Seguridad de WordPress: 24 consejos para proteger su sitio web de los piratas informáticos

La seguridad de WordPress debería ser la primera prioridad al administrar un sitio web. Usted diseña su sitio web, publica contenido, vende productos en línea, pero si no toma en serio la seguridad de WordPress, su sitio puede ser pirateado en cualquier momento. 


Todos los días 30,000 sitios web son pirateados y más de 2,000 sitios web son puestos en la lista negra por Google. No eres una excepción. Si un sitio web del gobierno puede ser pirateado, ¿por qué no el tuyo??

Una mañana, te levantaste y ves que tu sitio de WordPress es inaccesible y ves mensajes aleatorios como,

“Xyz hackeó su sitio web” – el sitio está pirateado

“El sitio que se encuentra más adelante contiene malware”, incluido en la lista negra de Google

Esto es lo peor que podrías enfrentar con tu sitio web.

Pero, ¿por qué WordPress??

WordPress controla más del 31% (80 millones) del total de sitios web en la web. De acuerdo a W3Techs, WordPress tiene el 60% de la cuota de mercado de CMS más que otras plataformas, lo cual es una razón bastante sólida para atraer hackers.

Pero no se asuste. Fortalecer la seguridad de WordPress es muy fácil y tú también puedes hacerlo.

En este artículo, compartiré los 24 mejores consejos de seguridad de WordPress para proteger su sitio web de hackers y malware.

“¿Por qué no hacer que la puerta de tu palacio desaparezca antes de que la descubran?” – WPMyWeb

Contents

Problemas comunes de seguridad de WordPress

Antes de profundizar en las mejores prácticas de seguridad de WordPress, primero comprendamos algunos problemas comunes de seguridad de WordPress.

Muchos usuarios creen que WordPress no es una plataforma segura para usar en una empresa, lo cual no es cierto en absoluto. Esto se debe a la falta de conocimiento de la seguridad de WordPress, la mala administración del sistema, el uso de software y complementos obsoletos de WordPress, etc..

Muchos principiantes de WordPress suponen que crear un sitio web es el final y no requiere ningún mantenimiento de seguridad. Así es como deja su sitio vulnerable.

Una vez que los hackers se encuentran vulnerables en su sitio, pueden explotarlo fácilmente.

Veamos algunos de los problemas comunes de seguridad de WordPress.

1. Ataques de fuerza bruta: 

En el ataque de fuerza bruta, se utiliza un script automatizado para generar varias combinaciones de nombres de usuario y contraseñas. Hacker usa la página de inicio de sesión de WordPress para ejecutar un ataque de fuerza bruta. 

Si está utilizando un nombre de usuario y contraseña simples, entonces podría ser la próxima víctima de este ataque.

2. Cross Site Scripting (XSS):

Cross Site Scripting es un tipo de ataque donde los atacantes inyectan código / script malicioso en un sitio web confiable. Este método de pirateo es totalmente invisible para los usuarios que navegan por el sitio web.

Estas secuencias de comandos maliciosas se cargan de forma anónima y roban información del navegador de los usuarios. Incluso si un usuario ingresa datos en cualquier forma, los datos podrían ser robados.

3. Inyecciones SQL:

WordPress usa una base de datos MySQL para almacenar información del blog.

La inyección de SQL ocurre cuando los hackers obtienen acceso a la base de datos de WordPress. Al piratear la base de datos de WordPress, los piratas informáticos pueden crear una nueva cuenta de administrador con acceso completo a su sitio.

También pueden insertar datos en su base de datos MySQL y agregar enlaces a sitios web maliciosos o spam.

4. Puertas traseras:

Con el nombre de “Puerta trasera”, puedes entender lo que significa. 

Backdoor es un método de piratería que permite a los piratas informáticos ingresar a un sitio web evitando el proceso de autenticación normal e incluso sin ser detectado por el propietario del sitio web.

Después de piratear un sitio web, los piratas informáticos generalmente dejan su huella, para que puedan acceder al sitio web incluso si se elimina el pirateo.

5. Pharma Hacks:

WordPress Pharma hacks es un tipo de spam de sitios web que llena los resultados de los motores de búsqueda con contenido de farmacias spam que están prohibidos en la web como Viagra, Nexium, Cialis, etc..

A diferencia de otros hacks de WordPress, los resultados del hack farmacéutico solo son visibles para los motores de búsqueda. Para que no pueda detectar el pirateo simplemente viendo su sitio web o el código fuente.

Ve a Google y escribe sitio: dominio.com. Si los resultados de la búsqueda muestran el contenido de su sitio web (no el contenido de la farmacia), su sitio no se ve afectado por los piratas informáticos.

El objetivo de este truco es explotar sus páginas más valiosas anulando la etiqueta del título con enlaces dañinos. Sin mencionar que si no inspecciona el asunto temprano, los motores de búsqueda como Google, Bing pueden incluir en su lista negra su sitio para proporcionar contenido malicioso.

6. Redirecciones maliciosas:

La redirección maliciosa de WordPress es un tipo de pirateo en el que los visitantes de su sitio son redirigidos automáticamente a sitios de spam como juegos de azar, pornografía, sitios de citas. Este truco ocurre cuando se inyecta un código malicioso en el archivo o la base de datos de su sitio web.

Si su sitio redirige a los visitantes a sitios ilegales o maliciosos, Google posiblemente lo incluirá en la lista negra..

Por qué es importante la seguridad de WordPress?

Su sitio web representa su marca, su negocio y, lo más importante, el primer contacto con sus clientes..

Probablemente le tomó varios años con muchos esfuerzos para mantener su negocio y hacer crecer su tráfico. Su audiencia ama sus artículos y confía en sus productos, por eso se mantienen en contacto con usted..

Si su sitio de WordPress no es seguro, hay muchas formas en que su sitio y sus clientes se verán afectados. Los piratas informáticos pueden robar información personal del usuario, contraseñas, detalles de la tarjeta de crédito, información de transacciones y pueden distribuir malware a sus usuarios.

