Guía de las mejores prácticas de seguridad de WordPress 2021

Aunque este tema asusta, porque para la mayoría de nosotros es desconocido, hay muchos aspectos que puede sanar para mejorar la seguridad de WordPress y elevar el nivel de protección al máximo posible. Creamos una guía para descubrir las mejores prácticas de seguridad de WordPress en 2020. Ahora es inútil hablar sobre las estadísticas sobre la cantidad de ataques que se realizan todos los días a los sitios de todo el mundo. Los sistemas automáticos escanean la red todos los días en busca de una “presa débil” para beneficiarse de ella.

Sin embargo, si lee este artículo y trata al sujeto con la debida atención.
Lo que veremos no es solo una lista de complementos que deben instalarse mecánicamente porque, para aumentar las posibilidades de no ser atacados, los sujetos a abordar (y comprender) son diferentes. Continuaremos dándole una solución llave en mano para proteger su sitio web de WordPress. Pero mire todo el contenido cuidadosamente, porque aumentará su conocimiento sobre este tema nuevo y fundamental. Los puntos que enfrentamos en estas lecciones
La razón por la que eres atacado y las consecuencias que encontramos.
Cuando se trata de seguridad, no piensa en WordPress, sino en todo el entorno que lo rodea.
Analizaremos las 4 actividades que se realizarán para que su sitio sea más seguro.
Analizaremos en detalle su sitio de WordPress, viendo las configuraciones, complementos y servicios para usar.
Terminaremos con las actividades a realizar si su sitio está comprimido.
¿Por qué se atacan los sitios?

Comencemos con la comprensión de las diferentes razones por las cuales todos los sitios web corren el riesgo de atacar.
Conocer las causas lo llevará a un mayor nivel de conciencia. Si su proyecto en línea acaba de comenzar, puede pasar por su cabeza para no estar en peligro, porque no tiene competidores ni enemigos para molestarlo, solo es un pequeño pez en el océano. Pero tenga cuidado, porque los tipos de ataque tienen objetivos diferentes. Es muy difícil ser elegido como un objetivo específico, porque debería haber alguien que tenga interés en afectar nuestra actividad. Esto es solo alrededor del 1% de los ataques que se revelan en la red. Las motivaciones que hacen que alguien quiera dañar una actividad podría ser económico, personal, político … pero solo usted puede saber (o imaginar), si está en peligro por un ataque dirigido. Sitios web, es decir, el 99% de los casos, no tiene un objetivo particular, porque qué interesas y encuentran debilidades en la red para obtener posesión del servidor o usar nuestro sitio para realizar actividades criminales. Sí, brevemente, para usar. Imagínese si desea enviar spam por correo electrónico, ¿qué haría? Use su sitio, su servidor o enviaría correos electrónicos usando el servidor de otra persona? Aquí, solo para hacer la idea. Las motivaciones más extendidas, que impulsan a este tipo de actividad, son aquellas con fines económicos, perseguidos agregando spam en nuestro sitio o distribuyendo malware (virus o tipos similares).
La adición de spam es poder insertar textos y vínculos de retroceso en nuestras páginas que a veces no son visibles durante la navegación, pero están presentes en el código. Si, por otro lado, han logrado infectar nuestro sitio con malware, entonces estaremos acostumbrados a infectar tantas computadoras como sea posible, incluidas las de nuestros visitantes. El propósito es obtener información confidencial como servicios bancarios en línea o similares. Entonces entiendes cómo, en comparación con el ataque de un objetivo en particular, este tipo de actividad tiende a atacar a tantas víctimas como sea posible, “disparar en la pila”, como dicen, utilizando sistemas automáticos que apagan la red en busca de una ligera presa. Por ejemplo, por ejemplo, si se descubre un error de seguridad para un complemento, entonces es muy probable que la red se escanee para encontrar sitios con ese complemento instalado. Las consecuencias de un sitio comprometido cuando un sitio está comprometido, las consecuencias pueden ser diferentes, dependiendo del tipo de daño que se haya causado. No hace falta mencionar la posible pérdida económica que podría ir a conocer. Si nuestro sitio es un comercio electrónico, en lugar de monetizar a través de afiliados o publicidad, incluso durante unos días el sitio no utilizado significa perder la facturación de este período.
