16 consejos de seguridad de WordPress para mantener su sitio seguro (2023)

Publicado: 2023-10-27

¿Necesita una lista completa de consejos de seguridad de WordPress que protegerán su sitio de los peligros comunes por los que se conoce a WordPress?

En esta publicación, encontrará más de una docena de consejos de seguridad básicos y avanzados que puede implementar para mantener su sitio a salvo de vulnerabilidades y ataques.

Estos son los consejos de seguridad de WordPress que cubriremos en esta publicación:

  1. Elija un host de WordPress de calidad.
  2. Administre el núcleo, los temas y los complementos de WordPress.
  3. Instale un complemento de seguridad de WordPress.
  4. Instale un complemento de respaldo.
  5. Elija cuidadosamente los temas y complementos de terceros.
  6. Conozca los roles de usuario de WordPress y sus permisos.
  7. Implemente protocolos de protección en la página de inicio de sesión de backend de su sitio.
  8. Utilice nombres de usuario y contraseñas seguros.
  9. Habilite un certificado SSL para su sitio.
  10. Deshabilite la edición de archivos.
  11. Deshabilite la ejecución de PHP.
  12. Cambie el prefijo de la base de datos de WordPress.
  13. Asegure su archivo wp-config.php.
  14. Cambie el nombre de la página de inicio de sesión de WordPress.
  15. Deshabilite la exploración de directorios.
  16. Cerrar sesión de usuarios inactivos.

Nos hemos organizado en dos listas separadas: consejos de seguridad básicos y consejos de seguridad avanzados.

Comencemos desde arriba con consejos básicos de seguridad.

Consejos básicos de seguridad de WordPress para todos los usuarios

1. Elija un alojamiento de WordPress de calidad

Todo empieza aquí.

Si no elige un host de WordPress de calidad y con una reputación respetable, su sitio será vulnerable a ataques sin importar cuánta seguridad implemente en WordPress.

Si bien su sitio está compuesto de código, ese código existe dentro de archivos, archivos que deben instalarse en un servidor web.

Como mínimo, elija un host que sea conocido por mantener servidores rápidos y seguros, mantener actualizada la tecnología de su servidor y brindar acceso a las últimas versiones de PHP.

Usamos Cloudways para alojar Blogging Wizard. Es rápido y asequible. Su escalabilidad también es un factor importante porque recibimos mucho tráfico.

Ofrecen las siguientes características de seguridad:

  • Un complemento de Cloudflare Enterprise que implementa protección DDoS y un firewall de aplicaciones web (WAF).
  • Cortafuegos del servidor.
  • Seguridad de inicio de sesión.
  • Seguridad de la base de datos.
  • Protección contra robots.
  • Certificados SSL gratuitos.
  • Gestión de roles de usuario.
  • Gestión segura del sistema operativo.
  • Autenticación de dos factores.

Sin embargo, en lo que respecta a la seguridad de WordPress, es posible que esté mejor con un host de WordPress administrado, especialmente si no es un usuario avanzado de WordPress.

Alojamiento de WordPress administrado

El alojamiento administrado de WordPress es una forma de alojamiento de WordPress en el que su proveedor de alojamiento administra muchos aspectos del mantenimiento de un sitio de WordPress por usted.

Esto suele incluir aspectos de seguridad de WordPress.

Aquí hay un ejemplo que utiliza nuestro host de WordPress administrado más recomendado, WPX Hosting. Este proveedor de hosting ofrece las siguientes características de seguridad:

  • Eliminación de malware incluida en todos los planes.
  • El sitio se corrige si su sitio se desconecta.
  • Protección DDoS.
  • Copias de seguridad automáticas con almacenamiento para hasta 28 días de copias de seguridad.
  • CDN patentado con 35 ubicaciones de borde.
  • Certificados SSL gratuitos.
  • Un área de preparación para probar las actualizaciones antes de publicarlas.
  • Autenticación de dos factores.
  • Seguridad de cuenta avanzada que le permite limitar el acceso a su cuenta de WPX Hosting a nivel de hardware.
página de inicio de alojamiento wpx

2. Administre correctamente el núcleo, los temas y los complementos de WordPress

Como dijimos, su sitio de WordPress consta de archivos y código. Eso incluye temas de WordPress y complementos de WordPress, así como el propio WordPress, que se conoce como "núcleo de WordPress".

