Consejos protectores de WordPress.12 consejos para proteger su sitio

WordPress es uno de los CM más populares del mundo. Más del 18.9% de todos los sitios web lo usan, y el número de instalaciones superó los 76.5 millones. Desafortunadamente, tal popularidad tiene sus desventajas. Según el informe de jugo (seguridad y protección del sitio web), WordPress es el CMS más hackable del mundo. Sin embargo, si sigue las mejores prácticas en este problema e implementa algunas técnicas en esta guía, se dará cuenta de que la protección de WordPress puede reforzarse fácilmente por algunos pasos simples. ¿Qué necesitará antes de comenzar a verificar lo siguiente:
Acceso al panel de control de WordPress;
Acceso a su cuenta de alojamiento (opcional).
Contenido Paso 1. Mantener la versión actual de WordPress; Paso 2. Uso de credenciales de conexión no estándar; Paso 3. Activación de la autenticación en dos pasos; Paso 4. Desactivar informes de error PHP; Paso 5. No use plantillas nulas de tentaciones vacías; Paso 6. Escaneo de WordPress para malware; Paso 7. Transfiera su sitio a un alojamiento más seguro; Paso 8. Haga copias de seguridad de sus datos con la mayor frecuencia posible; Paso 9. Deshabilitar la opción de edición de archivos; Paso 10. Eliminar plantillas y complementos no utilizados; Paso 11. Uso de .htaccess para mejorar la seguridad de WordPress; Paso 12. Cambiar los prefijos estándar de la base de datos de WordPress para evitar la inyección de la conclusión de SQL
Paso 1. Mantener la versión actual de WordPress Este será el primer y más importante paso para mejorar la seguridad de WordPress. Si necesita un sitio web limpio sin malware, debe asegurarse de que la versión de WordPress esté actualizada. Este consejo puede parecer simple, pero solo el 22% de todas las instalaciones de WordPress están en la última versión. WordPress ha implementado la función de actualización automática en la versión 3.7, pero solo funciona para pequeñas actualizaciones de seguridad. Mientras que las grandes actualizaciones de clave deben instalarse manualmente. Si no sabe cómo actualizar WordPress, verifique esto. PAS 2. ¿Uso de credenciales de conexión no estándar Usar “administrador” como nombres de administrador en WordPress? Si la respuesta es “sí”, reduzca seriamente la seguridad de WordPress y facilite el acceso al panel de control. Se recomienda cambiar el nombre de usuario del administrador con algo más (consulte este tutorial si no está seguro de cómo hacer esto) o crear una nueva cuenta de administrador con datos diferentes. Siga estos pasos si prefiere la segunda opción:
Inicie sesión en el panel de control de WordPress;
Busque la sección “Usuarios” y haga clic en el botón “Agregar nou”;
Crear un nuevo usuario y asignar derechos de administrador;
Inicie sesión en WordPress con sus nuevos datos;
Regrese a la sección Usuarios y elimine la cuenta de administrador predeterminada.
Una buena contraseña juega un papel clave en la seguridad de WordPress. Es mucho más difícil romper una contraseña compuesta por números, mayúsculas y minúsculas y símbolos especiales. Herramientas como LastPass y 1Password pueden ayudarlo a crear y administrar contraseñas complejas. Además, si alguna vez tiene que iniciar sesión en el panel de control de WordPress cuando se conecta a una red incierta (por ejemplo, cafés, bibliotecas públicas, etc.), no olvide usar una VPN segura que proteja su información de conexión. Activando la autenticación En dos pasos, la autenticación en dos pasos agrega un nivel adicional de seguridad a su página de autorización. Una vez que se confirma el nombre de usuario, se agrega otro paso al que debe ir a autenticarlo con éxito. Lo más probable es que ya lo use para acceder a su correo electrónico, banco en línea y otras cuentas que contienen información confidencial. ¿Por qué no usarlo en WordPress? Aunque esto puede parecer complicado, activar dos pasos en WordPress es muy fácil. Todo lo que tiene que hacer es instalar una aplicación de autenticación de dos pasos y configurarla para WordPress. Puede encontrar información más detallada sobre cómo activar dos pasos en WordPress aquí.
