WordPress tiene la reputación de no ser seguro. La mayoría de los propietarios de sitios web creen que la naturaleza de código abierto de la plataforma la hace vulnerable a cualquier ataque o violación de la seguridad. Como sea, esto está lejos del caso. La mayoría de las brechas de seguridad de WordPress son el resultado de un error humano. Por lo tanto, puede proteger cualquier sitio de WordPress si sigue las mismas precauciones que con cualquier plataforma. Si bien ninguna plataforma es perfecta, puede mantener seguro su blog de WordPress siguiendo algunas precauciones.
Protección de la página de inicio de sesión para evitar ataques de fuerza bruta
La página de inicio de sesión de WordPress es la característica más atacada de la plataforma. Es la puerta al backend de su sitio web. Por esta razón, los piratas informáticos intentan atravesarlo. Si bien debe usar una página de inicio de sesión personalizada, si debe usar lo que ofrece WordPress, puede proteger su blog de la siguiente manera.
Agregar función de bloqueo y bloquear usuarios
Los complementos de bloqueo evitan los ataques de fuerza bruta al bloquear un sitio web al detectar repetidos intentos fallidos de inicio de sesión. A continuación, recibirá una notificación de estos inicios de sesión no autorizados. Si bien la mayoría de los complementos de seguridad ofrecen esta función, necesita uno que también le permita bloquear la dirección IP del atacante.
Usar autenticación de dos factores
La autenticación de dos factores (2FA) también es una medida de seguridad muy efectiva. Utiliza el registro utilizando dos componentes diferentes. Usted, como propietario del sitio, decide cuáles son estos componentes. Puede usar una contraseña y una pregunta secreta, un código, caracteres o autenticadores móviles, como la aplicación Google Authenticator.
Cree ID de correo electrónico en lugar de nombres de usuario
Las direcciones de correo electrónico son únicas, lo que las hace difíciles de predecir. WordPress requiere una dirección de correo electrónico única para cada cuenta. Por lo tanto, tiene sentido usarlo también como identificador de cuenta.
Cambie el nombre de su URL de inicio de sesión
Si no puede agregar un complemento a su instalación, siempre puede cambiar la dirección web de la página de inicio de sesión. Esta es una característica simple que instantáneamente hará que su sitio web sea un 99% más seguro.
contraseñas seguras
Cambiar y usar contraseñas seguras siempre es un buen consejo para cualquier sitio web, WordPress o cualquier otro. De hecho, debe aplicar esta práctica a todas sus cuentas y no solo a su propio sitio web. Tiene sentido cambiar su contraseña regularmente.
Cerrar sesión de usuarios inactivos
Cuando los usuarios dejan un sitio abierto en sus pantallas, representan un riesgo para la seguridad. Cualquiera puede parar y cambiar la información. Incluso pueden cambiar la cuenta de usuario o hacerse cargo de todo el sitio. Puede eliminar esta amenaza simplemente cerrando la sesión automáticamente después de un cierto período de tiempo.
Proteger el panel de administración de WordPress
Si bien la página de inicio de sesión es la más atacada, los piratas informáticos realmente quieren un escritorio de administrador. Por lo tanto, debe convertirlo en la parte más protegida de su sitio web.
Asegure el directorio Wp-Admin
Por lo tanto, la mayoría de sus actividades de seguridad de WordPress deben incluir el directorio «/wp-admin». Para empezar, debe tener una carpeta protegida con contraseña. Es posible que deba ingresar dos contraseñas para acceder al tablero, pero ese es un pequeño precio a pagar por seguridad adicional.
Usar encriptación SSL
SSL (Secure Socket Layer) siempre es una buena opción. Este también es un requisito de SEO si desea que Google y otros motores de búsqueda importantes muestren su sitio web. Debería obtener un certificado SSL para su blog lo antes posible. También es una excelente manera de mantener segura su área administrativa.
Limitar el uso de la cuenta de usuario
Solo necesita tantas cuentas de usuario como necesite. Nunca desea dar acceso al panel de administración a muchas personas. Este privilegio solo debería aplicarse a aquellos que realmente lo necesitan para ejecutar un blog. Incluso entonces, aún desea restringir el acceso de alguna manera.
Establezca ID de correo electrónico en lugar de nombres de usuario, use un nombre de usuario de administrador diferente
Al igual que la página de inicio de sesión, todos conocen la cuenta de administrador de WordPress predeterminada. Las personas solo necesitan adivinar su contraseña y están en su sitio. Puede detener esto cambiando el nombre de usuario de la cuenta de administrador.
