Cómo asegurar un sitio de WordPress en 20 pasos simples (2021)

¿Quieres saber cómo asegurar fácilmente un sitio de WordPress? Si bien los piratas informáticos encuentran formas cada vez más ingeniosas de engañar a los trabajadores e individuos para enseñar información valiosa de la empresa, las empresas deben probar diligencia para mantenerse un paso por delante de los ciberdelincuentes. A medida que avanza la tecnología, los piratas informáticos aprenden y cómo intensificar su juego, por lo que los métodos disponibles previamente para detener a ese hacker pueden no ser una buena manera de tomar. Es por eso que necesitamos buscar pasos actualizados para asegurar sus sitios de WordPress contra los piratas informáticos.
Es posible que se pregunte cuál es el método correcto para asegurar un sitio de WordPress. Puede ser intimidante ver una larga lista de medidas de seguridad para proteger un sitio de hackers. Es algo de lo que sabemos. Entonces, para que la implementación de estas medidas de seguridad sea lo más simple posible, organizamos esta lista de defensa contra los piratas informáticos fácilmente. Le recomendamos que marque esta página y vuelva a ella a medida que avanza. Queríamos educar a empresas, empleados y usuarios sobre cómo evitar el éxito de estos ataques. Sin más detalles, venga y verifique los simples pasos sobre cómo asegurar un sitio de WordPress.
1. Seleccione una buena protección del host web del sitio web es fácil de perder y generalmente la consideramos solo cuando es demasiado tarde. Sin embargo, al igual que compraría sistemas de seguridad o seguro de vivienda en caso de accidente, puede invertir en medidas de seguridad apropiadas antes de que ocurra algo malo. No hay una solución única para mantener su sitio seguro. Sin embargo, existen medidas que puede tomar para crear una barrera alrededor de su sitio web, de tal manera que serán en vano si su anfitrión no da prioridad a la protección. Es como instalar el mejor sistema de seguridad del mundo para su hogar, pero dejaría abiertas las puertas delanteras y traseras. Las copias de seguridad diarias de la base de datos, los firewalls y otros enfoques serían implementados por un host de alta calidad para asegurar no solo el servidor web, sino también el centro de datos en su conjunto. Como puede ver, la inversión en alojamiento es más importante de lo que cabría esperar. Pase un tiempo explorando todas las opciones de alojamiento web que tiene disponibles, en lugar de saltar a la oferta más barata o al primer anfitrión que conoce.
El artículo continúa a continuación

Siempre puede actualizar a otro host más tarde, pero siempre es mejor hacerlo por primera vez. En lugar de tener que cambiar los hosts y mover todo su sitio cada vez que se extiende el sitio, es más fácil encontrar un host para adaptarse con usted con el tiempo. Buen alojamiento recomendado para WordPress: SiteGround
Abundancia de nubes

Kinsta

2. Haga una copia de seguridad regular lo mejor que puede hacer para proteger su sitio es hacer que WordPress diario sea repuesto. Las copias de seguridad le brindan tranquilidad y lo ahorrarán de desastres como pirata o bloqueando su sitio. Hay una variedad de complementos de copia de seguridad de WordPress gratuitos y pagados, la mayoría es bastante simple de usar. Copia de seguridad manual