Al igual que las aplicaciones de computadora y teléfono que utiliza, los archivos de WordPress reciben actualizaciones periódicas para implementar nuevas funciones y correcciones de seguridad.

actualizaciones de wordpress

Por eso es imperativo que mantengas actualizado WordPress y tus temas y complementos con la mayor frecuencia posible. De lo contrario, su sitio podría quedar expuesto a fallas de seguridad devastadoras.

Siempre debes intentar utilizar la última versión de WordPress en tu sitio.

Afortunadamente, WordPress ya implementa actualizaciones de seguridad de emergencia automáticamente y también puedes configurar actualizaciones automáticas de WordPress en todos los ámbitos.

Sin embargo, es mejor realizar la mayoría de las actualizaciones de WordPress manualmente a través de un área de preparación (como la que WPX Hosting le permite crear) para que pueda probar los cambios que esas actualizaciones realizan en su sitio en un entorno controlado antes de enviarlas a la versión de producción en vivo de Tú sitio.

En general, reserve un tiempo cada semana para buscar, probar y aplicar actualizaciones de WordPress a su sitio para mantenerlo lo más seguro posible.

Además, asegúrese de eliminar los temas y complementos que ya no utilice.

Habilitar actualizaciones automáticas para temas y complementos

Puede habilitar las actualizaciones automáticas de WordPress para temas y complementos sin un complemento dentro de WordPress.

Para temas, vaya a Apariencias → Temas, haga clic en un tema y haga clic en el botón Habilitar actualizaciones automáticas.

WordPress habilita las actualizaciones automáticas.

Habilitar actualizaciones automáticas para complementos funciona de la misma manera.

Vaya a Complementos → Complementos instalados y haga clic en el botón Habilitar actualizaciones automáticas para cualquier complemento para el que desee habilitar las actualizaciones automáticas.

Incluso puedes usar la opción masiva para habilitar actualizaciones automáticas para todos los complementos de una sola vez.

actualizaciones automáticas masivas de wordpress

3. Instale un complemento de seguridad dedicado a WordPress

Si no aloja su sitio web de WordPress con un host de WordPress administrado, lo mejor que puede hacer es utilizar un complemento de seguridad de WordPress dedicado.

Recomendamos los complementos de seguridad de WordPress MalCare o Sucuri.

MalCare implementa las siguientes características en su sitio de WordPress:

  • Escáner de malware.
  • Eliminación de malware.
  • Firewall personalizado para WordPress.
  • Protección de inicio de sesión.
  • Monitoreo del tiempo de actividad.
  • Copias de seguridad incrementales y restauraciones de sitios con un solo clic.
  • Protección contra robots.
  • Escáner de vulnerabilidades.
  • Registro de actividad que le permite identificar comportamientos sospechosos.
  • Alertas por correo electrónico sobre malware y vulnerabilidades.
estadísticas de mal cuidado

Sucuri también ofrece muchas de estas funciones, pero es más conocido por sus funciones de escaneo y eliminación de malware, así como por su capacidad para implementar un firewall para proteger su sitio de WordPress.

MalCare es más asequible que Sucuri e incluso incluye un plan gratuito limitado.

4. Instale un complemento posterior de WordPress

Las copias de seguridad proporcionan una de las mejores formas de proteger su sitio web en caso de que fallen otros aspectos de seguridad.

Si su sitio es pirateado, se corrompe o una actualización rompe algunas cosas, puede usar una copia de seguridad para restaurarlo a un momento en el que funcionaba normalmente.

Si su proveedor de alojamiento no ofrece copias de seguridad y no obtiene esta función a través de un complemento de seguridad, definitivamente debería utilizar un complemento de copia de seguridad dedicado.

Recomendamos WP STAGING.

página de inicio de preparación de wp

Se especializa en preparación de sitios, como su nombre lo indica, pero también ofrece funciones de copia de seguridad, migración y clonación.

Este complemento ofrece copias de seguridad automáticas y le permite almacenarlas fuera del sitio en Google Drive o Amazon S3.

Si desea realizar copias de seguridad incrementales y muchas de las mismas funciones que ofrece WP STAGING, pruebe BlogVault.

