17 trucos de seguridad para WordPress

17 trucos sencillos de seguridad para WordPress y mantener tu sitio web seguro en 2020

seguridad para wordpress Muchos propietarios de sitios web  wordpress se quejan de la seguridad de WordPress.

Lo cierto es que un script de código abierto es vulnerable a todo tipo de ataques. ¿Es eso un hecho? Y si es así, ¿cómo proteges su sitio web de WordPress?

Afortunadamente, la falta de seguridad incorporada de WordPress es un mito. De hecho, a veces es al revés: los sitios web de WordPress son mucho más seguros que las web estáticas en línea.

Hoy, te traigo 17 trucos simples que pueden ayudarte a asegurar tu sitio web de WordPress aún más.

Después de implementar estas tácticas y seguir con las continuas comprobaciones de seguridad de WordPress, estarás en camino de asegurar tu sitio web de WordPress para siempre.

1. Trabaja solo con buenos Hosting (alojamiento web)

Solo deberías trabajar con alojamientos confiables, de alta calidad y seguros. Este consejo parece obvio, ¿verdad?

Más o menos, todos piensan que su hosting es excelente hasta que algo se rompe por primera vez.

Pero la realidad es que no todas las empresas de alojamiento y ofertas de alojamiento se crean de la misma manera.

Si  investigas un poco a través de google las opiniones sobre hostings verás cómo las diferentes experiencias de las personas son en términos de calidad de alojamiento general y también aspectos individuales de sus configuraciones de alojamiento, como seguridad, confiabilidad, velocidad, etc.

La mala noticia aquí es que la mayoría de las veces ni siquiera sabes que tu host no está tomando la seguridad de tu sitio web lo suficientemente en serio.

Cosas como el aumento de los ataques de piratas informáticos, el tiempo de inactividad frecuente, el bajo rendimiento, podrían ser el resultado de mecanismos de seguridad inadecuados.

La realidad es que realmente no vas a «arreglar tu host». La mejor y más fácil solución es cambiar a un host diferente que sea más seguro.

En general, cuanto más pagues, mejor será tu nuevo host, pero también hay algunas opciones de presupuesto que puedes considerar.

Aquí te dejo algunas recomendaciones que yo utilizo:

  •  SiteGround Cuentan con un equipo dedicado de expertos en seguridad que realizan un seguimiento de las vulnerabilidades diarias del software a nivel servidor y a nivel de sitio web.
  • Webempresa. Hosting seguro y confiable con medidas especiales Anti-hackeo. Copias de seguridad cada 4 horas.
  • Raiola Networks. Un hosting de calidad y una atención al cliente expectacular.

2. Proteje el archivo wp-config.php

El archivo wp-config.php contiene información crucial sobre la instalación de WordPress, y es el archivo más importante en el directorio raíz de tu sitio.

Protegerlo significa asegurar el núcleo de tu blog de WordPress.

Esta táctica dificulta que los piratas informáticos vulneren la seguridad de tu sitio, ya que el archivo wp-config.php se vuelve inaccesible para ellos.

Como beneficio adicional, el proceso de protección es realmente fácil.

Para ello puedes realizar las siguientes acciones:

  1. Protegerlo contra escritura cambiando los permisos a 444.
  2. Añade las siguientes reglas al fichero de Apache .htaccess para evitar accesos no deseados:
    <Files wp-config.php>
    order allow,deny
    deny from all
    </Files>

3. No permitir la edición de archivos

Si un usuario tiene acceso de administrador a tu panel de WordPress, puede editar cualquier archivo que sea parte de tu instalación de WordPress. Esto incluye todos los complementos y temas.

Si no permites la edición de archivos, nadie podrá modificar ninguno de los archivos, incluso si un hacker obtiene acceso de administrador a tu panel de control de WordPress.

Para que esto funcione, agrega lo siguiente al archivo wp-config.php (al final):

define ('DISALLOW_FILE_EDIT', verdadero);

4. Establece los permisos de directorio con cuidado

Los permisos de directorio incorrectos pueden ser fatales, especialmente si estás trabajando en un entorno de alojamiento compartido.

