10 consejos para asegurar un sitio web de WordPress

¿Qué tan seguro está su sitio de WordPress? ¿Es su sitio un objetivo fácil para los piratas informáticos? Con algunos pasos y adoptar algunas buenas prácticas de seguridad de WordPress, puede reducir significativamente su vulnerabilidad de ataque. En esta publicación, cubriremos algunos consejos para asegurar un sitio web de WordPress. 1. Mantenga los temas de núcleo, complementos y WordPress actualizados a la última versión. ¿Sabía que algunos de los problemas de seguridad de WordPress más comunes están relacionados con las versiones obsoletas de WordPress? Por lo tanto, es muy importante mantener todo actualizado.
En este momento, si inicia sesión en su sitio de WordPress para verificar, ¿cuántas notificaciones de actualización ve en el tablero del administrador de WordPress? Encontrará este número en varios lugares, incluso en la barra de administración superior, en el menú de la barra lateral y también como una notificación (si ejecuta una versión obsoleta de WordPress).

Las notificaciones de actualización de WordPress aparecen en varios lugares en su tablero de WordPress.
Cuando su sitio web de WordPress ejecuta versiones obsoletas de complementos, temas y WordPress, corre el riesgo de tener vulnerabilidades conocidas en su sitio web.
Las notificaciones de actualizaciones constantes pueden parecer molestas y es fácil posponer las actualizaciones en ejecución, pero intente volver a actualizar las actualizaciones como directamente relacionadas con la seguridad y la salud de su sitio web. Las actualizaciones en el núcleo, los temas y los complementos de WordPress a menudo incluyen problemas de seguridad, así como remedios para nuevos errores y funciones. Es por eso que estas actualizaciones son algo bueno. La lista de verificación de actualización de WordPress es una lista de verificación de actualización de WordPress, por lo que todo funciona sin ningún problema: 1. Antes de ejecutar actualizaciones, realice una copia de seguridad actual de su sitio web. ¿No tienes una solución de respaldo? Use un complemento de copia de seguridad de WordPress, como BackupBuddy, para hacer una copia de seguridad de toda la instalación de WordPress, incluida la biblioteca de medios, así como todos los archivos y complementos.
2. Revise los cambios en los cambios para actualizar la versión antes de actualizar. Los desarrolladores usan cambios en los cambios para que los usuarios puedan conocer los cambios incluidos en una actualización de la versión. Puede encontrar cambios en las actualizaciones en el tablero de WordPress haciendo clic en el enlace “Ver xxx”.
3. Navegue a las actualizaciones en el tablero del administrador de WordPress. Haga clic en el enlace de actualización en la barra lateral del tablero de WordPress o en el icono de la barra de navegación superior para ver la página de actualizaciones.
4. Haga clic en Botones de actualización para ejecutar actualizaciones. Verá botones de actualización individuales para complementos, temas de WordPress (si tiene una actualización básica de WordPress), junto con una lista de complementos y temas para actualizar.5. Confirme que todo sigue funcionando, como se esperaba en su sitio web. Aunque generalmente no es necesario, es una buena idea hacer una ejecución de su sitio web para asegurarse de que nada esté roto o parezca extraño después de la actualización.
Herramientas para ayudar a ahorrar tiempo en la administración de actualizaciones de versión Si administra más sitios web de WordPress, el proceso de actualización puede consumir mucho tiempo, ya que debe conectarse a cada sitio web individual para realizar actualizaciones. Afortunadamente, hay herramientas como IThems Sync para ayudarlo a administrar más sitios de WordPress en un solo tablero.
Con Ithemes Sync, no tendrá que iniciar sesión en varios sitios web para ejecutar actualizaciones. Puede ejecutar actualizaciones en varios sitios web con solo unos pocos clics y puede ver todas las actualizaciones disponibles en un solo lugar. La sincronización también envía notificaciones diarias útiles por correo electrónico para las actualizaciones disponibles.
Obtenga 10 sitios de sincronización gratuitos para obtener más información

El complemento de seguridad ITHEMS también proporciona versiones de WordPress para proteger su sitio web cuando el software obsoleto no se actualiza lo suficiente.
La gestión de versiones de WordPress Security de iThemes puede actualizarse automáticamente a las nuevas versiones de WordPress, temas y complementos, junto con medidas de seguridad adicionales cuando se excede el software del sitio web. Además, puede buscar otros sitios de WordPress obsoletos que se puedan instalar en su cuenta de alojamiento. Los usuarios pueden recibir un correo electrónico de notificación que contiene detalles sobre las actualizaciones de WordPress que se han instalado automáticamente. Ithemes Security también le advertirá si detecta problemas de configuración del servidor o sitio que podrían evitar actualizaciones automáticas de WordPress.
2. Nunca instale complementos o temas de fuentes confiables. Instale complementos y temas de WordPress solo de fuentes de confianza. Solo debe instalar el software que descargue de WordPress.org, almacenes comerciales conocidos o desarrolladores y sitios web de renombre.