Comience por conectarse a su cuenta de alojamiento web.
Consulte la lista de recursos disponibles para un programa de copia de seguridad. Puede usarlo para hacerse cargo del último archivo de repuesto si su host tiene uno.
Buscando un programa como PhPMyadmin y MySQL si no ve uno. En la mayoría de los casos, el título incluiría las palabras “PHP” o “SQL”. Abra cada uno por separado y guarde los archivos en su computadora.
También puede usar un administrador FTP para obtener acceso a los archivos del sitio web que necesita. FileZilla es una opción popular.
Necesitará la información FTP de su sitio, que se puede encontrar en la plataforma de alojamiento.
Una vez que haya dado FTP Filezilla Access a su sitio, copie todo desde el archivo principal de su web. Asegúrese de que no se elimine nada.
Complementos Si tiene la intención de usar el complemento, acceda a la pestaña Plugins de WordPress e instálelo allí. Será guiado a la tienda de arados, donde puede buscar y descargar el complemento. Debido a que gran parte del procedimiento está automatizado, será rápido y simple. Después de instalar el complemento, active y siga las instrucciones del fabricante. Por lo general, será tan simple como presionar el botón Reserve en la interfaz del complemento.
La copia de seguridad automática del sitio de copia de seguridad de su sitio se realiza automáticamente. Similar a hacer una copia de seguridad manual, inicie sesión en su cuenta de alojamiento. Busque la herramienta que tiene el host para copias de seguridad automáticas. Cuando lo abre, debería darle la opción de descargar los archivos de repuesto. Si tiene alguna pregunta, comuníquese con el host para obtener ayuda. 3. Instale un complemento de seguridad de WordPress si se pregunta si se requieren complementos de seguridad de WordPress, la respuesta es sí. Es importante recordar esto: el sitio web promedio es atacado 44 veces al día. Y si uno de estos ataques tiene éxito, podría ser desastroso para su empresa en línea. Más importante aún, su proveedor de alojamiento de WordPress solo no puede proteger su sitio web de WordPress de todas las amenazas. El software antivirus se utiliza para mantener su computadora segura. Como resultado, es lógico proteger su proyecto web. Esto se puede lograr utilizando complementos protectores de WordPress. Los intrusos pueden causar una caída repentina en el sitio si no se detectan o detectan demasiado tarde. Los sitios web infectados son identificados por motores de búsqueda como Google, que envían un mensaje de alerta de usuario para desalentar el potencial de piratería.
Después de las copias de seguridad regulares, necesitamos instalar un sistema de auditoría y seguimiento para rastrear lo que sucede en su sitio web.
El artículo continúa a continuación
4. No use temas anulados anulados Los temas y complementos de WordPress cancelados son versiones pirateadas distribuidas en temas y complementos de WordPress. Las personas que venden productos cancelados argumentan que debido a que WordPress y cualquier obra derivada (como complementos y temas) están autorizados de acuerdo con el GLP, es perfectamente legal copiarlos y distribuirlos. Aunque esto es cierto, a menudo tiene un alto precio. No solo cuesta dinero para buenas empresas de WordPress, sino que también pone en peligro la protección y la reputación de sitios web que usan temas y complementos nulos de WordPress. Sí, estos temas y complementos cancelados son a menudo la causa del sitio pirata. Use una contraseña de contraseña segura es el punto más débil de cualquier grado de protección para sus cuentas en línea. Su material e información vital está en peligro si alguien tiene acceso a sus credenciales. Si bien la mayoría de los sitios web de hoy tienen protección de seguridad adicional, alguien que se recupera o adivina que su contraseña puede evitar fácilmente las otras medidas de seguridad. Asegúrese de tener al menos diez personajes. Aquí las cosas pueden ser complicadas. Debe evitar usar información personal o información sobre su mascota porque estos son los primeros objetivos para los piratas informáticos. Preste especial atención a dos detalles principales cuando decida el poder de la contraseña: la dificultad y la longitud que seleccione.
Las contraseñas complejas y de cola larga son difíciles de romper. Use una variedad de caracteres, incluidos minúsculas y mayúsculas, símbolos y números, para construir contraseñas complejas pero memorables. 6. Use el administrador de contraseñas ahora probablemente se esté preguntando cómo recordará todas estas contraseñas diferentes para cuentas de correo electrónico de negocios, alojamiento web, registros de campo, cuentas de redes sociales y sección de administración de WordPress, entre otras. Un software de administración de contraseñas puede ayudar a este respecto. Un administrador de contraseñas es un programa que almacena todas las contraseñas y le permite controlarlas con una sola contraseña principal. También ayuda a crear contraseñas sólidas y almacenarlas en la nube mientras crea nuevas cuentas. El artículo continúa a continuación

