La seguridad de WordPress no se trata de eliminar riesgos, sino de reducir riesgos. Puede mantener totalmente seguro su sitio web de WordPress con un mantenimiento y administración efectivos.
¡Aquí hay 30 pasos para garantizar que su sitio web de WordPress esté limpio, seguro y libre de pirateo!
1. Asegure su entorno de trabajo asegurándose de que su computadora local, navegador y enrutadores estén actualizados, libres de spyware, malware e infecciones de virus.
- Cómo evitar que un segundo formulario restablezca los datos de publicación en php
- Cómo ser un desarrollador web, y si debo aprender JavaScript para dominarlo o simplemente conocer los conceptos básicos
- ¿Es una buena idea usar node.js para backend y qué puedo hacer con node.js?
- Cómo construir un framework Java, como Spring-Core, por ejemplo
- ¿Cuáles son los 5 métodos principales que debo seguir para convertirme en un desarrollador PHP de nivel superior como principiante?
2. Considere usar herramientas como no-script en su navegador y VPN para cifrar su comunicación en línea cuando se mueva entre ubicaciones y use diferentes puntos de acceso WiFi públicos.
3. El servidor web que ejecuta WordPress puede tener vulnerabilidades. Si está administrando su propio servidor, asegúrese de instalar actualizaciones de seguridad para su sistema operativo, servidor web, PHP y aplicaciones. O conseguir a alguien calificado para hacerlo.
4. Al conectarse a su servidor, siempre debe usar una conexión SFTP.
5. Si ejecuta varios blogs en el mismo servidor, es aconsejable considerar mantenerlos en bases de datos separadas, cada una administrada por un usuario diferente.
6. No use admin como su nombre de usuario. Cree un nuevo usuario en WordPress en Usuarios> Nuevo usuario y conviértalo en un usuario con derechos de administrador. Después de eso, elimine el usuario administrador.
7. El uso de una identificación de correo electrónico en lugar de un nombre de usuario para iniciar sesión es un enfoque más seguro. Los nombres de usuario son fáciles de predecir, mientras que los ID de correo electrónico no lo son.
8. También puede personalizar la URL de la página de inicio de sesión y la interacción de la página. Cuando los piratas informáticos conocen la URL directa de su página de inicio de sesión, pueden intentar ingresar por la fuerza bruta.
9. Use una contraseña menos común . Puede usar herramientas como iPassword y Lastpass para generar contraseñas. Son mas efectivos.
10. Utilice siempre la regla CLU al crear contraseñas. CLU: Complejo. Largo. Único Cambie las contraseñas de su sitio web regularmente. Mejore su fuerza agregando letras mayúsculas y minúsculas, números y caracteres especiales.
11. Agregue una autenticación de dos factores (2FA) para reducir el riesgo de ataques de fuerza bruta.
12. Use herramientas como Google Authenticator y Rublon Plugin para agregar una autenticación de dos factores.
13. Limite los intentos de inicio de sesión . Los ataques de fuerza bruta generalmente apuntan a los formularios de inicio de sesión. Limitar los intentos de inicio de sesión eliminará esta vulnerabilidad. Puede usar complementos de seguridad como el complemento de seguridad iThemes para especificar un cierto número de intentos fallidos de inicio de sesión después de lo cual el complemento prohíbe la dirección IP del atacante.
14. Una función de bloqueo para intentos fallidos de inicio de sesión también puede resolver un gran problema. Cada vez que hay un intento de piratería con contraseñas incorrectas repetitivas, la cuenta se bloquea y se le notifica de esta actividad no autorizada.
15. También puede limitar el número de intentos de inicio de sesión desde una determinada dirección IP . Los complementos como All in One WP Security & Firewall tienen opciones para simplemente cambiar la URL predeterminada (/ wp-admin /) para un formulario de inicio de sesión.
16. Trate correctamente con varias personas que acceden a su panel de administración. No les dé acceso a las aplicaciones o usuarios más allá de lo que necesitan. Solo otorgue permisos a usuarios o aplicaciones cuando lo necesiten . Asigne personas a los roles apropiados y reducirá en gran medida su riesgo de seguridad.
17. Salga automáticamente de los usuarios inactivos en WordPress. Los usuarios registrados pueden a veces alejarse de la pantalla, y esto plantea un riesgo de seguridad.
18. Puede hacerlo con la ayuda del plugin Idle User Logout. Simplemente configure la duración del tiempo y desactive la casilla junto a la opción ‘Desactivar en wp-admin’ para una mayor seguridad.
19. Otro método complicado para aumentar la seguridad es agregar una pregunta de seguridad a la pantalla de inicio de sesión de WordPress . Puede agregar preguntas de seguridad instalando también el complemento WP Security Questions.
20. Asegúrese de eliminar cualquier cuenta de usuario no utilizada o desconocida.
21. El directorio wp-admin es el corazón de cualquier sitio web de WordPress. Proteja con contraseña el directorio wp-admin para mantenerlo seguro y protegido. De esta forma, el propietario del sitio web puede acceder al panel mediante el envío de dos contraseñas. Uno protege la página de inicio de sesión y el otro el área de administración de WordPress.
22. El complemento AskApache Password Protect genera automáticamente un archivo .htpasswd, cifra la contraseña y configura los permisos de archivo correctos de seguridad mejorada.
23. La implementación de un certificado SSL (Secure Socket Layer) es un movimiento inteligente para asegurar el panel de administración. SSL garantiza la transferencia segura de datos entre los navegadores de los usuarios y el servidor, lo que dificulta que los piratas informáticos rompan la conexión o falsifiquen su información.
24. El certificado SSL también afecta la clasificación de su sitio web en Google. Google clasifica los sitios con SSL más altos que los que no lo tienen.
25. Desactive el informe de errores de PHP.
26. Ocultar wp-config.php y .htaccess. Para una mejor seguridad de WordPress, necesitará agregar esto a su archivo .htaccess para proteger wp-config.php:
orden permitir, negar
Negar todo
27. El archivo wp-config.php contiene información crucial sobre su instalación de WordPress y es el archivo más importante en el directorio raíz de su sitio. Tome su archivo wp-config.php y muévalo a un nivel más alto que su directorio raíz para que los hackers no puedan acceder a él.
28. Y no se preocupe, incluso si está almacenado una vez por encima del directorio raíz, WordPress aún puede verlo.
29. Utilice las claves de seguridad de WordPress, un conjunto de variables aleatorias, para la autenticación para mejorar la seguridad (encriptación) de la información en las cookies. El complemento Sucuri puede ayudarlo con las claves de seguridad de WordPress.
30. Deshabilite la edición de archivos a través del editor en WordPress. Esta es la forma más fácil en que un hacker podría cambiar sus archivos. El editor es accesible para cualquiera que inicie sesión en su cuenta. Solo se necesita una línea de código para evitar este problema. Abra su archivo wp-config.php y pegue el siguiente código:
define (‘DISALLOW_FILE_EDIT’, verdadero);
He escrito una guía de 65 pasos para la seguridad de WordPress: mejores prácticas . Puede echarle un vistazo aquí: ¡ Una lista completa de las mejores prácticas de seguridad para sitios web de WordPress!
¡Espero que esto ayude! 🙂