Cómo asegurar su sitio web de WordPress: WordPress Security 101

La mayoría de los piratas informáticos no quieren robar la información que tiene en sus sitios web. Quieren hacer un movimiento secreto en su sitio para acceder a los servidores. Utilizan estos servidores para enviar correos electrónicos de spam, lo que a su vez les ayuda a aprovechar la recopilación de información financiera de otras personas. Si un hacker envía correos electrónicos de spam desde sus servidores, envía una señal roja a los proveedores de servicios de Internet y proveedores de correo electrónico. Cómo te afecta esto? Puede recibir la lista negra de proveedores de servicios de Internet y proveedores de correo electrónico. ¿Conoce la lista de correo electrónico confiable que ha reunido durante dos años? Si envía estos correos electrónicos utilizando el dominio de su sitio web, puede apostar que todos los correos electrónicos se envían a archivos spam.
Lo último que desea es que su sitio sea pirateado y es por eso que siempre he tratado de comunicar nuevos consejos, trucos y hacks para asegurar sus sitios, pero ahora quiero reunir la guía final para mejorar la seguridad del sitio, con la esperanza. que guardará esta página y la usará como referencia para todas sus necesidades de seguridad. ¿Qué sucede si su sitio también está pirateado en la lista negra?

La primera y única vez que uno de mis sitios fue pirateado y en la lista negra fue cuando no sabía nada mejor. Construí algunos sitios de clientes, pero por una cierta razón, no tomé las mismas precauciones de seguridad con mi propio sitio personal que con los (hay algo que me hace más probable que descuide los míos).
Bueno, parece que un hacker ha obtenido acceso a los servidores de mi sitio, así que finalmente llegué a la lista negra. No he sido consciente del sitio comprometido durante algún tiempo, lo que fue aún peor, porque los ISP y los proveedores de correo electrónico probablemente me anotaron varias veces. Algunas personas me dijeron que la mayoría de los correos electrónicos que envié desde el sitio llegan a su correo no deseado, así que decidí verificar lo que estaba sucediendo. Muy seguro, los hackers obtuvieron acceso a mi sitio, cargan un script y envían spam automáticamente desde mi servidor sin que yo lo supiera. ¿Qué causó el hack? Es posible que no haya hecho nada para proteger mi archivo .htaccess. Podría haber sucedido que mi nombre de usuario es “administrador” y mi contraseña no sería tan difícil de descubrir. Podría haber sido el hecho de que no pude actualizar los complementos que usé y deshacerme de los complementos que no usé. Afortunadamente, una de las únicas medidas de seguridad que tomé fue hacer una copia de seguridad automática de copia de seguridad, para poder restaurar archivos perdidos o dañados. ¿Cómo solucionamos este problema de hackers? ¿Cómo debe hacer esto si su sitio ya ha sido afectado?
Use la herramienta MToolBox Black List para ver si su sitio web ha sido pirateado de alguna manera. Si ve problemas, comuníquese con la empresa de alojamiento de inmediato. Cuéntales sobre el problema y pregunte si pueden ayudar a localizar y eliminar el código o la línea de script que permite a los piratas informáticos enviar correos electrónicos de spam.

Esto generalmente debería resolver el problema, pero en mi caso noté que algunos de mis archivos estaban dañados después de que se elimina el script. Esto significaba que tenía que pagar a uno de mis amigos más conocidos para hacer algunos cambios y devolver las cosas a la normalidad. En ese momento tenía que pagar por mi empresa de alojamiento para llegar allí y eliminar el guión. Supongo que depende de la empresa que tenga e incluso si el representante de la asistencia se siente muy útil ese día. En resumen, es posible que tenga que pagar un poco de dinero para resolver el problema, pero mientras tenga la copia de seguridad, algunos conocidos y algunos amigos para ayudarlo, puede regresar pronto. Pero aun así, toda la situación es una pesadilla para cualquiera. Nuestro objetivo es evitar completamente tales situaciones, así que continúe leyendo para comprender exactamente cómo asegurar su sitio de WordPress. Asegúrese de marcar esta guía para mejorar la seguridad del sitio e implementar los pasos antes de ser pirateado (o más tarde si esta es su situación). ¿Qué pasos puedes tomar para luchar contra los piratas informáticos? Comience con las cosas simples: el nombre de usuario y la contraseña de su administrador ¿Conoce el nombre de usuario y la contraseña que está utilizando para conectarse a su sitio de WordPress? Probablemente sea una mierda. No quiero decir.
¿Simplemente tomó el nombre de usuario predeterminado dado por WordPress? Este nombre de usuario resulta ser “Administrador?” El primer paso para asegurar su sitio de WordPress es comprender que muchos piratas informáticos usan las tácticas de la fuerza bruta que intentan adivinar su nombre de usuario y contraseña. Deberá cambiar el nombre de usuario en “Admin” porque es la primera suposición que cada hacker (o piratería automática) está intentando, porque el nombre de usuario se usa con tanta frecuencia. En cuanto a las contraseñas, eche un vistazo a las contraseñas de noticias de CBS más comunes y bope su cabeza si su contraseña está cerca de una de ellas. Incluso si su contraseña no está en la lista, no está claro. Si su nombre de usuario es “Administrador”, cámbiela para que los piratas informáticos no tengan que trabajar solo para romper la contraseña. WordPress solía permitir que las personas usen “administrador” como nombre de usuario, pero ahora le permito cambiarlo. Desafortunadamente, la mayoría de las personas descuidan esto, eliminando el campo para algunos piratas informáticos. Vaya al administrador de la base de datos phpMyAdmin e ingrese esta consulta SQL para cambiar su nombre de usuario: actualizar wp_users set user_login = ‘mynewuser’ donde user_login = ‘admin’; Recuerde cambiar el texto de MyNewuser con cualquier nombre de usuario que desee usar.
Eso es lo que puede hacer por su nombre de usuario, pero ¿qué pasa con las mejores prácticas para las contraseñas?
Cambie su contraseña todos los meses.