A los ojos de los usuarios, el sitio comprometido ciertamente disminuye el nivel de evaluación y confianza que habíamos logrado alcanzar. Pero tal vez, especialmente, la mayor lesión son las páginas de Google, SEO y SERP. De hecho, Google tiene un algoritmo de trabajo constante para detectar problemas de seguridad de red. Cuando Google encuentra un sitio infectado, además de comunicar el incidente directo del propietario, toma medidas inmediatas para defender a otros usuarios y la web en general. El campo de acción de Securitati llamaría inmediatamente la atención sobre el título de este artículo, o “Seguridad de WordPress” y lo llevaría a un paso mayor.
Así que hablemos sobre la “seguridad” de toda la estructura donde WordPress y solo uno de los jugadores en el campo. Cuando se trata de este tema, no solo estamos hablando de tecnologías y programación, sino también de personas y procesos que interactúan con todas estas partes. Tenemos más grupos para analizar:
Ambiente

gente
Solicitud
Infraestructura
Entorno de entorno Nos referimos a las diversas partes que le permiten ponerse en contacto con su sitio de WordPress. Piense en su computadora o en diferentes dispositivos. Si la PC con la que se conecta y trabaja está llena de malware, troyanos o no, el bien es la posibilidad de brindar acceso gratuito a su mundo en línea, porque están diseñados para recuperar dicha información: contraseña FTP, cuenta, datos sociales, correo electrónico y Otros datos están en peligro.
Por lo tanto, preste atención al mantenimiento de su computadora de trabajo y si alguien que no sea usted usa hijos, amor, esposa, esposo, etc., tome las medidas de precaución apropiadas. De hecho, si debe tener mucho cuidado, no supone que otros son iguales. Ahora, por otro lado, piense en los lugares en los que inicia sesión. Después de todo, ¡nos conectamos desde cualquier lugar! Desde el peluquero, hasta el peluquero, hasta el aeropuerto, prácticamente donde hay una red WiFi disponible, estamos listos para conectarnos. Recuerde que puede tener el sitio web más avanzado y más seguro y el servidor de WordPress en el mercado, pero estas no son las únicas cosas que debe cuidar. Es por eso que a menudo, para aquellos que intentan entrar en un sistema y más fáciles buscar claves de acceso donde falla nuestra atención. La gente si crees que el mundo de los piratas informáticos está compuesto por códigos de computadora escritos con la velocidad de la luz dentro de una terminal negro, entonces te equivocas. La apariencia humana es fundamental y también es la más débil. En cuanto a mi experiencia, la mayoría de las veces nos encontramos frente a sitios comprometidos, encontramos sus causas precisamente debido a errores humanos, especialmente de contraseñas débiles. También debe saber esto, extrapolar información de las personas y una actividad que forma parte del mundo de los piratas informáticos. Se llama piratería social.