Si su sitio es pirateado, notará que su tráfico está cayendo drásticamente. Además, Google incluirá en la lista negra su sitio web.

De acuerdo con la Blog de Google, El número de sitios web pirateados aumenta aproximadamente un 20% en 2016 en comparación con 2015.

En un estudio, Securi informes que Google pone en la lista negra más de 10,000 sitios web todos los días.

Si te tomas en serio tu negocio, debes prestar especial atención a la seguridad de tu WordPress.

Seguridad de WordPress

La mejor guía de seguridad de WordPress

  1. Consigue un buen alojamiento de WordPress
  2. Mantenga actualizada la versión de WordPress
  3. No utilice ningún tema o complemento anulado / agrietado
  4. Use contraseñas seguras
  5. Agregar (2FA) Autenticación de dos factores
  6. Cambiar la URL de inicio de sesión de WordPress
  7. Limitar los intentos de inicio de sesión
  8. Haga una copia de seguridad de su sitio regularmente
  9. Use un complemento de seguridad de WordPress
  10. Cerrar sesión automáticamente usuarios inactivos
  11. Agregar preguntas de seguridad a la página de inicio de sesión de WordPress
  12. Cambiar el nombre de usuario predeterminado “admin”
  13. Asignar usuarios al rol más bajo posible
  14. Supervisar cambios de archivos y actividades de usuario
  15. Instalar certificado SSL
  16. Eliminar temas y complementos no utilizados
  17. Deshabilitar la edición de archivos en el panel de WordPress
  18. Proteger con contraseña la página de inicio de sesión de WordPress
  19. Deshabilitar la exploración de directorios
  20. Elimina tu número de versión de WordPress
  21. Cambiar el prefijo de la tabla de la base de datos de WordPress
  22. Utilice solo temas y complementos confiables de WordPress
  23. Deshabilitar informe de error PHP
  24. Agregue encabezados seguros HTTP a WordPress

Listo? Empecemos.

1. Consigue un buen alojamiento de WordPress

El alojamiento de WordPress juega un papel importante cuando se trata de mejorar la seguridad de WordPress.

Usted está pagando por el servicio de alojamiento y su sitio web permanece bajo su control. Por lo tanto, debe tener cuidado antes de elegir un buen alojamiento de WordPress para su sitio web.

El alojamiento compartido como A2Hosting, Bluehost, etc. es la mejor opción de alojamiento para ejecutar un blog de bajo tráfico. Pero en el alojamiento compartido, siempre habrá una posibilidad de contaminación entre sitios.

La contaminación entre sitios ocurre cuando un pirata informático puede acceder al servidor web a través de un sitio web vulnerable y luego explotar todos los demás sitios web en el mismo servidor web.

Recomendamos utilizar un proveedor de alojamiento de WordPress administrado. Las empresas administradas de alojamiento de WordPress ofrecen opciones de seguridad de múltiples capas para sitios web. Sus plataformas de alojamiento son altamente seguras y ofrecen escaneo diario de malware y evitan cualquier ataque externo. Si de todos modos, encuentran malware en su servidor, asumen la responsabilidad y lo eliminan al instante.

También ofrecen copias de seguridad diarias, certificado SSL gratuito, soporte experto 24 × 7.

Recomendamos la empresa de alojamiento de WordPress administrada por WPEngine. Ofrecen múltiples capas de seguridad para proteger su sitio de WordPress. Con su plan, obtendrá copias de seguridad diarias, SSL gratis, CDN global y soporte experto 24 × 7.

Visitar WPEngine. [Código de descuento agregado en este enlace]

Volver arriba

2. Mantenga la versión de WordPress actualizada

Mantener actualizado su sitio de WordPress es una buena práctica de seguridad para fortalecer su seguridad de WordPress. Esta actualización incluye la versión de WordPress, complementos y temas..

En un estudio reciente, Securi analizado que el 56% del total de sitios web infectados de WordPress todavía estaban desactualizados. Si eres uno de ellos, estás en peligro..

Todos los días se descubren nuevas vulnerabilidades y no hay forma de detenerlas. El software y los complementos obsoletos pueden contener vulnerabilidades que los piratas informáticos pueden usar para explotar un sitio.

Con cada actualización, los desarrolladores incluyen nuevas funciones, parchan agujeros de seguridad, corrigen errores, etc. Al igual que el software de WordPress, también necesita actualizar sus temas y complementos de WordPress.

Lo bueno es que WordPress implementa automáticamente sus actualizaciones y notifica a sus usuarios.

Actualizar la versión de WordPress, los complementos y los temas son muy fáciles y puede hacerlo a través de su panel de administración de WordPress.

Cómo actualizar WordPress, complementos y temas?

Primero inicie sesión en su panel de WordPress y vaya a Tablero> Actualizaciones. Allí puede ver si hay una nueva actualización disponible.

Nota: Antes de actualizar su versión de WordPress, realice una copia de seguridad completa de sus archivos y base de datos. En caso de que ocurra un error, puede restaurar fácilmente su sitio a la versión anterior. Puede hacer una copia de seguridad y restaurar su sitio fácilmente usando BlogVault con solo un clic.

Desde la página, puede ver “Una versión actualizada de WordPress está disponible”. Haga clic en Actualizar ahora para actualizar su versión de WordPress, este proceso puede demorar unos segundos.

Una vez que se complete la actualización, desplácese hacia abajo para actualizar sus complementos de WordPress. Recomendamos que actualice los complementos uno por uno. Primero, seleccione un complemento y haga clic en Actualizar complementos.

De manera similar, actualice sus temas a continuación.

Actualizar WordPress desde el tablero

Sin embargo, el proceso de actualización es un poco complicado para algunos usuarios, especialmente aquellos que no son expertos en tecnología..

Algunos proveedores de alojamiento administrado de WordPress como SiteGround, Kinsta, FlyWheel proporcionan actualización automática característica. Por lo tanto, si tiene una agenda ocupada o es lenta para actualizar, esto podría ser útil.

