15 formas de hacer que su sitio web de WordPress sea más seguro
Publicado: 2020-10-08WordPress es un CMS (sistema de gestión de contenido) popular. Es uno de los sistemas de administración de contenido más fáciles de usar con muchas variedades de temas y complementos útiles. Puedes hacer cualquier sitio web de nicho usando WordPress. Es por eso que WordPress habilita alrededor del 36 por ciento de los sitios web en Internet. Sin embargo, la popularidad puede tener sus costos. Dado que WordPress ocupa una posición tan ventajosa en el mercado, a menudo es atacado por piratas informáticos. WordPress sigue siendo una opción popular para preparar cualquier sitio web en poco tiempo, y también tiene muchas características. Por lo tanto, es aconsejable que haga que su sitio web de WordPress sea más seguro para disfrutar de la plataforma sin preocuparse por las amenazas cibernéticas. Además, la mayoría de las personas asumen erróneamente que si tienen un sitio web comercial completo, solo entonces deberían gastar su dinero extra en implementar medidas de seguridad. Sin embargo, incluso si lo usa para una página de cartera, una tienda de comercio electrónico o cualquier otro tipo de sitio web, es mejor que tenga medidas de protección. Echemos un vistazo a 15 formas sencillas de hacer que su sitio web de WordPress sea más seguro y evitar que los piratas informáticos arruinen su negocio.
1. Elige siempre una excelente empresa de hosting:
Este tiene que ser su primer y más importante paso para garantizar la seguridad del sitio web. Asegúrese de utilizar una buena empresa de alojamiento que haya demostrado tener funciones de seguridad útiles. Un par de características a tener en cuenta pueden ser: PHP (última versión), firewall, MySQL, monitoreo de seguridad 24/7 y Apache. También debe intentar quedarse con los servicios de alojamiento que realizan comprobaciones periódicas de malware y realizan copias de seguridad diarias. Excelentes servicios de alojamiento también tendrían medidas para la prevención de DDOS. Si piensa en su seguridad de WordPress como capas, el servicio de alojamiento que elija es la primera capa o la pared que los piratas informáticos intentarían atravesar para ingresar a su sitio. Por lo tanto, incluso si los buenos servicios de hospedaje cuestan un poco más en el bolsillo, tome ese pellizco para asegurarse de que está eligiendo un servicio de hospedaje confiable y de buena reputación.
2. Cambie el nombre de usuario del administrador:
Si ha usado WordPress anteriormente o es un usuario nuevo, se habrá dado cuenta de que WordPress solía mantener 'Admin' como nombre de usuario predeterminado. La mayoría de los usuarios nunca se molestan en cambiar este nombre de usuario. El problema con esto es que los piratas informáticos tendrían una buena posibilidad de obtener su nombre de usuario correcto al intentar atacar su sitio web con fuerza bruta. No debe utilizar 'Administrador' como su nombre de usuario de WordPress. En estos días, WordPress todavía permite a los usuarios establecer su nombre de usuario desde el principio en lugar de darles el nombre de usuario 'Administrador'. Sin embargo, si tiene un sitio web de WordPress instalado previamente, asegúrese de verificar su nombre de usuario y cámbielo si todavía está configurado como 'Administrador'. Si es así, puede crear un nombre de usuario de administrador diferente para su sitio web navegando hasta Usuarios y luego Agregar nuevo. Allí puede ingresar su nombre de usuario y contraseña únicos. Asegúrese de establecer como Administrador y luego haga clic en el botón Agregar nuevo usuario.
3. Utilice siempre contraseñas seguras:
La contraseña de su sitio web de WordPress y su servicio de alojamiento deben ser fuertes y seguras. Utilice siempre una combinación de caracteres en mayúsculas y minúsculas, como alfabetos, números, símbolos y más, para desarrollar una contraseña segura. También es ideal para utilizar software de administración de contraseñas como LastPass o Dashlane para generar y almacenar contraseñas seguras para usted.
4. Utilice una cuenta de editor o colaborador para publicar en su sitio web:
Esta es una forma brillante de agregar seguridad a su sitio web de WordPress. WordPress le permite crear cuentas de colaborador y editor si tiene que acceder a otros usuarios para escribir blogs o publicar en su sitio web, pero no les otorga derechos administrativos. Puede crear una de esas cuentas para usted y publicar en el sitio web usándolas. Esto dificultaría que los piratas informáticos dañen su sitio. Incluso si logran piratear sus perfiles de colaborador o editor, no tendrán ningún control ni privilegios administrativos.