Ambas soluciones le permiten restaurar su sitio desde una copia de seguridad.

Nota: Si bien elegir un host de WordPress de calidad significa que es poco probable que utilice copias de seguridad de terceros, le recomendamos que utilice una de las soluciones anteriores como medida de precaución.

5. Tenga cuidado con los temas y complementos de WordPress de terceros

Cuando escuchas que sitios de WordPress han sido pirateados, generalmente se debe a una de dos razones: versiones obsoletas del núcleo de WordPress y temas y complementos de terceros.

Por eso es tan importante estar al tanto de las actualizaciones de WordPress. Aun así, todas las actualizaciones del mundo no pueden proteger su sitio de un tema o complemento de terceros malicioso o mal codificado.

Antes de decidir instalar un tema o complemento en su sitio, investigue.

Para empezar, ¿cuándo se actualizó por última vez el tema o complemento? No es una buena señal si un tema o complemento no se ha actualizado en más de un año.

complemento de wordpress desactualizado

Asegúrese de leer también las reseñas de un tema o complemento y los hilos de soporte. Estos le brindarán mejores indicadores de qué tan bien es compatible el tema o complemento.

Asegúrese también de ejecutar el nombre del tema o complemento a través de una búsqueda en las redes sociales, especialmente en Twitter, Reddit y Facebook.

Estos sitios pueden tener quejas que no se abordan en la página oficial del tema o complemento en WordPress.org.

6. Tenga en cuenta los roles de usuario de WordPress y sus permisos.

Como propietarios de sitios web de WordPress, es importante conocer las diferencias entre los roles de usuario de WordPress y los permisos que proporciona cada uno.

Aquí hay un resumen rápido de los permisos a los que tiene acceso cada rol:

  • Administrador (Admin) : puede acceder a todas las áreas del panel de WordPress y realizar cambios en cualquier parte del sitio web, así como en cualquier usuario de ese sitio.
  • Editor : tiene acceso a publicaciones y páginas de WordPress y posee la capacidad de agregar, publicar, eliminar y editar este contenido, incluso si no lo crearon ellos mismos.
  • Autor : tiene la capacidad de agregar, editar y publicar sus propias publicaciones.
  • Colaborador : tiene la capacidad de agregar y editar sus propias publicaciones.
  • Suscriptor : puede editar su perfil de usuario y dejar comentarios con el sistema de comentarios nativo de WordPress.

Por lo tanto, si contrata a un editor para su blog, debe asignarle la función de Editor en lugar de la función de Administrador.

De esta manera, pueden manejar el contenido de su sitio pero no pueden realizar cambios en su tema, complementos y configuración de WordPress.

7. Proteja la página de inicio de sesión de WordPress

La página de inicio de sesión de WordPress es la página que utiliza para iniciar sesión en el panel de WordPress.

página de inicio de sesión de WordPress

Normalmente puedes acceder a él yendo a tudominio.com/wp-login.php.

Hay varias técnicas diferentes que podemos utilizar para proteger la página de inicio de sesión de WordPress.

Mencionaremos dos en esta sección, pero hay técnicas adicionales en la sección avanzada de este artículo.

La primera técnica que mencionaremos es simplemente agregar un formulario CAPTCHA a la página de inicio de sesión de su sitio.

Si decide utilizar el complemento de seguridad MalCare que mencionamos anteriormente, no necesitará un complemento por separado para agregar esta funcionalidad a su sitio web.

Este complemento le permite limitar los intentos de inicio de sesión mostrando automáticamente un CAPTCHA para que los visitantes lo resuelvan si no logran iniciar sesión después de tres intentos.

Si no estás usando MalCare, usa un complemento como Advanced Google reCAPTCHA.

recaptcha avanzado de google

Es un complemento realmente simple que le permite agregar un formulario CAPTCHA al formulario de inicio de sesión, al formulario de registro y más.

Cuando tenga este complemento activado, usted y cualquier persona que encuentre su página de inicio de sesión deberán completar el formulario CAPTCHA para poder iniciar sesión.

Aparte de eso, otra forma sencilla de proteger la página de inicio de sesión de WordPress es habilitando la autenticación de dos factores.