En tal caso, cambiar los archivos y los permisos de directorio es un buen movimiento para asegurar el sitio web en el nivel de alojamiento.

Establecer los permisos de directorio en «755» y los archivos en «644» protege todo el sistema de archivos: directorios, subdirectorios y archivos individuales.

Esto se puede hacer manualmente a través del Administrador de archivos dentro de tu panel de control de alojamiento.

Para obtener más información, puede leer sobre el esquema de permisos correcto para WordPress o instalar el complemento de seguridad iThemes para verificar tu configuración de permisos actual.

5. Desactiva la lista de directorios con  .htaccess

Si creas un nuevo directorio como parte de tu sitio web y no colocas un  archivo index.html en él, puedes sorprenderte al descubrir que tus visitantes pueden obtener una lista completa del directorio de todo lo que está en ese directorio.

Por ejemplo, si creas un directorio llamado «datos», puedes ver todo en ese directorio simplemente escribiendo http://www.example.com/data/  en su navegador. No se necesita contraseña ni nada.

Puedes evitar esto agregando la siguiente línea de código en tu archivo .htaccess :

Opciones Todos-Índices

6. Bloquear todos los hotlinking

Supongamos que localizas una imagen en línea y quieres compartirla en tu sitio web.

En primer lugar, necesitas permiso o  pagar por esa imagen, de lo contrario hay una buena posibilidad de que sea ilegal hacerlo. Pero si obtienes permiso, puedes extraer directamente la URL de la imagen y usarla para colocar la foto en tu publicación.

El principal problema aquí es que la imagen se muestra en tu sitio, pero está alojada en el servidor de otro sitio.

Desde esta perspectiva, no tienes ningún control sobre si la foto permanece o no en el servidor. Pero también es importante darse cuenta de que las demás personas pueden hacerte esto en tu sitio web.

Si estás tratando de proteger tu sitio web de WordPress, hotlinking es básicamente otra persona que toma tu foto y roba el ancho de banda de tu servidor para mostrar la imagen en su propio sitio web.

Al final, verás velocidades de carga más lentas y la posibilidad de altos costos de servidor.

Aunque existen algunas técnicas manuales para evitar el enlace directo , el método más fácil es encontrar un plugin de seguridad de WordPress para este trabajo.

Por ejemplo, el complemento All in One WP Security and Firewall incluye herramientas integradas para bloquear todos los enlaces directos.

seguridad wordpress

7. Comprender y protegerse contra los ataques DDoS

Un ataque DDoS es un tipo común de ataque contra el ancho de banda de tu servidor, donde el atacante usa múltiples programas y sistemas para sobrecargar tu servidor.

Aunque un ataque como este no pone en peligro los archivos de tu sitio, está destinado a bloquear tu sitio durante un largo período de tiempo si no se resuelve.

Por lo general, solo escuchas sobre ataques DDoS cuando le sucede a grandes empresas como GitHub o Target. Se llevan a cabo por lo que muchos llaman ciber-terroristas, por lo que el motivo podría ser simplemente causar estragos.

Dicho esto, no es necesario ser una compañía Fortune 500 para estar en riesgo.

Si esto te preocupa, te recomiendo suscribirse a los planes premium Sucuri o Cloudflare . Estas soluciones tienen firewalls de aplicaciones web para analizar el ancho de banda que se utiliza y bloquear completamente los ataques DDoS.

8. Configura una función de bloqueo del sitio web y prohíbe a los usuarios

Una función de bloqueo para intentos fallidos de inicio de sesión puede resolver el gran problema de los intentos continuos de fuerza bruta.

Cada vez que hay un intento de piratería con contraseñas repetitivas incorrectas, el sitio se bloquea y se te notifica de esta actividad no autorizada.

Descubrí que el  plugin iThemes Security es uno de los mejores complementos que existen, y lo utilizo en todas mis webs

El plugin tiene mucho que ofrecer a este respecto. Junto con más de 30 otras impresionantes medidas de seguridad de WordPress, puedes especificar un cierto número de intentos fallidos de inicio de sesión antes de que el complemento prohíba la dirección IP del atacante.

seguridad para wordpress

9. Usa la autenticación de dos factores para la seguridad de WordPress

Introducir un módulo de autenticación de dos factores (2FA) en la página de inicio de sesión es otra buena medida de seguridad.