5. Fortalezca su área de administración:
Debe concentrarse en proteger el área de administración tanto como sea posible. Para esto, debe modificar la URL predeterminada que se usa para el inicio de sesión de administrador en su sitio web y poner un límite a la cantidad de intentos de inicio de sesión fallidos. Esto bloquearía a un usuario si supera ese límite. Cualquier URL de administración de WordPress se parece a 'sudominio.com/wp-admin'. Al igual que los usuarios tienden a cambiar su nombre de usuario 'Administrador', a menudo no se molestan en cambiar sus URL de administrador. Esto daría a los piratas informáticos acceso directo a la página de inicio de sesión de su área de administración, donde pueden intentar piratear su sitio web. Para cambiar su URL de administrador, puede utilizar complementos como WPS Hide Login. Y para limitar la cantidad de intentos fallidos, también puede usar el complemento de bloqueo de inicio de sesión.
6. Mantén siempre actualizados tus archivos:
Los archivos obsoletos a menudo se pasan por alto y representan un riesgo de seguridad significativo para su sitio web. Su sitio web se abre a varios hacks y exploits. Por lo tanto, debe instalar las actualizaciones tan pronto como se publiquen. Acostúmbrese a revisar periódicamente los complementos que está utilizando. Elimine los complementos que ya no necesita. Mantener complementos adicionales que no son útiles aumenta la mayor parte del sitio web y brinda más puntos de entrada a los piratas informáticos.
7. Utilice un complemento de copia de seguridad:
Debe adquirir el hábito de realizar copias de seguridad de su sitio web si aún no lo ha hecho. Un sistema de respaldo lo ayuda a restaurar su sitio web si el peor de los casos de su sitio web termina siendo pirateado. Hay muchos complementos de respaldo confiables y útiles como UpdraftPlus que se pueden usar para crear un programa de respaldo regular para su sitio web. No olvide almacenar el archivo de respaldo fuera del sitio para asegurarse de que los archivos no se infecten.
8. Haz uso de 2FA:
Use el complemento Google Authenticator para configurar su configuración 2FA (autenticación de dos factores) para proteger su sitio. Esto significa que además de usar sus credenciales de inicio de sesión para iniciar sesión, también deberá ingresar un código generado por una aplicación móvil para iniciar sesión en su sitio. Esto al menos detendría los ataques de prueba y error en su sitio web. Por lo tanto, puede ser una táctica útil. 2FA está disponible como una función gratuita en uno de los mejores complementos de seguridad para WordPress, Wordfence (lo usamos nosotros mismos en Web Design Dev).
9. Usa SSL y HTTPS:
Si navega por Internet o incluso está rodeado de personas con conocimientos de Internet, habrá oído hablar de personas que enfatizan la necesidad de tener un protocolo HTTPS y certificados de seguridad SSL en su sitio. HTTPS significa Protocolo de transferencia de hipertexto seguro. SSL significa Capas de sockets seguros.
HTTPS permite que el navegador de un visitante asegure una conexión protegida con su servidor de alojamiento, lo que da como resultado una conexión segura con su sitio. Este protocolo HTTPS se protege a través de SSL. Por lo tanto, SSL y HTTP ayudan a garantizar que toda la información intercambiada entre el navegador del visitante y su sitio web esté encriptada. El uso de estas dos funciones en su sitio no solo ayudará con una mayor seguridad y beneficiará significativamente su clasificación en los motores de búsqueda. Esto establecería confianza en sus visitantes y también mejoraría sus tasas de conversión.
10. Utilice encabezados de seguridad:
Otra forma eficiente de agregar seguridad a su sitio web de WordPress es implementar encabezados de seguridad. Estos encabezados de seguridad se establecen en el nivel del servidor para evitar ataques de piratería y reducir la cantidad de vulnerabilidades de seguridad. Puede instalar estos complementos de seguridad manualmente agregando códigos o usar un complemento como Encabezados de seguridad para agregarlo automáticamente.
11. Cerrar sesión de usuarios inactivos:
Si tiene muchos inicios de sesión en su sitio web que no usa con frecuencia pero no cierra la sesión, cambie ese hábito. Si alguna identificación de usuario que tiene permanece inactiva la mayoría de las veces, asegúrese de cerrar la sesión de esas cuentas después de un período de inactividad. También puede usar un complemento para esto, como Cierre de sesión inactivo para finalizar todas las sesiones inactivas con facilidad. Esto es importante ya que si inicia sesión en su sitio web para agregar una nueva publicación de blog y se distrae con alguna otra tarea secundaria, su sesión podría ser secuestrada fácilmente y los piratas informáticos podrían usar esta ventana para infectar su sitio.