Utilice un complemento como Two Factor Authentication (de los creadores de UpdraftPlus) para agregar autenticación de dos factores a su página de inicio de sesión. El complemento se integra con Google Authenticator.

8. Utilice credenciales de inicio de sesión seguras

Los formularios CAPTCHA y las técnicas de autenticación de dos factores hacen que sea más difícil para los atacantes ingresar a su sitio, pero no imposible.

Por eso es importante utilizar credenciales de inicio de sesión seguras. Agrega una capa adicional de seguridad a su sitio.

Para empezar, nunca debes utilizar “admin” como nombre de usuario ni como nombre propio.

En su lugar, combine fragmentos de su nombre. Por ejemplo, si su nombre es David Smith y nació el 10 de octubre de 1980, use “dasm1080” como nombre de usuario o algo similar.

De esta manera, si un atacante intenta acceder a su sitio web, primero deberá averiguar su nombre de usuario.

Este es un consejo un poco avanzado, pero en realidad puedes ocultar los nombres de usuario de WordPress y hacerlos más difíciles de encontrar para los atacantes. Esto es bueno porque a veces los nombres de usuario se pueden encontrar en el código fuente de una página.

Además, las URL que genera WordPress para las páginas de archivo de autores suelen contener el nombre de usuario de cada autor.

Para combatir esto, vaya al perfil de usuario de ese autor en WordPress y complete los campos Nombre, Apellido, Apodo y Nombre para mostrar como con algo que no sea el nombre de usuario del usuario.

Para ir un paso más allá, y aquí es donde entra en juego el consejo avanzado, acceda a la base de datos de su sitio a través de phpMyAdmin y busque la tabla wp_users. El bit "wp" puede verse un poco diferente si usted o su host cambiaron el prefijo de su base de datos, pero aún tendrá la parte "_users" adjunta.

Lo que desea hacer es editar la entrada de la base de datos de cada usuario y cambiar el valor de "user_nicename" a algo distinto a lo que está configurado el nombre de usuario del usuario.

El nombre del usuario funcionará bien. Sólo asegúrese de completar los espacios con guiones, como "david-smith".

Para las contraseñas, utilice un generador de contraseñas para crear una contraseña segura y considere almacenarla en un administrador de contraseñas para facilitar el acceso.

9. Configure SSL para su sitio

SSL, o Secure Sockets Layer, es un protocolo de seguridad que cifra los datos a medida que se transfieren entre dos redes.

Normalmente se utiliza para cifrar información de pago y datos confidenciales de los clientes.

Hay dos formas de ver si un sitio está cifrado mediante un certificado SSL: un candado que aparece en la barra de direcciones y el uso por parte del sitio de "https" en lugar de "http".

asistente de blogs ssl

Debido a que SSL es un factor de clasificación ligero de Google, se recomienda a todos los sitios que configuren SSL, incluso si nunca planean aceptar pagos.

Afortunadamente, la mayoría de los servidores ofrecen certificados SSL de forma gratuita a través de Let's Encrypt hoy en día, por lo que ahora es más fácil y económico que nunca configurar todo.

Consulte la base de conocimientos de su anfitrión para descubrir cómo hacer esto, ya que cada anfitrión lo maneja de manera diferente.

Consejos de seguridad de WordPress para usuarios avanzados

10. Deshabilitar la edición de archivos

El panel de WordPress, o administrador de WordPress, para administradores tiene dos editores de archivos que le permiten editar archivos de temas y complementos.

Puede encontrarlos yendo a Apariencia → Editor de archivos de temas y Complementos → Editor de archivos de complementos.

editor de archivos de temas de wordpress

Realizar cambios en estos archivos puede dañar su sitio. Peor aún, si un hacker alguna vez obtuviera acceso a una de sus cuentas de administrador, podría usar estos editores para inyectar código malicioso en su sitio.

Es por eso que se recomienda a los propietarios de sitios web de WordPress deshabilitar completamente la edición de archivos.

Todo lo que necesitas hacer es agregar el siguiente código a tu archivo wp-config.php:

 define('DISALLOW_FILE_EDIT', verdadero);

Si su proveedor de alojamiento no tiene un administrador de archivos, deberá acceder a los archivos de su sitio a través de FTP, descargar su archivo wp-config.php, editarlo con un editor de texto sin formato, guardarlo y luego volver a cargarlo en el mismo Ubicación en el sistema de archivos para su instalación de WordPress.

