English English French French Spanish Spanish German German
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
Comparte en:

13 mejores prácticas de seguridad para proteger su sitio web de WordPress

mejores prácticas de seguridad de wp
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

¿Qué es mejor que un sitio web bien construido? Un sitio web bien construido con seguridad sólida.

Quédese conmigo, ya que descubriré algunas de las mejores prácticas de seguridad para su sitio web de WordPress. No solo son aptas para principiantes, sino que estas prácticas son muy asequibles, si no totalmente gratuitas.

Al final de este artículo, tendrá un plan de acción para proteger su sitio contra todo tipo de amenazas cibernéticas. ¡Abróchate el cinturón y comencemos!

¿Su sitio de WordPress es seguro?

Si bien WordPress se considera el CMS más popular hasta la fecha, esta reputación tiene algunas consecuencias. Usado por más 35% de sitios web en Internet, WordPress se convierte en un objetivo favorito para los ataques de malware. Solo en 2018, Sucuri informó que alrededor de 23,000 sitios web de WordPress fueron víctimas de violaciones de seguridad.

¿Eso significa que WordPress tiene un sistema de seguridad terrible?

¡De ningún modo! Por el contrario, la principal causa de las violaciones de seguridad de los sitios web es la falta de conciencia de seguridad de los usuarios.

Como CMS de buena reputación, WordPress hace su parte publicando parches de seguridad y actualizaciones de software con regularidad. A pesar de eso, esas actualizaciones harán poca diferencia a menos que sepa qué hacer con ellas.

En resumen, usted juega un papel importante en la seguridad de su sitio web.

Ahora que conoce su función y responsabilidad como webmaster, es hora de explorar qué puede hacer para mejorar la seguridad de su sitio web. Eche un vistazo a las mejores prácticas de seguridad a continuación e intente implementarlas en su sitio web.

Use Strong Usernames and Passwords

La creación de credenciales de inicio de sesión sólidas puede ser la práctica de seguridad más fácil que cualquiera puede realizar, pero muchos usuarios aún no lo hacen. Por extraño que parezca, 23.2 millones de cuentas todavía usa “123456” como contraseña. El mismo problema se aplica a los nombres de usuario, donde muchos usuarios usan los nombres de usuario estándar como "admin" y "administrador".

Si necesita ayuda para crear contraseñas seguras, hay muchas generadores de contraseñas por ahí se puede utilizar de forma gratuita. En cuanto a los nombres de usuario, puede incorporar números y caracteres especiales en las palabras clave para hacerlas más únicas.

El uso de credenciales de inicio de sesión débiles hará que su sitio web sea vulnerable a ataques de fuerza bruta. Este tipo de ciberataque utiliza un enfoque de prueba y error para adivinar sus credenciales de inicio de sesión. Por lo tanto, es mejor evitar el uso de palabras clave comunes para su información de inicio de sesión.

Si tiene la costumbre de olvidar la contraseña, puede considerar usar Ultimo pase para recordarlo y utilizarlo con un solo clic. En cuanto a los nombres de usuario, puede incorporar números y caracteres especiales en las palabras clave para hacerlas más únicas.

Hide WordPress Login

Este simple truco puede proteger sus sitios de WP de los atacantes que tienen como objetivo ataques de fuerza bruta. Utilizar WPS Hide Login complemento gratuito para cambiar la URL de inicio de sesión a algo único.

Enable Two-Factor Authentication

Una vez que haya asegurado sus credenciales de inicio de sesión de administrador, puede mejorar aún más el proceso de inicio de sesión habilitando la autenticación de dos factores. Este proceso de seguridad crea una capa adicional de protección que requiere que los usuarios obtengan un código único de una aplicación de autenticación. Al implementarlo en su sitio web, solo los usuarios con las credenciales y el código de inicio de sesión correctos pueden iniciar sesión en su cuenta.

WordPress tiene muchos complementos de autenticación de dos factores para elegir. Algunos de los mejores incluyen google Authenticator, Autenticación de dos factores y Dos factores.

Change WordPress Database Prefix

La base de datos del sitio web es el objetivo favorito de los ataques de inyección SQL. Estos tipos de ciberataques obligan a la base de datos a ejecutar código malicioso, lo que permite a los piratas informáticos modificar o eliminar los datos que contiene libremente. Como los ataques de inyección SQL comprenden alrededor 80% de los intentos de piratería lanzado por mes, no debe tomar esta amenaza a la ligera.

Uno de los factores que hacen que su base de datos sea propensa a ataques de inyección SQL es el uso de wp_ prefijo de base de datos predeterminado. Usando una base de datos predecible, el prefijo permite a los piratas informáticos adivinar los nombres de sus tablas y causar estragos en su base de datos. Por lo tanto, le recomiendo que lo cambie lo antes posible.

Aquí hay un detallado guía sobre cómo cambiar el prefijo de la base de datos de WordPress. También puede probar el Complemento Cambiar prefijo de tabla.

Disable PHP Error Reporting

La función de informe de errores de PHP le ayuda a localizar errores dentro de los archivos PHP mucho más rápido. Sin embargo, también permite que otras personas vean las vulnerabilidades de su sitio. Por lo tanto, le recomiendo que desactive esta función por completo.

WordPress desactiva la función de informe de errores de forma predeterminada. Si está habilitado por alguna razón, debe deshabilitarlo manualmente por modificando el archivo wp-config.php. Dependiendo de su servicio de alojamiento web, varios proveedores de alojamiento también le permiten administrar esta configuración desde su panel de control.

