seguir para hacer que su sitio de WordPress sea más seguro.

1. Oculte su página de inicio de sesión cambiando el enlace de http://your-website.com/wp-admin a http://your-website.com/your-secret-word ; esto puede hacerse utilizando un plugin llamado WPS Ocultar inicio de sesión.

2. Utilice una empresa de seguridad y rendimiento web como Cloudflare, tienen muchos paquetes, incluida una opción gratuita. Puede configurar su seguridad a un nivel de satisfacción a través de ellos. Pueden proteger a sus visitantes y a usted de muchas maneras, incluida la Ofuscación de direcciones de correo electrónico, Excluye del lado del servidor, Protección Hotlink, SSL, Seguridad de transporte estricta HTTP, Extracción de origen autenticada, TLS, Certificados, Firewall contra direcciones IP en la lista negra y más. También hacen que sea más difícil para las personas saber dónde está alojado su sitio de WordPress debido al uso de sus servidores de nombres.

3. Si la información de su dominio aún no es privada, debería serlo, especialmente si está utilizando su dirección personal para comprar dominios. Las personas pueden conocer su dirección usando Who.is

4. Utilice un servicio de computación en la nube, como los servicios web de Amazon, para entregar la mayor cantidad de contenido posible, incluidos medios (imágenes, video, etc.), scripts (javascript, CSS) y más. Además, use múltiples proveedores. Esto hace que sus servidores web sean más estables frente al tráfico masivo y acelera su sitio si se hace correctamente.

Hay muchas más cosas que puede hacer, por ahora esos cuatro puntos deberían ser suficientes para comenzar. No dude en ponerse en contacto conmigo en cualquier momento para obtener ayuda.

Su protección debe cubrir múltiples capas:

1. Servidor

Asegúrese de ejecutar el sitio de hora en un centro de datos sólido donde el acceso físico a su hardware está protegido. El segundo es mantener actualizado el sistema operativo, el servidor web y todo el software de soporte. Si es posible, organice un servidor de respaldo que pueda sincronizarse con el servidor de producción. Eso también es inteligente para fines de desarrollo.

También debe considerar el sistema de base de datos y acceder a él. Ningún administrador del sistema debería tener acceso completo a todo el dB, por ejemplo, y no debería permitirse ninguna conexión externa a la base de datos. En un sitio de alto tráfico, debería considerar colocar el dB en un servidor separado por razones de rendimiento y seguridad.

2. WordPress

Se dan muchas sugerencias sobre cómo asegurar WordPress. Sin embargo, echo de menos la necesidad de acceder a la administración a través de TLS (SSL). Aún mejor sería la autenticación de dos factores. Puede usar WordFence o Wp firewall simple, que son excelentes complementos de seguridad con sus propios puntos fuertes.

Elimine todos los complementos y temas no utilizados y ejecute algo como Wp optimice regularmente para deshacerse de las entradas innecesarias de la base de datos.

Asegúrese de que todos los permisos de archivo estén bien configurados y escanee regularmente en busca de malware y / o cambios de archivos.

Definitivamente use Cloudflare (al menos la versión Pro) ya que le proporcionará un excelente firewall de aplicaciones web y un DNS rápido.

Realice copias de seguridad periódicas y / o sincronice en tiempo real con otro servidor. En caso de que sus medidas no fueran lo suficientemente buenas.

3. Personas y políticas

Asegúrese de saber quién accede a su servidor, cómo y por qué. Utilice solo la conexión SSH y restrinja lo que los usuarios pueden hacer según sus necesidades. Hay algunos complementos geniales que pueden ayudarte con esto. Considere las actualizaciones automáticas para los complementos, pero solo si tiene un buen plan de respaldo o un sitio provisional, ya que algunas actualizaciones de complementos pueden bloquear su sitio.

WordPress es una de las plataformas más populares cuando se trata de la web. Algunas estadísticas dicen que cada cuarto sitio web funciona con WordPress.

Esto es lo que puede hacer para asegurar su sitio de WordPress

1- Asegurando wp-config.php
Simplemente agregando este código al archivo .htaccess.

orden permitir, negar
Negar todo

Agregar esto a wp-config.php no permitir la edición de archivos
define (‘DISALLOW_FILE_EDIT’, verdadero);
2- Asegurar / wp-content Directory
orden negar, permitir
Negar todo

permitir de todos

3- Asegurando wp-incluye
Al bloquear esos scripts usando mod_rewrite en el archivo .htaccess
# Bloquee los archivos de solo inclusión.

RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / incluye / – [F, L]
RewriteRule! ^ Wp-includes / – [S = 3]
RewriteRule ^ wp-includes / [^ /] + \. Php $ – [F, L]
RewriteRule ^ wp-includes / js / tinymce / langs /.+ \. Php – [F, L]
RewriteRule ^ wp-includes / theme-compat / – [F, L]

# COMIENZA WordPress

NOTA: WordPress no debe sobrescribir el código, colóquelo fuera de las etiquetas # BEGIN WordPress y # END WordPress en el archivo .htaccess, ya que wordpress puede sobrescribir cualquier cosa entre estas etiquetas.

