¿Qué es mejor que un sitio web bien construido? Un sitio web bien construido con seguridad sólida.
Quédese conmigo, ya que descubriré algunas de las mejores prácticas de seguridad para su sitio web de WordPress. No solo son aptas para principiantes, sino que estas prácticas son muy asequibles, si no totalmente gratuitas.
Al final de este artículo, tendrá un plan de acción para proteger su sitio contra todo tipo de amenazas cibernéticas. ¡Abróchate el cinturón y comencemos!
¿Su sitio de WordPress es seguro?
Si bien WordPress se considera el CMS más popular hasta la fecha, esta reputación tiene algunas consecuencias. Usado por más 35% de sitios web en Internet, WordPress se convierte en un objetivo favorito para los ataques de malware. Solo en 2018, Sucuri informó que alrededor de 23,000 sitios web de WordPress fueron víctimas de violaciones de seguridad.
¿Eso significa que WordPress tiene un sistema de seguridad terrible?
¡De ningún modo! Por el contrario, la principal causa de las violaciones de seguridad de los sitios web es la falta de conciencia de seguridad de los usuarios.
Como CMS de buena reputación, WordPress hace su parte publicando parches de seguridad y actualizaciones de software con regularidad. A pesar de eso, esas actualizaciones harán poca diferencia a menos que sepa qué hacer con ellas.
En resumen, usted juega un papel importante en la seguridad de su sitio web.
Ahora que conoce su función y responsabilidad como webmaster, es hora de explorar qué puede hacer para mejorar la seguridad de su sitio web. Eche un vistazo a las mejores prácticas de seguridad a continuación e intente implementarlas en su sitio web.
Use Strong Usernames and Passwords
La creación de credenciales de inicio de sesión sólidas puede ser la práctica de seguridad más fácil que cualquiera puede realizar, pero muchos usuarios aún no lo hacen. Por extraño que parezca, 23.2 millones de cuentas todavía usa “123456” como contraseña. El mismo problema se aplica a los nombres de usuario, donde muchos usuarios usan los nombres de usuario estándar como "admin" y "administrador".
Si necesita ayuda para crear contraseñas seguras, hay muchas generadores de contraseñas por ahí se puede utilizar de forma gratuita. En cuanto a los nombres de usuario, puede incorporar números y caracteres especiales en las palabras clave para hacerlas más únicas.
El uso de credenciales de inicio de sesión débiles hará que su sitio web sea vulnerable a ataques de fuerza bruta. Este tipo de ciberataque utiliza un enfoque de prueba y error para adivinar sus credenciales de inicio de sesión. Por lo tanto, es mejor evitar el uso de palabras clave comunes para su información de inicio de sesión.
Si tiene la costumbre de olvidar la contraseña, puede considerar usar Ultimo pase para recordarlo y utilizarlo con un solo clic. En cuanto a los nombres de usuario, puede incorporar números y caracteres especiales en las palabras clave para hacerlas más únicas.
Hide WordPress Login
Este simple truco puede proteger sus sitios de WP de los atacantes que tienen como objetivo ataques de fuerza bruta. Utilizar WPS Hide Login complemento gratuito para cambiar la URL de inicio de sesión a algo único.
Enable Two-Factor Authentication
Una vez que haya asegurado sus credenciales de inicio de sesión de administrador, puede mejorar aún más el proceso de inicio de sesión habilitando la autenticación de dos factores. Este proceso de seguridad crea una capa adicional de protección que requiere que los usuarios obtengan un código único de una aplicación de autenticación. Al implementarlo en su sitio web, solo los usuarios con las credenciales y el código de inicio de sesión correctos pueden iniciar sesión en su cuenta.
WordPress tiene muchos complementos de autenticación de dos factores para elegir. Algunos de los mejores incluyen google Authenticator, Autenticación de dos factores y Dos factores.
Change WordPress Database Prefix
La base de datos del sitio web es el objetivo favorito de los ataques de inyección SQL. Estos tipos de ciberataques obligan a la base de datos a ejecutar código malicioso, lo que permite a los piratas informáticos modificar o eliminar los datos que contiene libremente. Como los ataques de inyección SQL comprenden alrededor 80% de los intentos de piratería lanzado por mes, no debe tomar esta amenaza a la ligera.
Uno de los factores que hacen que su base de datos sea propensa a ataques de inyección SQL es el uso de wp_ prefijo de base de datos predeterminado. Usando una base de datos predecible, el prefijo permite a los piratas informáticos adivinar los nombres de sus tablas y causar estragos en su base de datos. Por lo tanto, le recomiendo que lo cambie lo antes posible.
Aquí hay un detallado guía sobre cómo cambiar el prefijo de la base de datos de WordPress. También puede probar el Complemento Cambiar prefijo de tabla.
Disable PHP Error Reporting
La función de informe de errores de PHP le ayuda a localizar errores dentro de los archivos PHP mucho más rápido. Sin embargo, también permite que otras personas vean las vulnerabilidades de su sitio. Por lo tanto, le recomiendo que desactive esta función por completo.
WordPress desactiva la función de informe de errores de forma predeterminada. Si está habilitado por alguna razón, debe deshabilitarlo manualmente por modificando el archivo wp-config.php. Dependiendo de su servicio de alojamiento web, varios proveedores de alojamiento también le permiten administrar esta configuración desde su panel de control.