Use un generador de contraseñas, como el potente generador de contraseñas, para crear algo que ni siquiera pueda recordar. Algo como 6xx292qn * (S & 0; y se ve un poco bien. Dado que tendrá problemas para recordar estas contraseñas, use un sistema de almacenamiento y protección de contraseña, como LastPass. De esta manera, no tiene que recordar las contraseñas para Todos tus sitios, pero sabes que están a salvo.
No escriba contraseñas en un papel y no las ingrese en un procesador de texto en su computadora.
Otros usuarios pueden crear vulnerabilidades con sus propias contraseñas débiles. Use un instrumento como forzar contraseñas seguras para que no formen contraseñas no deseadas.
Abstenerse de almacenar contraseñas en sus navegadores.
No use la misma contraseña para múltiples cuentas.
Encuentre un anfitrión de calidad con estándares de seguridad fortalecidos porque el alojamiento de vulnerabilidades es una de las principales razones por las cuales los sitios web son pirateados, es esencial encontrar un host de alta calidad para su sitio web. Esto es importante por dos razones: una lucha segura del anfitrión contra los piratas informáticos y un buen anfitrión también lo ayuda a resolver el problema si sucede algo.
Aquí hay algunas cosas a buscar al buscar una empresa de alojamiento para su sitio web:
El anfitrión realiza actualizaciones activas y prepara al personal para descubrir los últimos problemas de seguridad.
Utiliza herramientas para escanear sitios para detectar malware y archivos comprometidos
El host funciona bien para WordPress Running
El anfitrión proporciona soporte para las versiones recientes de MySQL y PHP
El anfitrión utiliza un firewall diseñado para funcionar bien con WordPressing un equipo de asistencia disponible sin parar
Las cuentas de la casa compartida están bien, pero busque una empresa para hacer sus propios hijos de repuesto y garantizar el aislamiento de la cuenta (para que un sitio en sus servidores no afecte cómo funciona su sitio).
No dude en consultar a algunas de las compañías de alojamiento que recomendamos en WPKube.
Siempre complete las actualizaciones ¿Alguna vez ha notado esta pequeña advertencia en la parte superior del tablero de WordPress?::
Llámelo y rogándole que haga clic en el botón Por favor actualice ahora. Cada vez que vea este botón, haga clic y complete la actualización. Lo mismo es cierto para los complementos que usa en su sitio de WordPress Backp. Cada parte de su sitio debe actualizarse constantemente o dejar las vulnerabilidades abiertas para que los hackers entren.
Cuando actualiza toda su versión de WordPress, el sistema le pregunta automáticamente si desea actualizar todos los arados que tienen nuevas versiones.Si no se actualiza, esto solo abre más agujeros de seguridad.Las principales actualizaciones de complementos y WordPress generalmente se centran en lanzar nuevas funciones, pero el más pequeño enfoque en llenar los agujeros de seguridad y los errores de remediación.Tanto las actualizaciones principales como las menores requieren su atención. Su actualización manual es un dolor.¿Hay alguna forma de completar esto automáticamente en el futuro?¡Sí!Glind el siguiente código a su archivo wp-config.php y ya está terminado.# Active todas las actualizaciones básicas, incluidos menores y mayores: define (‘wp_auto_update_core’, true);
