11 Consejos de expertos para resolver problemas de seguridad de WordPress

WordPress Security siempre ha sido una de las principales preocupaciones para sus usuarios.Debido a su popularidad mundial, la plataforma es propensa a piratear ataques y otras amenazas, por lo que mantener su seguridad puede parecer difícil al principio.Por supuesto, un complemento de seguridad bien equipado es uno de los complementos obligatorios de WordPress cuando comienza el nuevo sitio web.Pero cuando se trata de mantener su sitio de WordPress seguro, desafortunadamente, no es suficiente.Más bien, una combinación de diferentes estrategias es esencial.Por esta razón, les pedimos a 10 expertos de WordPress que compartieran sus problemas de seguridad de WordPress.Siga leyendo para averiguar qué puede hacer para proteger su sitio de WordPress de intrusiones no deseadas.
Ian McClarty, presidente y CEO de Phoenixnap Global IT Services

WordPress actualmente está suministrando alrededor del 35% de todos los sitios web-20% de ellos que se ejecutan en WordPress.org (WordPress autogustiado), mientras que el 15% se ejecuta en WordPress.com. WordPress.com es un lugar seguro, con acceso limitado para usuarios, temas y complementos. Con WordPress autoestagnante, las cosas son un poco diferentes. El administrador del sitio debe tratar con varios problemas de seguridad de WordPress, como alojamiento de seguridad, temas y complementos, el poder de las contraseñas de los usuarios, etc. Como en muchos otros casos, el punto más débil de la seguridad de WordPress es el propio usuario: las contraseñas débiles y las exploits de automóviles locales son el primer enlace en una cadena de desastres. A continuación, también se sabe que los temas cancelados o complementos en depósitos no oficiales causan problemas con el sitio web. Y, finalmente, el alojamiento y la base de datos en sí pueden ser vulnerables a los ataques. Dos de las mayores tenencias que hemos experimentado se han relacionado con la vulnerabilidad de complementos de terceros de septiembre de 2014 y el último problema con Yuzo informó Post. Según estos dos problemas relacionados con los complementos en todo el mundo, ahora estamos tratando de usar solo complementos de autores conocidos y según el Journal of Plugin Changes, evitamos actualizaciones inmediatas, a menos que se indique lo contrario. Algunas recomendaciones generales sobre cómo mantener su sitio de WordPress seguro:
Use un proveedor de anfitrión bien conocido
Evite usar el prefijo predeterminado para tablas de base de datos “WP_”.
Asegúrese de que el nombre de usuario y la contraseña de la base de datos no sean predeterminados (por ejemplo, “root” y contraseña no conforme) el nombre de usuario y la contraseña en el panel de administración de WordPress no deben ser “administrador”, “Siateadmin” o algo similar
Debe otorgar los derechos del administrador solo unos pocos usuarios
Su tarea y arados deben provenir de autores conocidos que no han tenido explotación en el pasado
Asegúrese de que WordPress se actualice de manera regular, así como sus complementos, con las verificaciones del diario de cambio
Use Wordfense o CloudFlare para evitar ataques maliciosos
Will Ellis, grupo de defensa de propietarios en Privacy Australia Company
Como equipo que está muy preocupado por la seguridad de WordPress para nuestros clientes, pasamos mucho tiempo para monitorear y otras tareas. Hubo un momento crítico cuando nos dimos cuenta de que estábamos pasando demasiado tiempo en tareas triviales. Nos dimos cuenta de que teníamos que automatizar algunos de ellos.
La única herramienta que nos ayudó a automatizar y sin la cual no podemos vivir ahora es la seguridad del defensor. El defensor nos ahorra durante horas con su funcionalidad de escaneo y monitoreo. Solíamos administrar manualmente todos nuestros problemas de seguridad de WordPress, y el defensor toma más del 70% de nuestras tareas y automáticamente para nosotros. Si tiene un sitio web de WordPress y no hace nada por seguridad, cometa un gran error. El 73.2% de todas las instalaciones de WordPress tienen vulnerabilidades de seguridad. Los complementos como el defensor ayudan mucho a desaparecer estas vulnerabilidades. El cuidado de seguridad manual en WordPress requiere mucho tiempo, por lo que cualquier herramienta que pueda automatizar una mano de la tarea.

La mayor amenaza que enfrenta un sitio web de WordPress es el malware. Los programas de malware se “inyectan” en la base de datos para causar el caos. La forma en que afecta su sitio variará mucho según el tipo de ataque en sí. Una vez que el malware está en su sitio, sus datos están en peligro. Afortunadamente, puedes evitar estos ataques. Primero, ¿tiene instalado un certificado SSL? Un certificado SSL es el primer nivel de defensa contra la violación de datos. La instalación y activación correcta de TI en su dominio garantiza la seguridad de las contraseñas y otros datos. La mayoría de los hosts web ofrecen un certificado SSL gratuito. Consulte con ellos para obtener más información.
Luego, si tiene complementos inactivos, retírelos. Si hay una actualización disponible para cualquier complemento o tema, ¡ejecútelos! Pero asegúrese de hacer una copia de seguridad de su sitio primero, debe hacer que su sitio web respalde al menos una vez por semana. Suponiendo que sus complementos y temas se actualicen, puede intentar instalar la seguridad del complemento Suruuri. La versión gratuita le brinda todo lo que necesita para monitorear su sitio web y protegerlo contra posibles ataques de malware. Una vez que haya instalado y activado el complemento, recibirá correos electrónicos si alguna vez hay señales de seguridad. También puede seguir la actividad de los usuarios, como conexiones fallidas y otros valores importantes que indican que su sitio puede ser atacado. Si predica, su sitio de WordPress seguirá siendo seguro. Esto no significa que nunca será atacado, pero es un buen comienzo.
Akshat Choudhany, CEO de BlogVault

Lo que noté es que la mayoría de las personas que nos acercan con un sitio pirateado tenían arados de WordPress obsoletos. Esto ha dejado su sitio vulnerable a las amenazas. La mayoría de ellos pensó que la actualización no era importante o preocupada de que el proceso pudiera destruir su sitio. Combinar este tipo de información errónea fue el mayor problema que enfrentamos en el espacio de seguridad de WordPress.
Nuestra sugerencia siempre ha sido usar un sitio de preparación para probar actualizaciones de antemano. Este es esencialmente un clon del sitio donde puede probar los cambios sin afectar el sitio en vivo. Ofrecemos una instalación gratuita con nuestro complemento de respaldo. Una vez que haya probado actualizaciones, puede actualizar el núcleo, los temas y los complementos simultáneamente, ¡incluso en múltiples sitios web! Además, si no está satisfecho con lo que ha probado, siempre puede restaurar la versión anterior. Recientemente, reunimos todos nuestros pensamientos sobre esto y escribimos una guía masiva sobre actualizaciones de WordPress. Cubre cualquier preocupación que puedan tener en la actualización de su sitio de WordPress. Esencialmente, tengo dos sugerencias sobre seguridad para cualquier persona que use WordPress:
Siempre mantente actualizado y respaldo,
Use complementos y temas que no se agregan para cargar su servidor.

¡Se asegurarán de que su sitio funcione sin problemas todo el tiempo!
Yuriy Nifontov, jefe del equipo de desarrollo en Beetroot
Tuve un problema grave que incluía una vulnerabilidad compleja de los archivos de WordPress y del servidor. También hubo un complemento que, por decir, permitió la existencia de esta vulnerabilidad. Como resultado, tuve muchos problemas. Por ejemplo, el virus ha cambiado los encabezados de algunos archivos y ha agregado fragmentos binarios a sus partes impopulares, transformando los archivos PHP tradicionales en algo diferente. Al acceder al sitio, vi una pantalla blanca y el sitio mismo intentó robar información personal a través de las cookies. Traté de solucionar el problema con la copia de seguridad, pero solo funcionó media hora y algo. Pensamos que debe haber un tipo de red por la cual el problema podría volver una y otra vez. Logramos escapar de la IP de forma permanente, limpiando los registros DNS de la web, limpiando el complemento, cambiamos los permisos de archivo y agregó un usuario personalizado para Este sitio en el servidor web. Nunca he descifrado fragmentos binarios y encontré las raíces de este virus. Ahora hay un nuevo complemento de Wordfency, que ofrece un algoritmo mucho más fácil para resolver problemas como este. Solo tiene que copiar un sitio web infectado a una carpeta separada para que los archivos PHP no sean ejecutables y ejecutarlo a través de WordFense. Este complemento busca archivos editados y elimina todo infectado. Luego debe eliminar el sitio de la carpeta, actualizar WordPress y complementos y reinstalar el archivo desinfectado.
Sudhir Polepalli, CEO de Tvisha Technologies
Al igual que cualquier otro agente de marketing digital, también probamos en sitios web de WordPress, ya que no requieren experiencia técnica profunda para construir sitios web o redescentes.Pero luego, identifiqué un número impresionante de problemas de seguridad de WordPress.Algunos de estos han incluido problemas del sitio web, URL decepcionantes, duplicar la URL agrega y reduciendo la clasificación.
Otro problema de seguridad predominante que enfrentamos con WordPress fueron los errores de base de datos. Cada vez, les piden a los usuarios que reinstalen sitios web o complementos cada vez que las solicitudes del servidor excedan el límite de 75k por hora. Para superar este problema, nuestros proveedores de host del sitio web han comenzado a incorporar capas de seguridad extendidas para aumentar el ancho de banda de nuestros sitios web y evitar los procesos de reinstalación. Con respecto al rediseño de los sitios web que usan complementos de WordPress, encontramos contenido duplicando a través de URL duplicadas, disminuyendo la construcción de enlaces y clasificaciones. Hemos resuelto con éxito este problema redirigiendo a los usuarios de páginas antiguas a nuevas páginas al momento de agregar nuevas páginas o crear una nueva URL. Sentí que existe una posible amenaza de perder la interacción con el sitio y, por lo tanto, perder a nuestros usuarios potenciales cada vez que expira el certificado SSL, porque los usuarios nunca se sienten lo suficientemente seguros como para navegar por el sitio, los lados que muestran la etiqueta “insegura”. Hemos superado este problema manteniéndonos activos en la recepción de notificaciones por correo electrónico de nuestro proveedor de servicios SSL y también utilizando complementos como realmente SSL para mantenernos informados antes de que expire el certificado SSL. Somos la capacidad de seguir tales prácticas y continuar monitoreando las duraciones de los certificados SSL de nuestro sitio a través de proveedores de servicios externos, para proporcionar a los usuarios una experiencia de navegación segura y segura.
Jeremy Nong, fundador de Hustlr Inc. De mi experiencia, el método Bruta Force es la forma más común y simple de acceder a su sitio de WordPress de una manera no autorizada. Este método de prueba y error se ha utilizado para desbloquear la página de conexión de mi administrador. En general, el ataque de la fuerza bruta se refiere al proceso de ingresar varias combinaciones de nombres de usuario y contraseñas varias veces para descifrar la original. Es una de las opciones iniciales para que los atacantes obtengan acceso a su sitio a través de la pantalla de conexión de su sitio. No existe una política especial de WordPress sobre los límites del inicio de sesión, y esto ha abierto la ruta del robot, pueden atacar su sitio fácilmente usando este bruto método. Incluso si este ataque falla, aún puede dañar su servidor. Bombardear los nombres de usuario y las contraseñas no válidas podrían convertirse en la razón para suspender su servidor si este es un servidor dedicado. Entonces, en cualquier momento, debe asegurarse de que su sitio esté protegido de estos ataques de fuerza bruta. Sugeriría algunas prácticas esenciales para remediar este problema de fuerza bruta. Es una observación común que surgen la mayoría de los problemas de seguridad de WordPress debido a la negligencia. En primer lugar, debe fortalecer su contraseña. Su contraseña nunca debe ser menos de seis palabras. Otra solución a este problema es el uso de complementos actualizados de WordPress que incluyen la autenticación de dos factores.

Al activar esta autenticación, la página de autenticación se estratifica por otro nivel de protección. Esto solicitará otro código sensible al tiempo para acceder al inicio de sesión del sitio web. Casi minimiza la probabilidad de ser atacado por el método de la fuerza bruta. Cheryl Smithem, fundador y director de Charleston PR & Design
El mayor problema que he presenciado es que no educan a los propietarios del sitio sobre las responsabilidades de tener un sitio de WordPress. Como resultado, las versiones de WordPress no se actualizan. Los desarrolladores originales que no están informados sobre las mejores prácticas de WordPress y no utilizan los estándares WP Codex dejan sitios vulnerables. WordPress envejecerá y funcionará solo si está codificado al estándar. Demasiadas personas no han pasado tiempo para aprender estos estándares e intentar hacer las cosas rápidamente y dar curvas. Además, los complementos que no se verifican en el almacén de WP y no se actualizan son vulnerables. ¡Incluso vi un sitio codificado por una compañía de renombre que se hizo de tal manera que no mostró que la versión de WordPress estaba desactualizada!
El propietario del sitio no tenía forma de saber que se está ejecutando una vieja versión de WordPress. Los propietarios del sitio no aprenden cómo agregar usuarios adicionales y, por lo tanto, comparten una sola autenticación de administrador. Peor aún, el usuario del administrador predeterminado no se promueve en ningún rol de sitio y los golpes de botnet en esa conexión. A continuación, las contraseñas son demasiado simples. Demasiadas personas no pueden introducir la detección contra el spama y aprobar comentarios no deseados que invitan a malware. Otros problemas críticos son el uso de servidores de alojamiento compartidos, que están sujetos a un ataque constante de redes Botnet. Estos servidores lentos se están retrasando y los sitios no son ágiles. Cuando se ataca un sitio, todos los demás sitios son vulnerables. Finalmente, muchas personas gastan muy pocos dólares en sus sitios. Sienten que $ 4 al mes por alojamiento y desarrollo baratos les dará un sitio que represente su negocio. En realidad, el barato duele tanto como la falta de un sitio web. Ssaurabh Jindal, CEO de Talk Travel

