11 formas de asegurar su sitio web de WordPress contra hackers

Es un mundo cruel. Hay personas sin escrúpulos, conocedores de tecnología, a quienes les gustaría piratear su sitio de WordPress y devastar a todas partes en sus archivos y datos. Afortunadamente, puedes tomar medidas para evitar esto. Regularmente escuchamos historias sobre piratas informáticos que tienen acceso a datos privados de compañías o sitios web de alto perfil. El último ejemplo, familiar para cualquiera, tiene un navegador web y conexión de Internet, es una violación reciente de los datos de Ashley Madison. El episodio fue particularmente inquietante, porque Ashley Madison es un sitio dedicado a filtrar. La información obtenida por los hackers se lanzó más tarde en línea, avergonzando a muchas personas y llenando los bolsillos de los abogados de divorcios en todo el mundo.
Si puede sucederle a Ashley Madison, puede sucederle a su sitio de acuerdo con WP White Security, casi las tres cuartas partes de todas las instalaciones de WordPress son vulnerables a los ataques de los piratas informáticos. Esto hace que los sitios principales de WordPress sean objetivos principales para piratas informáticos que buscan una puntuación rápida. Afortunadamente, su sitio no tiene que ser una víctima. Aquí hay 11 formas en que puede proteger su blog de WordPress. 1. Mantenga sus complementos actualizados, puede parecer extraño que para mantener su sitio de WordPress seguro, debe mantener sus complementos actualizados. Sin embargo, hay un precedente aquí.
Según WP White Security, los complementos son más de la mitad de todas las instalaciones de WordPress. Esta estadística está respaldada por informes recientes. WordPress hizo noticias en marzo, cuando los investigadores descubrieron algunas vulnerabilidades diferentes en los complementos de WordPress. Esta noticia ha devuelto a los desarrolladores de complementos a su código fuente para garantizar que su software no pueda ser explotado. En algunos casos, los desarrolladores tuvieron que programar su código y lanzar una actualización. Ahí entras. El hecho de que un desarrollador inicie una actualización, eso no significa que se aplique automáticamente a su sitio. A menudo, WordPress le advertirá cuando uno o más de sus complementos tengan una actualización disponible. Por lo general, aparecerá con códigos de color, como se ve a continuación. Cuando vea esto, actualiza inmediatamente el complemento. El último parche podría solucionar una violación de seguridad que el autor (o alguien más) descubrió. 2. Evite usar el nombre de usuario “Administrador”. En algunos casos, su instalación de WordPress creará la cuenta de administrador con el nombre “Administrador”. Cambie el nombre lo antes posible. Los hackers experimentados de WordPress están bastante familiarizados con las instalaciones predeterminadas. Saben que el “administrador” a menudo se crea como una cuenta implícita del administrador y podría probar un llamado hack de “fuerza bruta” (probando varias contraseñas una y otra vez) con ese nombre de usuario.