Keep WordPress up-to-Date
Para mantenerse al día con los tipos cada vez mayores de ciberataques, WordPress lanza actualizaciones junto con los últimos parches de seguridad periódicamente. Esta mejora no solo se aplica al núcleo de Wordpress, sino también a los complementos y temas. Dicho esto, el uso de software obsoleto es una receta para el desastre.
Si bien WordPress implementa automáticamente actualizaciones de software menores, aún debe realizar actualizaciones importantes manualmente. Por lo tanto, asegúrese de buscar nuevas actualizaciones en el Updates sección de su panel de administración de WordPress con regularidad para evitar tener vulnerabilidades de seguridad en su sitio.
También hay un complemento gratuito Fácil Actualizaciones Director, que puede usar para controlar cómo desea actualizar su núcleo, temas y complementos de WordPress.
Disable Directory Browsing
La exploración de directorios puede brindarle acceso rápido a la estructura del sitio y a los directorios individuales. Sin embargo, puede convertirse en un arma de doble filo si otras personas también pueden acceder a él. Los piratas informáticos a menudo lo usan para encontrar archivos, complementos y temas vulnerables y luego los usan para obtener acceso a su sitio web.
Si aloja su sitio WP en un plataforma premium, es posible que no tenga que preocuparse, ya que ellos se ocuparán de estas optimizaciones. Sin embargo, si es autohospedado o necesita deshabilitarlo manualmente, consulte este artículo para saber cómo deshabilitar la navegación de directorios en WordPress.
Remove WordPress Version Number
WordPress lanza actualizaciones continuamente para parchear las vulnerabilidades de seguridad de la versión anterior. Las versiones anteriores suelen estar plagadas de más vulnerabilidades. Por lo tanto, hacer pública su versión de WordPress no es la mejor idea para su sistema de seguridad web.
De forma predeterminada, su versión de WordPress está visible en la parte inferior derecha de su panel de administración y la fuente de la página. También aparece en lugares menos obvios como RSS, CSS y scripts del sitio. Hay un gran artículo que proporciona una guía paso a paso sobre cómo eliminar la versión de WordPress de estos lugares.
Disable File Editing
El editor de archivos incorporado de WordPress le permite modificar el plugin y los scripts del tema mucho más fácilmente. A pesar de eso, esta función puede poner en peligro su sitio web si cae en las manos equivocadas. Por esta razón, es mejor deshabilitar la edición de archivos por completo. Puede hacerlo agregando a continuación en el wp-config.php archivo.
define('DISALLOW_FILE_EDIT', true);Perform Regular Backups
Crear copias de seguridad es tan importante como proteger el sitio web. En el peor de los casos, las copias de seguridad pueden evitar que tenga que reconstruir el sitio desde cero.
El proceso puede parecer tedioso, pero hay muchos complementos de respaldo como VaultPress y BlogVault que puede hacerlo sin problemas. Protip, use el complemento que tiene una función de copia de seguridad automática para ahorrar tiempo y evitar que las copias de seguridad obsoletas obstruyan su sistema.
Si no le gusta usar demasiados complementos, puede considerar usar iThemes Security Pro que cuidan sobre todo y más.
Stop Spam and Negative SEO
El spam está en todas partes y a nadie le gusta.
Si está ejecutando un sitio popular y no tiene un sistema de prevención de spam adecuado, es posible que atraiga a miles de spammers todos los días. Tener demasiado spam es malo para SEO y experiencia de usuario. Imagínese, tiene cientos de comentarios irrelevantes en una publicación de blog.
Di no al spam usando el CleanTalk antispam solución.
Use WAF
Una de las mejores inversiones que puede hacer para proteger su sitio es utilizar WAF (Web Application Firewall). Ayuda a proteger su sitio de las 10 principales vulnerabilidades de OWASP, fallas de seguridad conocidas y desconocidas, código malicioso, ataques DDoS y mucho más.
Hay algunas opciones: SUCURI, Malcare, Cloudflare.
Manage Themes and Plugins
Una de las mayores ventajas de usar WordPress es su amplia colección de complementos y temas. Irónicamente, los complementos y temas de WordPress se hacen pasar por mayor fuente de vulnerabilidad que podría poner en riesgo su sitio. Por lo tanto, debe hacer su elección sabiamente y administrar cuidadosamente los que ha instalado.
La forma más fácil de evitar que los piratas informáticos accedan a su sitio web a través de software defectuoso es mediante el uso de complementos y temas con excelentes críticas y calificaciones. Estos son excelentes indicadores que le dirán que están bien mantenidos y funcionando correctamente. Además, asegúrese de buscar actualizaciones periódicamente para mejorar su rendimiento.
Resumen
Dado que las amenazas cibernéticas en todo el mundo no planean retirarse muy pronto, es esencial proteger su sitio web de WordPress de posibles peligros. Afortunadamente, existen muchas prácticas de seguridad sencillas pero efectivas que puede realizar para mejorar la seguridad general de su sitio.
Este artículo demuestra que no necesita un gran presupuesto o conocimientos técnicos avanzados para realizar algunas de las mejores prácticas de seguridad. La pregunta es, ¿estás preparado para el desafío?
¿Quiere aceptar pagos a través de su sitio web? Aquí están los mejores complementos para aceptar pagos en sitios de WordPress.
Relacionado:
