Seguridad de WordPress: cómo proteger un sitio web
La seguridad de WordPress está en la mente de muchos propietarios de sitios. WordPress tiene un script de código abierto, por lo que, naturalmente, a todos les preocupa que sea vulnerable a ataques de todo tipo. Sin embargo, WordPress no es intrínsecamente vulnerable, sin embargo, hay muchos pasos que puede seguir para proteger WordPress.
Al final del día, el propietario del sitio suele ser más responsable de los ataques que la plataforma. Resulta que usted tiene mucho que decir sobre cómo hacer que su sitio de WordPress sea seguro. Aquí hay algunos consejos y trucos para ayudarlo a descubrir cómo proteger su sitio web en WordPress.
Crear un bloqueo del sitio y prohibir usuarios
La creación de una función de bloqueo para repetidos intentos de inicio de sesión fallidos ayudará a evitar que los posibles piratas informáticos realicen intentos continuos de fuerza bruta que finalmente tengan éxito. Cualquier intento de piratería que utilice repetidamente contraseñas largas repetitivas bloquea el sitio y se le notificará de la actividad no autorizada. Esto bloqueará a muchos piratas informáticos de inmediato.
Una de las formas de aumentar la seguridad de WordPress contra este tipo de intento de piratería es el complemento iThemes Security. Ha sido excelente durante mucho tiempo sin signos de desaceleración. Le ofrece la opción de especificar cuántos intentos fallidos de inicio de sesión tiene un usuario antes de que el complemento prohíba su dirección IP y le avise.
Usar métodos de autenticación de 2 factores
La autenticación de 2 factores (SFA) es una de las muchas mejores prácticas de seguridad de WordPress. Le pide al usuario que proporcione detalles de inicio de sesión para dos componentes de avalancha. Como propietario del sitio, puede decidir cuáles son estos dos componentes. Puede ser una contraseña normal seguida de un código secreto, una pregunta secreta, un conjunto de caracteres, un CAPTCHA, etc.
Muchos propietarios de sitios prefieren el método 2FA para asegurar su sitio. Google Authenticator es un buen complemento para incluir 2FA en su sitio. Es, al igual que muchos complementos de Google, confiable y actualizado con frecuencia.
Utilice el correo electrónico como nombre de usuario de inicio de sesión
El valor predeterminado para la mayoría de los sitios solicita un nombre de usuario para iniciar sesión. Para aumentar la seguridad de WordPress, use una identificación de correo electrónico en lugar de un nombre de usuario. Es un enfoque más seguro. Los nombres de usuario son fáciles de predecir para los hackers. Los correos electrónicos no son tan fáciles de predecir. Además, las cuentas de usuario de WordPress deben crearse con una dirección de correo electrónico única, lo que las convierte en un identificador más válido.
Un buen complemento para aumentar la seguridad de WordPress de esta manera es WP Email Login. Funciona inmediatamente después de la instalación. Simplemente actívelo y listo. No es necesaria ninguna configuración. Si desea probarlo, simplemente cierre sesión en su sitio y luego vuelva a iniciar sesión con la dirección de correo electrónico con la que creó la cuenta.
Cambie el nombre de su URL de inicio de sesión
Es muy fácil cambiar su URL de inicio de sesión. Es fácil acceder al inicio de sesión predeterminado de WordPress a través de wp-login.php o wp-admin agregado a la URL principal de su sitio. Cuando los piratas informáticos conocen la URL directa de la página de inicio de sesión, a menudo intentarán entrar en su sitio por la fuerza bruta. Luego intentarán iniciar sesión con su base de datos Guess Work (GWDb), una base de datos de nombres de usuario y contraseñas adivinados que contiene millones de combinaciones de caracteres. A los piratas informáticos les resulta fácil hacer esto. Es crudo, es simple, pero con demasiada frecuencia es efectivo.