Muchos proveedores de anfitriones son conscientes de este potencial de ataque y, como resultado, evitan crear una cuenta de administrador llamada “administrador”, pero vale la pena verificarse. 3. Dar acceso al administrador a través de IP es un paso un poco avanzado, pero vale la pena el esfuerzo si usted es el único que está autorizado para realizar tareas administrativas en su sitio web de WordPress. Puede restringir el acceso administrativo a través de la dirección IP. Su dirección IP es un cuarteto de números que lo identifica en Internet. Puede pensar en su dirección digital. Puede decirle a WordPress que permita a las personas acceder a la consola de administración solo si lo hacen desde una determinada dirección IP. Esto significa que los piratas informáticos que intentan acceder a su sitio desde cualquier otra dirección IP no tendrán éxito. Para implementar esta importante función de seguridad, primero acceda a whatismyip.com para descubrir su dirección IP. Luego deberá cambiar el archivo .htaccess de su director de administración de proveedores de host para implementar el cambio de seguridad. Si no sabe cómo hacer esto, llame a la línea de asistencia técnica de su empresa de alojamiento y solicite a un técnico que lo haga por usted. .Php>
el comando se niega, permite
Negar todo
Permitir de xxx.xxx.xxx.xxx
reemplazar “xxx.xxx.xxx.xxx” con la dirección IP que vio cuando visitó whatismyip.com. Una vez que el archivo termine y se guarde, solo las personas que acceden a la consola de administración de WordPress estarán autorizadas en su dirección IP.
Sin embargo, tenga en cuenta que su proveedor de servicios de Internet (ISP) a veces cambia su dirección IP. En este caso, será bloqueado para acceder a su propio sitio. La solución es llamar a la asistencia técnica y pedirle a un técnico que actualice la dirección IP en consecuencia. ¡Haz esto con tu propio riesgo! 4. Use una contraseña segura puede ser tentador usar el nombre de su mascota como contraseña, porque es fácil de recordar. Sin embargo, es mejor ir con algo más seguro. Una buena práctica de usar una contraseña con al menos 12 caracteres. Estos caracteres deben estar compuestos por una variedad de números, símbolos y letras en las letras superiores y minúsculas. Incluso la contraseña no debe encontrarse en el diccionario: debe verse como un plato a simple vista. Esto evitará que los hackers adivinen. Use un poderoso generador de contraseñas para que su vida sea aún más fácil. O aún mejor, asegúrese de que su instalación de WordPress se actualice a 4.3 y genere una contraseña segura para usted. 5. Limite sus intentos de conexión para proteger aún más su sitio contra las fuerzas brutas amenazantes, puede limitar sus pruebas de conexión. De esta manera, cuando alguien ingresa a la contraseña incorrecta repetidamente, esa persona está bloqueada por el sitio durante un período. Hay un complemento llamado limitación de intentos de conexión que puede usar para implementar esta función. Le permitirá especificar el número máximo de contraseñas incorrectas permitidas antes de bloquear la dirección IP del usuario que ingresa a la contraseña incorrecta. También puede organizar un correo electrónico cuando haya un error de inicio de sesión.
6. Cifre los datos importantes de las claves de seguridad WordPress Las claves de seguridad existen para cifrar la información que se almacena en las cookies de su visitante, sin embargo, puede encontrar que esas claves no están pobladas en su instalación. Si sus claves están pobladas, vea el WP- Archivo config.php en su propia instalación. Está en el archivo raíz de su sitio. Si tiene problemas en su ubicación, llame a la asistencia técnica para su proveedor de host. Si ve que su archivo de configuración contiene un versículo que se parece a la siguiente imagen, sus claves no están pobladas:
En este caso, necesitará completar esas claves solo. Puede generar teclas con el generador de teclas de sal de WordPress. Luego puede copiar y pegar el código que aparece en la pantalla a través del bloque de código que ve arriba. Su nuevo bloque debería verse como algo así como la imagen a continuación:
Guarde el archivo y ahora tiene una seguridad adicional. 7. Mantenga actualizado WordPress ya ha demostrado que incluso algunos de los mejores complementos de WordPress contienen vulnerabilidades. Sin embargo, los archivos básicos de WordPress también pueden contener vulnerabilidades. La instalación de WordPress le advertirá cuando haya una actualización importante disponible. Le interesa actualizar los archivos si hay una amenaza de seguridad que se ha resuelto.
WordPress a menudo realizará automáticamente actualizaciones de seguridad menores y solo le advertirá por correo electrónico. 8. Deshabilitar los informes de los errores es intuitivo de que los errores de informes son útiles. Desafortunadamente, también es útil para los piratas informáticos, porque podría mostrar la ruta de su servidor. Vaya al archivo wp-config.php y agregue las siguientes líneas para deshabilitar los errores: reporting_erori (0);@init_set (‘display_errors’, 0, 0 ); 9. Implementó la autenticación de dos pasos La autenticación de dos pasos hace que el proceso de autenticación para usuarios legítimos más complicados y molestos, pero hay un largo camino en mantener el mantenimiento no deseado fuera del sitio. Como su nombre indica, la autenticación de dos pasos requiere que los usuarios sigan dos pasos de seguridad antes de ser autorizados para usar el sitio. El primer paso suele ser el desafío tradicional de nombre/contraseña. El segundo paso generalmente implica ingresar un código de seguridad que se envía por mensaje de texto u otro dispositivo seguro. Hay muchos complementos disponibles que facilitan dos pasos para WordPress. Éstos son algunos de ellos.

Google Authenticator: solicite a los usuarios que ingresen una clave o código QR que se entrega en sus teléfonos inteligentes.

Clef: facilita la autenticación “sin contraseña” en dos pasos utilizando dispositivos móviles.

SMS de relojería: se ocupa de la autenticación de dos pasos con la ayuda de mensajes de texto.
Authy: solicite a los usuarios que ingresen una clave API desde una aplicación para teléfonos inteligentes.
Página de inicio de sesión de sigilo: crea un código de autorización adicional requerido para la autenticación.
10. Oculte su página de inicio de sesión. Casi todos los piratas informáticos saben que generalmente se accede a una página de administración de WordPress agregando /WP-Admin por nombre de dominio. Por ejemplo, si su nombre de dominio es xyz.com, su página de administración probablemente se accede mediante la siguiente URL: http://xyz.com/wp-admin. También saben que el nombre de la página de conexión es wp-login.php. Afortunadamente, puedes cambiar eso. Existen complementos disponibles, como WPS Hide Sogin, que le permiten personalizar la dirección de conexión. Es mucho más difícil para los hackers ingresar a su sistema si ni siquiera pueden encontrar su página de autenticación. 11. Escanee su sitio web de WordPress para obtener un posible peligro
Probablemente ya tenga un tipo de software antivirus que escanee su disco duro en la computadora de vez en cuando para posibles amenazas. También debe escanear la instalación de WordPress. Su proveedor de host ya puede escanear sus archivos, pero no puede ser demasiado cuidadoso cuando se trata de hackers. Para este propósito, considere la instalación de los jugos del complemento. Escaneará su instalación de WordPress para diferentes tipos de amenazas y le advertirá si encuentra malware o evidencia de que recientemente se ha llevado a cabo un truco. Es una excelente manera de mantener de manera proactiva la seguridad del sistema. Terminar su sitio de WordPress es tan susceptible a la intrusión como cualquier otro sitio web. Sin embargo, puede mitigar el riesgo de un ataque siguiendo las mejores prácticas cuando se trata de seguridad de WordPress. Recapitulemos esas 11 formas de evitar el acceso de los piratas informáticos a su sitio web:
Mantenga su complemento actualizado.
Evite el nombre de usuario “administrador”.
Dar acceso al administrador a través de IP. Use contraseñas seguras.

Limite el número de intentos de inicio de sesión permitidos.

Cifrar datos importantes con claves de seguridad.

Mantenga a WordPress actualizado.
Desactivar el informe de error.
Use la autenticación de dos pasos.
Oculta tu página de autenticación.
Escanee su sitio en busca de peligros.
¿Cómo protege su sitio de WordPress?¿Qué complementos usa para garantizar que solo las personas autorizadas puedan ingresar a su sistema?Siéntase libre de llamar a la sección de comentarios.