La mejor lista de verificación de seguridad de WordPress [Guía final]

Si desea asegurar su sitio de WordPress, encontrará muchos consejos en línea, algunos de los cuales son buenos y otros son bastante dañinos, aunque bien intencionados. Cuando se trata de seguridad de WordPress, debe poder confiar en sus fuentes y encontrar información que no solo sea creíble, sino que también sea factible y aplicable. Solo en 2020, los ataques de malware aumentaron en más del 150%, y las cifras no parecen disminuir demasiado pronto. Por lo tanto, asegurar su sitio de WordPress debe ser su prioridad número uno. La mejor manera de asegurar su sitio de WordPress es instalar un complemento de seguridad y dejar que lidie con tareas pesadas. Pero incluso sin uno, puede asegurar su sitio en gran medida siguiendo la lista de verificación de seguridad de WordPress a continuación.
TL; DR: Haga su sitio web de WordPress con MalCare y evite el mantenimiento de seguridad regular. WordPress Security es un laberinto de huecos que necesita corregir. Consulte nuestra lista de seguridad de WordPress para asegurarse de no perder nada crucial.
Se esconde el contenido
1 La forma más sencilla de asegurar su sitio web de WordPress
2 Lista de verificación de seguridad de WordPress suprema
2.1 para la seguridad cotidiana
2.2 para seguridad mensual
2.3 para seguridad a largo plazo
2.4 Medidas únicas para la seguridad completa
3 ¿Por qué es importante la seguridad del sitio web?
4 Pensamientos finales
La forma más sencilla de asegurar su sitio de WordPress como dije, la mejor manera de asegurar su sitio de WordPress es usar un enchufe de seguridad, en particular, Malcare. MalCare no solo trata automáticamente con la lista de verificación de seguridad de WordPress, sino que lo hace sin preocuparse por realizar un seguimiento de cada pequeño detalle. MalCare tiene varias funciones que funcionan juntas para mantener su sitio seguro. Pero sus primeras tres características aseguran que su sitio permanezca sin malware: escanear, firewall y limpieza. Con MalCare, puede programar escaneos automáticos en su sitio web de WordPress y recibir alertas si se detecta algo sospechoso. Malcare también protege su sitio con un firewall inteligente que mantiene alejado a la mayoría de los ataques. Y, lo más importante, si su sitio fue pirateado, que ningún sitio puede estar seguro, MalCare limpie su sitio en unos minutos con un solo botón de clic.
Otra razón por la que debe optar por MalCare es porque, con medidas de seguridad manuales, siempre existe la posibilidad de error humano. Pero los errores de seguridad pueden causarle más de unos pocos dólares. Si los hacks empeoran, pueden conducir al robo de datos, deformar el sitio web, perder clientes y, lo más importante, perder la confianza de su negocio que sufre de los elementos de seguridad de WordPress supremos en un sitio de WordPress que la búsqueda de todas las cosas puede volverse abrumador. Hemos compilado una lista de verificación de seguridad de WordPress para usted, según la frecuencia del tiempo que necesita para manejar su embarazo.

Para la seguridad cotidiana, la seguridad del sitio web es un proceso constante y no puede ser un compromiso único. Pero hay formas en que puede automatizar las tareas diarias. Estas tareas aseguran que su sitio esté protegido de cualquier problema o amenazas imprevistas. Escanear su sitio es importante para escanear su sitio de malware todos los días. Un sitio web se rompe cada 38 segundos en Internet y hay altas posibilidades de que usted sea uno de ellos. El escaneo periódico del sitio le asegura que usted es el primero en conocer cualquier amenaza o malware en el sitio y ayudarlo a tomar medidas antes de que el atacante pueda causar daños a su sitio. Si su sitio manual escanea. Todos los días lo encuentra. Atrapador, puede optar por una solución de seguridad como Malcare, que le permite programar escaneos automáticos diariamente, por lo que no le preocupa que pierda un escaneo o tenga que ejecutarlos personalmente. . Copia de seguridad de su sitio Hay varias razones por las que debe hacer una copia de seguridad de su sitio de WordPress, pero la más importante de ellas es la seguridad. Si no se detecta a tiempo, el malware puede causar calentamientos en su sitio de WordPress y, como resultado, puede conducir a la pérdida de datos o la deformación del sitio. A menudo, los hosts web eliminan los sitios en sus servidores si están infectados y, si no tiene una copia de copia de seguridad independiente de su sitio, deberá comenzar desde cero.
Es importante hacer una copia de seguridad de sitios web de alto valor todos los días, de modo que no se pierda nada importante. Esto es especialmente cierto para los sitios de WooCommerce que necesitan repuestos en tiempo real. Una solución práctica como BlogVault puede hacer este proceso muy fácil. BlogVault le permite programar la reserva de niños diariamente o en tiempo real, dependiendo de sus requisitos y almacenar a estos niños de seguridad en un servidor externo, por lo que incluso si su servidor de sitio está pirateado, las copias de seguridad permanecen en continuación segura. Para verificar la seguridad mensual del diario de la actividad Los hacks e instalación de malware, adware u otros tipos de programas maliciosos generalmente parecen secretos. A menudo, el único rastro visible se puede encontrar en el diario de actividad de su sitio, un registro cronológico de las actividades realizadas y los cambios llevados a cabo. Por lo tanto, es una buena idea realizar un cheque mensual del diario de actividad de su sitio para buscar posibles inconsistencias o actividades sospechosas. Puede ayudarlo a seguir una serie de detalles importantes si su sitio está roto, como qué direcciones IP estaban involucradas y cómo podría haber sucedido.