En este caso, el usuario proporciona detalles de inicio de sesión para dos componentes diferentes.

El propietario del sitio web decide cuáles son esos dos. Puede ser una contraseña normal seguida de una pregunta secreta, un código secreto, un conjunto de caracteres o, más popular, la aplicación Google Authenticator, que envía un código secreto a tu teléfono. De esta manera, solo la persona con tu teléfono (tu) puede iniciar sesión en tu sitio.

Yo prefiero usar un código secreto al implementar 2FA en cualquiera de mis sitios web.

El plugin de Google Authenticator me ayuda con eso con solo unos pocos clics.

 

10. Usa tu correo electrónico para iniciar sesión

seguridad para wordpress Por defecto, debes ingresar tu nombre de usuario para iniciar sesión en WordPress. Usar un ID de correo electrónico en lugar de un nombre de usuario es un enfoque más seguro.

Las razones son bastante obvias. Los nombres de usuario son fáciles de predecir, mientras que los ID de correo electrónico no lo son.

Además, cualquier cuenta de usuario de WordPress se crea con una dirección de correo electrónico única, por lo que es un identificador válido para iniciar sesión.

Varios plugins de seguridad para WordPress te permiten configurar páginas de inicio de sesión para que todos los usuarios deben usar sus direcciones de correo electrónico para iniciar sesión.

11. Cambia el nombre de tu URL de inicio de sesión para proteger tu sitio web de WordPress

Cambiar la URL de inicio de sesión es algo fácil de hacer. De manera predeterminada, se puede acceder fácilmente a la página de inicio de sesión de WordPress wp-login.phpwp-adminagregarla a la URL principal del sitio.

Cuando los piratas informáticos conocen la URL directa de tu página de inicio de sesión, pueden intentar ingresar por fuerza bruta.

Intentan iniciar sesión con su GWDb (Guess Work Database, es decir, una base de datos de nombres de usuario y contraseñas adivinados; por ejemplo, nombre de usuario adminy contraseña: p@ssword … con millones de tales combinaciones).

En este punto, ya hemos restringido los intentos de inicio de sesión del usuario e intercambiado los nombres de usuario por ID de correo electrónico. Ahora podemos reemplazar la URL de inicio de sesión y eliminar el 99% de los ataques directos de fuerza bruta.

Este pequeño truco restringe el acceso de una entidad no autorizada a la página de inicio de sesión. Solo alguien con la URL exacta puede hacerlo.

La forma más fácil de cambiar tu URL de inicio de sesión es utilizar el plugin WPS Hide Login.

Es muy simple de usar; simplemente ingresa la nueva URL de tu página de inicio de sesión y guarda los cambios. Puedes configurar la URL a lo que quieras

17 trucos de seguridad para WordPress

12. Ajusta tus contraseñas

Juega con tus contraseñas y cámbialas regularmente para proteger tu sitio web de WordPress. Mejora su fortaleza agregando palabras adicionales y alargando tus contraseñas.

Ten en cuenta que no necesariamente te recomiendo que continúes agregando más letras mayúsculas y minúsculas, números y caracteres especiales a tus contraseñas.

Muchas personas optan por frases de contraseña largas, ya que estos son casi imposibles de predecir por los piratas informáticos, pero más fáciles de recordar que un montón de números y letras al azar.

Resulta que usar una frase complicada a menudo puede ser mucho más seguro y 10 veces más fácil de recordar.

13. Usa un administrador de contraseñas

De acuerdo, todos sabemos que debemos cambiar nuestras contraseñas con frecuencia y que deben ser difíciles de descifrar.

Sabemos lo que «debemos» hacer, pero no siempre es algo para lo que tenemos tiempo.

Aquí es donde entran en juego algunos administradores de contraseñas de calidad.

No solo generarán contraseñas seguras para ti, sino que luego las almacenarán dentro de una bóveda segura, lo que te ahorrará la molestia de tener que recordarlas.