Paso 4. Deshabilitar los informes de error de PHP Los informes de error PHP pueden ser bastante útiles si desarrolla un sitio web y desea asegurarse de que todo funcione correctamente. Sin embargo, mostrar todos los errores es una omisión grave en la seguridad de WordPress. Debe solucionar esto lo antes posible. No se preocupe, no tiene que ser un programador para deshabilitar los informes de error PHP en WordPress. La mayoría de los proveedores de servicios de alojamiento ofrecen esta opción en el panel de control. Si no, simplemente agregue las siguientes líneas al archivo wp-config.php. Puede usar el cliente FTP o Administrador de archivos para editar el archivo wp-config.php.raporte_erori (0); @ini_set (‘display_errors’, 0); Paso 5. No use las plantillas canceladas para WordPress Recuerde: “El único queso gratis está en la trampa de ratones”. Lo mismo es cierto para las plantillas y complementos cancelados. Hay miles de complementos y plantillas canceladas en Internet. Los usuarios pueden descargarlos de forma gratuita, utilizando diferentes archivos para compartir o torrents. No saben si la mayoría de ellos están infectados con malware o enlaces a métodos de optimización para motores de búsqueda negros. Deje de usar complementos y plantillas canceladas. No solo está desprovisto de ética, sino que también perjudica la seguridad de WordPress. Finalmente, pagará más a un desarrollador para limpiar su sitio.
Paso 6. El escaneo de WordPress para los piratas informáticos de malware a menudo usa agujeros en plantillas o complementos para infectar WordPress. Por lo tanto, es importante consultar su blog con más frecuencia. Hay muchos complementos bien escritos disponibles para este propósito. Wordfency se destaca de la multitud. Proporciona una guía de uso y la capacidad de probar automáticamente, junto con muchas configuraciones diferentes. Incluso puede recuperar los archivos modificados/infectados en unos pocos clics. Está disponible de forma gratuita. Estos hechos deberían ser suficientes para instalarlo en este momento. Otros complementos populares para aumentar la seguridad de WordPress: seguridad a prueba de balas. A diferencia de Wordfency, de la que hablamos anteriormente, BulletProof no escanean sus archivos, pero le ofrece un firewall, protección de base de datos, etc. Una característica distintiva es la capacidad de configurar e instalar el complemento en unos pocos clics.
Jugos de seguridad. Este complemento lo protege de los ataques DDoS, tiene una lista negra, escanea su sitio web para malware y controla su firewall. Si encuentra algo, lo anunciarán por correo electrónico. Google, Norton, McAfee: este complemento incluye todas las listas negras de estos programas.
Paso 7. Transferencia de su sitio a un anfitrión más seguro Este consejo puede parecer extraño, pero las estadísticas muestran que más del 40% de los sitios de WordPress se han roto debido a los agujeros de seguridad en sus cuentas de alojamiento. Estas estadísticas deberían alentarlo a que mueva a WordPress a más seguros. Algunos hechos clave para recordar al elegir un nuevo anfitrión:
Si se trata de una sombra, asegúrese de que su cuenta esté aislada de otros usuarios y que no exista riesgo de infección de otros sitios web en el servidor. La picadura tiene una función de copia de seguridad automática;
El servidor tiene un firewall de tercera parte y una herramienta de escaneo.
Paso. Incluso si sigue las mejores prácticas en esta área y ha aplicado los consejos en este artículo, aún necesita hacer copias de repuesto regulares de su sitio.