Lea también, Cómo actualizar manualmente la versión de WordPress, complementos y temas

Volver arriba

3. No utilice nunca temas y complementos anulados / agrietados

No es de extrañar que los complementos y temas premium incluyan más funcionalidad y se vean profesionales. Pero ninguno de los productos premium es gratis. Viene con un precio y después de comprar cualquier producto premium, los usuarios deben ingresar la clave del producto para activar el producto..

Pero, hay muchos sitios web maliciosos disponibles que proporcionan temas y complementos premium de forma gratuita. Esos temas y complementos descifrados no requieren una clave de serie para activarse y nunca se actualizan.

Esto es lo que quiero decir:

Ejemplo de complemento de WordPress anulado

Esos temas y complementos anulados son muy peligrosos para su sitio. Los hackers le inyectan códigos maliciosos especialmente y crean una puerta trasera a su sitio. Para que puedan acceder fácilmente a su sitio web y piratear su sitio web, incluida la base de datos.

Por lo tanto, nunca use ningún tema o complemento de WordPress anulado o agrietado.

Recomendamos encarecidamente que solo descargue temas o complementos gratuitos solo de WordPress.org.

Entendemos que el tema o complemento gratuito tiene funciones muy limitadas. Pero, esos temas o complementos gratuitos son seguros de usar y se actualizan regularmente.

Lea también, los 7 mejores temas de blogs premium para WordPress

Volver arriba

4. Use contraseñas seguras

Una contraseña es una clave principal para acceder a su sitio de WordPress. Si es simple y breve, los piratas informáticos pueden descifrar fácilmente su contraseña. Terminado 80% de infracciones relacionadas con la piratería debido a contraseña débil o contraseña robada.

En un estudio reciente, SplashData revelado 100 peores contraseñas de 2017.

Aquí hay algunos de ellos:

  1. 123456
  2. contraseña
  3. 12345678
  4. QWERTY
  5. 12345
  6. 123456789
  7. Déjame entrar
  8. 1234567
  9. fútbol americano
  10. te quiero
  11. administración
  12. bienvenidos
  13. mono (lol)

Si su contraseña es simple como la anterior, cámbiela inmediatamente. Una contraseña segura debe tener al menos 10 dígitos y contener mayúsculas, minúsculas, números y caracteres especiales..

Puedes usar un herramienta de generador de contraseñas en línea para crear instantáneamente miles de contraseñas seguras.

También es necesario que guarde la contraseña en su computadora.

Para hacerlo más fácil, puede usar el software de administrador de contraseñas para administrar todas sus contraseñas como LastPass, Dashlane, etc..

Aplicar una contraseña segura a los usuarios

Por defecto, WordPress no viene con una función que evite que los usuarios ingresen contraseñas débiles. La mayoría de las veces los usuarios establecen una contraseña débil para su cuenta y apenas la cambian.

Si está ejecutando un blog de WordPress multiusuario, debe obligar a los usuarios a usar una contraseña segura.

Para facilitar este proceso, puede usar un complemento. Instalar y activar Forzar contraseñas seguras plugin y ya está. Esto evitará que los usuarios e incluso el administrador ingresen una contraseña débil.

Volver arriba

5. Agregar autenticación de dos factores (2FA) 

Otro método simple para fortalecer su seguridad de WordPress es agregar autenticación de dos factores (2FA) a su página de inicio de sesión de WordPress. Básicamente, la autenticación de dos factores o la verificación en dos pasos es un proceso de seguridad que requiere dos métodos para verificar su identidad.

Por defecto, usualmente ingresamos nombre de usuario y contraseña para iniciar sesión en un sitio web. Al agregar la autenticación de dos factores, se requerirá un proceso de verificación adicional, como una aplicación de teléfono inteligente, para aprobar el proceso de autenticación.

Entonces, si alguien conoce su nombre de usuario y contraseña, necesita su teléfono inteligente para obtener el código de verificación para iniciar sesión en su sitio.

Al agregar la autenticación de dos factores, no solo está asegurando su página de inicio de sesión de WordPress sino que también está evitando ataques de fuerza bruta.

Puede habilitar la autenticación de dos factores fácilmente utilizando el complemento de WordPress de autenticación de dos factores de Google.

Una vez activado, ve a Los usuarios> Perfil del usuario y active el complemento.

Configuración del autenticador de Google

Luego descargue la aplicación de autenticación de Google desde su teléfono y escanee el Código de barras o ingrese el Código secreto (vea la captura de pantalla anterior) de su sitio para agregar su sitio web.

Una vez agregado, cierre sesión en su sitio. En la página de inicio de sesión, verá un campo adicional donde debe ingresar el código de verificación desde la aplicación móvil Google Authenticator.

Campo Autenticador de Google

Para obtener instrucciones detalladas, consulte la guía sobre cómo agregar la autenticación de dos factores de Google en la página de inicio de sesión de WordPress.

Volver arriba

6. Cambiar la URL de la página de inicio de sesión de WordPress

De manera predeterminada, cualquier persona puede acceder a su página de inicio de sesión simplemente agregando “wp-admin” o “wp-login.php” al final de su nombre de dominio, como: “dominio.com/wp-admin” o “dominio.com/ wp-login.php “.

¡Adivina qué! Los hackers pueden ejecutar ataques de fuerza bruta utilizando su página de inicio de sesión. Si está utilizando una contraseña muy simple, los piratas informáticos pueden descifrar fácilmente su contraseña e ingresar a su sitio web.

¿Pero qué pasa si no saben dónde atacar? Sí, lo adivinaste bien.

Si oculta o cambia el nombre de la URL de su página de inicio de sesión, los piratas informáticos no podrían ejecutar un ataque de fuerza bruta.

En WordPress, puede ocultar o cambiar fácilmente el nombre de su página de inicio de sesión utilizando un complemento. Desde la galería de complementos de WordPress, instale y active WPS Ocultar inicio de sesión enchufar.

Una vez activado, ve a Configuraciones> General y en la parte inferior, puedes encontrar el WP Ocultar opción de inicio de sesión.

WPS Ocultar configuración de inicio de sesión

Simplemente cambie la URL de inicio de sesión “iniciar sesión” a otra cosa que es difícil de adivinar y haga clic en Guardar cambios.