Usamos WordPress como CMS y configuramos nuestro sitio en él. En general, tratamos de mantener el número de complementos a un nivel mínimo para no tener conflictos entre arados. El mayor problema de seguridad que vi es la cantidad de comentarios de spam. El número parece crecer cada mes y, aunque pasamos las palabras clave en el panel negro en el panel negro, el número de comentarios de spam continúa creciendo. Todavía no hemos encontrado una solución para esto, pero es posible que tengamos que usar un complemento como Akismet para ello.

Igor Mythical, cofundador afortunado
Mi principal problema con la seguridad de WordPress fue un ataque de fuerza bruta. Afortunadamente, era un objetivo de ellos varias veces y, afortunadamente, nuestras contraseñas no estaban rotas. Un ataque de fuerza en bruto significa que el software automático está intentando cientos de combinaciones en unos minutos para descubrir la contraseña. Afortunadamente, mi sitio no estaba deshabilitado y no instalé ningún malware. Sin embargo, después del segundo ataque, invertí más tiempo en la creación de una contraseña muy poderosa, lo que tomaría mucho esfuerzo para romper. Las contraseñas son algo que hice, por supuesto, especialmente porque tenía miedo de olvidarlas. Este hábito ha puesto en peligro mi sitio, por lo que animo a todos a encontrar una combinación fuerte y única de letras, números y caracteres especiales. Otro método de protección es Captcha, que diseñamos para reconocer el software automático y suspender su actividad.

En el pasado, mi sitio ha sido fuertemente atacado por los piratas informáticos a través de ataques DDoS. Incluso después de restaurar todos los archivos de mi sitio y la limpieza manual de los archivos muy intencionales que todavía estaban en mi servidor, unas horas después recibí la notificación de que mi sitio estaba nuevamente dirigido y estaba fuera de línea. Después de probar varios complementos de seguridad, pude usar Defender by WPMU Dev. Este complemento me permitió actualizar todos mis complementos y temas. También me permitió fortalecer mi página de autenticación y, con algunos clics, podría bloquear la ejecución del código en ciertas carpetas de WordPress. Recomiendo calurosamente este complemento para ayudar a mantener su sitio seguro. Mis conclusiones más importantes en esta experiencia son: mantener todos los complementos y temas actualizados y eliminar los que no necesita.
Cambie el nombre de la página de autenticación y evite usar el nombre de usuario de administrador predeterminado.
Use un complemento de seguridad para monitorear nuevos archivos o código agregado a los archivos de su sitio.

Pensamientos finales
A primera vista, asegurar su sitio de WordPress puede parecer una tarea difícil si no es inútil. Sin embargo, siempre hay formas en que puede fortalecer la defensa de su sitio contra las amenazas y, por lo tanto, puede proteger sus daños irreparables. Según estos expertos, si se asegura de fortalecer sus contraseñas, ejecute actualizaciones, arados y copias de seguridad básicas, así como copias de seguridad regulares o su sitio e instale un potente complemento de seguridad de WordPress, está en un buen comienzo. ¡Suerte!
Esperamos que este artículo haya sido útil.Si le gustó, no dude en consultar algunos de estos artículos! Consejos profesionales para mejorar la velocidad del sitio de WordPress en 2019

Cómo se ve el futuro del desarrollo de WordPress con Gutenberg
Cómo crear efectivamente un blog en 2019