La mejor característica de los administradores de contraseñas es que tienen capacidades de finalización automática. Esto elimina la necesidad de recordar o ingresar información para los lugares que ya tiene. Aquí hay una lista de las 3 mejores aplicaciones de administración de contraseñas en el mercado. Ultimo pase

LastPass administra su contraseña segura con una contraseña principal, que también es la clave para todas sus cuentas en línea. 1 contraseña
Permitirle compartir contraseñas con amigos, familiares y compañeros de trabajo. También puede invitar a los invitados a compartir una pequeña cantidad de información. Dashlane
A medida que completa los formularios en línea, Dashlane genera contraseñas seguras para usted. Cifra y guarda sus contraseñas, así como las completa automáticamente. También puede cambiar contraseñas con amigos y colegas usando Dashlane. 7. Instale el certificado SSL Secure Sockets Layer (SSL) es una tecnología de cifrado reconocida a nivel mundial. Esto permite que un navegador web y un servidor web se comuniquen de manera cifrada. El bloqueo y el protocolo HTTPS se activan al instalar uno en su sitio web. Esto permite una comunicación confiable entre un servidor web y un navegador. Desde la página del complemento del complemento, puede verificar e instalar todos los complementos mencionados a continuación.

Simplemente ingrese el nombre del complemento en el navegador e instale y active.

Una vez que se haya instalado y activado el complemento, vaya a la página de configuración apropiada para cada complemento para completar la operación.

8. Verifique el éxito de WordPress https en front-end

Verifique el éxito en el front-end, debe acceder a las partes públicas de su sitio y verificar dos cosas:

Asegúrese de que si ingresa la URL como http: // su dominio.com, lo redirige automáticamente a https: // su dominio.com.
Luego, en todas las páginas de su sitio, asegúrese de ver el “bloqueo”. Debería mostrar de esta manera si está utilizando Google Chrome:
9. Deshabilitar la edición de archivos El área de administración de WordPress es predeterminada con dos editores de archivos: uno para archivos de tema (aspecto> editor de temas) y otro para los archivos de complementos (complementos> editor de complementos). El editor de arados, por ejemplo, tiene una alerta cerca del botón “Actualizar” que escribe “Advertencia: no se recomienda realizar cambios en los complementos activos”. Estas alertas son un buen comienzo, pero la edición de archivos desactivado en una plataforma de WordPress siempre es una buena idea por razones de seguridad. Si un atacante tiene acceso a una cuenta de “administrador” en su sitio de WordPress y un editor de archivos está abierto, cambiar un complemento o un código malicioso es simple. Una guía paso a paso para desactivar la edición de archivos en el panel WordPressSuntii. Necesito un editor de texto y acceso al archivo wp-config.php.
En un editor de texto, abra el archivo wp-config.php.
Evite editar en algún lugar por encima de la línea en ese archivo que dice /* ¡Eso es todo! */ Reemplaza define (‘deslojar el archivo edit’, true); con define (‘deslojar el archivo edit’, true); con define (‘deslojar el archivo edit’, true); con define (‘

Guarde el documento.
Revise el tablero de WordPress; Los enlaces de “Aspect> Editor” y “Plugins> Editor” ya no deberían ser visibles (incluso si tiene una cuenta de administrador).
10. Cambie su autenticación WP Moviendo la página de autenticación de WordPress a una nueva URL, específico es una forma rápida y fácil de mantener lo malo afuera. Cuando se trata de combatir ataques aleatorios, hacks y ataques de fuerza bruta, cambiar la URL de conexión de la cual usted y sus usuarios. Vaya a su sitio de WordPress puede ser extremadamente beneficioso. El uso de un complemento gratuito, como WPS Ocultar, que tiene más de 800,000 usuarios activos, es la forma más popular y posiblemente más fácil de cambiar su URL de WordPress. Una vez descargado y activado, todo lo que tiene que hacer es: desde la pestaña Configuración de la barra lateral derecha, elija WPS ocultando la autenticación.

En la URL de conexión, ingrese la nueva ruta de conexión.