Una vez hecho esto, marque la nueva página de inicio de sesión y ya está.

Volver arriba

7. Limite los intentos de inicio de sesión

De forma predeterminada, WordPress no limita el número de intentos de inicio de sesión a través del formulario de inicio de sesión. Eso significa que cualquiera sabe que su URL de inicio de sesión puede probar la función de inicio de sesión tantas veces como quiera. De esta manera, los piratas informáticos ejecutan un ataque de fuerza bruta para descifrar su “nombre de usuario” y “contraseña” para acceder a su sitio web.

Al limitar los intentos de inicio de sesión, puede fortalecer la seguridad de WordPress y proteger su página de inicio de sesión de ataques de fuerza bruta.

Puede establecer un número máximo de intentos de inicio de sesión incorrectos que un usuario puede hacer desde la misma dirección IP. Si el usuario excede los límites, la IP del usuario será bloqueada por un tiempo particular.

Para limitar los intentos de inicio de sesión en WordPress, instale Iniciar sesión LockDown enchufar. Una vez activado, ve a Configuraciones> Iniciar sesión LockDown configurar el complemento.

Configuración de bloqueo de inicio de sesión

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo limitar los intentos de inicio de sesión en WordPress

Volver arriba

8. Haga una copia de seguridad de su sitio regularmente

Las copias de seguridad son como Time Machine. Si lo tiene, su sitio web es seguro.

Sin embargo, las copias de seguridad del sitio web no protegen su sitio de los piratas informáticos, pero le ayuda a recuperar su sitio.

Por ejemplo, si algo sale mal con su sitio durante la actualización o si su sitio web es pirateado, ¿cómo solucionará su sitio nuevamente? Probablemente pierdas tu sitio.

Pero si tiene copias de seguridad de su sitio, puede restaurarlo fácilmente antes del punto en que fue pirateado o bloqueado.

Es por eso que le recomendamos encarecidamente que use un complemento de respaldo confiable de WordPress. Sin embargo, muchas empresas de alojamiento ofrecen copias de seguridad gratuitas del sitio web, pero pueden garantizar la disponibilidad de su sitio si hay una falla catastrófica. Por lo tanto, debe guardar las copias de seguridad en una ubicación remota como Google Drive, Amazon S3, Dropbox, etc..

Afortunadamente, esto se puede hacer usando BlogVault o BackUpBuddy WordPress Backup Plugin. Ambos ofrecen copias de seguridad diarias y restauración con un clic. También puede crear un sitio de ensayo sin costo adicional..

Volver arriba

9. Use el complemento de seguridad de WordPress

Lo siguiente que necesita para fortalecer su Seguridad de WordPress Es un complemento de seguridad. Hay muchos complementos de seguridad de WordPress disponibles que bloquearán su sitio contra piratas informáticos y malware.

Los complementos de seguridad de WordPress detectarán y eliminarán el malware si está presente en su sitio. Además, supervisan la actividad del usuario en tiempo real, le notifican si algo ha cambiado, si un complemento contiene un malware, bloquean el tráfico de spam y muchos más..

Recomendamos Securi WordPress Security Plugin. Securi Security ofrece un tipo diferente de características de seguridad, tales como auditoría de actividad de seguridad, monitoreo de sitios web, firewall del sitio web,  y muchos más.

Securi

Lo mejor de Securi es que si su sitio es pirateado o incluido en la lista negra por Google mientras usa su servicio, garantizan que lo arreglarán..

La mayoría de los expertos en seguridad de WordPress cobran más de $ 300 para reparar un sitio pirateado, mientras que obtendrá todos los servicios de seguridad solo $ 199 por año. Es una buena inversión para fortalecer su seguridad de WordPress.

Volver arriba

10. Cerrar sesión automáticamente en usuarios inactivos

Si un usuario permanece inactivo o inactivo en su sitio durante demasiado tiempo, esto puede causar un ataque de fuerza bruta.

Cuando un usuario permanece inactivo durante demasiado tiempo, los piratas informáticos pueden usar cookies o métodos de secuestro de sesión para obtener acceso no autorizado a su sitio web. Es por eso que la mayoría de los sitios web relacionados con educación y finanzas, como los sitios web de bancos y pasarelas de pago, utilizan la función de tiempo de espera de sesión del usuario. Entonces, cuando un usuario navega fuera de la página y no interactúa después de un período de tiempo, el sitio web cierra automáticamente la sesión del usuario inactivo.

La misma función que puede agregar a su sitio de WordPress para mejorar su seguridad de WordPress. Agregar cerrar sesión automáticamente a los usuarios inactivos en WordPress es extremadamente simple. Todo lo que necesitas para instalar un complemento.

Primero, descargue e instale el Cierre de sesión inactivo Complemento de WordPress. Luego actívelo y vaya a Configuraciones> Cierre de sesión inactivo configurar el complemento.

Configuración del complemento de cierre de sesión inactivo

Desde la configuración, puede cambiar el tiempo de espera inactivo. Entonces, después de ese tiempo, todos los usuarios de su sitio se desconectarán automáticamente.

También puede cambiar el mensaje de tiempo de espera inactivo y modificar otras configuraciones si es necesario.

Una vez hecho, haga clic en Guardar cambios para almacenar la configuración.

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo cerrar sesión automáticamente en usuarios inactivos en WordPress

Volver arriba

11. Agregar preguntas de seguridad a la página de inicio de sesión de WordPress

Al agregar preguntas de seguridad a su página de inicio de sesión de WordPress, no solo protegerá su página de inicio de sesión de WordPress sino que también fortalecerá la seguridad de WordPress.

La pregunta de seguridad agrega una capa adicional de seguridad para autenticar aún más su identidad durante el inicio de sesión. Esto es muy útil si está ejecutando un blog de WordPress de varios autores.

Si alguno de sus usuarios o su contraseña ha sido robada, entonces la pregunta de seguridad puede salvarle la vida.