Solo asegúrese de sobrescribir el original.

Además, asegúrese de hacer una copia de seguridad de su sitio antes de realizar cambios en su sistema de archivos. También puede ser una buena idea descargar una copia de su archivo wp-config.php antes de aplicarle cambios.

11. Deshabilite la ejecución de PHP

Los piratas informáticos suelen crear puertas traseras en el sistema de archivos de su sitio ejecutando archivos PHP dentro de él.

Puede bloquear este tipo de ataques deshabilitando la ejecución de archivos PHP en carpetas que, para empezar, no deberían tener ningún archivo PHP, como la carpeta Subidas donde se almacenan sus archivos multimedia.

Bloquear la ejecución de PHP en carpetas que contienen PHP en realidad puede dañar su sitio, por lo que a menudo se recomienda deshabilitar solo la ejecución de PHP para carpetas donde PHP nunca se encuentra solo para estar seguro.

Si está utilizando el complemento de seguridad MalCare, puede desactivar la ejecución de PHP ingresando las credenciales FTP de su sitio.

De lo contrario, deberá hacerlo manualmente editando el sistema de archivos de su sitio.

Comience abriendo un editor de texto sin formato en su computadora y agregando el siguiente código:

 <Archivos *.php>

Negar todo

</Archivos>

Luego, guarde este archivo y asígnele el nombre ".htaccess". Asegúrese de incluir el punto "." antes de "htaccess".

bloc de notas htaccess

Ahora, todo lo que necesita hacer es acceder al sistema de archivos de su sitio, cargar su nuevo archivo .htaccess en la carpeta Cargas y guardar los cambios.

12. Cambiar el prefijo de la base de datos de WordPress

Lo hemos dicho varias veces, pero su sitio se compone de código almacenado en archivos.

Lo que no hemos mencionado es cómo su sitio también se compone de tablas de bases de datos. Al igual que el código o los archivos, eliminar o realizar cambios en estas tablas puede causar mucho daño a su sitio.

Desafortunadamente, si un pirata informático conoce el prefijo de su base de datos, puede usarlo para atacar su sitio sin tener que acceder a él manualmente.

Todos los sitios web de WordPress están diseñados para utilizar el prefijo "wp" de forma predeterminada, por lo que es tan importante que lo cambie, ya que los piratas informáticos ya están familiarizados con este prefijo.

Afortunadamente, muchos servidores ya cambian automáticamente el prefijo predeterminado de su sitio tan pronto como crea un sitio con ellos.

Sabrá si lo hicieron si las tablas de su base de datos tienen algo distinto de "wp" antes de cada valor de guión bajo, como "fx87_user" en lugar del habitual "wp_user".

De lo contrario, es bastante sencillo de hacer, siempre y cuando esté familiarizado con el acceso al sistema de archivos de su sitio.

Este consejo requiere nuevamente el archivo wp-config.php. Al igual que antes, es una buena idea guardar su sitio y una copia de su archivo wp-config.php antes de realizar cambios en él.

Estos son los pasos para cambiar el prefijo de su base de datos de WordPress:

  1. Descargue el archivo wp-config.php de su sitio.
  2. Abra el archivo en un editor de texto sin formato.
  3. Busque una línea que diga "$table_prefix". Si toda la línea dice “$table_prefix = 'wp_'; necesitas cambiarlo.
  4. Cambie el prefijo “wp” a entre dos y cinco letras y números que serían difíciles de adivinar para un atacante.
  5. Asegúrese de que su nuevo prefijo todavía tenga las comillas y el punto y coma. Ejemplo: $table_prefix = “fx87_';
  6. Guarde su archivo wp-config.php y cárguelo en la misma ubicación en el sistema de archivos de su sitio.
  7. Sobrescriba el archivo wp-config.php original cuando se le solicite.
Prefijo de base de datos de WordPress

13. Asegure su archivo wp-config.php moviéndolo

Algunas estrategias de ataque implican inyectar código en su archivo wp-config.php, lo que primero requiere que el atacante lo descargue.