Si encuentra otra versión de un complemento o tema de WordPress que no se distribuye directamente desde el sitio web del desarrollador, diligencia antes de descargarlo e instalarlo en su sitio web. Póngase en contacto con los desarrolladores para ver si están afiliados al sitio web que ofrece su producto a un precio gratuito o bajo.
Evite la versión “nula” de los complementos comerciales, ya que a menudo contienen código malicioso. No importa cómo bloquee su sitio de WordPress si usted es el que instala malware.
3. Revise la seguridad de la contraseña de WordPress. Este consejo incluye algunas buenas prácticas de contraseña. Una estrategia de seguridad de WordPress exitosa debe incluir pasos para fortalecer sus datos de inicio de sesión de WordPress; esto finalmente se refiere a las contraseñas utilizadas para conectarse a su sitio web. ¿Por qué? Su conexión con WordPress es la vulnerabilidad de seguridad de WordPress más común, ya que ofrece el acceso más fácil al tablero del administrador. El método de ataque de la fuerza bruta explota la forma más simple de acceso a un sitio web: tratar de adivinar el nombre de usuario y las contraseñas, siempre, hasta que tenga lugar una autenticación exitosa.

Use una contraseña fuerte, única y compleja. ¿Qué tan buena es tu contraseña de WordPress? Aquí hay una prueba de resolución de contraseña de WordPress:
1. ¿Usó la contraseña nuevamente en otro lugar para una cuenta separada?
2. ¿Utiliza “Admin” como un nombre de usuario de WordPress?
3. ¿Es su contraseña una palabra del diccionario?
4. ¿Ha distribuido la contraseña de otra persona?
5. ¿Tu contraseña tiene menos de 12 caracteres?
6. ¿Su contraseña incluye números, símbolos y la caja superior y minúscula?
7. ¿Utiliza la autenticación de dos factores para su autenticación de WordPress?
Suena imposible, ¿verdad? Es por eso que debe usar un administrador de contraseñas para generar contraseñas aleatorias y potentes y almacenarlas seguras para todos sus datos de conexión de cuenta.
Su contraseña de WordPress debe cumplir con los siguientes requisitos:
Incluir números, mayúsculas, caracteres especiales (@, #, * etc.)
Longitud (12 caracteres – Mínimo; 50 caracteres – Ideal) puede incluir espacios y ser una expresión de acceso (simplemente no use la misma contraseña en varios lugares)
Modificado cada 120 días o 4 meses
Aplicar los requisitos de contraseña + RECUCHA las contraseñas comprometidas Otra práctica importante para la seguridad en línea es el uso de contraseñas únicas para cada cuenta y sitio de conexión que tiene. ¿Por qué es importante la reutilización de una contraseña? Si usa la misma contraseña para todas sus cuentas e incluso uno de estos sitios web está comprometido, ahora use una contraseña comprometida para todos sus hackers puede usar el almacenamiento de datos de contraseña comprometida con su dirección de correo electrónico o nombre de usuario para tener acceso a todas sus cuentas, por lo tanto, por lo tanto, TI, TI, TI, TI, TI, TI, TI, TI, TI, TI, TI, TI, TI. es mejor no arriesgarse ni siquiera.
Cuantos más usuarios en su sitio reutilice las contraseñas, más débil será la seguridad de inicio de sesión de WordPress. En una lista reciente compilada por Splash Data, la contraseña más común incluida en todos los depósitos de datos fue 123456. La seguridad de inicio de sesión de WordPress de su sitio web es tan fuerte como la conexión más débil, así que sea proactivo con los requisitos de contraseña segura.
Puede proteger a WordPress de las contraseñas comprometidas con un complemento como IThemes Security Pro. ITHEMES Security le permite configurar los requisitos de contraseña, como poderosas contraseñas, vencimiento de contraseñas y la posibilidad de rechazar contraseñas comprometidas.
Para la configuración rechaza las contraseñas comprometidas, IThemes Security aprovecha la API de HaveibeenPwned para detectar si apareció o no una contraseña. Limitar los intentos de conexión falló por defecto, no hay nada incorporado en WordPress para limitar el número de intentos de conexión fallidos que alguien puede hacer. Sin un límite en los intentos fallidos de autenticación, un hacker puede continuar intentando un número interminable de nombre de usuario y contraseñas hasta que tengan éxito. Puede aumentar el inicio de sesión de WordPress instalando un complemento de seguridad de WordPress, como iThemes Security Pro, para limitar el número de intentos fallidos de conectarse a su sitio web.
La función de protección Bruce de WordPress de Security Pro de IThemes le brinda el poder de establecer el número de intentos de autenticación fallidos permitidos antes de que se bloquee un nombre de usuario o IP. Un bloqueo desactiva temporalmente la capacidad del atacante para hacer intentos de conexión. Una vez que los atacantes han sido bloqueados tres veces, tiene prohibido acceder incluso al sitio web.
4. Agregue dos factores de autenticación al administrador de WordPress que conecte los datos. La autenticación de dos factores es un sistema que requiere dos elementos para conectarse a su cuenta: el primero es el nombre de usuario y la contraseña habituales, pero el segundo es un código único que se entrega a través de otro formato. El código secundario se puede entregar por texto, correo electrónico, códigos desechables, aplicaciones móviles u otros formatos.
Siempre que pueda, debe activar la autenticación con dos factores. Agrega un paso adicional al proceso de conexión, pero esta capa de seguridad que protege sus cuentas. Reunirse con dos factores de WordPress es una gran manera de aumentar su seguridad de WordPress y es una de las mejores características de Ithemes Security Pro. El complemento también incluye una sección de integración en dos factores que explican cómo usar la autenticación en dos factores y por qué es importante para la seguridad.
5. Comience a hacer hijos de repuesto regulares de su sitio web. Otra forma de garantizar la seguridad de WordPress es copiar su sitio web. Las copias de seguridad asegúrese de que si su sitio web se ve comprometido, podrá recuperarlo. Además, debido a que WordPress no incluye un sistema de respaldo Built -In, deberá implementar una estrategia de respaldo por su cuenta (la mayoría de los niños de reserva del anfitrión no son suficientes).