Yo personalmente utilizo LastPass es sino el mejor de los mejores y lo puedes descargar gratis desde aquí

14. Desconecta automáticamente a los usuarios inactivos de tu sitio

Los usuarios que dejan el panel wp-admin de tu sitio abierto en sus pantallas pueden representar una seria amenaza de seguridad para WordPress.

Cualquier espabilado puede cambiar la información en tu sitio web, alterar la cuenta de usuario de una persona o incluso romper tu sitio por completo.

Puedes evitar esto asegurándote de que tu sitio cierre la sesión de los usuarios después de que hayan estado inactivas durante un cierto período de tiempo.

Puedes configurar esto utilizando un plugin como BulletProof Security .

Este plugin te permite establecer un límite de tiempo personalizado para los usuarios inactivos, después de lo cual se cerrará automáticamente la sesión.

seguridad-wordpress

15. Cambia el prefijo de la tabla de la base de datos de WordPress

Si alguna vez instalaste WordPress, entonces estás familiarizado con el wp-prefijo de tabla que utiliza la base de datos de WordPress. Te recomiendo que lo cambies a algo único.

El uso del prefijo predeterminado hace que la base de datos de tu sitio sea propensa a ataques de inyección SQL. Tales ataques se pueden prevenir cambiando  wp- a algún otro término. Por ejemplo, puedes hacerlo mywp-wpnew-.

Si ya instalaste tu sitio web de WordPress con el prefijo predeterminado, puedes usar algunos complementos para cambiarlo.

El plugin iThemes Security  del que ya hemos hablado un poco más arriba puede ayudarte a hacer el trabajo con solo un clic de un botón. (Asegúrate de hacer una copia de seguridad de tu sitio antes de hacer algo en la base de datos).

16. Realiza copias de seguridad regularmente para asegurar tu sitio web de WordPress

No importa cuán seguro sea tu sitio web de WordPress, siempre hay espacio para mejoras.

Pero al final del día, mantener una copia de seguridad fuera del sitio en algún lugar es quizás el mejor antídoto pase lo que pase.

Si tienes una copia de seguridad , puedes restaurar tu sitio web de WordPress a un estado de funcionamiento en cualquier momento que quieras.

Hay plugins que pueden ayudarte a este respecto.

Yo utilizo el plugin UpdraftPlus  que me simplifica las copias de seguridad y su restauración.

Es el plugin de copias de seguridad de más alta valoración y más popular del mundo, con más de un millón de instalaciones activas.

¡Haz copias de seguridad de archivos y bases de datos en la nube y restáuralas con un solo clic!

seguridad para wordpress

17. Elimina tu número de versión de WordPress

El número de versión actual de WordPress se puede encontrar muy fácilmente. Básicamente se encuentra justo allí en la vista de origen de tu sitio.

También puedes verlo en la parte inferior de tu panel de control (pero esto no importa cuando intentes asegurar tu sitio web de WordPress).

número de versión

Aquí está la cosa: si los piratas informáticos saben qué versión de WordPress utilizas, es más fácil para ellos crear el ataque perfecto.

Puedes ocultar el número de versión con casi todos los plugins de seguridad de WordPress que te mencioné anteriormente.

Conclusiones

Si eres un principiante, seguramente esta información te cueste de asimilar.

Sin embargo, todo lo que he mencionado en este artículo es un paso en la dirección correcta. Cuanto más te preocupes por tu seguridad de WordPress, más difícil será para un hacker entrar.

Dicho esto, probablemente tan importante como la seguridad es el rendimiento del sitio web.

Básicamente, si un sitio web carga lento, tus visitantes nunca tendrán la oportunidad de consumir tu contenido.

El visitante promedio de un sitio web solo esperará 2 segundos antes de frustrarse y partir.

Aquí hay algunos artículos que pueden ayudarte a ganar el juego de rendimiento y asegurarte de que tu sitio web carga a la velocidad del rayo:

10 Maneras De Optimizar Un Sitio Web De WordPress🚀

Cómo Optimizar  WordPress En 2020

Ir arriba