Guía de seguridad de WordPress: WordPress Security 2022

Imagine esto: abre su sitio de WordPress, con ojos brillantes, con una cola espesa y listo para cargar su última publicación de blog … solo para ser recibido por un montón de contenido extraño que ordena a las personas que compren píldoras farmacéuticas en sitios web insignificantes. Es la peor pesadilla de la mayoría de los webmasters, pero es algo que puede sucederle a su sitio de WordPress … si no implementa las mejores prácticas de seguridad. No intentamos asustarte, WordPress está seguro. Tiene un equipo de seguridad dedicado y un ejército de colaboradores y desarrolladores de conocedores para ayudar a mantener así.
Pero si no se basa en esta base segura siguiendo las mejores prácticas de seguridad de WordPress, podría abrir la puerta de los malos actores para ingresar a sus esquinas en su sitio web. En esta publicación, estamos aquí para ayudarlo a descubrir cuáles son esas buenas prácticas, para que pueda evitar que esos escenarios de pesadilla se conviertan en realidad. Para este propósito, cubriremos las siguientes secciones:
¿WordPress es seguro?
¿Por qué no debería esperar para poner su seguridad en orden?
21 cosas que puede hacer sobre la seguridad en este momento
Los riesgos de una violación de seguridad
Cómo averiguar si su sitio ha sido pirateado
Tres complementos de seguridad de WordPress principales
Tres tácticas de seguridad más importantes que se implementarán
Monitoreo y remedio de las violaciones de seguridad de WordPress
Aunque podría tardar unas horas en trabajar en las mejores prácticas en esta publicación, esta pequeña inversión ahora traerá dividendos en el futuro en forma de un sitio seguro y resistente a las balas.
¿WordPress es seguro? WordPress alimenta a más del 43% de todos los sitios web en Internet, lo que significa que es un objetivo suculento para los actores maliciosos. El hecho de que WordPress sea tan popular también significa que es utilizado por una amplia variedad de personas, incluidas personas con niveles de conocimiento muy diferentes. Piense en un desarrollador experimentado con alguien que acaba de lanzar su primer blog … y todos. Hay buenas y malas noticias aquí … Buenas noticias: WordPress está seguro. Es por eso que es utilizado por tanta gente común, así como grandes organizaciones como la Casa Blanca en los Estados Unidos y Facebook. Afacebook y la Casa Blanca no confiarían en sus sitios en una plataforma incierta. Además, el 43% de los sitios web en Internet no se ejecutarían en WordPress si no se asegura. Malas noticias: muchos sitios de WordPress están rotos. En los informes de los sitios pirateados de jugos, WordPress suele ser la plataforma más pirateada (recuerde que es muy popular). Entonces, ¿cómo puede WordPress estar seguro y también tener sitios pirateados? ¿No son esas cosas que se excluyen entre sí? Bueno, la respuesta está completamente en la forma en que las personas usan WordPress. Si es proactivo con respecto a las mejores prácticas de seguridad, como las que cubriremos en esta publicación, puede mantener su sitio de WordPress seguro y puede evitar problemas.

WordPress tiene un gran aparato de seguridad, incluido un equipo de seguridad oficial de más de 50 miembros y varios desarrolladores experimentados que construyen extensiones seguras y señalan problemas potenciales. Estas personas hacen un gran trabajo para asegurar WordPress, pero aún necesita hacer su parte si desea mantenerlo así. Si no confía en el arduo trabajo de esos contribuyentes de WordPress y no sigue las mejores prácticas, puede cometer errores que abren agujeros en el software de WordPress, ya sea una contraseña débil, instalar un complemento vulnerable o algo más. ¿Por qué no? Esperas hablar seriamente sobre la seguridad de WordPress WordPress Security es una de esas cosas que parece que no es un gran problema … hasta que sea un gran problema. Tiene muchas cosas en el avión en términos de marketing y cultivo de su sitio, por lo que es fácil impulsar la seguridad en la parte posterior, ya que es difícil vincular la seguridad con los valores de crecimiento, como el tráfico o los ingresos. Somos un poco sinceros aquí, pero esa línea de pensamiento es increíblemente miope. La implementación de la lista de verificación de seguridad de WordPress a continuación lleva algo de tiempo y, potencialmente, poco dinero, pero estos costos pálidos en comparación con lo que “pagará” si se viola su sitio.