Un buen plan de reserva de WordPress incluye:

Niños de reserva programados que aparecen automáticamente
Escaneo de estos niños de seguridad para detectar malware (una copia de seguridad infectada no es buena)

Almacenamiento de archivos de copia de seguridad fuera del sitio en un destino seguro y seguro

La capacidad de restaurar su sitio web desde una copia de seguridad
BackupBuddy, nuestro complemento de copia de seguridad de WordPress, es nuestra herramienta de copia de seguridad: en realidad la creamos después de perder mi propio sitio después de un servidor y no tuvimos copias de seguridad. Con BackupBuddy, puede configurar los planes de copia de seguridad, así que la copia de seguridad automáticamente. También puede activar Stash Live para copias de seguridad de WordPress en tiempo real que observan activamente su sitio web, para que siempre tenga una copia de seguridad actual. Instale un complemento de seguridad de WordPress para administrar tareas de seguridad. Como ya he mencionado varias veces, el uso de un complemento de seguridad de WordPress puede ayudar con más tareas de seguridad de WordPress que de otro modo tomarían un diario de tiempo y conocimiento técnico. Un complemento de seguridad de WordPress puede ayudar a remediar los agujeros de seguridad comunes y fortalecer la acreditación del usuario. El complemento IThemes Security Pro también incluye un nuevo tablero de seguridad de WordPress para rastrear las estadísticas y la actividad de WordPress.
7. Use un host web de calidad. No todos los hosts web se crean por igual y la elección de uno solo en el precio puede costarle mucho más a largo plazo, con problemas de seguridad. La mayoría de los medios de sombra son seguros, pero algunos no separan adecuadamente las cuentas de los usuarios. Su host debe estar atento a la aplicación de los últimos parches de seguridad y cumplir con otras prácticas de seguridad importantes relacionadas con la seguridad del servidor y los archivos. Su host debe estar atento a la aplicación de los últimos parches de seguridad y cumplir con otras prácticas de seguridad importantes relacionadas con la seguridad del servidor y los archivos. Elija un host de renombre para su sitio. Web con un registro de seguridad sólido. Encontrar el alojamiento de WordPress en el que puede confiar es la primera de las vulnerabilidades de seguridad de WordPress que debe intentar aliviar.

