Asegurar su sitio de WordPress no es un asunto de una sola vez. No importa cuánto confíe en su complemento de seguridad o cuán minuciosamente haya manejado el fortalecimiento de su sitio, un sitio seguro hoy no es un sitio seguro mañana. Para detener a los piratas informáticos, debe realizar auditorías de seguridad de WordPress con regularidad y completar los agujeros de seguridad.
Las tácticas de piratería de sitios web evolucionan constantemente y con ellas vienen las medidas preventivas para mantener su sitio web seguro. Piense en ello como un ciclo. Cuanto más seguro sea el sitio web, más creativos deben ser los piratas informáticos para acceder a él, lo que significa que su sitio web debe ser aún más seguro y así sucesivamente.
Trate de realizar una auditoría de seguridad de WordPress al menos cada tres meses. Cada mes es mejor, y semanalmente (o incluso diario, dependiendo de la sensibilidad de su sitio) es lo mejor. Y, por supuesto, si cree que algo anda mal con su sitio web, realice una auditoría de seguridad de inmediato. Cualquiera de los siguientes debe activar una bandera roja:
- Su sitio web es de repente lento y lento.
- Ha habido una gran caída en el tráfico del sitio sin razón aparente.
- Hay nuevas cuentas, intentos de inicio de sesión o solicitudes de «contraseña olvidada».
- Hay nuevos enlaces en su sitio que no ha agregado.
Los pasos a continuación son esenciales para mantener su sitio web en perfectas condiciones de seguridad. Con la lista de verificación a la mano, puede hacer que las auditorías sean más simples, no abrumadoras.
Revisión de auditoría de seguridad de WordPress
En algún momento, casi todos los sitios de WordPress encontrarán algún tipo de problema de seguridad. El típico es un complemento o tema que está plagado de la vulnerabilidad, lo que permite a los piratas informáticos ingresar directamente a su sitio web. Después de que un sitio web es pirateado, pueden suceder muchas cosas:
- Datos personales robados de los clientes.
- Publicidad ilegal y contenido mostrado
- Tráfico que va a otra parte
- Datos de WordPress encriptados, eliminados o vendidos
Esto es mucho más que un dolor de cabeza o un servicio roto por unas horas. Los piratas informáticos pueden estar reteniendo sus datos para pedir un rescate. La información de su sitio web se puede vender en la Dark Web. Google puede incluir su sitio web en la lista negra por mostrar spam en los sitios web. Los clientes pueden demandarlo si se roban los datos de su tarjeta de crédito. Otros sitios pueden infectarse cuando los piratas informáticos obtienen acceso al suyo.
Las auditorías de seguridad de WordPress identifican estas vulnerabilidades para que puedan corregirse de inmediato: antes de el hacker encontró una forma de entrar. Te asegurarás de que las medidas de seguridad que tomas siguen funcionando y también descubrirás dónde necesitas una mejor protección.
Evalúa el enchufe de seguridad que estás usando
Su complemento de seguridad de WordPress es una de las herramientas más importantes para proteger su sitio web. Asegúrese de que su enchufe de seguridad aún funcione de la siguiente manera:
- Registro de actividades: Esto rastrea a los visitantes de su sitio, incluido quién inició sesión y cuándo, los intentos fallidos de inicio de sesión y los cambios en el sitio.
- Presa: Esto impedirá que los bots, los piratas informáticos y las direcciones IP intenten acceder a su sitio web.
- Intentos de acceso: Los complementos de seguridad de alta calidad imponen contraseñas seguras, requieren autenticación de dos factores y limitan los intentos de inicio de sesión.
- Protección de inicio de sesión: Esto bloquea los ataques de fuerza bruta en los que los piratas informáticos intentan iniciar sesión con diferentes combinaciones de nombre de usuario y contraseña.
- Análisis y eliminación de malware: Esto debería funcionar todos los días, escaneando a fondo la base de datos, los archivos y las carpetas del sitio web en busca de malware y eliminando todo lo que encuentre.
- Alertas en tiempo real: El complemento debería notificarle de inmediato si ocurre algo sospechoso en su sitio.
¿Aún no tienes un enchufe de seguridad? Considere obtener uno como paso preliminar en su auditoría de seguridad de WordPress. Hemos recopilado los 6 mejores complementos de seguridad de WordPress para elegir.
Pruebe la solución de copia de seguridad de su sitio web
Si algo sale mal en su sitio que es imposible o demasiado complicado de arreglar, tener una copia de seguridad de WordPress significa que puede restaurar su sitio a su estado anterior antes de que ocurriera el problema. Sin embargo, si la copia de seguridad falla, no tiene nada que restaurar, lo que significa que podría quedarse atascado en un sitio web infectado o que no funcione correctamente. Idealmente, utilizará una solución de copia de seguridad (ya sea proporcionada por el host o un complemento que esté utilizando) que le permita probar sus copias de seguridad, por ejemplo. Bóveda de blogs. También puede leer nuestro artículo sobre los 6 mejores complementos de copia de seguridad de WordPress.