En la región de URL de redirección, ingrese una cierta URL de redirección. Cuando alguien intenta acceder al director WP-Login.php o WP-Admin habitual sin estar conectado, se mostrará esta página.
Presione el botón Guardar Modi.
11. Limite los intentos de conexión Un usuario podrá ingresar los datos de conexión correctos solo un cierto número de veces. Puede, por ejemplo, dar tres intentos. El usuario será bloqueado de su cuenta si no introduce las credenciales correctas tres veces. Para demostrar cómo restringir sus intentos de conexión en su plataforma, hemos elegido el complemento de seguridad MalCare. También protege el sitio web en cualquier momento, en lugar de restringir solo los intentos de conexión. Vamos a empezar:
Instale MalCare primero en su sitio web. Active el complemento y acceda al tablero de WordPress para usarlo.
Elija el sitio seguro ahora después de ingresar la dirección de correo electrónico. Malcare lo llevará a su propio tablero, donde realizará una búsqueda automática de su sitio web.
Los intentos de inicio de sesión en su sitio se restringen automáticamente.
12. Actualice su WordPress Considere lo que sucede si no actualiza su teléfono o dispositivo por un período de tiempo. El programa puede reducir la velocidad, cumplir con los errores y su protección puede estar en peligro. Debido a que el programa que usa es antiguo, tiene problemas para descubrir las últimas características y ventajas que cree que debería tener. Una plataforma de WordPress se comportará de manera similar. Por eso es importante actualizar WordPress.
Hay dos formas simples de actualizar su cuenta de WordPress. El primero es automático, mientras que el segundo es manual. Permitir que WordPress actualice es probablemente la forma más simple de hacerlo.
Verifique la notificación en el tablero de WordPress cuando hay una versión más nueva disponible, así como varios lugares donde se marca la actualización adecuada:
Toque el botón Actualizar ahora para comenzar. La última versión de WordPress se descargará e instalará detrás de escena de WordPress.org.
13. Actualice el tema y el complemento al igual que WordPress, los temas y complementos instalados también deben estar sujetos a actualizaciones. También es importante mantener su sitio seguro.
Para actualizar los temas y complementos, simplemente vaya a la pestaña Plugins »complementos instalados en el área de administración de WordPress. La lista de todos sus complementos instalados aparecerá aquí, con una forma de “habilitar actualizaciones automáticas junto a cada una. Para activar actualizaciones automáticas para complementos individuales, haga clic en” Habilitar actualizaciones automáticas “.

14. Elija un buen tema y complete un tema y los complementos de WordPress estables y seguros son aquellos que no tienen defectos de seguridad (conocidos), se modifican regularmente, cumplen con los estándares de código apropiados y son compatibles con su versión de. WordPress. Para temas, use el complemento de verificación de la cuenca
Instale y active el complemento antes de hacer un escaneo.
Luego, en términos, verá una nueva pestaña para verificar el tema en el tablero. Allí, puede elegir el tema que desea probar y simplemente presione un botón para dejar que el complemento se ocupe del resto:
Una vez que la verificación del tema completa la prueba, le dirá si el tema ha pasado o fallado. Si su elección no pasa, es posible que desee considerar usar otro tema, especialmente si no cumple con los otros criterios que mencionamos anteriormente (actualizaciones regulares y revisiones de usuarios fuertes).

Para complementos
Verifique el nombre del complemento en un sitio como la base de datos de vulnebilidad WPSCan para ver si algún resultado sugiere que el complemento es vulnerable. Este servicio ofrece una lista de complementos, así como vulnerabilidades conocidas.

Luego puede buscar un determinado complemento en la base de datos o filtrar todas las vulnerabilidades.
15. Implementar 2 FA 2FA es un método muy seguro para verificar la identidad de un usuario de WordPress enviando una contraseña única en un dispositivo físico, como un teléfono inteligente antes de que pueda conectarse. Incluso si los atacantes guían o adquieren contraseñas válidas de WordPress, aún necesitan acceso al sistema. Para saber cómo usar 2FA en su sitio de WordPress, siga los pasos de esta guía. Antes de cualquier otra cosa, instale el complemento WP 2FA y activelo después de instalar y activar el complemento WP 2FA, se inicia un experto en configuración al hacer clic “¡Vamos!” botón.
Una aplicación de autenticación (recomendada) o un correo electrónico creará una contraseña única. Haga clic en el siguiente después de haber elegido el formulario de distribución de código.