8. Agregue SSL. Cuando alguien visita su sitio web de WordPress, inicia una línea de comunicación entre su dispositivo y su servidor. La comunicación no es una línea directa, y la información transmitida entre el visitante y su servidor hace más paradas antes de ser entregada a su destino en la final. Para comprender mejor cómo funciona el cifrado, considere cómo se entregan sus compras en línea. Si alguna vez ha visto el estado de entrega, ha visto que su pedido ha hecho más paradas antes de llegar a casa. Si el vendedor no empacó adecuadamente su compra, sería fácil para las personas ver lo que compró. Cuando un visitante se conecta a su sitio de WordPress e introduce información de pago, esta información no está encriptada implícitamente. Por lo tanto, como su compra inigualable, existe la posibilidad de que los datos de autenticación y los detalles de la tarjeta de crédito se descubran en cada parada entre la computadora del visitante y su servidor. Agregar un certificado SSL a su sitio web es una excelente manera de criptar y empacar la comunicación en su sitio para asegurarse de que solo los destinatarios específicos puedan ver la información confidencial que se comparte.
Su host puede proporcionar un servicio para agregar un certificado SSL a su sitio de WordPress o puede agregar el certificado SSL usted mismo. Si decide seguir la ruta para hacerlo usted mismo, le recomendamos que use CERTBOT. CERTBOT simplifica la adición de un certificado de encriptación Let’s en su sitio web, así como su configuración para renovar automáticamente el certificado SSL. También puede consultar nuestra capacitación de WordPress HTTPS para averiguar cómo agregar un certificado SSL a su sitio web. Desinstale y elimine completamente todos los complementos y temas no utilizados. ¿Tiene complementos y temas no utilizados que solo están en su sitio web de WordPress? Estos son complementos o temas que actualmente están marcados como “inactivos”. Es una buena idea desinstalar y eliminar completamente cualquiera de estos arados o temas no utilizados, ya que pueden tener un riesgo de seguridad si hay vulnerabilidades conocidas en el complemento o tema. Puede acelerar este proceso seleccionando en el bloque todos los complementos / temas inactivos y luego haciendo clic en la acción de eliminación desde el tablero del administrador de WordPress.
10. Configure WordPress Security Journal. Las revistas de seguridad de WordPress son otra forma de mantener las pestañas de sus actividades en su sitio web de seguridad. Un complemento de seguridad de WordPress, como Itheme Security, puede configurar la periodización para ver múltiples actividades y puede enviarlo a través de EA. Envíe un correo electrónico sobre ciertas actividades sospechosas.
El registro de seguridad en Ithemes se puede seguir la seguridad:
Ataques de fuerza bruta: intentos sospechosos / sin éxito de conectarse al administrador de WordPress.
Cambios de archivo: la detección de cambios de archivo le indica qué archivos han cambiado en su instalación de WordPress, advirtiéndole sobre los cambios que no lo han realizado. Muchos errores 404 en un corto período de tiempo están buscando algo (probablemente una vulnerabilidad) y los bloquea en consecuencia. Esto también ofrece la ventaja adicional de ayudarlo a encontrar problemas ocultos que causan 404 errores en partes invisibles de su sitio web.

Bloqueos: atascado IP debido a demasiados 404, ataques de fuerza bruta, etc.

Escaneos de malware: resultados de escaneo de malware en su sitio web.
Registro del usuario: siga los cambios / acciones realizadas por usuarios registrados en su sitio web.
Gestión de versiones: sigue las actualizaciones realizadas en temas, complementos y WordPress.
Consejos de seguridad de WordPress Espero que esta publicación le haya dado algunos consejos para asegurar su sitio de WordPress. Al aprender algunas buenas prácticas de seguridad de WordPress e implementar algunos de los consejos anteriores, tendrá un sitio web más seguro.
1. Mantenga los temas de núcleo, complementos y WordPress actualizados a la última versión.

2. Nunca instale complementos o temas de fuentes confiables.

3. Revise la seguridad de la contraseña de WordPress.
4. Agregue dos factores de autenticación a su cuenta de autenticación de administrador.
5. Comience a hacer hijos de repuesto regulares de su sitio web.
6. Instale un complemento de seguridad de WordPress para administrar tareas de seguridad.Use un host web de calidad.
8. Agregue SSL.
9. Desinstale y elimine completamente todos los complementos y temas no utilizados.
10. Configure WordPress Security Journal.
Obtener ithemes Security Pro
Kristen Wright
Kristen escribió tutoriales para ayudar a los usuarios de WordPress en 2011. Por lo general, puede encontrarlo trabajando en nuevos artículos para IThems Blog o desarrollar recursos para #WpProsper.Fuera del trabajo, Kristen disfruta del diario (¡escribió dos libros!), Senderismo y acampar, cocinar y aventuras diarias con su familia, con la esperanza de llevar una vida más presente.