Porque el nombre de usuario y la contraseña se pueden hackear fácilmente, pero optar por la pregunta y la respuesta de seguridad correcta es casi imposible. De esta manera, puede guardar su página de inicio de sesión de WordPress de los piratas informáticos y los ataques de fuerza bruta.

Para agregar una pregunta de seguridad en la página de inicio de sesión de WordPress, instale el Pregunta de seguridad de WP enchufar.

Configuración de preguntas de seguridad de WP

Una vez activado, ve a Preguntas de seguridad de WP > Configuraciones de complementos configurar el complemento.

Por defecto, el complemento tiene muchas preguntas comunes agregadas. Pero, puede agregar o eliminar cualquier pregunta de seguridad de la lista.

En la parte inferior, puede habilitar la pregunta de seguridad en la página de inicio de sesión, el registro y la página de contraseña olvidada. Después de configurar el complemento, no olvides hacer clic en Guardar configuración.

Nota: Solo los nuevos usuarios pueden configurar sus preguntas y respuestas de seguridad durante el registro. Por lo tanto, los usuarios registrados deben configurar manualmente sus propias preguntas y respuestas de seguridad. También puede establecer una pregunta y respuesta de seguridad para ellos. Esto se puede hacer desde Perfil del usuario página.

Agregar preguntas de seguridad de WP manualmente

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo agregar preguntas de seguridad a la página de inicio de sesión de WordPress

Volver arriba

12. Cambie el nombre de usuario predeterminado “Admin”

Después de instalar WordPress, puede cambiar su contraseña tantas veces como lo desee. ¿Pero puedes cambiar tu nombre de usuario una vez que está configurado? No cierto?

Por defecto, WordPress no permite a los usuarios cambiar el nombre de usuario. ¿Pero por qué deberías cambiarlo??

Si está utilizando un nombre de usuario muy común como “admin”, los hackers pueden ejecutar la fuerza bruta adjunta con la ayuda de su nombre de usuario.

Pero no se asuste. Hay varias formas de cambiar tu WordPress fácilmente.

Sin embargo, para facilitar el proceso, utilizaremos un complemento. Primero, descargue e instale el cambiador de nombre de usuario enchufar. Luego ve a Los usuarios> Tu perfil y encuentre la opción de nombre de usuario. Allí encontrará la opción “Cambiar nombre de usuario”.

Cambiar nombre de usuario de WordPress

Haga clic en Cambie el nombre de usuario botón e ingrese su nuevo nombre de usuario. Una vez hecho, haga clic en Actualización del perfil.

Si desea cambiar su nombre de usuario manualmente (sin complemento), consulte el artículo 3 formas diferentes de cambiar el nombre de usuario de WordPress.

Volver arriba

13. Asignar usuarios al rol más bajo posible

Si está ejecutando un sitio de WordPress de varios autores, debe tener cuidado antes de asignar un rol a un usuario.

Muchas veces, los propietarios de sitios de WordPress asignan un rol de usuario más alto a los nuevos usuarios, de esta forma le otorgan todos los privilegios a los usuarios y, como resultado, cualquier usuario puede realizar cualquier tarea que desee.

Por ejemplo, si no sabe qué puede desempeñar un rol de usuario Editor y asigna el rol a un usuario normal, el usuario puede eliminar todas sus publicaciones, editar enlaces, crear publicaciones spam, agregar enlaces maliciosos a su blog publicaciones Así es como un usuario puede arruinar fácilmente su sitio web.

Por defecto, WordPress viene con 5 roles de usuario diferentes.

  • Administrador
  • Editor
  • Autor
  • Contribuyente
  • Abonado
  1. Administrador: Los administradores son el rol de usuario más poderoso en un sitio de WordPress. Pueden crear, editar y eliminar una cuenta de usuario, pueden realizar cualquier tarea en todo el panel de administración de WordPress, tener control en todo el área de contenido y también comentarios moderados. 
  2. Editor: Los usuarios con el rol de Editor tienen el control total sobre todo el contenido. Pueden crear, editar y eliminar cualquier publicación, incluidas las publicaciones creadas por otros usuarios. También pueden moderar comentarios y modificar enlaces..
  3. Autor: Los autores solo pueden publicar, editar o eliminar sus propias publicaciones. Pueden cargar archivos multimedia para usar en sus publicaciones. Pueden ver los comentarios pero no pueden aprobar ni eliminar ningún comentario..
  4. Contribuyente: Los usuarios con el rol Colaborador solo pueden escribir, editar o eliminar su propia publicación no publicada, pero no pueden publicar su propia publicación.
  5. Abonado: Los suscriptores solo pueden editar la información de su cuenta, incluida la contraseña, pero no tienen acceso al contenido ni a la configuración del sitio. Tienen las capacidades más bajas en un sitio de WordPress.

Al comprender los roles de usuario de WordPress, puede administrarlos fácilmente sin ningún riesgo.

También recomendamos que establezca el nuevo rol predeterminado del usuario como suscriptor. Ir a la configuración> Configuración general y de su conjunto Nuevo rol predeterminado del usuario Abonado y haga clic en Guardar cambios.

Rol predeterminado de nuevo usuario de WordPress

Para obtener más detalles, lea la Guía para principiantes sobre los roles y capacidades de los usuarios de WordPress

Volver arriba

14. Monitorear los cambios de archivos y las actividades del usuario

Otra forma inteligente de fortalecer la seguridad de WordPress es monitoreando las actividades del usuario y los cambios de archivos. 

Si está ejecutando un sitio de WordPress multiusuario, entonces debe rastrear el comportamiento del usuario para comprender mejor cuáles son sus actividades en todo el sitio de WordPress.

¿Quién sabe si un usuario está haciendo un trabajo sospechoso o está intentando hackear su sitio web? Cómo puedes saber eso?

La única forma de rastrear las actividades de los usuarios y los cambios de archivos es mediante el uso de un complemento de WordPress para la actividad del usuario. Al utilizar un complemento de actividad del usuario en WordPress, puede:

  • ver quién está conectado y qué están haciendo en tiempo real
  • cuando un usuario inicia y cierra sesión
  • cuántas veces un usuario intentó iniciar sesión pero falló

Además, si un editor realizó algún cambio en una publicación o página sin su permiso, puede encontrarlo fácilmente y volverlo a ver. Lo bueno de un complemento de actividad del usuario es que le envía instantáneamente una notificación por correo electrónico si algo sale mal.

