Mantener su sitio de WordPress a salvo de los piratas informáticos en 2021

¡Más de 100.000 sitios web son atacados por piratas informáticos cada día! Por eso, es crucial mantener seguro su sitio de WordPress. Su sitio web podría ser uno de esos sitios web en cualquier momento. WordPress es bastante seguro. Sin embargo, muchos sitios de WordPress son víctimas de piratería. Esto tiene menos que ver con WordPress y más con cómo usted, como webmaster, cuida su sitio y configura su seguridad.

Incluso si se aseguró de que su sitio fuera seguro cuando lo lanzó, mantenerse al día con el mantenimiento de la seguridad garantizará que su sitio esté debidamente protegido en todo momento.

Antes de comenzar, es una buena idea familiarizarse con algunos de los problemas de seguridad comunes que tienen los sitios de WordPress:

• Ataques de fuerza bruta: los ataques de fuerza bruta son la razón por la que es importante tener una contraseña segura. Un atacante ingresará la información de inicio de sesión una y otra vez hasta que obtenga la combinación de inicio de sesión correcta para acceder a su sitio de WordPress.
• Malware : abreviatura de software malicioso, el malware es un código que se utiliza para obtener acceso no autorizado a un sitio web para recopilar datos confidenciales que pertenecen al propietario de la empresa y sus clientes o contactos.
• Exploits de inclusión de archivos: los exploits de inclusión de archivos se producen cuando se utiliza un código no seguro para cargar archivos remotos, lo que dará a los piratas informáticos acceso a su sitio web. Esto también les proporcionará acceso a su archivo wp-config.php, que es esencialmente la columna vertebral de su instalación de WordPress. Si este archivo se ve comprometido, los piratas informáticos pueden acceder a la información de inicio de sesión de la base de datos y la seguridad de cifrado.
• Inyecciones SQL : las inyecciones SQL son un ataque a su base de datos de WordPress, mediante el cual el atacante obtiene acceso a su base de datos y, por lo tanto, a sus datos. Cuando esto suceda, el atacante podrá agregar y cambiar los datos, que pueden incluir enlaces maliciosos y spam.
• Cross Site Scripting : Cross Site Scripting es el problema más común con los complementos y funciona cuando un atacante encuentra una manera de hacer que una víctima cargue sin saberlo páginas web con scripts javascript inseguros.

¿Qué sucede cuando su seguridad se ve comprometida?

Los piratas informáticos pueden robar sus datos y cualquier dato que pertenezca a sus clientes, dejando estos datos expuestos. Se puede distribuir software malicioso desde su sitio a sus visitantes, lo que puede dañar su clasificación de SEO y la reputación de su marca. Y finalmente, todo su sitio podría borrarse, lo que, si no se realiza una copia de seguridad, podría causarle algunos problemas graves.

Ahora, la gran pregunta es, ¿cómo puede hacer que su sitio esté a salvo de los piratas informáticos? Para los sitios de WordPress, hay varias formas de hacer que su sitio web sea más seguro. En esta guía, le mostraré algunos de los cambios de seguridad básicos que puede realizar, hasta las funciones de seguridad más detalladas de WordPress. Vamos a sumergirnos.

¿Qué son las configuraciones de seguridad básicas?

La mayoría de los sitios ni siquiera tienen los conceptos básicos cubiertos, y eso hace que la protección sea bastante descuidada. Aquí cubriremos las cosas básicas que puede hacer para reforzar la seguridad de su WordPress.

1. Credenciales sólidas

Puede parecer una tontería, pero asegurarse de tener una contraseña segura es su primera línea de defensa. Hoy en día, la gente todavía usa contraseñas como Password123, que ofrece muy poca protección. Puede ser tentador usar su nombre de usuario o incluso su dirección de correo electrónico como contraseña, ¡pero no lo haga!

Una contraseña segura será diferente a su nombre de usuario y / o correo electrónico e incluirá letras mayúsculas y minúsculas, números y caracteres especiales (por ejemplo,!, *,%).

De manera similar, es posible que se sorprenda al saber que muchas personas usan admin como nombre de usuario. Si es así, es hora de cambiarlo.

2. Alojamiento seguro que utiliza una conexión segura

Los servidores web son responsables de la seguridad de su sitio web tanto como usted. Hoy en día, el alojamiento se proporciona a través de alojamiento en la nube o alojamiento compartido (consulte las mejores opciones baratas de alojamiento de WordPress). El alojamiento en la nube aloja varios sitios web en varios servidores, mientras que el alojamiento compartido alojará varios sitios web en un servidor.

El alojamiento en la nube se valora por su mayor nivel de confiabilidad y seguridad porque no requiere compartir recursos limitados en múltiples sitios. Ese es el problema con los inicios de alojamiento compartido y cuando los hosts acumulan más sitios web de los que el servidor puede manejar, esto deja a los sitios vulnerables.