Si usted es un sitio con alta producción, es decir, publique contenido diario o semanal, verificar el diario de actividades una vez al mes puede volverse abrumador, porque hay muchos cambios en el sitio. En este caso, puede consultar el diario de actividades una vez por semana o cada dos semanas. WordPress no proporciona un diario de actividad de forma predeterminada, por lo que deberá confiar en un complemento para ello. Alternativamente, Malcare le ofrece un diario de actividad detallado y fácil de entender, junto con la seguridad completa de WordPress. Actualice su sitio idealmente, debe actualizar su sitio de WordPress tan pronto como se inicien nuevas actualizaciones, pero también realizan actualizaciones mensuales. Respetando un programa de actualización mensual, puede estar seguro de que su sitio está bien protegido y que cualquier nueva vulnerabilidad se corrige. Las actualizaciones a menudo son aterradoras, ya que se sabe que deserta los sitios. Pero si está utilizando un complemento como BlogVault, puede probar sus actualizaciones en un sitio de capacitación y combinar los cambios sin problemas con su sitio en vivo. Verifique la consola de búsqueda Agregar su sitio de WordPress a la consola de búsqueda de Google tiene una serie de beneficios relacionados con SEO, pero también puede ayudar a la seguridad de su consola de búsqueda de Google tiene una pestaña de seguridad que indica cualquier malware que detecte en su sitio, por lo que verificar desde el tiempo al tiempo puede ayudarlo a detectar malware.
Si escanea su sitio con MalCare regularmente, ya habrá detectado malware en el sitio.Pero es una buena práctica ver si Google considera que hay alguna actividad sospechosa en su sitio. Elimine temas y complementos no utilizados para eliminar temas y complementos antiguos y no utilizados tiene dos objetivos.El primero es acelerar su sitio, porque demasiados archivos pueden causar hinchazón y ralentizar el servidor.El segundo es asegurarse de que su sitio no pueda ser atacado a través de ellos.Los temas y complementos no utilizados a menudo se ignoran y no se actualizan, creando vulnerabilidades que pueden ser fácilmente beneficios.Así que asegúrese de realizar un cheque mensual de todos los temas y complementos que use y elimine los que han cumplido su propósito.Nota:
También verifique si hay complementos falsos en su sitio. Los programas de malware a menudo están ocultos como carpeta de complementos, pero los complementos falsos tienen solo uno o dos archivos, no se pueden ubicar en el almacén de WordPress y tienen nombres extraños como “AZZ” o “TIFF” . Actualice sus credenciales para usar las mismas acreditaciones demasiado tiempo o la reutilización en varias cuentas son un riesgo importante. Para proteger su sitio web de WordPress, actualice sus contraseñas al menos una vez al mes. Esto le asegura que cualquier hacker que pueda haber obtenido su contraseña no puede usarla y también se desconecta de su cuenta en todos los dispositivos. Aunque es un poco incómodo, le asegura que puede controlar el acceso a su sitio web. Verifique que los roles y privilegios de las cuentas de usuarios de los usuarios en su sitio web de WordPress son tan importantes como la cuenta de administrador. Si un hacker recibe acceso a cualquier cuenta, puede infectar su sitio, puede mejorar sus privilegios de roles e incluso bloquear su acceso a su propio sitio. Asegúrese de que cada usuario en el sitio tenga solo los privilegios necesarios y que se eliminen las cuentas de usuario antiguas. Además, verifique que los privilegios del usuario se hayan aumentado sin su autorización, podría ser un signo de malware. Bloquear IP maliciosos para bloquear o restringir las IP maliciosas puede hacer que su vida sea mucho más fácil. Si está pirateado, puede seguir la dirección IP desde la que ocurre y simplemente puede bloquearla.