Un incumplimiento de seguridad fácilmente lo “costará” más en términos de tiempo perdido, ingresos, tráfico SEO y confianza en sus visitantes. Básicamente, no desea apostar con la seguridad de su sitio. Dale tiempo ahora para protegerte de un gran costo más tarde. 20 cosas que puede hacer ahora sobre la seguridad de WordPress Hasta ahora hemos hablado de la teoría. Ahora, comencemos a pasar a algunas tácticas de actuación para bloquear su sitio, comenzando con una lista de verificación de seguridad de WordPress que puede implementar para proteger su sitio hoy. 1. Comprenda la tarea de seguridad básica para WordPress antes de cambiar algo en su sitio, querrá comprender los temas básicos de seguridad de WordPress: limite el acceso a la límite de acceso a su sitio, tanto a través de métodos esperados (cuentas de usuario) como mediante métodos no intencionados (vulnerabilidades ).
Contiene problemas: si un actor malicioso tiene acceso, desea limitar el daño que puede hacer.
Use solo terceros de confianza, mientras que el núcleo de WordPress es seguro, cada extensión que agregue a su sitio es una posible vulnerabilidad.
2. Aplique rápidamente las actualizaciones de WordPress para proteger su sitio de las vulnerabilidades de seguridad emergentes, es esencial aplicar rápidamente las actualizaciones básicas de WordPress, actualizaciones de complementos y actualizaciones de temas. Esto es especialmente cierto para las actualizaciones de seguridad, que debe aplicar de inmediato*.
*Las actualizaciones de seguridad tienen dos puntos en el número de versión, por ejemplo 5.9.1. Puede esperar para aplicar características principales, que solo tienen un punto, por ejemplo 5.9. 3. Use contraseñas seguras para cualquier uso de contraseñas potentes y únicas para su cuenta de administrador de WordPress, la cuenta de alojamiento y otras herramientas (por ejemplo, las acreditaciones de SFTP) pueden contribuir en gran medida a la prevención de fuerzas sin procesar y otros tipos de ataques. Basado en la conexión. Para almacenar sus contraseñas seguras, puede usar un Administrador de contraseñas como BitWarden o LastPass. Estos administradores de contraseñas también pueden ayudarlo a generar contraseñas únicas. Use complementos confiables instalan solo complementos de desarrolladores de confianza que mantienen activamente el complemento para tener en cuenta las nuevas versiones de WordPress y las vulnerabilidades recién descubiertas. 5. Haga que su computadora asegúrese de que la computadora que use para acceder a su sitio de WordPress esté limpia. Use el software antivirus de calidad y realice escaneos de malware regulares. 6. Bloquee su página de conexión además de usar contraseñas seguras, puede proteger su página de autenticación utilizando tácticas, como limitar las pruebas de conexión y la autenticación de dos factores. Puede hacer esto con complementos específicos de la función libre, como limitar las pruebas de conexión recargadas y la autenticación de dos factores. O bien, puede usar algunos de los amplios complementos de seguridad de WordPress que discutiremos más adelante en esta publicación.
También puede cambiar la URL de WordPress. Aunque esto no agrega mucha seguridad de conexión adicional si implementa los consejos anteriores, puede reducir el tráfico BOT. 7. Hacer que los niños de respaldo regulares que hacen niños de respaldo regular y almacenarlos en un lugar largo es un gran elemento de seguridad de WordPress. Si tiene una copia de copia de seguridad reciente, una violación de seguridad en el peor de los casos es una desventaja en lugar de una catástrofe cuando se trata de datos de su sitio. La mayoría de los hosts administrados de WordPress ofrecen una copia de seguridad automática fuera del sitio hoy. Si no, puede usar un complemento como UpdraftPlus. 8. Use alojamiento seguro Use un host de WordPress de alta calidad que implementa protocolos de seguridad sólidos, como firewalls y escaneos de malware. Aunque no debe confiar solo en su host, un host de WordPress de calidad puede contribuir mucho a asegurar su sitio de WordPress. 9. Instale un certificado SSL y use HTTPS Asegúrese de haber instalado un certificado SSL y configurado el sitio para forzar todo el tráfico a la versión HTTPS segura. Esto garantiza que todos los datos que pasen entre el navegador web de un visitante y el servidor de su sitio estén encriptados. Puede consultar al equipo de asistencia o documentación de su host para averiguar cómo instalar un certificado SSL, y complementos como realmente SSL pueden ayudarlo a forzar el tráfico HTTPS en su sitio web 10. Use SFTP y no almacene contraseña que use SFTP al registrar en el servidor de su sitio en lugar de FTP simple (que se desabrocha). Además, trate de evitar almacenar sus contraseñas.