Hay varias formas de crear una copia de seguridad, por ejemplo, puede descargar manualmente los archivos del sitio y exportar la base de datos o usar las herramientas ofrecidas por su empresa de alojamiento. Otra forma es usar complementos de WordPress. Los más populares de ellos son:
VaultPress;
BackupWordPress;
Backupguard.
Incluso puede automatizar el proceso de creación y almacenamiento de la copia de seguridad de WordPress en Dropbox. Paso 9. Deshabilitar la opción de edición de archivos Como probablemente sepa, WordPress tiene un editor construido que le permite editar archivos PHP. Esta característica es muy útil, muy probable que sea dañina. Si los piratas informáticos obtienen acceso al panel de control, lo primero que notarán es el editor de archivos. Algunos usuarios de WordPress prefieren deshabilitar por completo esta función. Se puede deshabilitar editando el archivo wp-config.php agregando el siguiente código: Define (‘deseshow_file_edit’, true);
Esto es todo lo que necesita para deshabilitar esta función en WordPress. IMPORTANTE. Si desea activar esta función nuevamente, use el cliente FTP o Administrador de archivos y elimine este código del archivo WP-Config.php. Paso 10. Eliminar plantillas y complementos no utilizados limpie su sitio en WordPress y elimine todas las plantillas y complementos no utilizados. Los piratas informáticos a menudo usan plantillas y complementos desactivados y obsoletos (incluso complementos oficiales de WordPress) para acceder al panel de control o para descargar contenido malicioso en el servidor. Al eliminar complementos y plantillas que ha dejado de usar (y tal vez olvidó actualizar) hace mucho tiempo, reduzca sus riesgos y haga que su sitio de WordPress sea más seguro. Paso 11. Uso de .htaccess para mejorar la seguridad de WordPress .htaccess es un archivo necesario para el funcionamiento correcto de los enlaces de WordPress. Sin las entradas correctas en el archivo .htaccess, obtendrá muchos 404. No muchos usuarios saben que .htaccess se puede usar para mejorar la protección de WordPress. Por ejemplo, puede bloquear el acceso o deshabilitar la ejecución de PHP en ciertas carpetas. IMPORTANTE. Antes de cambiar el archivo, haga una copia de seguridad del antiguo archivo .htaccess. Para hacer esto, puede usar el cliente FTP o Administrador de archivos. Deshabilitar el acceso a la parte administrativa de WordPress El siguiente código le permitirá acceder a la parte administrativa de WordPress solo desde ciertas IP. AuthuserFile /dev /null authgroupfile /dev /null authname “Control del acceso al administrador WordPress” AuthType Basic Command se niega, permite. Nega de todos permite de xx.

xx.xx.xx.xxx permite de xx.xx.xx.xx.xxx, tenga en cuenta que “xx.xx.xx.xxx” es su dirección IP. Puede usar este sitio web para verificar su dirección IP actual. Si usa más conexiones para administrar el sitio en WordPress, asegúrese de haber escrito otras direcciones IP (agregue cuántas direcciones necesita). No se recomienda usar este código si tiene una dirección IP dinámica. Deshabilitar la ejecución de PHP en las carpetas específicas de los piratas informáticos les gusta cargar scripts de puerta trasera en la carpeta de descarga de WordPress. Por defecto, esta carpeta se usa solo para almacenar archivos multimedia. Por lo tanto, no debe contener ningún archivo PHP. Puede deshabilitar fácilmente la ejecución de PHP creando un nuevo archivo .htaccess en/wp-contento/cargas/con estas reglas: nega de toda la protección del archivo wp-config.php wp-config.php contiene el kernel de configuración de WordPress y el kernel y el Detalles de la base de la base de los datos de la base MySQL. Por lo tanto, es el archivo de WordPress más importante. Por lo tanto, a menudo se convierte en el objetivo principal de los piratas informáticos de WordPress. Sin embargo, puede asegurarlo fácilmente utilizando las siguientes reglas .htaccess: el pedido permite, se niega. NEGA de todos los pasos 12. Cambiar los prefijos estándar de la base de datos de WordPress para evitar que WordPress Database inyecte y almacene toda la información clave necesaria para operar su sitio como resultado, se convierte en otro objetivo para hackers y spammers hace un código automático para la implementación de la implementación del Código SQL. Durante la instalación de WordPress, a muchas personas no les importa cambiar la base de datos WP_ estándar. Según WordFency, 1 de cada 5 Hacks de WordPress está conectado con la implementación del código SQL.
