Cómo hacer una auditoría de seguridad de WordPress

Asegurar su sitio de WordPress no es un negocio y listo. No importa cuánto confíe en su complemento de seguridad o cuán cuidadoso haya sido con el fortalecimiento del sitio web, un sitio web seguro hoy no será un sitio seguro. Para mantener a los piratas informáticos de forma remota, debe realizar regularmente auditorías de seguridad de WordPress y completar los agujeros de seguridad que encuentre. Los sitios web siempre están progresando, y con ellos son las medidas preventivas para mantener su sitio seguro. Piénselo como un ciclo. Cuanto más seguro sea un sitio web, más creativo debe ser para ingresarlo, lo que significa que su sitio debe ser aún más seguro, etc.
Observe para realizar una auditoría de seguridad de WordPress al menos una vez cada tres meses. Cada mes es mejor y cada semana (o incluso diariamente, dependiendo de cuán sensible sea su sitio) es el mejor. Y, por supuesto, si siente algo mal con su sitio, entonces haga una auditoría de seguridad de inmediato. Cualquiera de los siguientes debe levantar una bandera roja:
Su sitio es lento y lento a la vez.
Hay una gran disminución en el tráfico del sitio web sin razón aparente.
Hay nuevas cuentas, intentos de autenticación o solicitudes “Olvidé la contraseña”.
Los nuevos enlaces que no ha agregado están en su sitio.
Los siguientes pasos son obligatorios para mantener su sitio en una forma óptima en términos de seguridad. Con una práctica lista de verificación, simplificará sus auditorías en lugar de abrumadores.
Una presentación general de auditoría de seguridad de WordPress en un momento u otro, casi todos los sitios de WordPress enfrentarán algún tipo de problema de seguridad. Uno común es un complemento o tema que se ve afectado por una vulnerabilidad, lo que permite que los hackers ingresen directamente en su sitio. Una vez que su sitio está pirateado, pueden ocurrir muchas cosas: los datos personales de los clientes robados
Anuncios y contenido ilegalmente mostrados
El tráfico fue desviado en otro lugar
Datos de WordPress encriptados, eliminados o vendidos
Esto es mucho más que un dolor de cabeza o un lugar derribado durante unas horas. Los piratas informáticos pueden mantener sus datos para la redención. La información en su sitio se puede vender en la web oscura. Google puede enumerar su sitio para mostrar spam en las páginas web. Los clientes pueden demandarlo si se roba la información de la tarjeta de crédito. Otros sitios web pueden infectarse una vez que los piratas informáticos han obtenido acceso a los suyos.
Las auditorías de seguridad de WordPress identifican estas vulnerabilidades, por lo que puede corregirlas de inmediato, antes de que un hacker encuentre su camino. Se asegurará de que las medidas de seguridad que está operando actualmente todavía funcionan y también averiguará dónde se encuentra. Necesita más protección. Evaluar el complemento de seguridad que utiliza su complemento de seguridad de WordPress es una de las herramientas más importantes para proteger su sitio. Asegúrese de que su enchufe de seguridad todavía esté funcionando de las siguientes maneras:
Revista de actividad: sigue a los usuarios de su sitio, incluidos quién ha conectado y cuándo, los intentos fallidos y los cambios del sitio.
Firewall: esto bloqueará robots, piratas informáticos y direcciones IP que intentan ingresar a su sitio conectando: los complementos de seguridad de calidad impondrán contraseñas seguras, requerirán dos factores de autenticación y limitarán sus intentos de conexión.
Protección de la conexión: esto bloquea los ataques de fuerza bruta, que es cuando los piratas informáticos prueban diferentes nombres de usuario y contraseñas para conectarse.
Escaneos y limpieza de malware: debe ejecutar a diario, escanear profundamente la base de datos de su sitio, los archivos y carpetas de malware y limpiar todo lo que encuentre.
Alertas en tiempo real: el complemento debe notificarle de inmediato si algo sospechoso le sucede a su sitio.
¿Todavía no tiene un enchufe de seguridad? Considere que uno sea su paso preliminar en la auditoría de seguridad de WordPress. Hemos reunido los mejores 6 complementos de seguridad de WordPress para elegir.
Pruebe la solución de respaldo para su sitio web si algo va bien en su sitio, lo cual es imposible o demasiado complejo para remediar, tener una copia de seguridad de WordPress significa que puede restaurar su sitio antes de la aparición del problema. Sin embargo, si la copia de seguridad falla, entonces no tiene nada que restaurar, lo que significa que puede quedarse con un sitio infectado o defectuoso. Idealmente, utilizará una solución de respaldo (ya sea que sea proporcionada por su host o un complemento que use) que le permite probar sus copias de seguridad, como BlogVault. Además, es posible que desee leer nuestro artículo con los mejores 6 complementos de Backup WordPress.
Repase su configuración de administrador y su FTP de WordPress con WordPress, puede tener más personas para conectarse a diferentes proyectos, pero eso no significa que cada persona con una autenticación tenga acceso completo a su sitio. Y cuando se trata de su cliente de FTP, permitiendo que más personas accedan a que podrían hacer cambios en su sitio … bueno. Cuando agrega un nuevo usuario a WordPress, les asigna un rol (y puede editarlos y perfilar para cambiar su papel):
Diferentes roles tienen diferentes capacidades. Por ejemplo, un administrador puede acceder a todas las herramientas de administración del sitio (como cambiar el tema o instalar un complemento), pero un colaborador puede escribir y administrar solo sus propias publicaciones. Aquí hay un detalle completo de los diferentes roles y sus capacidades.
Para su auditoría de seguridad de WordPress, haga lo siguiente:

Vea lo que los usuarios de WordPress tienen acceso al nivel de administrador.

Decida si todos estos usuarios necesitan ese nivel de acceso (y si otros que tienen acceso limitado deben ser administradores).
Reduzca los permisos y restringir el acceso actualizando los roles de los usuarios para esas personas.
Si no reconoce a los usuarios en el tablero, elimínalos, podrían ser cuentas creadas por un hacker.
¿Soy simplemente un nombre de usuario “administrador”? Este es un nombre de usuario muy común y uno que los hackers a menudo intentan usar para acceder a su sitio. Cree una nueva cuenta de usuario para esa persona y elimine su cuenta anterior.
Eliminar cuentas FTP para los usuarios que no necesitan un nivel de acceso tan alto. Finalmente, si su sitio permite a los miembros, desea asegurarse de que tenga que crear una cuenta cuando se registren y que el rol su valor predeterminado no permita el acceso del administrador . Vaya a Configuración> General. Desmarque la caja al lado de cualquiera puede registrarse. Luego seleccione la opción apropiada en el nuevo usuario predeterminado.
Asegúrese de que se actualice WordPress para ejecutarse automáticamente, pero aún vale la pena verificar si WordPress se actualiza a la última versión. Las actualizaciones no solo corrigen los agujeros de seguridad, sino que también mejoran el rendimiento y agregan funciones. Acceda al tablero> Actualizaciones para ver si uno está listo.
Limpie sus complementos y los complementos de los temas pueden extender la capacidad de su sitio, pero también son vulnerables a los ataques, especialmente si no se actualizan demasiado. Los desarrolladores de confianza seguirán siendo conscientes de las vulnerabilidades de su complemento y lanzarán actualizaciones con parches. Durante la actualización de seguridad de WordPress, vaya a la lista de complementos y haga lo siguiente:
Deshabilite y desinstale cualquier complemento que ya no use o no reconozca.
Actualice todos los complementos restantes que tienen actualizaciones preparadas.

Si usa un complemento que no ha recibido actualizaciones del desarrollador, considere el uso de otro que tiene la misma funcionalidad: un complemento que está desactualizado es demasiado vulnerable a los problemas de seguridad.

Incluso si realiza la auditoría de seguridad de WordPress una vez al mes o algo así, es una buena idea verificar sus complementos con más regularidad para actualizarlos según sea necesario. Además, elimine los temas que no use actualmente o que no espera necesitar. Como en el caso de los complementos, los temas presentan el riesgo de vulnerabilidades de seguridad, por lo que es mejor mantener su sitio web lo más desordenado posible. No deje de trabajar en otras partes de su negocio: presente nuevos productos o servicios, comercializarlos, venderlos, etc. La seguridad de su sitio no debe ser diferente. Un pequeño problema puede conducir rápidamente a un truco que amenaza el negocio si no lo atrapa a tiempo, pero sin saber dónde están las áreas problemáticas, no sabrá qué remedios implementar. Mantener su sitio de manera segura es un proceso continuo, y tener una lista de auditoría de seguridad de WordPress lo alivia para que intente recordar qué hacer cada mes. Además, cuanto más pueda automatizar con un complemento de seguridad, mejor. Su lista de auditorías de seguridad de WordPress puede ser mucho menor si la mayoría de lo que debe hacer es verificar si el complemento todavía funciona correctamente. Tenemos una presentación en profundidad de las revisiones de dos complementos de seguridad principales, jugos y Wordfense.