Supervise sus archivos
Finalmente, siempre debe monitorear sus archivos en busca de cambios no autorizados con complementos como Wordfence.
Asegure la base de datos
Si no pueden entrar por la puerta principal, los hackers intentarán por la puerta trasera. Los datos de su sitio web están en la base de datos. Asegúrelo tanto como sea posible.
Cambiar el prefijo de la tabla
Para rastrear información sobre un sitio, WordPress asigna un prefijo a todas las tablas de base de datos que crea. Deberías cambiar eso por algo especial. El prefijo predeterminado hace que su sitio sea vulnerable a los ataques de inyección SQL.
Copias de seguridad periódicas
Nunca puede hacer que su blog sea perfectamente seguro, pero puede estar seguro de que siempre puede volver a la normalidad. Solo necesita copias de seguridad periódicas fuera del sitio.
Contraseñas seguras de bases de datos
Al igual que con las cuentas de usuario, necesita una contraseña segura para su cuenta de base de datos.
Registros de supervisión y auditoría
WordPress y MySQL realizan un seguimiento de todo. Si desea ver qué le sucedió a su sitio web, puede revisar estos archivos de registro. De esta manera sabrá qué cambió y quién hizo los cambios.
Asegure su servidor
Su solución de alojamiento puede ofrecer una infraestructura de red segura, pero nunca debe escucharlos por completo; será importante considerar la seguridad de los datos de los usuarios y la forma en que acceden Tus archivos privados… Asegúrate siempre de que tu sitio sea lo más seguro posible.
Seguro Wp-config.php
Este archivo contiene la configuración predeterminada de su sitio y la información de la base de datos. Por lo tanto, es el archivo más importante en la raíz de su sitio web. Por lo tanto, desea evitar el acceso a él.
No permitir que se edite el archivo.
Cualquier persona con acceso al panel de control de WordPress puede cambiar los archivos de WordPress, incluidos los complementos y los temas. Puede detener esto configurando «define (‘DISALLOW_FILE_EDIT’, true);» bandera en wp-config.
Usar acceso FTP seguro
Solo debe usar SFTP o SSH para cargar archivos en su sitio web. Safe FTP garantiza que las transferencias de archivos sean siempre seguras. Si su anfitrión proporciona, si algo es, genial. Sin embargo, puede hacerlo manualmente si es necesario.
Permisos de directorio seguro
Los permisos incorrectos conducen a violaciones. Por lo tanto, desea programarlos para lo que sea necesario para que su sitio web funcione. Por lo general, desea configurar los permisos de directorio en «755» y los archivos en «644».
Deshabilitar la lista de directorios
En la mayoría de los servidores web, si un directorio no tiene index.html o alguna otra página «predeterminada» registrada, el servidor creará una lista completa del directorio si alguien accede al directorio. Tienes que deshabilitar esto manualmente en el archivo .htaccess de tu sitio.
Bloquear enlace activo
Hotlinking le permite copiar y publicar imágenes y medios de un sitio a otro. Si bien permite compartir, también roba el ancho de banda del servidor original. Puede aumentar el rendimiento de su sitio web y reducir sus tarifas de alojamiento simplemente bloqueando esta función en su sitio web.
Protección contra ataques DDoS
Los ataques DDoS son los ataques relacionados con el servidor más comunes en cualquier sitio web. Los atacantes usan muchos programas y sistemas para sobrecargar el servidor. Aunque mantiene sus archivos seguros, puede colapsar su sitio web si no se resuelve.
Otras formas de proteger tu blog de WordPress
Estas son solo algunas de las formas de proteger su blog o sitio de WordPress. A medida que surgen nuevas amenazas, un grupo de desarrolladores de WordPress y desarrolladores de todo el mundo asumen el desafío de proporcionar sus datos y páginas. Solo necesita actualizar su instalación, temas y complementos de WordPress a las últimas versiones. Otras formas incluyen el uso del alojamiento administrado de WordPress, la ocultación de los números de versión y la notificación de cualquier cambio de seguridad en la comunidad de WordPress. La comunidad ofrece la oportunidad de hacer preguntas y obtener respuestas que no se pueden obtener de una simple publicación de blog. Con este consejo, puede estar seguro de que su sitio web es lo más seguro posible.