Puedes hacer que sea mucho más difícil para los piratas informáticos encontrar tu archivo wp-config.php moviéndolo.

WordPress le permite mover su archivo wp-config.php un directorio hacia arriba sin tener que hacer nada más. Su sitio aún podrá acceder a él desde allí.

Sin embargo, dado que un directorio superior aún puede ser una carpeta pública, es mejor moverlo un poco más allá.

Este consejo no es difícil de seguir, pero los cambios que realiza en su sitio son bastante avanzados, especialmente si algo sale mal, así que solo continúe si sabe lo que está haciendo.

Estos son los pasos para mover su archivo wp-config.php:

  1. Haga una copia de su archivo wp-config.php y guárdela en su computadora.
  2. Acceda al sistema de archivos de su sitio y busque la carpeta que contiene su carpeta public_html.
  3. Cree una nueva carpeta en este directorio y asígnele un nombre que no la identifique como una carpeta que contendría su archivo wp-config.php. Algo así como “bw-assets” funcionaría. Nota: No utilice bw-assets en su propio sitio. Utilice algo original que se le haya ocurrido para que sea más seguro.
  4. Establezca el nivel de permiso de su nueva carpeta en 700.
  5. Copie y pegue su archivo wp-config.php en su carpeta recién creada y cámbiele el nombre a algo que no lo identifique como su archivo wp-config.php. Nuevamente, algo como “bw-asset.php” funcionaría bien.
  6. Cambie el nivel de permiso de este nuevo archivo a 600.

Edite su archivo wp-config.php original, borre el código que contiene y reemplácelo con esto:

 <?php

incluir('/home/usr/bw-assets/bw-asset.php');

?>

La ruta del archivo entre comillas debe coincidir con la ruta absoluta del archivo de su propio sitio, incluida la forma en que nombró la carpeta y el archivo recién creados.

Guarde el archivo después.

14. Cambie el nombre de la página de inicio de sesión de WordPress

La página de inicio de sesión de WordPress existe en /wp-login.php y rutas URL similares de forma predeterminada. Entonces, si desea iniciar sesión en su sitio de WordPress, simplemente vaya a sudominio.com/wp-login.php o sudominio.com/wp-admin.

Los piratas informáticos están muy familiarizados con esto. Una vez que acceden al formulario de inicio de sesión de su sitio, pueden iniciar ataques de fuerza bruta para intentar violar sus defensas.

Con suerte, esas defensas incluyen limitar los intentos de inicio de sesión con un complemento de seguridad o un formulario CAPTCHA, pero también puedes ocultar la página de inicio de sesión por completo.

Utilice un complemento como WPS Hide Login para implementar esta función.

El complemento agrega una configuración simple a la página de configuración general de WordPress, una configuración que le permite cambiar su URL de inicio de sesión ingresando la URL deseada en un campo de texto.

Utilice algo seguro que sea poco común para que los piratas informáticos no puedan adivinarlo fácilmente. Tal vez intente usar una combinación de palabras que parezca absurda, como “einsteinbananafrisbee”.

wps ocultar inicio de sesión

Una vez que realice este cambio, ya no podrá acceder a su página de inicio de sesión desde wp-login.php o URL similares. Sólo podrás utilizar tudominio.com/einsteinbananafrisbee, así que asegúrate de que sea algo que puedas recordar.

15. Deshabilitar la navegación por directorios

La exploración de directorios es una característica de diseño web que permite a un usuario ingresar un directorio como una URL en la barra de direcciones y ver el contenido de ese directorio.

Los piratas informáticos utilizan esto como una forma de ver un directorio sin tener que acceder a un sitio de forma maliciosa. Cuando hacen esto, potencialmente pueden identificar archivos y vulnerabilidades que pueden explotar.

La mejor manera de combatir este problema es desactivar por completo la exploración de directorios.

Comience por ver si la exploración de directorios está habilitada para su sitio. Puede saberlo yendo a yourdomain.com/wp-includes. Si recibe un error 403 Prohibido, la exploración del directorio ya está deshabilitada y no debe preocuparse.

Sin embargo, si ve una lista de archivos, deberá deshabilitar la exploración de directorios usted mismo.

Comience accediendo al sistema de archivos de su sitio y buscando su archivo .htaccess.