En el dispositivo móvil, descargue la aplicación de autenticador de LastPass.
Escanear el código QR en la pantalla de la computadora con la aplicación LastPass. Alternativamente, use la aplicación LastPass para ingresar la clave generada aleatoriamente desde el experto en configuración.
En el Asistente de configuración WP 2FA, haga clic en el que están listos.
Seleccione Continuar y personalizar su configuración si su sitio tiene muchos usuarios y roles de administrador. Esto le permitirá configurar las reglas generales de complementos para estos usuarios.

Presione Continuar Configuración después de marcar la casilla para identificar el método de autenticación para otros usuarios.
Aplique 2FA a todos los usuarios o limite la autenticación a ciertos usuarios. Seleccione Continuar la configuración para continuar.
Si todos los usuarios necesitan ser autenticados, haga excepciones de la regla eliminando a ciertos usuarios y funciones. Continuar con la configuración.

Decida si otros usuarios deben configurar 2FA inmediatamente o deben esperar un poco. Para continuar, elija la configuración. Seleccione todo lo que se hace después de marcar la casilla para notificar a los usuarios de WordPress por correo electrónico para ingresar 2FA.
No podrá acceder a su cuenta de WordPress si pierde o bloquea su teléfono. Para dejar de bloquear, haga clic en generar códigos de repuesto para generar diez códigos de repuesto estáticos.
Los códigos desarrollados deben descargarse o imprimirse y mantenerse en un lugar seguro.

16. Use una instalación de diario de actividad y active el complemento de registro de actividad de WP en su sitio de WordPress para comenzar.

Notará un nuevo elemento de menú llamado WP Activity Iniciar sesión en la barra lateral izquierda del panel de administración una vez activado. Para comenzar a usar este complemento, ingrese la clave de licencia y luego presione el botón “Aceptar y habilitar la licencia”.

Si se activa, aparecerán nuevas opciones en el menú WP Activity Journal en la barra lateral izquierda. Para seguir lo que le sucede a su sitio web, vaya al WP Actividades Journal »Jurnal View Pest.
Los últimos eventos también se muestran en la barra superior de su computadora a través de este complemento. También puede acceder a la página del visor de registro haciendo clic en esas actualizaciones. La página del diario le mostrará todos los eventos que han tenido lugar en su sitio web. Se proporcionará información importante como la fecha del evento, el usuario involucrado, la dirección del usuario y el mensaje del evento.

17. Registre automáticamente el usuario inactivo de su sitio Si tiene una cuenta de WordPress con varios autores, puede configurar WordPress para desconectar automáticamente a los usuarios inactivos. Los ataques de fuerza bruta pueden ser lanzados por usuarios inactivos o inactivos. Los piratas informáticos pueden usar un método para secuestrar la sesión o las cookies para obtener acceso no autorizado a su sitio. Si un usuario permanece inactivo durante mucho tiempo después de la conexión. Es por eso que la mayoría de los sitios bancarios y financieros desconectan los usuarios inactivos automáticamente. Es fácil configurar WordPress para desconectar automáticamente a los usuarios inactivos. La desconexión del usuario inactivo se puede descargar, instalar y activar en su cuenta de WordPress. Para configurar el complemento, vaya a Configuración> Desconexión inactiva del usuario después de que se haya activado.

El tiempo de desconexión automática se establece de forma predeterminada en 30 segundos, pero puede cambiarlo en lo que desea. Después de este período de tiempo, todos los usuarios de su sitio se desconectarán automáticamente.

18. Monitorear sus archivos es una buena práctica de seguridad de WordPress para vigilar los archivos de su sitio. Si su sitio está comprometido, se alegrará de haber tomado medidas de precaución. Puede instalar jugos para monitorear los archivos en su sitio, Juices es uno de los complementos de seguridad más efectivos. No solo le dice si su sitio se ha comprometido, sino que también muestra sus cambios de archivo y otras actividades del servidor.