SFTP en su cliente FTP a menos que estén encriptados y protegidos con contraseña. 11. Desactivar XML-RPC XML-RPC ayuda a algunas aplicaciones, como una aplicación para iPhone, a conectarse a su sitio de WordPress. La mayoría de las personas nunca usarán estas aplicaciones para conectarse, lo que significa que XML-RPC es solo un vector de vulnerabilidad para ataques brute o DDoS. Por esta razón, la mayoría de las personas desactivan XML-RPC, que puede hacer con un complemento como deshabilitar XML-RPC o uno de los complementos de seguridad generales que discutiremos más adelante. 12. Deshabilitar la edición de archivos de forma predeterminada, WordPress permite a los administradores editar directamente el tema y los archivos de complemento desde el tablero de WordPress, que es una gran vulnerabilidad si un actor malicioso recibe acceso al tablero. Puede deshabilitarlo agregando una línea a su archivo wp-config.php. 13. Monitorear los problemas de seguridad para implementar políticas regulares de monitoreo de seguridad puede ayudarlo a identificar problemas antes de que se conviertan en problemas más grandes. Hablaremos sobre prácticas de monitoreo adecuadas más adelante en esta publicación. 14. Asegurar los archivos y carpetas de WordPress con algunos archivos y carpetas de WordPress son particularmente vulnerables, por lo que querrá prestar especial atención a la obtención del archivo WP-Config.php y las carpetas WP-Admin. 15. Implemente los permisos apropiados para archivos Los permisos de archivos controlan el acceso que los usuarios y los programas tienen que archivos y carpetas en su servidor.
alojamiento. Si están configurados incorrectamente, pueden proporcionar a los actores maliciosos acceso a archivos importantes, como el archivo wp-config.php o .htaccess. Para conocer los permisos apropiados para WordPress, puede leer esta página de WordPress.org. 16. Considere registrar la actividad, registrar la actividad le permite seguir lo que está sucediendo en su sitio, lo que puede ayudarlo a detectar un comportamiento sospechoso antes de que se convierta en un problema importante. Para configurar el registro de actividad, puede usar un complemento especializado, como WP Activity Log. O bien, algunos complementos de seguridad para todos los propósitos de WordPress también incluyen la funcionalidad de registro. 17. Agregue el último encabezado de seguridad del encabezado de seguridad HTTP Header de seguridad Gran publicación que explica los encabezados de seguridad más importantes. 18. Asegúrese de que su base de datos con una base de datos única de la base de datos y un nombre de base de datos único puedan facilitar que los actores maliciosos inyecten contenido malicioso en la base de datos, aunque algunos expertos debaten su utilidad. Dado que este cambio es fácil de aplicar, vale la pena, incluso si es una pequeña cantidad de “seguridad de oscuridad”. 19. Deshabilitar la lista de hoting que tenga otros sitios que se conecten a sus imágenes pueden no ser un riesgo de seguridad directo, pero puede tener un efecto negativo en su servidor.