WP Security Audit Log es el mejor complemento para monitorear las actividades de los usuarios y los cambios de archivos en tiempo real. Aquí hay una captura de pantalla a continuación sobre cómo funciona el complemento.

Visor de registro de auditoría de WordPress

Lea también, los 5 mejores complementos para monitorear la actividad del usuario en WordPress (complementos alternativos)

Volver arriba

15. Implementar SSL y HTTPS

Seguridad de WordPress no se puede mejorar sin un certificado SSL. Un SSL (Secure Socket Layer) es la columna vertebral de la seguridad del sitio web.

SSL es una tecnología de seguridad estándar que crea enlaces cifrados entre un servidor y un navegador web en una comunicación en línea, como una transacción en línea. Entonces, todos los datos confidenciales como contraseñas, detalles de tarjetas de crédito, etc. pasan a través de enlaces cifrados.

Si ejecuta un negocio en línea o un blog donde acepta el pago, entonces un certificado SSL es imprescindible. Mantendrá los datos de sus clientes a salvo de los piratas informáticos. Para tiendas en línea o sitios de WooCommerce, los costos del certificado SSL cuestan alrededor de $ 20- $ 170.

En caso de que tenga un blog de WordPress, no necesita un certificado SSL pagado. Si está utilizando el alojamiento de cPanel como SiteGround, WPEngine, puede instalar el certificado SSL de forma gratuita con solo un clic.

Primero, inicie sesión en su cuenta de hosting cPanel y navegue hasta Seguridad.  (Aquí hay una captura de pantalla a continuación del cPanel de alojamiento de SiteGround).

SG SSL

Ve a la Administrador SSL / TLS y haga clic en Instalar certificado SSL. Desde la página, seleccione su dominio y haga clic en Autocompletar por dominio. El proceso es automático, por lo que no necesita editar ni modificar nada..

Certificado SSL de instalación en el sitio

Ahora haga clic en el Instalar certificado botón para finalizar el proceso de configuración.

Una vez hecho esto, inicie sesión en el panel de administración de WordPress para modificar la URL de su sitio. Ir Configuraciones> General y agregue reemplazar el HTTP con HTTPS antes de la URL de su sitio. Aquí hay una captura de pantalla a continuación..

WP HTTPS

Una vez actualizado, haga clic en Guardar cambios.

Cómo redirigir HTTP a HTTPS en WordPress

Si ha instalado correctamente el certificado SSL, se puede acceder a su sitio con HTTPS.

Pero si alguien escribe solo el nombre de su sitio web (es decir, dominio.com) en la barra de direcciones del navegador, entonces el sitio puede mostrar el mensaje “La conexión no es segura”. Eso significa que su sitio es accesible con HTTP.

Para solucionar el problema, debe forzar HTTPS en WordPress, por lo que su sitio solo se cargará con HTTPS. Puede forzar fácilmente HTTPS en WordPress.

Primero inicie sesión en su cPanel de alojamiento y vaya a la carpeta raíz de su sitio web y busque .htaccess archivo. Edite el archivo .htaccess y al final agregue el siguiente código.

RewriteEngine On
RewriteCond% {HTTPS} desactivado
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Guarde el archivo y ya está. Ahora solo se puede acceder a su sitio web con HTTPS.

Si su proveedor de alojamiento web no proporciona un certificado SSL gratuito, puede instalar un certificado SSL manualmente. Aquí está la guía sobre cómo instalar un certificado SSL gratuito.

Volver arriba

16. Eliminar temas y complementos no utilizados

Cuando se trata de fortalecer la seguridad de WordPress, no debemos ignorar ningún pequeño paso que pueda hacer que su sitio sea vulnerable. 

La mayoría de las veces los propietarios de sitios de WordPress instalan diferentes temas y complementos para probar qué tema se ve mejor en su sitio o qué complemento tiene más funcionalidad. Está bien. Pero mantener esos temas y complementos no utilizados hace que su sitio sea vulnerable.

Porque mantener muchos temas y complementos de WordPress debe actualizarse regularmente como el que está utilizando. Si no los actualiza, se vuelven vulnerables y los hackers pueden explotar fácilmente su sitio a través de los temas y complementos vulnerables. Además, mantener tantos temas y complementos hace que el sitio de WordPress sea más lento.

Por lo tanto, siempre debe eliminar los temas no utilizados y el complemento para mejorar el rendimiento del sitio y la seguridad de WordPress.

Para eliminar un complemento no utilizado, vaya a Complementos> Complementos instalados. Luego busque el complemento que ya no necesita. Primero, desactive el complemento y haga clic en Eliminar.

Plugin de WordPress eliminar

Del mismo modo, para eliminar un tema, vaya a Apariencia> Temas y haga clic en Detalles del tema. Luego, en la parte inferior del lado derecho, haga clic en Eliminar.

Eliminar tema

Volver arriba

17. Deshabilite la edición de archivos en el panel de WordPress

Por defecto, WordPress permite a los usuarios editar el tema y el archivo de complemento directamente desde el panel de WordPress. Esta es una opción útil para los usuarios que con frecuencia necesitan editar el tema y el archivo de complemento.

WordPress Theme Editor

Sin embargo, mantener esta función habilitada puede ser un grave problema de seguridad. Si los piratas informáticos acceden a su sitio web, generalmente dejan su huella al inyectar código malicioso en los archivos del sitio web. Si su función de edición de archivos de WordPress está habilitada, los piratas informáticos pueden inyectar fácilmente código malicioso en su tema o archivo de complemento que será desconocido para usted.

Para mejorar la seguridad de WordPress, debe deshabilitar la función de edición de archivos desde su panel de WordPress. Deshabilitar el tema de WordPress y el editor de complementos en WordPress es un proceso muy fácil.