Por lo tanto, no confíe en nadie, especialmente si se le pide claves de acceso o datos personales y siempre intente saber exactamente a quién interfaz. Aplicación En la capa de “aplicación” tenemos nuestro WordPress y todos sus componentes, como temas y complementos. Recuerde que la mayoría de los sitios del mundo están hechos con WordPress. Al estar tan extendido, es inevitablemente uno de los objetivos favoritos. Cuantos más usuarios de un producto, más fácil será encontrar vulnerabilidad, tomar el control del automóvil o instalar scripts maliciosos para una gran cantidad de usuarios. Sin embargo, no olvidemos que la comunidad de WordPress es un coloso, con una gran fuerza laboral lista para intervenir si los problemas de seguridad se identifican principalmente. Por lo tanto, es una buena práctica tener temas y complementos de WordPress, siempre actualizados. Infraestructura El último grupo trata sobre la infraestructura que aloja su sitio, incluido el servidor. Aquí no puede hacer mucho, si no elige el alojamiento adecuado. Ahora que hemos visto el entorno en el que tenemos que movernos, podemos pasar a las actividades que tendrá que enfrentar para defenderlo mejor. Las 4 actividades necesarias para defenderse
Si hacemos una búsqueda en el almacén de WordPress con la palabra clave “Seguridad”, se nos devuelve unas 300 páginas de posibles complementos.Diría que hemos estropeado la elección.Pero tenga cuidado, porque antes de decidir confiar, debe comprender lo que necesita, porque no todos los complementos hacen lo mismo.¿Porque?Simplemente porque “defender” no está compuesto por una sola actividad.Los aspectos a considerar son muchos y dependen principalmente del tipo de sitio que tiene, lo que hace, qué características están instaladas, qué permite a los usuarios, etc. Entonces, ver el ciclo completo necesario para proteger su sitio web, que consiste en: prevención
Detección
Control
Respuesta / acción

Cómo hacer que su sitio de WordPress sea más seguro acceso es posible para que su sitio de WordPress sea más seguro, vea cómo. Por cierto, nos referimos a todos los diferentes puntos de acceso para las piezas de administración del sitio. No solo el usuario y la contraseña del panel de administración de WordPress, sino también los de los diversos usuarios de FTP, el panel de servicio de ocultación del CPANEL. El consejo es tener un usuario y contraseña diferentes para cada uno de ellos. Esto se debe a que, en el desafortunado caso en el que alguien tomará posesión de uno de ellos, evitaríamos darle control sobre toda nuestra estructura. Elegir la contraseña es muy importante. Como ha notado casi todos los sistemas de autenticación, en el momento del registro, ofrecen un aportador de contraseña y también la evaluación de acuerdo con el hecho de que es “fácil o seguro”. Siga los consejos y hágalo de la manera más segura posible. Use diferentes personajes, números, elementos de puntuación, caracteres especiales y una longitud de al menos 12 caracteres, para dificultar la vida de los ataques con fuerza grave. Los elementos a evitar son absolutamente: cualquier referencia a la actividad en sí, si el sitio se llama fiorossi.it, no use flores, tomates o varias referencias. Lo sé, puede ser una sugerencia entendida, pero después de haber encontrado varios casos similares, es mejor especificar.
Nombre de persona, ciudad o animal: buscar en los perfiles sociales información sobre familiares, amigos o pasiones es muy simple, por lo que no conecte la contraseña a ninguno de estos elementos.
Datos y números: no use datos de nacimiento, aniversarios, aniversarios, etc.
Como entiendes, la presencia de elementos aleatorios es lo mejor.
No olvidamos que, al mismo ritmo con la contraseña, también está el nombre de usuario de su administrador. Nunca use “administrador” y, nuevamente, use los nombres de “fantasía” es útil. Menos referencias de aún mejor. Es una buena idea tener una cuenta de administrador que use solo al realizar operaciones que requieren este nivel de seguridad. No use este usuario para la administración normal del sitio, como escribir contenido, artículos, respuesta a comentarios, etc. Esto se debe al hecho de que, en la mayoría de los temas, expondría el nombre de usuario del administrador directamente al sitio. Entonces, para la escritura normal y la gestión de contenido, cree uno o más usuarios y estés como editores (o incluso roles menores). Te sentirás aún más cómodo porque sabes que, usando estas cuentas, tendrás menos posibilidades de cometer errores que te distraen. En términos de acceso, si su sitio recopila suscriptores, asegúrese de sus permisos y acciones que sus usuarios pueden realizar. Un complemento para acceder y usar el sitio como interruptor de usuario y usuario. Una vez que lo haya instalado, si ingresa el perfil de su suscriptor, encontrará el enlace “Cambiar”. Si lo presiona, será autenticado como este usuario. Para volver al administrador, busque en la parte inferior de la página un enlace “Gire a …”. Actualiza la primera regla para tener un sitio de WordPress menos expuesto al riesgo y siempre mantenerlo actualizado. Después de todo, conceptualmente, WordPress no difiere de su sistema operativo. ¿Cuántas veces se le pide actualizaciones para Windows y no para OSX si está usando Mac?