4- Eliminar mensaje de error en la página de inicio de sesión
Agregue esto en functions.php
función no_wordpress_errors ()
{
volver ‘¡Algo está mal!’;
}
add_filter (‘login_errors’, ‘no_wordpress_errors’);

5- Desactivar el informe de errores de PHP
Agregue las siguientes líneas a wp-config.php
error_reporting (0);
@ini_set (‘display_errors’, 0);

6- Deshabilitar WordPress XML-RPC
# Bloquear solicitudes xmlrpc.php de WordPress

orden negar, permitir
Negar todo
permitir desde 123.123.123.123

7- Ocultar nombres de usuario de autor
add_action (‘template_redirect’, ‘bwp_template_redirect’);
función bwp_template_redirect ()
{
if (es_autor ())
{
wp_redirect (home_url ()); salida;
}
}

8- Ocultar wp-config.php y .htaccess


orden permitir, negar
Negar todo


orden permitir, negar
Negar todo

9- Deshabilita la lista de directorios y la navegación con .htaccess
Simplemente agregue lo siguiente en .htaccess
Opciones Todos-Índices
Opciones-Índices

10- Desactiva la ejecución de PHP en los directorios de WordPress


Negar todo

11-Desactivar el Hotlinking de imágenes en WordPress usando .htaccess

# deshabilitar el enlace directo de imágenes con la opción de imagen prohibida o personalizada
RewriteEngine en
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yoursite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Google [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Go Arcade Go [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ – [NC, F, L]

12- Proteger .htaccess del acceso no autorizado


orden permitir, negar
Negar todo
satisfacer a todos

13- Protege tu área de administración de WordPress
AuthUserFile / dev / null
AuthGroupFile / dev / null
AuthName “Control de acceso de administrador de WordPress”
AuthType Basic

orden negar, permitir
Negar todo
# lista blanca dirección IP de Syed
permitir desde xx.xx.xx.xxx
# lista blanca dirección IP de David
permitir desde xx.xx.xx.xxx
# lista blanca dirección IP de Amanda
permitir desde xx.xx.xx.xxx
# lista blanca dirección IP de Muhammad
permitir desde xx.xx.xx.xxx
# lista blanca Dirección IP del trabajo
permitir desde xx.xx.xx.xxx

14- Prohibición de direcciones IP sospechosas

Desea bloquear el acceso de una dirección IP a su sitio web.


orden permitir, negar
negar de xxx.xxx.xx.x
permitir de todos

15- Elimine cualquier complemento o tema que no esté utilizando o que no sea de desarrolladores confiables.
16- Verifique los permisos de archivo y cámbielos de vez en cuando.
17- Limitar los intentos de inicio de sesión – complemento
18- Contraseña de un solo uso – complemento
19- Crear enlaces de inicio de sesión personalizados – plugin
20- Seguridad BulletProof – complemento

Las violaciones de seguridad de WordPress no son nada nuevo y han estado ocurriendo desde que WordPress se creó. Afortunadamente, WordPress es una plataforma de código abierto. Es por eso que tenemos toneladas de complementos de seguridad efectivos de WordPress que mantendrán su sitio seguro.

Permítanme compartir algunos de los mejores complementos de seguridad de WordPress:

Wordfence

Sucuri

Seguridad y cortafuegos todo en uno WP

iThemes Security

Autenticador de Google

Hay muchos otros complementos de seguridad de WordPress que podrían adaptarse mejor a sus necesidades. Puede encontrarlos en el repositorio de WordPress de forma gratuita.

Recomendaría usar un escáner de vulnerabilidad de seguridad de WordPress cuando su sitio esté en funcionamiento. Existen varios escáneres, como la herramienta de código abierto wpscan y el servicio en la nube WPScans.com | Análisis de seguridad de WordPress en línea para detectar vulnerabilidades.

También recomendaría echar un vistazo a Qualys y Nessus, pero son muy caros.

Para garantizar que su sitio web de WordPress esté sano y salvo, debe tomar ciertas medidas activas para protegerlo de varias formas en que puede ser explotado. Sin embargo, si intenta hacer esto manualmente, encontrará la tarea difícil y poco práctica. Es por eso que necesita tener en sus manos uno de los complementos de seguridad desarrollados por la comunidad de WordPress.

Mi favorito personal es All In One WP Security. La razón principal de esto es el hecho de que tiene un firewall brillante. Hace que la cuenta sea segura e implementa varias medidas de seguridad de inicio de sesión. Analiza todos sus archivos en busca de vulnerabilidades que puedan existir. Cuando se trata de su base de datos, con frecuencia se realiza una copia de seguridad y está bien protegida. Además, este complemento no permite la vinculación activa de imágenes y se encarga de los robots de Google falsos. Y lo mejor de todo es que es gratis.