Ir a través del administrador de WordPress y la configuración de FTP
Con WordPress, puede tener varias personas iniciando sesión para trabajar en diferentes proyectos, pero eso no significa que todas las personas con un inicio de sesión deban tener acceso completo a su sitio. Y cuando se trata del cliente FTP, permitir que varias personas accedan significa que pueden realizar cambios en su sitio… bueno, cualquier cosa.
Cuando agrega un nuevo usuario a WordPress, le asigna un rol (también puede editar su perfil para cambiar su rol):
Diferentes roles tienen diferentes posibilidades. Por ejemplo, un administrador puede acceder a todas las herramientas de administración del sitio (como cambiar un tema o instalar un complemento), pero un colaborador solo puede escribir y administrar sus propias publicaciones. Aquí hay un desglose completo diferentes roles y sus capacidades.
Para realizar una auditoría de seguridad de WordPress, siga estos pasos:
- Vea qué usuarios de WordPress tienen acceso de administrador.
- Decida si todos estos usuarios necesitan este nivel de acceso (y si otros que tienen acceso restringido deben ser administradores).
- Reduzca los permisos y restrinja el acceso actualizando los roles de usuario para estas personas.
- Si no reconoce a los usuarios en el panel, elimínelos; pueden ser cuentas creadas por el hacker.
- ¿Algún nombre de usuario es simplemente «admin»? Este es un nombre de usuario demasiado común que los piratas informáticos a menudo intentan usar para obtener acceso a su sitio web. Cree una nueva cuenta de usuario para la persona y elimine la cuenta anterior.
- Elimine las cuentas de FTP para los usuarios que no necesitan un nivel de acceso tan alto.
Finalmente, si su sitio permite miembros, debe asegurarse de que realmente deban crear una cuenta durante el registro y que su función predeterminada no permita el acceso de administrador. Ir Ajustes > General. Desmarque la casilla junto a él Cualquiera puede registrarse. A continuación, seleccione la opción adecuada en Nuevo rol de usuario predeterminado.
Asegúrate de que WordPress esté actualizado
Puede ejecutar esto automáticamente, pero vale la pena verificar que WordPress esté actualizado a la última versión. Las actualizaciones no solo corrigen las vulnerabilidades de seguridad, sino que también mejoran el rendimiento y agregan funciones. Ir Panel > Actualizaciones a ver si alguien esta listo
Limpia tus plugins y temas
Los complementos pueden ampliar las capacidades de su sitio web, pero también son vulnerables a los ataques, especialmente si no se actualizan durante demasiado tiempo. Los desarrolladores confiables se mantendrán al tanto de las vulnerabilidades en sus complementos y lanzarán actualizaciones con parches. Durante la actualización de seguridad de WordPress, vaya a la lista de complementos y haga lo siguiente:
- Desactive y desinstale cualquier complemento que ya no use o reconozca.
- Actualice cualquier otro complemento que tenga actualizaciones listas.
- Si está utilizando un complemento que no ha recibido una actualización del desarrollador, considere usar otro que tenga la misma funcionalidad: un complemento obsoleto es demasiado vulnerable a los problemas de seguridad.
Incluso si realiza una auditoría de seguridad de WordPress una vez al mes, es una buena idea verificar sus complementos con más frecuencia para actualizarlos si es necesario. Además, elimine cualquier tema que no use actualmente o que no espere necesitar. Al igual que con los complementos, los temas conllevan el riesgo de vulnerabilidades de seguridad, por lo que es mejor mantener su sitio lo más abarrotado posible.
¡Cuidate!
Sigues trabajando en otras partes de tu negocio: inventando nuevos productos o servicios, comercializándolos, vendiéndolos, etc. La seguridad de tu sitio web no debería ser diferente. Un problema menor puede conducir rápidamente a un ataque que amenace su negocio si no lo detecta a tiempo, pero sin saber dónde están las áreas problemáticas, no sabrá qué parches implementar.
Mantener su sitio seguro es un proceso continuo y la lista de verificación de auditoría de seguridad de WordPress evita la molestia de recordar qué hacer cada mes. Además, cuanto más pueda automatizar con el complemento de seguridad, mejor. Su lista de verificación de auditoría de seguridad de WordPress podría ser mucho más pequeña si la mayor parte de lo que necesita hacer es verificar dos veces que el complemento aún funciona correctamente. Tenemos resúmenes detallados de las revisiones de dos complementos de seguridad líderes, Sucuri y Wordfence.