Tal como lo hizo con su archivo wp-config.php, debe hacer una copia de seguridad de su sitio y crear una copia de su .htaccess antes de realizar cambios en él.

Luego, descárgalo, ábrelo en un editor de texto sin formato y agrega este fragmento de código al final:

 Opciones Todos -Índices
asistente de blogs desactivar la navegación

Guarde el archivo y vuelva a cargarlo en su sitio de WordPress, asegurándose de sobrescribir el original.

16. Cerrar sesión de usuarios inactivos

Los compañeros administradores, editores y autores pueden pensar que sus espacios de trabajo son seguros, pero nunca se es demasiado cuidadoso.

Si un administrador o editor se aleja de su computadora mientras está conectado a su sitio, potencialmente puede abrir su sitio a vulnerabilidades sin darse cuenta, especialmente si está en público y le roban su computadora.

Para combatir esto, es una buena idea cerrar la sesión de los usuarios inactivos. El complemento de cierre de sesión inactivo ofrece una de las formas más sencillas de realizar el trabajo.

El complemento le permite configurar cierres de sesión automáticos basados ​​en la inactividad durante un período de tiempo específico.

configuración de cierre de sesión inactivo de WordPress

Incluso puede configurar mensajes de advertencia en caso de que los usuarios estén realmente en sus computadoras y no interactúen con el sitio web.

Es un complemento bastante simple y directo que le permite implementar una capa adicional de seguridad del sitio de WordPress.

Reflexiones finales y qué hacer si su sitio es pirateado

Si su sitio es pirateado, es posible que vea algunas de las siguientes señales de advertencia al intentar interactuar con él:

  • No poder iniciar sesión.
  • Cambios en la interfaz que no hiciste.
  • Todas las páginas de su sitio web redirigen a un sitio completamente diferente.

Esto excluye las advertencias que haya recibido de su host o complemento de seguridad.

No importa lo que esté pasando con su sitio, ahora sabe que está en problemas. Esto es lo que debe hacer cuando esto sucede.

Lo primero que debes hacer es poner tu sitio en modo de mantenimiento con un complemento de modo de mantenimiento.

El complemento Próximamente y Modo de mantenimiento es un complemento muy conocido que es fantástico para este propósito.

Un sitio pirateado también deja a sus usuarios vulnerables a los ataques, por lo que cuanto más rápido bloquee el acceso externo a su sitio mientras permanece comprometido, mejor.

Una vez que su sitio esté fuera de línea, siga estos pasos para protegerlo:

  • Cambie las contraseñas de todos los usuarios de su sitio, pero especialmente de las cuentas de administrador.
  • Vea todos los usuarios de su sitio y elimine las cuentas administrativas que no reconozca.
  • Instale actualizaciones de WordPress en caso de que se haya perdido una actualización de seguridad crucial para un tema o complemento de terceros.
  • Utilice su complemento de seguridad para buscar y eliminar malware. Si utiliza un host como WPX Hosting, eliminarán el malware por usted. Si tiene MalCare instalado, el complemento debería poder eliminarlo por usted. De lo contrario, es posible que tengas que utilizar un servicio externo como Sucuri que lo eliminará manualmente.
  • Regenere su mapa del sitio y vuelva a enviar su sitio a Google a través de Google Search Console. Esto es en caso de que el archivo de su mapa del sitio esté dañado.
  • Reinstale versiones limpias del núcleo de WordPress, así como los temas y complementos que tenía en su sitio.
  • Limpia tu base de datos con un complemento de WordPress como WP-Optimize.
  • Desactive el modo de mantenimiento una vez que su sitio esté estable.
  • Complete una auditoría de seguridad para identificar vulnerabilidades de seguridad que puedan haber llevado al hackeo.

Aunque puede resultar tentador restaurar su sitio desde una copia de seguridad, no sabe cuánto tiempo ha estado oculto el código malicioso dentro de su sitio web.

Por este motivo, es mejor no recurrir a copias de seguridad al limpiar un sitio infectado.

Divulgación: Nuestro contenido está respaldado por lectores. Si hace clic en ciertos enlaces, podemos ganar una comisión. Esto contribuye a los costos operativos de Blogging Wizard. Su apoyo es muy apreciado.