Hay muchas formas de proteger su sitio de WordPress y eso incluye:

  • Endurecimiento del servidor
  • Protección DDoS
  • Copias de seguridad
  • Actualizar la versión que usa regularmente
  • Aproveche la autenticación de 2 factores

Estas son cosas absolutamente importantes que hacer, pero los piratas informáticos están buscando cualquier punto de entrada o escapatoria y su configuración predeterminada podría estar obsequiando como su nombre de usuario predeterminado, URL de administrador predeterminada y otros.

Aquí hay más: La falla en el valor predeterminado: 6 ajustes simples de configuración predeterminada para asegurar su sitio de WordPress

¡Espero que esto haya sido útil!

¡Hola! Una forma de asegurar su sitio de WordPress es instalar un complemento gratuito llamado All in one WordPress Security que le permitirá configurar la seguridad básica y avanzada de su sitio web. Es gratis y puedes personalizarlo fácilmente. Recomiendo este complemento todo el tiempo. Aquí puedes consultar el tutorial al respecto, espero que te ayude. Buena suerte.

Asegure su sitio web de WordPress con All in One WP Security – Tutorial rápido

Consejos para mejorar la seguridad de su nuevo sitio web de WordPress que pueden ser muy útiles.

Usa contraseñas seguras

Te sorprenderá saber que hay miles de personas que usan frases como “contraseña” o “123456” para sus detalles de inicio de sesión de administrador. Para mencionar las agujas, tales contraseñas pueden simplemente adivinarse y estar en la parte superior de la lista de ataques de diccionario. Un buen consejo es usar una oración completa que te dé sentido y que puedas tener en cuenta simplemente. Tales contraseñas son muchas; mucho mejor que los de una sola frase.

Asegúrese de que su computadora esté libre de virus y malware

Si su computadora está infectada con un virus o un malware corrupto o un software de malware, un posible atacante obtendrá acceso a sus datos de inicio de sesión y creará un inicio de sesión válido en su sitio web sin pasar por todas las medidas que haya tomado antes. Por eso es muy importante hacerlo, tener un programa antivirus actualizado y mantener la seguridad de todas las computadoras que empleas para acceder a tu sitio web de WordPress en un alto nivel.

No use el nombre de usuario “admin”

La mayoría de los atacantes supondrán que su nombre de usuario administrador es “admin”. Debe mantener su nombre de usuario administrador diferente; con esto puedes bloquear mucha fuerza bruta y otros ataques.

Asegúrese de que su sitio esté en un alojamiento seguro de WordPress

Su sitio web de WordPress está tan seguro como su cuenta de alojamiento. Esto es a menudo la razón por la cual es necesario estar alojado en una organización que tenga la seguridad como prioridad. Algunas de las opciones que debe buscar son:

  1. Soporte para las versiones más recientes de PHP y MySQL
  2. Aislamiento de cuenta
  3. Cortafuegos de aplicaciones web
  4. Sistema de deteccion de intrusos

Utilice la autenticación de 2 factores para iniciar sesión

La autenticación de dos factores es una forma combinada de proporcionar credenciales de inicio de sesión a un servicio, a menudo en forma de algo que usted sabe y algo que tiene, como una cadena de números desechable. Apple iCloud, Google, DropBox y muchos otros servicios le brindan la posibilidad de utilizar esta forma más segura de iniciar sesión, entonces, ¿por qué no lo haría con su sitio web de WordPress?

Para implementar eficientemente una autenticación de dos factores, debe usar uno de los muchos complementos disponibles. Dos complementos interesantes que le dan un “giro” a la autenticación de dos factores son Rublon, que también es una autenticación de dos factores basada en correo electrónico, y Clef, que utiliza la cámara de su teléfono.

¿Quieres mejorar la seguridad de tu sitio web de WordPress? Póngase en contacto con nuestro número de teléfono de soporte técnico de WordPress.

Hola

Hay algunos pasos simples a seguir para proteger su sitio de WordPress.

  • Mantenga WordPress, sus complementos y tema actualizados
  • Asegure su directorio wp-admin
  • Cambia tu nombre de usuario administrador
  • Usar autenticación de 2 factores
  • Asegure los permisos de archivos de WordPress
  • Implementar cambios desde el prefijo de tablas de base de datos predeterminado

MANTENGA UNA COPIA DE SEGURIDAD de su sitio.

No importa cuán seguro sea su sitio web, siempre existe un espacio para mejorar. Pase lo que pase, mantener una copia de seguridad fuera del sitio es quizás la mejor medida de seguridad que puede tomar. Si tiene una copia de seguridad, siempre puede restaurar su sitio de WordPress a su estado normal en cualquier momento que lo desee.