Recuerde que cuando hay una nueva forma de ingresar a un sitio, los robots que escanean la red en busca de víctimas se quedan libres.El mismo concepto, así como para el núcleo de WordPress, se aplica a complementos y temas.Complemento de seguridad de WordPress
Hay muchos complementos de seguridad que se ocupan de la seguridad. Sus características son parcialmente libres y otras pagan. Encontrar uno que haga todo y que también sea libre no es posible. Y por lo que te mostraremos dos formas diferentes. Comencemos con el primero, el recomendado, especialmente si su sitio es un valor económico o emocional. Si va a invertir en su presupuesto, no hay duda. El mejor servicio que puede encontrar para proteger su sitio “llave en mano” y ofrecido por jugos. Esto no se basa solo en sitios privados o pequeños, de hecho. Sus servicios también son utilizados por empresas de alojamiento. Sus técnicos se ocuparán de todas las actividades que hemos visto y usted dormirá pacíficamente. No tendrá que instalar nada en su sitio web de WordPress, porque el trabajo se realizará directamente en su plataforma. Esta es una ventaja lógica porque su servidor y su sitio no están cargados de trabajo posterior, seguirán funcionando y rápido. Incluso su firewall, que es el producto para el que se han hecho famosos en el mundo, es externo al sitio. Esto protegerá todo tipo de ataques y, al rechazar aplicaciones potenciales maliciosas, llegará a su servidor solo los auténticos. También mejorará aún más la velocidad de su sitio, porque su firewall está equipado con un sistema de almacenamiento de caché. Las 24 horas del día tendrán a sus técnicos, que estén listos para responder cualquier pregunta o resolver cualquier problema. Además, si usted mismo en los jugos, si algo sucede, no tendrá que lidiar con nada:
Ellos repararán su sitio. Pensando en el único costo de tiempo de un experto en seguridad informática, la cantidad que pido para cuidarlo y tener un consultor disponible durante todo el año y un negocio. Y es por eso que de Webpedia hemos decidido “asegurarnos” y proteger nuestro sitio a través de sus servicios. Si prefiere el bricolaje, puede instalar WordFency, uno de los usuarios (parcialmente gratuitos) más utilizados por WordPress. Debido a que este artículo era muy largo, decidimos subdividir la parte “operativa” de los complementos en dos artículos diferentes. Cómo asegurar su sitio a través de jugos donde le mostramos el proceso de compra, su plataforma, herramientas, etc. Cómo asegurar su sitio a través de Wordfency donde le mostramos la instalación y configuración básicas de este complemento. Si ha elegido la ruta de datos de WordFency, una vez que haya realizado el proceso descrito en el artículo que puede encontrar anteriormente, continúe al final de este artículo. Si, por otro lado, ha optado por confiar la seguridad de su sitio de WordPress a Sucuri, no debe hacer nada, porque si un ataque comprometió el sitio, serán sus técnicos para intervenir. ¿Qué tiene que hacer si su sitio de WordPress ha sido roto el mejor consejo que podemos darle? Si su sitio es una fuente de ingresos y se da cuenta de que la situación puede ser grave y para confiarle a algunos profesionales especializados en este campo. Puede confiar en jugos u otros profesionales de la industria en los que puede confiar en cualquier momento. Dicho eso lo primero que debe hacer y ciertamente “mantén la calma”. Los problemas, como hemos visto, pueden ser diferentes: ¿tiene un enlace a las páginas que no ha ingresado?
Su sitio es etiquetado por Google como infectado y ya no puede verlo? ¿El sistema de escaneo ha detectado posibles anormalidades, etc.?
Si Google le advierte sobre la detección de malware o spam, entonces el problema es seguro y debe ir a trabajar de inmediato.Archivos comprometidos Si, por otro lado, se le otorga una advertencia del escaneo del complemento, entonces antes de pensar en un ataque real, intente comprender mejor si no es un falso positivo:

¿Qué archivo le han informado?
¿Lo conoces?

¿Usted no lo conoce?