Debido a que WP_ es uno de los valores estándar, los piratas informáticos comienzan con él primero. En esta etapa, consideraré brevemente proteger un sitio web en WordPress de tales ataques. Cambiar la tabla de prefije para un sitio importante de WordPress. ¡Seguridad en primer lugar! Antes de comenzar, asegúrese de tener una copia de seguridad de la base de datos MySQL. La primera parte. Cambiar el prefijo en wp-config.php Busque el archivo wp-config.php usando el cliente FTP o Administrador de archivos y encuentre la línea con $ table_prefix. Puede agregar números adicionales, letras o subrayar caracteres. Después de eso, guarde los cambios y pase al siguiente paso. En esta guía, usaré WP_1SECURE1_ como un nuevo prefijo. Mientras esté en el archivo wp-config.php, busque el nombre de la base de datos para saber que puede cambiar. Mire en la sección Definir (‘db_name’. Parte dos. Actualización de todas las tablas de la base de datos Ahora tiene que actualizar todos los registros en la base de datos. Esto se puede hacer utilizando phpMyAdmin. Encuentre la base de datos definida en la primera parte y lo conecte. Por defecto, la instalación de WordPress tiene 12 tablas y cada una de ellas debe actualizarse. Sin embargo, esto se puede hacer más rápido utilizando la partición PhPMyadmin SQL. El cambio manual de cada tabla llevará mucho tiempo, por lo que use consultas SQL para acelerar el proceso .
La siguiente sintaxis le permitirá actualizar todas las tablas en la base de datos: tabla de renombre `wp_commemeta at` wp_1secure1_commentta`; Tabla Renovando `WP_Comments AT` WP_1SECURE1_COMMENTS ‘; Tabla de renombre `wp_links` at` wp_1secure1_links`; Cambiar el nombre de la tabla `wp_options at` wp_1secure1_options`; Tabla de renombre `wp_postmeta at` wp_1secure1_postmeta`; Tabla de renombre `wp_posts at` wp_1secure1_posts`; Tabla de renombre `WP_TERMS AT` WP_1SECURE1_TERMS`; Tabla de renombre `wp_termmeta` a` wp_1secure1_termmeta`; Cambiar el nombre de la tabla `wp_term_relationships at` wp_1secure1_term_relationships; Cambiar el nombre de la tabla `wp_term_taxonomy` at` wp_1secure1_term_taxonomy`; Cambiar el nombre de la tabla `WP_USETA AT` WP_1SECURE1_USETA`; Tabla de renombre `WP_USERS AT` WP_1SECURE1_USERS`; Algunas plantillas o complementos de WordPress pueden agregar tablas adicionales a la base de datos. Si tiene más de 12 tablas en la base de datos MySQL, agregue las tablas restantes a la consulta SQL y ejecútela. La tercera parte. Comprobando las opciones y tablas de metadatos personalizados de acuerdo con el número de complementos instalados, algunos valores en su base de datos deben actualizarse manualmente. Puede hacerlo realizando consultas SQL separadas para opciones y tablas de metadatos. Para la tabla de opciones, use: Seleccione * de `WP_1SECURE1_OPTIONS` WHERN` OPTION_NUME` Like`%wp_%`para la tabla de metadatos: seleccione * de` WP_1SECURE1_USETA` Where` meta_key` me gusta `%wp_%` recibe los resultados, Resultados puros, simplemente actualice todos los valores de WP_ a su prefijo recién configurado.