La razón principal por la que a algunos no les gusta actualizar las cosas automáticamente es que podrían romper algo en su sitio si la actualización entra en conflicto con un código en particular. La elección depende de ti. Hago mis actualizaciones manualmente, pero ni siquiera administro tantos sitios. Si administra sitios para docenas de clientes, le recomendamos que ejecute automáticamente actualizaciones. Administre lo fácil que es para las personas conectarse con su sitio si tiene un sitio de membresía o más autores que se conectan constantemente para escribir artículos, debe dificultar la autenticación. Obviamente, no desea hacer esto casi imposible, pero si sus usuarios pueden conectarse fácilmente, los piratas informáticos pueden hacerlo. Los piratas informáticos intentan ataques de fuerza bruta realizando programas para probar miles de combinaciones de contraseñas y nombres de usuario. Si están bloqueados después de tres o cuatro intentos, evita cualquier descanso. Por lo tanto, limite sus intentos de conexión con un complemento. Lockdown es mi complemento favorito para completar esta tarea.
El complemento es fácil y le dice a los usuarios cuántos intentos tienen para obtener el nombre de usuario y la contraseña correctos. Si fallan después del último intento, se bloquean del sistema. El siguiente paso es verificar si el usuario es realmente un hombre con un proceso de autenticación de dos pasos. Use el complemento de Google Authenticator para que las personas puedan ingresar un código especial además del nombre de usuario y la contraseña. Puede cambiar este código cuando lo desee y puede designar diferentes códigos para todos los usuarios. Puede enviar este código al teléfono de la persona para verificar el teléfono para que se autentique. Compre sus temas de WordPress de fuentes confiables es injusto decir que los desarrolladores que crean temas gratuitos de WordPress no son confiables, porque a menudo no es el caso. Sin embargo, el almacén gratuito de WordPress Home es un paquete mixto con muchos desarrolladores que no saben cómo cubrir o no actualizar su tarea para llenar los agujeros de seguridad.
Me recomendaría encarecidamente optar por un tema premium de una fuente de renombre. Estas compañías han creado infraestructuras basadas en la venta de miles de temas, por lo que realizan innumerables errores y pruebas de seguridad antes de vender la tarea. Si comienzan a vender un tema que no es seguro, los clientes les informarán al respecto y afectarán su reputación. Vea nuestra guía sobre cómo encontrar el tema perfecto de WordPress y considere la condición lejos de los temas gratuitos. La base de datos temática de WordPress no es lo peor del mundo, pero la regla de oro es mantenerse alejada de las compañías aleatorias que nunca ha escuchado. Deshabilitar los informes de error PHP es aconsejable para deshabilitar cualquier informe de error de PHP, porque cuando un complemento o tema envía una relación de error, también puede revelar la ruta de su servidor, lo que hace que los hackers encuentren su servidor un poco más fácil. Por lo general, puede llamar a su empresa de alojamiento para apagar estos informes. Pon una cubierta en tu inicio de sesión. Debido a que WordPress usa sirvientes / WP-Admin y / WP-Login para áreas de conexión predeterminadas, es fácil saber exactamente dónde comienzan los ataques. En realidad, puede cambiar la ubicación de su página de inicio de sesión, pero deberá recordar la ubicación para evitar una confusión futura. Lockdown WP Admin es un complemento sólido para ocultar sus páginas de inicio de sesión y evitar que las personas las encuentren. Deshazte de tu número