Primero, debe iniciar sesión en su cuenta de hosting cPanel e ir a la carpeta raíz de su sitio de WordPress. A partir de ahí, encuentre el wp-config.php. Haga clic en editar y agregue el siguiente código al final.

define (‘DISALLOW_FILE_EDIT’, verdadero);

Ahora guarde el archivo y actualice su panel de WordPress. Verá que la opción del editor de temas y complementos se ha ido. Con este pequeño truco, puedes mejorar fácilmente la seguridad de WordPress.

Lea la guía detallada sobre cómo deshabilitar el tema y el editor de complementos en WordPress

Volver arriba

18. Página de inicio de sesión de WordPress para proteger con contraseña

Otra excelente manera de mejorar la seguridad de WordPress es proteger con contraseña la página de inicio de sesión de WordPress.

Al proteger con contraseña su página de inicio de sesión de WordPress (/wp-login.php) o la página admin (https://cdn.wpmyweb.com/wp-admin), puede evitar que los hackers accedan a su página de inicio de sesión porque requiere una contraseña para acceder a página de inicio de sesión. Cuadro emergente de autenticación requeridaUna vez habilitada esta función, su sitio solicitará a todos los usuarios que accedan a la página de inicio de sesión con un nombre de usuario y una ventana de contraseña. En resumen, todos los usuarios deben iniciar sesión dos veces con un nombre de usuario y contraseña diferentes antes de acceder a su panel de administración de WordPress.

Al hacerlo, puede fortalecer su seguridad de WordPress y agregar una capa adicional de seguridad a su página de inicio de sesión.

Lea nuestra guía detallada sobre cómo proteger con contraseña la página de inicio de sesión de WordPress.

Volver arriba

19. Desactivar la exploración de directorios en WordPress

Por defecto, la mayoría de los servidores web como Apache, NGINX y LiteSpeed ​​permiten a cualquier usuario navegar por los directorios que contienen archivos y carpetas de WordPress. También pueden ver qué tema y complementos está utilizando y saber más sobre la estructura de su sitio web.

Página de índice de un sitio de WordPress

Esta información puede hacer que su sitio de WordPress sea vulnerable y ayudar a un hacker cuando intenta comprometer su sitio.

Para mejorar la seguridad de WordPress, le recomendamos que desactive esta opción. Para deshabilitar la exploración de directorios en WordPress, simplemente agregue la siguiente línea a su .htacces archivo.

Opciones Todos-Índices

Para obtener instrucciones detalladas, lea nuestra guía sobre cómo deshabilitar la exploración de directorios en WordPress

Volver arriba

20. Elimina tu versión de WordPress

Por defecto, WordPress agrega automáticamente metaetiquetas en diferentes ubicaciones que muestran la versión de WordPress que está utilizando.

Aquí está la cosa: si los piratas informáticos saben que está ejecutando una versión obsoleta de WordPress, pueden explotar su sitio a través de las vulnerabilidades conocidas que están presentes en la versión anterior de WordPress.

Por lo tanto, es mejor que elimine su versión de WordPress para mejorar la seguridad de WordPress. Hay varios lugares donde WordPress agrega las metaetiquetas como, en el panel de WordPress, en el encabezado, en estilo y javascript y en la fuente RSS.

Eliminar la versión de WordPress del encabezado y RSS

Para eliminar la versión del encabezado y RSS, agregue la siguiente línea al final de su funciones.php archivo.

función remove_wordpress_version () {
regreso ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

Eliminar el número de versión de WordPress de Scripts y CSS

Para eliminar la versión de WordPress del CSS y los scripts, agregue la siguiente línea al final de su funciones.php archivo.

// Elija el número de versión de los scripts y estilos
función remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘versión’)))
$ src = remove_query_arg (‘ver’, $ src);
return $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Una vez hecho esto, guarde el archivo functions.php.

Eso es. Con este simple truco, seguramente puede mejorar su seguridad de WordPress. Sin embargo, siempre le recomendamos que actualice regularmente su versión de WordPress, así como el tema y los complementos.

Para obtener instrucciones detalladas, lea nuestra guía sobre cómo ocultar o eliminar la versión de WordPress

Volver arriba

21. Cambiar el prefijo de la tabla de la base de datos de WordPress

Durante la instalación de WordPress, le pregunta si desea usar un prefijo de base de datos diferente. Por lo general, omitimos este paso, por lo que WordPress usa automáticamente (WP_) como prefijo predeterminado de la tabla de la base de datos. Te recomendamos cambiarlo por algo fuerte y único.

El uso del prefijo predeterminado (WP_) hace que su base de datos de WordPress sea susceptible a los ataques de inyección SQL. Tales ataques se pueden evitar cambiando el prefijo de la base de datos (WP_) a algo único.

Después de instalar WordPress, puede cambiar fácilmente el prefijo predeterminado de la tabla de la base de datos utilizando complementos o manualmente. Complementos como BackupBuddy, Brozzme DB Prefix le permite cambiar el prefijo de la tabla con solo un clic.

Por el bien del tutorial, estoy mostrando cómo cambiarlo usando el complemento Brozzme DB Prefix.

Nota: Antes de hacer algo con su base de datos, asegúrese de hacer una copia de seguridad de su sitio y base de datos. En caso de que algo salga mal, puede restaurar su sitio.

Primero, instale y active Brozzme DB Prefix enchufar. Desde su panel de WordPress, vaya a Herramientas> Prefijo DB e ingrese un nuevo nombre único para el prefijo de la base de datos.

Brozzme DB Prefix

Una vez ingresado su nuevo prefijo, haga clic en Cambiar prefijo de base de datos.

Para el proceso manual, lea sobre cómo cambiar el prefijo de la tabla de la base de datos usando phpMyAdmin

Volver arriba

22. Utilice solo complementos de confianza de WordPress

WordPress viene con más de 48,000 complementos. Eso no significa que todos los complementos sean útiles y seguros de usar.

Debido a que hay muchos complementos disponibles en la galería de complementos de WordPress que no se actualizan desde hace mucho tiempo y generalmente se vuelven vulnerables. Además, no obtendría ningún soporte si el complemento rompe su sitio.