En cuanto a los recursos desperdiciados, por lo que es una buena práctica de seguridad deshabilitar la conexión rápida. 20. Configure la protección DDOS por adelantado, tiene un plan para hacer frente a los ataques de denegación distribuida de servicio. Puede preguntarle al host sobre la protección que tienen o agregar su sitio a CloudFlare, para que pueda activar rápidamente el “Atacado” por CloudFlare, si es necesario. ¿Cuáles son los riesgos cuando se viola un sitio? Hay tres tipos principales de riesgos si se viola su sitio … riesgos para sus visitantes web si almacena datos sobre sus visitantes, los actores maliciosos podrían tener acceso a toda esta información, lo que podría causar problemas con el robo de identidad o el robo financiero, dependiendo de en los datos que almacena. Los actores maliciosos también podrían tratar de engañar a los usuarios para descargar archivos maliciosos e infectar sus computadoras. Riesgos para los propietarios de los sitios Una violación de la seguridad puede causar problemas directos en forma de datos perdidos, tiempo perdido y falta de disponibilidad del sitio. Si no mantiene copias de seguridad regulares (lo que esperamos que no sea el caso después de leer esta guía), incluso puede perder todo su sitio y necesita reconstruir desde cero. Una violación también puede causar problemas menos tangibles, como la pérdida de confianza en sus visitantes.
o daño general a la reputación. Riesgo de otros sitios Si usa sombra compartida y/o aloja algunos de los otros sitios en la misma cuenta de host, un sitio que se viola puede extenderse rápidamente en otros sitios si los sitios no están estrechamente aislados de otros. De esta manera, tener un sitio infectado puede actuar como un dominó para eliminar otros sitios, incluso si esos sitios se aseguraron de otra manera. Cómo averiguar si su sitio de WordPress ha sido pirateado, hay dos formas en que puede encontrar que su sitio ha sido pirateado: las señales reactivas descubren un problema porque ve el problema en su sitio.
Se advierten las señales proactivas que usted lo advierte sobre el problema antes de que se manifieste en su sitio.
Idealmente, desea utilizar herramientas que le permitan solucionar problemas proactivos, en lugar de esperar a que se conviertan en un problema. De esta manera, puede minimizar el daño a su sitio.
Señales de piratería reactiva
Alerta del navegador: la mayoría de los navegadores mostrarán una advertencia si visita una página infectada. Si esto sucede cuando visita su propio sitio, sabe que tiene un problema.
Search Motor Alert: Google también alertará y visitará un enlace que conduce a un sitio infectado. Escribe algo como “Este sitio se puede romper”.
Servicios de webmasteri: si usa la consola de búsqueda de Google, Google le advertirá sobre problemas de seguridad si accede a acciones de seguridad y acciones manuales → problemas de seguridad.
Visitantes web: si los visitantes web están experimentando contenido malicioso, puede informarle directamente.

Signos proactivos de piratería
Malware Program Scanner: un escáner de malware puede detectar el código malicioso en su servidor. Incluso si no ha comenzado a afectar la interfaz de su sitio. Esta es una señal de que algo podría estar mal en su sitio. La mayoría de los complementos de seguridad le advertirán automáticamente si se ha modificado un archivo básico.
El monitoreo del tráfico monitoreo del tráfico de su sitio de WordPress lo ayudará a detectar las irregularidades a medida que ocurran.
Wordfency Plugin ofrece escaneos de seguridad de WordPress tres mejores complementos y herramientas de seguridad de WordPress Si desea una paz adicional cuando se trata de seguridad de WordPress, puede considerar usar un complemento o servicio de seguridad de WordPress. Aunque estas herramientas no eliminan por completo la necesidad de estar atento, pueden administrar la mayoría de las mejores prácticas de seguridad de WordPress. Aquí hay tres de los mejores: 1. Wordfency
Wordfency es el complemento de seguridad de WordPress más popular en WordPress.org. Tiene un conjunto integral de características que pueden proteger y monitorear todas las áreas de seguridad de su sitio:

Firewall para aplicaciones web (WAF) para proactuar las amenazas antes de dañar su sitio. Incluye un conjunto de definiciones que se actualizan constantemente para bloquear las amenazas emergentes.
Escaneo de programas de malware y seguridad para detectar infecciones de seguridad o vulnerabilidad.
Características de seguridad para la autenticación, incluida la limitación de las pruebas de autenticación, la autenticación de dos factores, la protección de contraseña transcurrida, la desactivación/fortalecimiento de XML-RPC y muchos más. Registro en tiempo real para detectar actores maliciosos.