¿Es parte del tema?Por un complemento?
Si intenta abrirlo con un editor de texto, ¿ve un código extraño?
¿Qué dice el escáner sobre este archivo?
Recuerde que debido a que muchos de estos ataques son conocidos, siempre es útil investigar en la red al probar diferentes palabras clave (nombre del archivo, complemento, tema de ubicación o cualquier otra cosa). Además, si el archivo está en un complemento o tema, siempre puede enviar una solicitud de asistencia de desarrolladores. Son los primeros en querer que sus productos no sean posibles víctimas de ataques. Finalmente, puede intentar eliminar manualmente los archivos infectados. Si los archivos están en temas o complementos no activados (aquellos que no dejan complementos deshabilitados en su sitio), entonces realicen la eliminación física de las carpetas. Menos archivos inútiles, menos lugares para ingresar el código infectado. Si, en su lugar, los archivos son los WordPress, complementos o temas originales, puede reemplazarlos con nuevos archivos descargados del almacén de WordPress o del sitio donde realizó la compra. Al hacer esto, continúe con un nuevo escaneo y evalúe los resultados. Acceso al sitio comprometido Si se encuentra en la situación en la que Google advirtió que usted o los usuarios no pueden explorar el sitio recibiendo un punto rojo, luego acceda al panel de administración inmediatamente y verifique si puede iniciar sesión. Si es así, cambie la contraseña del administrador, así como los otros puntos de acceso a su actividad, luego FTP, Cpanel, etc. y lo primero que debe hacer porque de esta manera intentamos bloquear el acceso inmediato sin dar la oportunidad de hacer daño. También comuníquese con la asistencia de su empresa de alojamiento. Cuando tal evento ocurre, también quieren una resolución repentina. Piense en usar una copia de seguridad
Concepto de ilustración vectorial moderna en un estilo de diseño plano del taller o codificador para codificar el sitio web y la programación HTML de la aplicación web.Aislado sobre un fondo de color elegante.Si el problema persiste y no puede deshacerse de las alertas, el siguiente paso es restaurar el sitio a través de la copia de seguridad.Pero debe saber que lo primero que hacen los piratas informáticos cuando tienen la oportunidad es cargar una puerta trasera en el servidor.A través de una puerta trasera, la próxima vez que tengan que conectarse al automóvil, no pasan del sistema de autenticación normal, pero tienen la oportunidad de acceder a no observados a través de esta “puerta trasera”.¿Lo que esto significa?
Significa que si restaura con una copia de seguridad utilizando una copia del sitio ya infectado, su proyecto no se curará. Entonces, si asume una fecha en que su sitio definitivamente estaba “limpio”, puede pensar en usar esta copia de seguridad, sabiendo que perderá todos los datos recientes, como artículos, comentarios y, en caso de comercio electrónico, incluso los grabados. . Pedidos. Después de la restauración, repita el escaneo del sitio nuevamente para verificar si ha erradicado el virus. Luego ingrese al administrador nuevamente y comience a verificar las diferentes funciones. Una de las primeras cosas y consulte a los administradores del sitio. Asegúrese de que no haya otros nuevos. Después de restaurar la copia de repuesto, cambie todas las contraseñas de WordPress nuevamente y las bases de datos porque con la restauración ha rehabilitado las antiguas. Descargue el archivo WP-Config. PHP y actualice la nueva contraseña de la base de datos. Siempre en WP-Config. PHP también actualiza claves de autenticación únicas. Cambiar estas claves obligará a todos los usuarios a autenticarse nuevamente, por lo que si no está deseado todavía se autentica en su sitio en la sesión anterior, tendrá que autenticarse nuevamente (pero ya ha cambiado su contraseña). Después de haber remediado todo, si la advertencia proviene de la consola de búsqueda, ingrese la sección de seguridad y solicite ser reconsiderado. Aquí está la Guía oficial de Google sobre este tema. Conclusiones llegué al final de este artículo sobre la seguridad. Lógicamente, nuestro objetivo no era convertirlo en un experto en seguridad informática, y porque es uno de los temas más complejos de esta rama.