Eso no quiere decir que el alojamiento compartido sea malo. Los hosts responsables siempre usarán una conexión segura y nunca le darán a un servidor más de lo que puede manejar. Ahora puede ser un buen momento para verificar su host y averiguar si necesita hacer un cambio.

3. Autenticación de dos factores

Una solución de seguridad simple es habilitar la autenticación de dos factores al iniciar sesión en su tablero. Esto agregará una capa adicional de seguridad a su sitio web y es muy fácil de habilitar en su configuración.

La autenticación suele ser un código a través de SMS o correo electrónico. A algunos les resulta molesto tener que realizar un paso adicional para iniciar sesión, pero vale la pena por la protección adicional.

3. Certificados SSL

¿No está seguro de si su sitio tiene un certificado SSL? Un sitio que tiene un SSL contará con https: / al comienzo de su dirección web y, a menudo, su navegador dirá que el sitio es inseguro. Los certificados SSL permiten a los visitantes de la web saber que su sitio es seguro, por lo que sus datos están protegidos cuando lo utilizan.

La mayoría de los proveedores de alojamiento ahora incluyen certificados SSL en sus costos de suscripción, pero si no tiene uno, puede pagar uno a través de su host o puede usar el certificado Let's Encrypt gratuito (vea cómo agregar manualmente SSL gratuito al sitio de WordPress).

Como propietario de un sitio web, debe verificar los diferentes tipos de SSL al seleccionar un certificado SSL para su sitio web. Por ejemplo, si un sitio web de comercio electrónico tiene varios subdominios, debe pensar en obtener un certificado SSL comodín.

Hay muchas marcas de certificados de renombre disponibles que pueden ayudarlo a establecer la confianza en el sitio, como AlphaSSL, Comodo, GlobalSign, DigiCert. Puede elegir a cualquiera, ya que todas las marcas de renombre ofrecen certificados SSL autenticados.

4. Haga una copia de seguridad de su sitio

No importa qué tan fuerte sea la seguridad de su sitio, nunca será 100% a prueba de balas. Es por esta razón que hacer una copia de seguridad de su sitio (consulte la comparación de los complementos de copia de seguridad de WordPress) es uno de los requisitos absolutos en la seguridad de un sitio web. Si surge lo inevitable, puede estar seguro de que no tendrá que iniciar su sitio web desde cero.

Puede usar un complemento de respaldo como Duplicator (vea cómo migrar el sitio de WordPress usando Duplicator), BackupBuddy (consulte la revisión de BackupBuddy), WPvivid (consulte la revisión de WPvivid), copia de seguridad de 10Web (consulte la revisión de 10Web), etc.

Otra forma en que puede hacer una copia de seguridad de sus datos es sincronizando cualquier aplicación o software que use con los mismos datos. Por ejemplo, puede hacer una copia de seguridad de sus contactos sincronizando Mailchimp y Office 365, esto le permitirá mantener los datos de contacto seguros y protegidos.

5. Complementos y temas

Los sitios de WordPress funcionan con temas y muchos complementos que también requieren actualizaciones. Estas actualizaciones son imprescindibles para que su sitio funcione sin problemas, pero también para corregir errores o problemas dentro de su software. Muchas empresas tienen sitios web que se ejecutan en versiones anteriores de software y ni siquiera lo saben.

Otro problema es el uso de temas y complementos anulados, estos contienen código modificado y no son confiables. El uso de complementos anulados puede poner en riesgo su sitio.

6. Actualice su versión de PHP

Cualquier sitio que ejecute una versión muy antigua de PHP está expuesto a riesgos de seguridad. Un PHP desactualizado puede dejar vulnerable su sitio de WordPress. Es una buena idea verificar que el suyo se esté ejecutando en la última versión de PHP. Puede encontrar su versión verificando la solicitud de encabezado en su sitio, usando varios complementos o mediante su cPanel si su alojamiento lo usa.

7. Fortalecer su área de administración

El área de administración de WordPress esencialmente le brinda al usuario la capacidad de acceder y realizar ciertas tareas en su sitio y, a menudo, se deja desprotegida. Por esta razón, es el área de destino más común de un sitio de WordPress.

Puede reforzar la seguridad al agregar medidas de autenticación adicionales a su directorio de administración. Puede agregar autenticación de dos factores y limitar los intentos de inicio de sesión para agregar otra capa de seguridad y disuadir a los piratas informáticos.

Puede ir un paso más allá y cambiar la URL de inicio de sesión de WordPress. La URL predeterminada para los sitios de WordPress es domain.com/wp-admin o /login.php, lo que facilita a los piratas informáticos intentar ataques de fuerza bruta en su inicio de sesión de administrador.