Notificaciones para alertarlo instantáneamente sobre posibles problemas en su sitio.

Muchas otras tácticas de refuerzo más pequeñas, incluida la detección de cambios de archivo.

El tablero de seguridad central que le permite administrar la seguridad de varios sitios en un solo lugar.
Hay una versión gratuita en WordPress.org y Wordfency Premium comienza en $ 99. 2. Jues
Los jugos son dos cosas:
Un complemento gratuito en wordpress.org que implementa prácticas básicas para fortalecer la seguridad.
Un servicio de firewall pagado que está frente a su servidor y bloquea el tráfico malicioso antes de llegar a su sitio.
Para la mejor protección, querrá usar ambas herramientas. Los jugos libres de complementos implementan las siguientes características de fortalecimiento de seguridad:
Monitoreo de la integridad de archivos
Diarios de auditoría
Monitoreo automático de listas negras

Opciones básicas de refuerzo, como deshabilitar la edición de archivos y bloquear ciertos archivos PHP
Monitoreo autenticado fallido para detectar ataques de fuerza bruta
Alertas de seguridad automatizadas por correo electrónico
Para usar el servicio de firewall, cambiará los servidores de nombres de su dominio a jugos, y el firewall protegerá su sitio a nivel de red. Plugin Juices es gratuito, pero el firewall comienza en $ 10 por mes. También puede pagar un plan de seguridad completo del sitio web, que incluye limpiar y eliminar malware. Estos planes comienzan en $ 200 por año. 3. La seguridad de SecurityItemes es otra herramienta popular que puede ayudarlo a fortalecer su sitio y monitorearlo en busca de problemas de seguridad. Esto es lo que puede ayudarte:
El escáner del sitio detectará automáticamente las vulnerabilidades conocidas en su sitio.
Protección para la autenticación, incluida la autenticación de dos factores, limitando las pruebas de conexión, los dispositivos confiables, los requisitos de contraseña segura y más.
Registros de seguridad, incluido el registro de eventos de seguridad y registrar la actividad del usuario.
Detección de cambios de archivo para ver si se han cambiado los archivos básicos.
Notificaciones por correo electrónico para alertarlo instantáneamente sobre posibles problemas de seguridad.
Refuerzo general de WordPress, incluida la desactivación de XML-RPC, desactivando la edición de archivos, controlar los permisos de archivos y más.
Una característica que Ithemes Security no ofrece es un firewall: los desarrolladores recomiendan que la asocie con el firewall de jugos si desea un firewall. Aunque hay una versión limitada gratuita de Ithemes Security en WordPress.org, querrá IThemes Security Pro para la mejor protección. Comienza en $ 80. Concéntrese en estas tres cosas para el mayor enjambre de seguridad de WordPress como muchas cosas de la vida, WordPress Security sigue el principio de Pareto 80/20. Es decir, centrarse en algunas tácticas de seguridad de WordPress fundamentales lo ayudará a tener un sitio seguro. Entonces, aunque ciertamente creemos que es importante seguir la lista de verificación de seguridad de WordPress que compartí anteriormente, centrarse en solo tres campos lo protegerá de la mayoría de los problemas de seguridad de WordPress. Veamos a través de ellos … 1. Complementos Si bien el software básico de WordPress es seguro (siempre que lo mantenga actualizado), los complementos introducen variables para las cuales el equipo base no puede controlarlos, lo que los convierte en uno de ellos los vectores de ataque más grandes para maliciosos actores. Sin embargo, los complementos también son una parte esencial de WordPress, por lo que no usarlos no es una opción realista. Aquí hay tres formas de continuar beneficiándose de los complementos minimizando los riesgos: evite complementos abandonados: si ya no se mantiene un complemento, significa que no hay nadie allí para remediar los problemas recién descubiertos y mantenerlo compatible con versiones más recientes. Por WordPress .

Compre solo a desarrolladores confiables de uso de desarrolladores reputados, como Herotemes, que siguen las mejores prácticas de seguridad de WordPress y están al día con las amenazas emergentes. Los mejores desarrolladores a veces pueden tener vulnerabilidades recién descubiertas. Los desarrolladores de calidad corregirán estas vulnerabilidades antes de que se conviertan en un problema, siempre y cuando lo indiquen.