19. Cambie el prefijo de la tabla de base de datos de WordPress Se puede usar un complemento para cambiar el prefijo de la base de datos. Para cambiar el prefijo de la base de datos en WordPress, siga estos simples pasos. Para comenzar, vaya al tablero de WordPress.

Haga clic en la pestaña “Plugins” y luego “Agregar nuevo”.

En el almacén de complementos de WordPress, busque complementos de prefijo y herramientas de BrozzMe DB.

Para instalar el complemento de prefijo y herramientas de BrozzMe DB en su sitio,

Haga clic en el botón Instalar ahora.

Seleccione el prefijo DB en el menú Herramientas. Verifique el prefijo existente de la base de datos y reemplácelo con la nueva
7. Terminado al hacer clic en el botón “Cambiar el prefijo DB”. 20. Cambie el Nombre de usuario Admin Este método es realmente simple y cualquiera puede usarlo para crear un nombre de usuario de administrador más seguro para su sitio web de WordPress. La razón clave es crear un nuevo usuario y asignar una función del administrador, luego desinstalar el administrador predeterminado y asignar todo el contenido del nuevo administrador antiguo.

Crear un nuevo usuario. Vaya al tablero e inicie sesión. Coloque el cursor sobre los usuarios del menú izquierdo y seleccione Agregar nuevo.

Completa todos los campos necesarios. Debes darle un nombre de usuario que sea más difícil de recordar (este es nuestro objetivo). Elija Administrador del rol de menú de roles para otorgar los nuevos derechos administrativos del usuario. Luego presione el botón Agregar nuevo usuario.
Inicie sesión de la cuenta de administrador. Pase el cursor a la parte superior derecha de la página para desconectar.
Inicie sesión con una nueva cuenta de usuario.Ahora inicie sesión en el tablero nuevamente, pero con una nueva cuenta de usuario. Elimine el administrador predeterminado.En la sección Usuarios, seleccione todos los usuarios.Coloque el cursor sobre el administrador predeterminado y seleccione Eliminar.

Verifique que la eliminación fuera efectiva.Marque la casilla junto a la atribución todo el contenido para guardar todo el contenido que ha generado previamente con la cuenta de administrador anterior.Seleccione el nuevo nombre de usuario del administrador en el menú Drop -down.
¡Es tu turno!

Si su sitio web ha sido pirateado, sabe lo frustrante que puede ser. Los piratas informáticos pueden dañar la credibilidad de su IP, pueden robar su información confidencial, pueden eliminar o cambiar sus datos, inyectar malware en bases de datos SQL y pueden ingresar puertas en sus scripts para permitir futuros ataques. Además, los sitios pirateados son a menudo objeto de ataques posteriores. Sin lugar a dudas, esto hace que la limpieza y la restauración de sitios web increíblemente difíciles. La forma más fácil de evitar ser el objetivo de un hacker es evitarlos primero. Tome algunas medidas de precaución ahora le ahorrará mucho tiempo y lo empeorará más tarde. Este artículo contiene mucha información sobre cómo proteger su sitio de los piratas informáticos. Su sitio es extremadamente útil. No solo estamos hablando de usted y sus visitantes cuando decimos que es valioso. Puede dirigir una pequeña tienda en línea o un blog de pasatiempos que un grupo selecto de personas lee regularmente. La comprensión es que, incluso si la ganancia financiera directamente de la piratización de su sitio web no es importante, los beneficios de usar un sitio web limpio para vender productos ilícitos o en el mercado gris hacen que el hack sea útil. Como resultado, un pequeño sitio web no es una defensa contra la intención maliciosa. En segundo lugar, todo está detrás de nosotros proteger los datos y las identidades de nuestros usuarios. Al visitar un sitio, ponen una cierta confianza en él y debemos ser conscientes de esto cuando consideramos la protección del sitio. Ser diligente y acercarse a la seguridad con precaución lo ayudará a detener a un hacker. Es esencial comprender que proteger su sitio.