Saludos

Marietha

Fuente- Asegurando su sitio de WordPress

En este día actual de la tecnología, la seguridad juega un papel principal. Sí, incluso para WordPress, puede crear una seguridad para que pueda protegerla de la piratería.

Siga los pasos a continuación para proteger su sitio de WordPress:

  1. Use un complemento gratuito de Sucuri por motivos de seguridad, personalmente lo uso y estoy muy satisfecho con el servicio.
  2. Construya un cortafuegos a través del complemento Sucuri
  3. Asegure todas sus páginas de inclusión de wp utilizando el complemento sucuri. (Puede encontrar esto en el panel de complementos de Sucuri)
  4. Habilitar alertas de inicio de sesión. De modo que cada vez que alguien inicie sesión en el sitio, recibirá una alerta directamente a su identificación de correo electrónico e incluso notifica el intento de contraseña incorrecta e incluso guarda esas contraseñas incorrectas y las envía por correo electrónico a la identificación de correo electrónico del administrador.

Por lo tanto, el complemento gratuito de WordPress lo ayuda mucho a proteger su sitio en todas las circunstancias.

Para obtener más información, visite mi sitio VINSTECHS – Geeks Hangover

Envíeme un correo electrónico a [correo electrónico protegido] [1]

Notas al pie

[1] http: // [correo electrónico protegido]

Si es un novato en WordPress, le llevará mucho tiempo cuidar la seguridad de su sitio web de WordPress, por lo que el hacker tendrá dificultades para romper la seguridad.

5 formas de asegurar el sitio web de WordPress:

· WordPress debe actualizarse con mucha frecuencia, esto ayudará a corregir errores y contar con un parche de seguridad.

· Adopte un enfoque más seguro de usar la identificación de correo electrónico en lugar del nombre de usuario para iniciar sesión.

· Cambie su contraseña regularmente. Use caracteres y números especiales para la seguridad de la contraseña.

· Puede agregar seguridad adicional y mantener los datos e información del sitio web en la base de datos a través de complementos como wordfence, 6 scan security, etc.

· No permitir la edición de archivos, el hacker no podrá modificar sus archivos después de obtener acceso de administrador.

agencia de desarrollo de wordpress / servicios de desarrollo de wordpress

En primer lugar, siempre debe mantener actualizado su sitio WP y todas sus extensiones. También haga copias de seguridad frecuentes en caso de que algo suceda, evitará o minimizará la pérdida de datos.

También debe agregar la autenticación básica HTTP para su carpeta wp-admin, reducirá en gran medida una gran cantidad de ataques. Un servidor de seguridad del lado del servidor (desafortunadamente, algunos de los complementos de seguridad de WP son vulnerables) como Sucuri o Sitelock también ayudarán.

Luego vaya a Perfect Dashboard, agregue su sitio y realice una auditoría de seguridad allí para ver qué más puede hacer para aumentar su seguridad de WordPress.

WordPress se ha convertido en la principal elección de emprendedores para la creación de sitios web empresariales completos. WordPress es conocido por ofrecer miles de plantillas de personalización, temas y complementos, también se ha convertido en un destino popular para los piratas informáticos que ingresan al sistema por cualquier intención maliciosa.

Evite que su sitio de WordPress sea pirateado

He enumerado algunas cosas básicas que hacer para mantener seguro su sitio de WordPress.

  1. Lo primero es hacer lo básico correctamente. Use contraseñas seguras y no use las contraseñas de nombre de usuario admin / admin. Esto es lo más importante y, si lo hace, se puede evitar que el 50% de su sitio sea pirateado
  2. Actualice el núcleo y los complementos de WordPress regularmente
  3. Cambiar las URL de inicio de sesión predeterminadas. Las URL normales son wp-login.php o wp-admin.php. Cambia eso a otra cosa.
  4. Habilite la verificación en 2 pasos para iniciar sesión en el panel de administración
  5. Utilice captchas para iniciar sesión para evitar ataques de fuerza bruta por parte de bots
  6. Implementar SSL. Esto no solo hace que su sitio sea seguro, sino que también le brinda mejores clasificaciones en los motores de búsqueda
  7. Cambie el prefijo de tabla predeterminado de la base de datos de wp-tablename a otra cosa
  8. La cantidad de seguridad que garantizamos puede haber posibilidades de que no sean suficientes. Por lo tanto, realice copias de seguridad de su sitio web y db
  9. Deshabilite la provisión de edición de archivos de wp-admin
  10. Use solo SFTP o SSH para iniciar sesión en su servidor
  11. Use un servicio como Cloudflare para proteger su sitio de ataques DDoS

Consulte el artículo que escribió nuestro CTO sobre cómo proteger los sitios web de WordPress de los piratas informáticos