Si siguió todos los pasos detallados anteriormente, entonces ya restringió la cantidad de intentos de inicio de sesión del usuario y cambió los nombres de usuario por identificación de correo electrónico. Al cambiar la URL además de esas dos medidas de seguridad de WordPress, eliminará el 99 % de los ataques directos de fuerza bruta. Esto ayudará mucho a mantener alejado al tipo más común de piratas informáticos de WordPress.
Todo lo que tiene que hacer para restringir el acceso de entidades no autorizadas a la página de inicio de sesión es usar el complemento iThemes Security para hacer esto:
- Cambie wp-login.php a algo único; por ejemplo, my_new_login
- Cambie /wp-admin/ a algo único; por ejemplo, mi_nuevo_administrador
- Cambie /wp-login.php?action=register a algo único
Utilice un host de buena calidad
Su host es muy parecido a la calle de su sitio en Internet. Al igual que las direcciones de las calles en la vida real, la calidad de la calle puede afectar el tipo de tráfico que ve.
Un buen host afectará la confiabilidad de su sitio, su rendimiento, el tamaño que puede alcanzar e incluso su clasificación en los motores de búsqueda. Los anfitriones realmente excelentes ofrecen a los propietarios de sitios muchas funciones útiles, incluido un buen soporte y servicios adaptados a la plataforma elegida por el propietario.
Busque hosts que actualicen con frecuencia su servicio, software y herramientas de forma regular, casi constante. También debe responder a las amenazas más recientes y eliminar rápidamente posibles brechas de seguridad. Un servidor web debe ofrecer funciones de seguridad específicas, como certificados SSL/TLS y protección DDoS. Debe obtener acceso a un Firewall de aplicaciones web (WAF) para ayudar a monitorear y bloquear amenazas graves al sitio de WordPress.
Es probable que un buen servidor web también le proporcione una forma de hacer una copia de seguridad de su sitio. En algunos casos, incluso harán la copia de seguridad por usted. Esto le permitirá volver a la versión estable anterior si su sitio alguna vez es pirateado. Deben ofrecer soporte confiable las 24 horas del día, los 7 días de la semana para que siempre pueda contactar a un experto para ayudarlo con los problemas de seguridad.
Cambie su sitio a HTTPS
Con un certificado SSL/TLS, puede cambiar su sitio de WordPress a Protocolo seguro de transferencia de hipertexto (HTTPS), que es una versión más segura de HTTP. Esta es una excelente manera de aumentar la seguridad de WordPress.
HTTP es el protocolo que transfiere datos entre un sitio web y un navegador que intenta acceder a él. Cada vez que un visitante registra su página, toda la constante, los medios y el código se envían a través de este protocolo a la ubicación del visitante. Esto es necesario pero también crea problemas de seguridad.
Con HTTPS, este problema está resuelto. Hace lo mismo que HTTP, pero también encripta los datos del sitio mientras viaja de un lugar a otro. Comenzó como algo que se usaba para proteger la información confidencial de los clientes, como los detalles de la tarjeta de crédito, pero se ha vuelto cada vez más común para todo tipo de sitios.
Cuando cambie a HTTPS, los clientes obtendrán una gran confianza para manejar su sitio. Se recomienda tener un SSL de marcas autenticadas como Comodo, Thawte, GlobalSign, etc. Si tiene un sitio de un solo dominio, le recomendamos tener un certificado Comodo PositiveSSL de Comodo o cualquier otro SSL de dominio único de las marcas mencionadas. Protegerá las transacciones en línea entre el servidor y el navegador.
Pensamientos finales sobre la seguridad de WordPress
Estos consejos de seguridad de WordPress lo ayudarán a asegurarse de que todo el trabajo que ha realizado en su sitio no se pierda en un ataque. Animará a la gente a visitar y ver lo que tienes para ofrecer.
Si disfrutó leyendo este artículo sobre la seguridad de WordPress, debe consultar este sobre el complemento SSL de WordPress.
También escribimos sobre algunos temas relacionados, como complementos de escáner de malware y sales de WordPress.