12. Bloquea los hotlinks:
Hotlinking está robando el ancho de banda de alguien al vincular directamente a los activos de su sitio web, como videos o imágenes. Supongamos que encuentra una imagen en línea y tiene ganas de compartirla en su sitio. Para esto, primero debe tener permiso o pagar una prima por esa imagen. De lo contrario, existe una buena probabilidad de que sea ilegal hacerlo. Sin embargo, si logra obtener el permiso, puede usar la URL de la imagen y usarla para colocar la foto en su publicación. Esto es problemático ya que esa imagen se mostraría en su sitio pero estaría alojada en el servidor de otro sitio.
Esto es problemático ya que no tendrá ningún control sobre si la imagen permanece o no en el servidor. Y la gente también puede hacer esto en su sitio web. Si realmente desea proteger su sitio web de WordPress, la vinculación directa conduciría a velocidades de carga reducidas y costos de servidor potencialmente más altos. Puede usar las herramientas integradas del complemento 'All in One WP Security and Firewall' para bloquear y vincular.
13. Agregue una pregunta de seguridad de inicio de sesión:
A veces, apegarse a lo básico también ayuda significativamente. Tener autenticación de dos factores y una pregunta de seguridad adicional que un usuario debe responder antes de iniciar sesión en su sitio web haría que sea más difícil y molesto para los piratas informáticos acceder a su sitio web. Las preguntas de seguridad también pueden estar relacionadas con instituciones financieras, plataformas de correo electrónico o sitios de membresía. La pregunta de seguridad, en esencia, funciona como una segunda contraseña para su sitio web. Una pregunta de seguridad perfecta sería una pregunta cuya respuesta solo usted sabría. Hacer las cosas más difíciles tendría sentido si la respuesta ni siquiera está relacionada con la pregunta. Por supuesto, tienes que ser lo suficientemente inteligente como para recordar la respuesta por ti mismo. Este truco fundamental puede ayudar a proteger su sitio de WordPress por muchos pliegues.
14. Asegúrese de estar ejecutando la última versión de PHP:
Mantenerse actualizado con las últimas versiones de PHP es obvio cuando se trata de seguridad web. Sin embargo, te sorprenderían las estadísticas. Solo el 3,6 por ciento de los usuarios de WordPress ejecutan su sitio web en la última versión de PHP: 7.2. Más del 12 por ciento de los sitios web de WordPress todavía se ejecutan en las versiones 5.4, que ni siquiera son compatibles.
No usar la última versión de PHP significa que se han descubierto y reparado algunas brechas de seguridad en la nueva versión. Sin embargo, no estarían disponibles para su sitio. Y como los errores y las correcciones se mencionan abiertamente en cada lista de registro de cambios de actualización de la versión de PHP, los piratas informáticos reconocerían fácilmente las lagunas para acceder a su sitio web.
15. Desactivar la exploración de directorios:
Las personas que atacan los sitios web de WordPress pueden utilizar la exploración de directorios para encontrar complementos o temas que tengan vulnerabilidades en su sitio. Estos defectos se pueden utilizar para piratear su sitio. Pueden obtener acceso a su sitio web e inyectarlo con scripts maliciosos, anuncios y enlaces no deseados. También pueden buscar en sus archivos, descubrir la estructura de su directorio, copiar imágenes y acceder a otra información. Por lo tanto, es mejor mantener desactivada la opción de búsqueda e indexación de directorios. Para ejecutar esto, necesitará acceder a su sitio web de WordPress a través de un cliente FTP y editar su archivo '.htaccess' en el directorio raíz de su sitio y agregar la siguiente línea en la parte inferior – Opciones – Índices.
Estas fueron las 15 formas de hacer que su sitio web de WordPress sea más seguro. Asegúrese de seguir todas estas instrucciones y pautas y habilitarlas en su sitio web para garantizar la máxima protección y seguridad. Todos los métodos anteriores agregan una capa de protección a su sitio web de WordPress, lo que dificulta que los piratas informáticos obtengan lo que quieren. Estas pautas son un excelente lugar para comenzar a proteger el contenido de su sitio web y la información confidencial. También ayudaría a fortalecer su presencia en línea, porque cuanto más seguro es un sitio web, más seguro es también para sus visitantes. Tanto los visitantes como los motores de búsqueda lo aprecian, y eso te da credibilidad en el mercado.