¡Mantenerse a salvo!13 consejos para mejorar su seguridad de WordPress

Nadie quiere que su sitio web de WordPress sea la próxima víctima de un ataque de piratería. Además de perder una parte esencial de su negocio, es vergonzoso y cuesta tiempo y dinero precioso para reparar. Sin embargo, la buena noticia es que las razas de seguridad son evitables. Sigue leyendo para averiguar cómo! Debido a que el software que alimenta a WordPress está disponible para todos, esto también significa que los piratas informáticos pueden aprender a usar el código para ingresar sitios. Además, los complementos también se pueden modificar, por lo que si no usa las últimas versiones, hace que su sitio sea susceptible a los ataques. Incluso un tema con errores o una contraseña débil puede conducir a la explotación de su sitio debido a la popularidad de WordPress, este es probablemente el sistema de gestión de contenido más pirateado.
¿Ya has sido pirateado? ¿Perdiste tu contraseña o toda tu cuenta? ¿Se comprometen sus archivos básicos? El script gratuito de recuperación de emergencia resolverá su pesadilla con un solo clic.
Los complementos de seguridad de WordPress pueden cubrir la mayoría de los problemas potenciales, pero también debe asegurarse de aprender cómo aplicar medidas de seguridad básicas. Los consejos de seguridad esenciales de WordPress a continuación se enumeran algunos consejos esenciales de seguridad de WordPress que cada sitio web de WordPress debe implementar. Evite las contraseñas comunes

Aunque es demasiado inteligente para usar contraseñas obvias, como “contraseña123” o “123456”, también debe evitar contraseñas que se toman de eventos actuales, películas populares o pasatiempos favoritos. Incluso contraseñas como “Star War” y “Football” han sido evaluadas como algunas de las más populares en los últimos años. Las contraseñas secuenciales son particularmente fáciles de adivinar para el software de ruptura de contraseña. Para asegurar su página de autenticación, asegúrese de usar una herramienta de generación de contraseñas, como StrongPasswordGenerator.com, que crea una contraseña que tiene 15 caracteres e incluye letras de mayúsculas y minúsculas, números, números, números y caracteres especiales. Nunca use Admin como nombres de usuario La mayoría de los ataques de seguridad brutos dirigidos a sus páginas WP-Admin o WP-Login intentarán usar “Admin” como un inicio de sesión. Esto se debe a que los piratas informáticos saben que muchos propietarios de sitios de WordPress no se han cansado de cambiar su nombre de usuario y reconocer, en muchos casos, probablemente tengan razón. Al eliminar el nombre de usuario del administrador predeterminado, puede dificultar que un atacante adivine su inicio de sesión.
Entonces, ¿cómo haces este cambio crucial? Cree un nuevo usuario en WordPress a través de Usuarios> Nuevo usuario y brinde al nuevo usuario a los privilegios de administrador. Después de eso, inicie sesión con la cuenta del nuevo administrador y elimine al usuario del administrador. Haga su sitio web de WordPress con SSL/TLS para activar el protocolo HTTPS en su sitio web de WordPress, deberá comprar un certificado SSL e instalarlo en su sitio web de WordPress. Luego, deberá redirigir la dirección de su sitio de WordPress desde http a https, lo que puede ser posible agregando el siguiente código de redirección 301 (permanente) al archivo .htaccess: rewriteEngine en rewriteCond %{https} OFF rewriter (. *) HTTPS: //%{http_host}%{request_uri} [r = 301, l] Después de la redirección, todos sus elementos del sitio web de WP estarán “asegurados”.
Sin embargo, debe asegurarse de que su sitio web no muestre advertencias de “contenido mixto”. Por lo tanto, el visitante puede conectarse a su sitio de WordPress de manera segura mediante la conexión SSL/TLS para proteger toda la información confidencial durante la transmisión en línea. El certificado SSL se utiliza para ganar la confianza de los clientes y proteger su WordPress de los piratas informáticos e intrusos.
El certificado SSL se puede obtener de la Autoridad de Certificación (CA) como Comodo, Geotrust, RapidsSL y otros, pero puede obtener el mismo certificado a un precio reducido de un reinicio autorizado como, como SSL Shop Cheap. Ocultar .htaccess y wp-config.php ocultando sus archivos .htaccess y wp-config.php, puede evitar que los usuarios no autorizados sean accediendo a ellos. Antes de probar esta medida de seguridad, asegúrese de hacer una copia de seguridad de su sitio con su cliente FTP favorito, aumente el director raíz de la instalación. Descargue el archivo .htaccess y agregue las siguientes líneas de código: comandos permite, rechazar a Nega de todos los </archivos. Better WordPress Security, el código anterior evitará el acceso directo a .htaccess y wp-config.php. . Agregar dos factores autenticación

Los ataques de fuerza bruta aún pueden ser un problema, incluso si ha cambiado sus datos de conexión del administrador y ha creado una contraseña segura. La autenticación de dos factores debe usarse para reducir el riesgo de que un usuario no deseado acceda al área de administración de su sitio web.
Afortunadamente, hay complementos que pueden ayudarlo a configurar esta función clave. Consulte Unloq, Rublon, Authy y Keyy. Use los principios menos privilegiados Cuando alguien quiera acceso a su sitio, es mejor establecer un inicio de sesión al que no se otorgue más privilegios de lo necesario para realizar su trabajo. Para hacer esto, debe determinar la seguridad requerida para realizar la tarea en cuestión. Si permite a los usuarios más acceso del necesario, cree un riesgo de seguridad. Además, si una persona necesita acceso a su sitio solo por un cierto período de tiempo, asegúrese de eliminar su cuenta después de que el acceso ya no sea necesario. Reducir el nivel de acceso a una cuenta también es sabio si los privilegios de nivel superior solo se requieren durante un período corto. Descive de los informes de error PHP
Los informes de error de PHP ocurren cuando un tema o complemento no funciona en WordPress. Aunque esto puede parecer bueno, la desventaja es que el mensaje de error incluye la ruta de error completa en el servidor. Esta ruta proporciona información crítica que los hackers pueden usar para explotar su sitio.