Antes de usar cualquier complemento gratuito, hay dos cosas importantes que debe verificar,

  • Comprueba cuándo se actualizó el complemento por última vez: Si el complemento no se actualiza con frecuencia o el desarrollador del complemento ya no lo mantiene, entonces debe evitarlo.

Versión desactualizada del complemento de WordPress

  • Compruebe si el complemento tiene calificaciones positivas máximas: Lo siguiente que debe verificar es si el complemento tiene calificaciones máximas positivas o negativas. Si el complemento tiene calificaciones negativas máximas, no debe usarlo.

Plugin de baja calificación de WordPress

También puede consultar la página de comentarios y soporte del complemento para ver qué dicen otros usuarios sobre el complemento.

Pero no te preocupes. Hay muchos complementos similares disponibles que puedes encontrar en la galería de complementos de WordPress.

Si desea utilizar un complemento premium, no necesita preocuparse por ello. Los complementos premium se actualizan regularmente y obtendrá soporte 24x del desarrollador del complemento.

Volver arriba

23. Deshabilitar el informe de errores de PHP

Otra excelente manera de fortalecer la seguridad de WordPress es deshabilitar el informe de errores de PHP en WordPress. Muchas veces, cuando instala un complemento o tema obsoleto, puede ver la advertencia de error de PHP.

Advertencia de error de WordPress PHPSin embargo, puede hacer que su sitio sea vulnerable si los piratas informáticos lo obtienen, ya que muestra el código y la ubicación del archivo. Para minimizar el riesgo, puede deshabilitar los informes de errores de PHP en WordPress.

Deshabilitar la advertencia de error de PHP en WordPress es muy fácil. Primero, edita tu wp-config.php archivo y encuentre esa línea que tiene este código:

define (‘WP_DEBUG’, falso);

Puede ver “verdadero” en lugar de “falso”. Ahora reemplace la línea con el siguiente código.

ini_set (“display_errors”, “Off”);
ini_set (“error_reporting”, E_ALL);
define (“WP_DEBUG”, falso);
define (“WP_DEBUG_DISPLAY”, falso);

Guarde el archivo y ya está.

También le recomendamos que use complementos actualizados y bien calificados para evitar este tipo de problemas.

Volver arriba

24. Agregue encabezados seguros HTTP a WordPress

Otra excelente manera de fortalecer la seguridad de WordPress es agregar encabezados seguros HTTP a su sitio de WordPress.

Cuando alguien accede a su sitio web, el navegador realiza una solicitud a su servidor web. Luego, el servidor web responde con las solicitudes junto con los encabezados HTTP. Estos encabezados HTTP pasan información como codificación de contenido, control de caché, tipo de contenido, conexión, etc..

Al agregar encabezados de respuesta HTTP seguros, puede mejorar su seguridad de WordPress y también evita mitigar ataques y vulnerabilidades de seguridad.

Aquí están los encabezados HTTP a continuación:

  • Seguridad de transporte estricta de HTTP (HSTS): HTTP Strict Transport Security (HSTS) exige que el navegador web solo use conexiones seguras (HTTPS) cuando se comunica con un sitio web. Esto evita hacks de protocolo SSL, secuestro de cookies, eliminación de SSL, etc..
  • Opciones de marco X: X-Frame-Options es un tipo de encabezado HTTP que especifica si un navegador puede o no representar un sitio web en un marco. Esto evita los ataques de clickjacking y garantiza que su sitio web no esté incrustado en otros sitios web utilizando .
  • Protección X-XSS: X-XSS-Protection es una característica incorporada de los exploradores de Internet Explorer, Google Chrome, Firefox y Safari que impiden que las páginas se carguen si se ha insertado un script malicioso desde una entrada del usuario.
  • Opciones de tipo de contenido X: X-Content-Type-Options es un tipo de encabezado de respuesta HTTP con el valor nosniff que evita que los navegadores web detecten MIME una respuesta del tipo de contenido declarado.
  • Política de referencia: La política de referencia es un encabezado de respuesta HTTP que evita la fuga de referencias cruzadas entre dominios.

Para agregar encabezados seguros HTTP en WordPress, simplemente agregue las siguientes líneas de código en su .htaccess archivo.

Conjunto de encabezado Strict-Transport-Security "max-age = 31536000" env = HTTPS
El encabezado siempre agrega X-Frame-Options SAMEORIGIN
Conjunto de encabezado X-XSS-Protection "1; modo = bloque"
Conjunto de encabezado X-Content-Type-Options nosniff
Política de referencia de encabezado: no-referrer-when-downgrade

Verificación de encabezados de seguridad

Ahora ve a securityheaders.com para verificar si los códigos funcionan o no. No hemos agregado la “Política de seguridad de contenido” porque puede dañar su sitio. Sin embargo, es suficiente para que su sitio de WordPress sea seguro.

Volver arriba

Conclusión

Hay muchas maneras de endurecer Seguridad de WordPress tales como: usar un alojamiento administrado de WordPress, usar contraseñas seguras para cuentas, monitorear las actividades de los usuarios, usar un complemento de seguridad de WordPress, implementar SSL y HTTPS y muchos más.

Harding la seguridad de WordPress no es ciencia espacial. Puede asegurar fácilmente su sitio de WordPress implementando las mejores prácticas de seguridad de WordPress que compartimos en este artículo. Al implementarlos, no solo asegurará su sitio de WordPress sino que también evitará que los hackers accedan a su sitio.

Una vez hecho esto, no tendrá que preocuparse por su seguridad de WordPress. Además, puede ser más productivo y libre de tensión..

Ahora es tu turno. Lea el artículo detenidamente e impleméntelo en su sitio. Estarás feliz de haberlo hecho. ��

¿Nos hemos perdido algunos consejos importantes de seguridad de WordPress para mencionar aquí? no dude en hacérnoslo saber en la sección de comentarios.

Infografía de seguridad de WordPress

WordPress-Security-Infographic-Small-Size

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map