Keep WordPress up-to-Date

Para mantenerse al día con los tipos cada vez mayores de ciberataques, WordPress lanza actualizaciones junto con los últimos parches de seguridad periódicamente. Esta mejora no solo se aplica al núcleo de Wordpress, sino también a los complementos y temas. Dicho esto, el uso de software obsoleto es una receta para el desastre.

Si bien WordPress implementa automáticamente actualizaciones de software menores, aún debe realizar actualizaciones importantes manualmente. Por lo tanto, asegúrese de buscar nuevas actualizaciones en el Actualizaciones sección de su panel de administración de WordPress con regularidad para evitar tener vulnerabilidades de seguridad en su sitio.

También hay un complemento gratuito Fácil Actualizaciones Director, que puede usar para controlar cómo desea actualizar su núcleo, temas y complementos de WordPress.

Disable Directory Browsing

La exploración de directorios puede brindarle acceso rápido a la estructura del sitio y a los directorios individuales. Sin embargo, puede convertirse en un arma de doble filo si otras personas también pueden acceder a él. Los piratas informáticos a menudo lo usan para encontrar archivos, complementos y temas vulnerables y luego los usan para obtener acceso a su sitio web.

Si aloja su sitio WP en un plataforma premium, es posible que no tenga que preocuparse, ya que ellos se ocuparán de estas optimizaciones. Sin embargo, si es autohospedado o necesita deshabilitarlo manualmente, consulte este artículo para saber cómo deshabilitar la navegación de directorios en WordPress.

Remove WordPress Version Number

WordPress lanza actualizaciones continuamente para parchear las vulnerabilidades de seguridad de la versión anterior. Las versiones anteriores suelen estar plagadas de más vulnerabilidades. Por lo tanto, hacer pública su versión de WordPress no es la mejor idea para su sistema de seguridad web.

De forma predeterminada, su versión de WordPress está visible en la parte inferior derecha de su panel de administración y la fuente de la página. También aparece en lugares menos obvios como RSS, CSS y scripts del sitio. Hay un gran artículo que proporciona una guía paso a paso sobre cómo eliminar la versión de WordPress de estos lugares.

Disable File Editing

El editor de archivos incorporado de WordPress le permite modificar el plugin y los scripts del tema mucho más fácilmente. A pesar de eso, esta función puede poner en peligro su sitio web si cae en las manos equivocadas. Por esta razón, es mejor deshabilitar la edición de archivos por completo. Puede hacerlo agregando a continuación en el wp-config.php archivo.

define('DISALLOW_FILE_EDIT', true);

Perform Regular Backups

Crear copias de seguridad es tan importante como proteger el sitio web. En el peor de los casos, las copias de seguridad pueden evitar que tenga que reconstruir el sitio desde cero.

El proceso puede parecer tedioso, pero hay muchos complementos de respaldo como VaultPress y BlogVault que puede hacerlo sin problemas. Protip, use el complemento que tiene una función de copia de seguridad automática para ahorrar tiempo y evitar que las copias de seguridad obsoletas obstruyan su sistema.

Si no le gusta usar demasiados complementos, puede considerar usar iThemes Security Pro que cuidan sobre todo y más.

Stop Spam and Negative SEO

El spam está en todas partes y a nadie le gusta.

Si está ejecutando un sitio popular y no tiene un sistema de prevención de spam adecuado, es posible que atraiga a miles de spammers todos los días. Tener demasiado spam es malo para SEO y experiencia de usuario. Imagínese, tiene cientos de comentarios irrelevantes en una publicación de blog.

Di no al spam usando el CleanTalk antispam solución.

Use WAF

Una de las mejores inversiones que puede hacer para proteger su sitio es utilizar WAF (Web Application Firewall). Ayuda a proteger su sitio de las 10 principales vulnerabilidades de OWASP, fallas de seguridad conocidas y desconocidas, código malicioso, ataques DDoS y mucho más.

Hay algunas opciones: SUCURI, Malcare, Cloudflare.

Manage Themes and Plugins

Una de las mayores ventajas de usar WordPress es su amplia colección de complementos y temas. Irónicamente, los complementos y temas de WordPress se hacen pasar por mayor fuente de vulnerabilidad que podría poner en riesgo su sitio. Por lo tanto, debe hacer su elección sabiamente y administrar cuidadosamente los que ha instalado.

La forma más fácil de evitar que los piratas informáticos accedan a su sitio web a través de software defectuoso es mediante el uso de complementos y temas con excelentes críticas y calificaciones. Estos son excelentes indicadores que le dirán que están bien mantenidos y funcionando correctamente. Además, asegúrese de buscar actualizaciones periódicamente para mejorar su rendimiento.

Resumen

Dado que las amenazas cibernéticas en todo el mundo no planean retirarse muy pronto, es esencial proteger su sitio web de WordPress de posibles peligros. Afortunadamente, existen muchas prácticas de seguridad sencillas pero efectivas que puede realizar para mejorar la seguridad general de su sitio.

Este artículo demuestra que no necesita un gran presupuesto o conocimientos técnicos avanzados para realizar algunas de las mejores prácticas de seguridad. La pregunta es, ¿estás preparado para el desafío?
¿Quiere aceptar pagos a través de su sitio web? Aquí están los mejores complementos para aceptar pagos en sitios de WordPress.

Relacionado:

Cómo usar Google Cloud SQL con WordPress.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Trata Intruder