Esto evita que cualquier persona con esa dirección IP acceda a su sitio.Este método se utiliza para combatir a los piratas informáticos, apagar robots o trolls y evitar usuarios no autorizados.Si usa un firewall, bloqueará automáticamente las IP maliciosas para usted.
También puede bloquear una área geográfica completa, si experimenta ataques repetidos en la región. Pruebe sus copias de repuesto si lo peor y su sitio de WordPress sucederá, puede confiar en las copias de repuesto para reiniciarlo. Pero debe asegurarse de que las copias de repuesto sean seguras. Si las copias de repuesto ya han sido pirateadas, su restauración será inútil. Del mismo modo, debe probar si son funcionales, de lo contrario restaurará un sitio roto. Puede probar las copias de seguridad fácilmente si usa BlogVault y se asegura de que sean confiables. Actualizar WordPress WordPress Salts usa sales como parte de su proceso de cifrado. Una sal es un carácter aleatorio de caracteres que se agrega a una contraseña antes del cifrado. La cadena resultante es un hash y esto es lo que se almacena en la base de datos. De esta manera, si un hacker puede eliminar las contraseñas de hash de la base de datos y descifrarlas, todavía no sabe qué parte de la contraseña es la contraseña y cuál es la sal. La única forma en que saben esto es si tienen acceso a sales y claves de seguridad en el archivo de configuración. Es similar a cómo se almacenan las contraseñas en las cookies del navegador. La razón por la que puede mantenerse conectado a cualquier sitio es que la información de la sesión se almacena en las cookies. Pero si las contraseñas con texto simple se almacenaron allí, sería peligroso. Entonces WordPress almacena la versión salada y en su lugar. Tener acceso a la sal no significa que pueda descifrar el hashe, sino reducir el nivel de seguridad. Por lo tanto, es importante actualizar sus sales de WordPress periódicamente.

Para la verificación de seguridad a largo plazo, SSL SSL es un protocolo de seguridad diseñado para cifrar cualquier comunicación hacia y desde el servidor de su sitio web. Esto evita que los atacantes accedan, lean o modifiquen cualquier información que se transfiera. Por lo general, asegure su sitio con SSL cuando obtenga el dominio o el plan de alojamiento. Sin embargo, los certificados SSL expiran aproximadamente cada dos años y debe asegurarse de que se renovan lo antes posible. Esto es dos veces importante si los usuarios realizan transacciones en su sitio, porque cualquier violación de seguridad puede conducir a una fuga de tarjeta de crédito o cuenta bancaria. Consulte los planes de alojamiento si olvida renovar su plan de alojamiento a tiempo, su cuenta de WordPress será suspendida. Esto puede causar una serie de problemas. El tráfico en su sitio se verá afectado, perderá clientes e incluso puede perder datos. La verificación periódica de los servicios de alojamiento también le permite analizar el tráfico del sitio y el uso del servidor. El uso excesivo del servidor es un síntoma común de un ataque de fuerza bruta, y la captura de tales ataques anteriormente tiene una mayor probabilidad de detenerlos. Cuando se le alertan al principio de un ataque de fuerza bruta, puede actuar y asegurar su sitio antes de que los hackers obtengan acceso a las medidas únicas de su sitio para la seguridad completa, mientras que la seguridad de WordPress debe revisarse constantemente, hay algunas medidas que puede tomar una vez y no debe actualizar constantemente.
Invierta en un firewall fuerte, un firewall protege su sitio de WordPress filtrando el tráfico malicioso y deteniendo la mayoría de los ataques antes de que puedan infectar su sitio. Existen varios tipos de firewalls, como aplicaciones web, firewalls de red o firewalls basados ​​en la nube. Un fuerte firewall para aplicaciones web, como Malcare, le permite filtrar el tráfico de su sitio y bloquear a los visitantes por número de conexión o ubicación geográfica. Implementar autenticación HTTP La autenticación HTTP es un protocolo que permite el acceso a un recurso web solo a aquellos que necesitan acceder a él. La autenticación HTTP restringe el acceso solicitando un nombre de usuario y contraseña cuando se solicita una determinada página web. Ahora, obviamente, no puede hacer esto para todo el sitio web, pero su implementación para el tablero o la página de autenticación puede reducir significativamente el número de ataques BOT. Use la autenticación de dos factores con dos factores es un método que requiere que el usuario presente dos claves separadas para acceder a una cuenta. Por ejemplo, si intenta acceder a su correo electrónico, generalmente debe proporcionar su usuario y contraseña, pero cuando implementa la autenticación de dos factores, también necesitará una clave que se cree en tiempo real, como un parol de tiempo o pino. Esto reduce el número de intentos de inicio de sesión y no abruma el servidor de su sitio web con solicitudes de conexión.
También protege su sitio web contra ataques forzados brutos. Puede usar un complemento como 2FA para activar la autenticación de dos factores para su sitio. Limite sus intentos de conexión. Ya he hablado sobre cómo los intentos de inicio de sesión deben ser limitados. WordPress, por defecto, permite intentos de conexión ilimitados, y esto les da a los piratas informáticos una buena oportunidad para tratar de acceder a su cuenta de WordPress con ataques de fuerza bruta. La forma más fácil de limitar sus intentos de autenticación es utilizar un complemento de seguridad como MalCare o puede agregar código personalizado a su function.php. Desactivar XML-RPC similar a la API REST WP, XML-RPC es una característica de WordPress que le permite publicar contenido remoto. Es útil si usa la aplicación WordPress o si necesita activar trackbacks y pingbacks, pero de lo contrario, los piratas informáticos pueden obtener acceso a su sitio a través de ataques de fuerza bruta. La solución más fácil aquí es apagarlo con un complemento o manual. Deshabilite la navegación del directorio Cuando su servidor no encuentre un archivo de índice para un sitio web, muestra un índice del contenido del director. Si un hacker puede acceder a esta información, puede verificar si tiene archivos que son vulnerables a su sitio. Esto abre su sitio web a los principales riesgos de seguridad. Para evitar esto, puede deshabilitar la navegación a los directores agregando una línea de código a su archivo .htaccess. Siga estos pasos para deshabilitar los directores en su sitio de WordPress. Desciende el archivo .htaccess en su sitio a través de un cliente FTP.