2. Ataques de fuerza bruta Los ataques de fuerza bruta son un vector de ataque común que se basa en acceder a su sitio a través de la página de conexión. No importa cuán seguro sea el resto de su sitio, si un actor malicioso puede adivinar su nombre de usuario y contraseña, sostiene las teclas de la puerta principal. Aquí le mostramos cómo protegerse:
Use contraseñas fuertes y únicas: elija una contraseña segura para todas las cuentas y no reutilice la misma contraseña en varios lugares.
Limite sus intentos de conexión: evite que las personas forzen brutalmente su página de autenticación limitando las pruebas de autenticación fallidas y/o agregue un Captcha.
Considere la autenticación con dos factores: para aún más seguridad, puede considerar usar dos factores por SMS o, idealmente, una aplicación de teléfono inteligente o hardware.
Nombre de usuario único: no use “administrador” como nombre de usuario e intente hacer que su nombre de usuario sea difícil de adivinar.
3. Cuenta de alojamiento Su sitio de WordPress podría bloquearse perfectamente; Pero si un actor travieso tiene acceso a su cuenta de alojamiento, puede hacer casi lo que desee en su sitio para detener esto, es esencial bloquear su cuenta y alojamiento del servidor: use contraseñas seguras, como en el caso de su cuenta de WordPress, use Contraseñas fuertes y únicas para sus cuentas de alojamiento y SFTP.
Active la autenticación con dos factores: la mayoría de los proveedores de alojamiento aceptan la autenticación con dos factores, aproveche ello.
Utilice SFTP: siempre inicie sesión a través de SFTP y no por FTP desactivado.
No almacene contraseñas SFTP: no almacene contraseñas SFTP no cultivadas en su cliente FTP.
Monitorear, identificar y remediar violaciones de seguridad de WordPress Si implementa todas las tácticas de seguridad de WordPress anteriores, esperamos que nunca debe lidiar con una violación de seguridad. Sin embargo, siempre es posible que algo pase por grietas, por lo que es importante tener un plan para detectar y remediar problemas de seguridad. Monitoreo de vulnerabilidades
Escanee sus herramientas de uso del sitio como Sitecheck Juices para detectar problemas en la lista negra y escanee su servidor con un enchufe de seguridad.
Consola de búsqueda de Google: preste atención a las advertencias en la sección de problemas de seguridad.
Use el comando del sitio de Google en la búsqueda de búsqueda para el sitio: yourrsite.com para ver si Google tiene contenido indexado que lo siento. Se puede contener que no ha creado ni contenido con descripciones extrañas/meta descripciones.
Activity Journal-BrowSe The Activity Journal de su sitio para detectar actividades sospechosas.
.Htaccess pague la atención a los cambios en su archivo .htaccess, porque muchos actores colocarán redirecciones maliciosas o establecerán reglas de agente de usuario para ocultar su spam de SEO de los visitantes humanos.

Identifique los problemas una vez que sus esfuerzos de monitoreo hayan detectado algo que sale mal, es hora de identificar el problema específico en su sitio para que pueda solucionarlo y poner en funcionamiento su sitio. Para hacer esto, puede usar un complemento de seguridad para escanear su sitio e identificar archivos maliciosos y puertas traseras. Reparar su sitio después de identificar el problema específico es el momento de solucionar su sitio. Hay algunas rutas diferentes que puede seguir aquí, dependiendo de la gravedad de la infección y su nivel de conocimiento:
Use un complemento de seguridad, muchos complementos de seguridad ofrecen remedios de clic único, ya sea limpiando el archivo o ejecutando su sitio a una versión limpia.
Contrata a un experto: si se siente abrumado, puede pagar por un servicio experto, como la seguridad del sitio o los servicios de limpieza del sitio Wordfency.
Haga una limpieza manual: si tiene conocimiento técnico, puede limpiar su sitio Manual Malcare tiene una guía detallada sobre cómo hacer una limpieza manual.