Aunque no es una gran solución de seguridad, cambiar la URL dificulta que los atacantes accedan al sitio. Puede cambiar su URL de inicio de sesión utilizando un complemento como iThemes Security (consulte la comparación de iThemes Security frente a WordFence), Hide My WP (verifique la comparación de Swift Performance frente a Hide My WP), etc.

¿Cómo implementar una seguridad más sólida?

Aquí hay algunas recomendaciones para un mayor nivel de seguridad para el sitio de WordPress.

1. Instale un complemento de seguridad de WordPress

Quizás se pregunte si hay un complemento ingenioso que pueda instalar para ayudar a que la seguridad sea un peso de sus hombros y la buena noticia es que hay muchos. El beneficio de usar estos complementos son sus diversas características, así como la opción de escanear su instalación de WordPress en busca de archivos modificados que puedan indicar un intento de piratería. Estos complementos también cuentan con:

• Información de WHOIS sobre los visitantes del sitio
• Autenticación de dos factores
• reCAPTCHAs
• Escaneo de malware
• Caducidad de la contraseña: lo que le obliga a restablecer su contraseña después de un período de tiempo establecido.
• Cortafuegos de seguridad de WordPress

Si bien es posible que no resuelvan todos sus problemas de seguridad, un complemento puede ayudar a agregar otra capa de defensa y evitar intentos de piratería. Recomiendo considerar los siguientes complementos: Sucuri, Jetpack Security, iThemes Security Pro, BulletProof Security, Wordfence, MalCare (ver revisión de MalCare), etc.

2. Oculte su versión de WordPress

Cuanta menos información esté disponible sobre usted y la configuración de su sitio web, más difícil será para los piratas informáticos dirigirse a usted. Ocultar la versión de su sitio evitará que los piratas informáticos identifiquen que su sitio se ejecuta en una versión anterior.

Una solución más simple es asegurarse de que su sitio web esté siempre actualizado, pero si desea tomar precauciones, puede ocultar su versión de WordPress agregando código al archivo functions.php de su tema.

3. Permisos de archivos

Los permisos de archivo son un conjunto de reglas que utiliza su servidor web para controlar el acceso a los archivos de su sitio. Tener los permisos incorrectos puede detener el funcionamiento de su sitio, pero también pueden permitir que los piratas informáticos accedan, reescriban y cambien estos archivos.

Los valores recomendados para los permisos de archivos son los siguientes: Todos los archivos deben establecerse en 644 y todos los directorios deben establecerse en 755 o 750. Los directorios nunca deben establecerse en 777.

4. Seguridad de la base de datos

Su base de datos se llamará como se llame su sitio web. Entonces, si su sitio se llama richie rich, su base de datos se llamará wp_richierich. Al cambiar esto a algo no relacionado, evita que los piratas informáticos puedan adivinar el nombre de su base de datos.

Otra forma de reforzar la seguridad es cambiando el prefijo predeterminado de la tabla de WordPress. De forma predeterminada, WordPress usó wp_ como el prefijo que usa para crear su base de datos. Durante la instalación, puede cambiar este prefijo y se recomienda que lo haga para que a los piratas informáticos les resulte más difícil adivinar los nombres de su base de datos.

5. Prevención DDoS

DDoS es un tipo de ataque de denegación de servicio que no daña su sitio web, pero lo deja fuera de servicio durante horas o incluso días. Si bien esto puede no causar ningún daño a su sitio web, puede dañar su negocio si confía en que su sitio web esté completamente operativo en todo momento. Puede prevenir un ataque DDoS utilizando seguridad de terceros como Securi o Cloudflare.

6. Proteja su archivo wp-config.php

Como mencioné antes, el archivo wp-config.php es el archivo más importante en su instalación de WordPress. Si se ve comprometido, el pirata informático puede obtener el inicio de sesión de su base de datos, lo que le dará acceso completo a su sitio web.

Esto puede sonar aterrador, pero no se preocupe, puede reforzar la seguridad en su archivo wp-config.php cambiando los permisos del archivo. Los archivos en el directorio raíz generalmente se configuran en 644, lo que permite al propietario leer y escribir los archivos y los usuarios del propietario del grupo y todos los demás pueden leerlos.

Si desea denegar el acceso a otros usos, los archivos deben establecerse en 440 o 400. Vale la pena tener en cuenta que ciertas plataformas de alojamiento tendrán diferentes permisos. Esto se debe a que el usuario no tiene permiso para escribir los archivos. En este caso, es una buena idea ponerse en contacto con su proveedor de alojamiento para asegurarse de cuáles son los permisos.

Mantener su sitio de WordPress seguro

Hay muchas razones por las que los sitios de WordPress son pirateados. Limpiar un sitio de WordPress pirateado no es imposible, pero al tomar medidas preventivas, puede disminuir sus posibilidades de tener un sitio pirateado para que no tenga que preocuparse por limpiar su sitio o, en el peor de los casos, construir uno completamente nuevo. sitio web.