Abra el archivo y agregue el siguiente código a la parte inferior del archivo: todas las opciones -indic
Ahora guarde el archivo y recójelo. Primero deberá eliminar el archivo original de su sitio.
Restringir los permisos de permisos de archivos para los archivos en su sitio determina quién puede acceder a qué partes de su sitio y quién puede cambiarlos. Por lo general, su host web establece toda esta información para usted, pero sigue siendo una buena práctica comprender los permisos de archivos y asegurarse de que estén configurados de manera óptima. Si desea comprender cómo funcionan los permisos de archivos y cómo puede optimizarlos para la seguridad de su sitio, revise nuestra guía detallada y fácil de usar. Ocultar el archivo WP-Config WP-Config en su sitio está lleno de información confidencial, como contraseñas, claves y sales. Si los piratas informáticos obtienen acceso al archivo, será como tirar una alfombra roja en el sitio. El archivo WP-Config está en la carpeta public_html de forma predeterminada para que los hackers sepan dónde buscarlo. Pero puede cambiar la ubicación del archivo y aún funciona también, mientras oculta la información confidencial de manera efectiva. Deshabilitar la ejecución de PHP en piratas informáticos específicos puede cargar archivos PHP en su sitio disfrazado en archivos básicos de WordPress y obtener acceso a su sitio. Algunas carpetas como WP-Suploads no deberían tener archivos PHP en absoluto. Entonces, ¿qué estás haciendo en este caso? Puede deshabilitar la ejecución de PHP en estas carpetas para que incluso si los hackers logran ingresar estos archivos a través de cualquier puerta trasera, no tienen acceso a su sitio.
Por qué la seguridad del sitio web de WordPress es importante es una plataforma segura, pero es muy popular y atrae todo tipo de atención.Algunos de ellos son malos.Para asegurarse de que los piratas informáticos no puedan tener acceso a su sitio, debe asegurarse de que la seguridad de su sitio esté actualizada, de lo contrario, puede enfrentar serias consecuencias, como: perder al cliente
Pérdida de datos
Fugas de credenciales privadas
Pérdida de ingreso
Problemas legales
Llegar a la reputación de la marca

Pérdida de confianza
Pensamientos finales La seguridad de WordPress no es un misterio. Si toma algunos pasos para asegurar su sitio, podrá evitar ataques y programas de malware y evitar cualquier daño. Esperamos que esta lista de verificación de seguridad de WordPress lo ayude a ajustar sus medidas de seguridad. Si desea una solución sin problemas que no comprometan su seguridad, MalCare es la única opción. Con escaneos automáticos, un firewall avanzado y una limpieza de un solo clic, Malcare es una solución de 360 ​​grados que protege su sitio. Preguntas frecuentes ¿Cómo aseguro mi sitio web de WordPress? La forma más fácil de asegurar su sitio de WordPress es instalar un complemento de seguridad como Malcare. MalCare escanea su sitio web todos los días para asegurarse de que su sitio esté seguro y proteja su sitio con su firewall avanzado. También proporciona una limpieza de un solo clic si hay un truco. ¿WordPress tiene problemas de seguridad? WordPress es una plataforma segura utilizada por más de la mitad de los sitios web en Internet. Sin embargo, debido a esta popularidad, atrae la atención de los piratas informáticos. Puede asegurar su sitio web de WordPress con un enchufe de seguridad para asegurarse de que su sitio esté protegido por estos elementos. ¿Cómo aseguro mi sitio de WordPress sin complementos?