Agregue el siguiente código al archivo wp-config.php (primero cree una copia de seguridad de archivo) para deshabilitar esta función:
init_set (‘errores_fișare’, 0);
init_set (‘Error_reporting’, e_all);

Define (‘wp_debug’, falso);

Define (‘wp_debug_display’, falso);
Desactivar la edición de archivos Abra el archivo wp-config.php (nuevamente, haga una copia primero) y agregue el código a continuación para deshabilitar la edición de archivos:
Define (‘deseshow_file_edit’, true); Si un hacker tiene acceso a su sitio, este práctico script le impedirá poder realizar cambios en el editor de WordPress. No muestre su número de versión, guarde una copia de su archivo Functions.php y luego cambie para ocultar su versión de WordPress agregando el siguiente código: add_filter (‘generador’, ‘__return_ull’); WordPress realiza un seguimiento de cuántos blogs están activos a nivel mundial al mostrar el número de versión. Sin embargo, esto puede causar un problema importante, porque los robots y los piratas informáticos escanean constantemente los sitios para versiones que se sabe que son vulnerables; Es por eso que debe deshabilitar esta función. Tenga cuidado con los piratas informáticos XML-RPC, usan la función WordPress XML-RPC para ataques DDOS Botnet, así como para ataques de fuerza bruta. Por lo tanto, puede ser una buena idea eliminar por completo la funcionalidad. Tenga en cuenta que la desactivación de XML-RPC tiene un costo. Muchos complementos (como JetPack) y los temas usan la API para comunicarse con su sitio. Agregue las siguientes funciones.php archivo: // Disable // Desactiva X-Pingback a HeaderAdd_Filter (‘wp_headers’, ‘disable_x_pingback’); disable_x_ingback ($ headers) {unset ($ headers [‘x-pingback’]); Devuelve $ encabezados;} Aunque hace lo que dice, puede volverse intenso cuando se ataca un sitio. Es mejor usar el siguiente fragmento de código en su archivo .htaccess. <El orden de archivos de <xmlrpc.php permite, rechazar a NEGA de todos los
Restringir el número de intentos de conexión por defecto, WordPress permite a los usuarios ingresar contraseñas tantas veces como deseen. Los piratas informáticos podrían tratar de aprovechar esto utilizando el código que ingresa diferentes combinaciones hasta que ingresan a su sitio. Para evitar esto, puede limitar el número de intentos de conexión de una dirección IP particular. Por ejemplo, podría prohibir las conexiones posteriores después de tres intentos fallidos y luego bloquear su dirección IP por un tiempo temporal. Descargue e instale el bloqueo de inicio de sesión de bloqueo para activar esta función. Mantener WordPress, los temas y complementos actualizados pueden parecer fáciles de mantener su sitio actualizado, pero en realidad, esto no es fácil de hacer. Con complementos constantes, actualizaciones de WordPress y temas, es difícil realizar un seguimiento y realizar cambios rápidamente. Aquí las actualizaciones automáticas ayudan mucho. Al insertar algunas líneas de código en el archivo wp-config.php, puede configurar actualizaciones, de modo que tanto los temas como los complementos aparecen automáticamente, cada vez que una nueva versión está disponible: add_filter (‘auto_update_theme’, ‘__return_true’); add_filter (‘auto_update_plugin’, ‘__return_true’); Alternativamente, puede usar un complemento como actualizaciones automáticas avanzadas. Use los mejores complementos de WordPress y borre los innecesarios
Asegúrese de pagar descargas premium de sitios oficiales, en lugar de liberarlas de otras fuentes inseguras e ilegales. Los complementos premium gratuitos se pueden cargar con malware, lo que significa que si los instala en su sitio de WordPress, puede dañarlo fácilmente y causar daños graves. Además, no es una buena idea actualizar los complementos gratuitos como quieras, a menos que pueda probarlos primero. Muchos desarrolladores que mantienen complementos gratuitos lo hacen durante su tiempo libre y no hay garantía de que hayan probado que sea seguro antes de implementarlos. Mientras lo sea, no olvide eliminar todos los complementos y temas no utilizados en su área de administración. Después de dejar de usar un complemento, no se actualizará. Esto significa que es más fácil para los programadores sin escrúpulos aprovechar los elementos obsoletos y encontrar una manera de penetrar. Además de ser una vulnerabilidad de seguridad. Los temas y complementos obsoletos también ralentizan las cosas, por lo que no hay razón para mantenerlos. Use los complementos de seguridad de WordPress lo más importante, asegúrese de instalar complementos de seguridad de WordPress para proteger su sitio web. La seguridad de Wordfence es realmente útil, ya que identifica los atacantes y evita la piratería. También proporciona autenticación con dos factores y escaneo de seguridad.
Todo en una seguridad y firewall es otro enchufe de seguridad que vale la pena descargar. Además de la autenticación del usuario y la seguridad de la base de datos, este complemento gratuito y pagado puede prohibir las direcciones IP y las agencias de usuarios.