de la versión de WordPress WordPress ingresa un cierto código en su sitio web que muestra el número de versión de WordPress.Si un intruso conoce el número de su versión, puede averiguar si usa una versión antigua para ubicar ciertos agujeros en el sistema. Use un complemento como versión de eliminación para eliminar el metaetichet que muestra el número de su versión. Se refiere principalmente a las formas en que de seguridad digital de su sitio, pero ¿qué hay de tener cuidado con las amenazas cerca de usted?¿Trabaja en su sitio en un café?¿Sabía que si inicia sesión en su sitio a través de WiFi público, es esta de las formas más simples en las que alguien puede capturar su información y piratearla en el sitio?

También querrá mirar alrededor de su propia casa u oficinas. Asegúrese de que su propio wifi esté asegurado con una contraseña para que nadie pueda ingresar a su sitio utilizando su propia señal. Implemente un firewall en su computadora y configure un programa para realizar una herramienta para verificar malware y virus en los archivos locales de la computadora. El hecho de que su sitio web se ejecute en línea, en un servidor en otro lugar, no significa que un virus de seguimiento local no pueda hacerse cargo de su inicio de sesión y no pueda romper de esta manera. Use una herramienta regular como Norton para evitar estas situaciones. Obtenga algunas claves de seguridad de WordPress WordPress Las claves de seguridad funcionan con las cookies de los visitantes para garantizar que la información almacenada en estas cookies aún esté encriptada. Las claves también ayudan en la protección de contraseñas y la seguridad general. Para obtener una clave de seguridad, vaya al archivo WP-Config.wp. Busque líneas de código que se vean así: vaya al generador de teclas de sal de WordPress y haga clic en el botón Actualizar en el navegador para generar sus propias teclas aleatorias. Copie este código y reemplace las líneas que le he mostrado en su archivo wp-config.wp anterior.
Tenga en cuenta que las claves que hemos generado anteriormente son completamente aleatorias, por lo que no debe intentar copiarlas y darlas a su propio archivo. Genere el suyo con el generador de llaves de sal. Proteja su archivo wp-config.php wp-config.php es extremadamente importante, ya que contiene información de seguridad esencial, como claves e inicio de sesión en la base de datos. Puede evitar que las personas accedan a este archivo accediendo a su archivo .htaccess y colocarse en el siguiente código: el pedido permite, nega nega de todos los verificar todos los permisos para los archivos y directorios no puede no Tenga demasiado sentido, pero un director con permiso 777 podría abrir su sitio a algunos problemas. WordPress tiene una buena guía para configurar los permisos de archivo correctos en su sitio, pero las siguientes reglas deberían ayudarlo a comenzar: configure el archivo wp-config.php en 600

Establezca los archivos en 640 o 644

Establecer directores en 755 o 750
Su host web generalmente puede ayudarlo a este respecto si está sobre su cabeza. Simplemente solicite ayuda con los permisos del director y de archivo. Formule su plan de repuesto una vez que su sitio esté seguro, no es el final del camino. ¿Qué sucede si un hacker logra pasar por encima de su impenetrable muro de protección? Mayo. De hecho, su sitio puede descender por una razón diferente a un hacker.

Use un complemento para copiar automáticamente los archivos. Los mejores complementos de respaldo son buenos para programar niños de repuesto en diferentes ubicaciones de almacenamiento para que pueda tomar los archivos e implementarlos nuevamente si algo no va bien con su sitio puede verse afectado solo parte de su sitio. La mayoría de las veces, solo una pequeña parte de su sitio se ve afectada cuando un hacker gana el control. Por lo general, solo quiero cobrar un script para enviar correos electrónicos de spam para que el servidor sea su mejor amigo. Debido a que solo una sección de su sitio generalmente se ve afectada, esto lo hace más difícil localizar un problema de superficie. La solución para identificar pequeños problemas es escanear su sitio regularmente. El tema de autenticidad del complemento del verificador escanea todos los temas que ha instalado en su sitio para encontrar cualquier problema con sus archivos. Problemas o enviarlos a su host para completar la eliminación. Debe tener complementos de seguridad de WordPress, tiene un poco de GRIP-22 cuando se trata de complementos de WordPress. Se ofrecen tantas opciones de seguridad como complementos, pero una de las formas más simples de reducir las vulnerabilidades de seguridad es simplemente minimizar la cantidad de complementos que ha instalado en el tablero de WordPress. Entonces … ¿a dónde vas desde allí?

El primer paso es eliminar cualquier complemento que no esté activo. Luego pasa por el sitio y elimina todo lo que realmente necesita. Por ejemplo, su tema ya puede tener un formulario de contacto proporcionado para que no necesite un enchufe para el formulario de contacto. Obviamente, estoy hablando de más complementos en este artículo, pero la clave es elegir los que funcionan mejor para su situación. No desea abarrotar su sitio y abrir agujeros de seguridad completando su sitio con 30 complementos. Dicho esto, aquí hay algunas sugerencias para complementos de seguridad todo en uno. Multifuncional significa que generalmente debe elegir uno de los siguientes complementos, por lo que puede mantener los complementos al mínimo. Ithems Security: este complemento es particularmente bueno para cambiar los prefijos de la base de datos, como WP_Posts, que los piratas informáticos son fáciles de adivinar. El complemento incluye algunas funciones fuertes, como el seguimiento cuando sus usuarios editan contenido y conecta y se desconectan de su sitio. También puede administrar tareas desde un widget de tablero, puede generar contraseñas fuerte y puede buscar malware. La seguridad a prueba de cebolla de balas a prueba de balas protege su sitio con firewalls y revistas cada vez que retrocede para la base de datos. La grabación de errores HTTP es un toque agradable y realmente me gusta que tenga un experto en configuración de un solo clic en la versión Pro.

La versión PRO también viene con 16 mini-Plans para continuar asegurando su sitio. Wordfency Security: Wordfency Security es completamente gratuita y afirma que el complemento puede hacer que su sitio web sea hasta 50 veces más rápido y seguro. El complemento finaliza primero un escaneo profundo de su código fuente, comparándolo con el almacén de WordPress. Si el complemento encuentra algo mal, te advierte. Security: Security Juices es otro complemento gratuito que incluye funciones como el monitoreo de la lista negra, el escaneo remoto de malware y las notificaciones de seguridad. La única área que se destaca son mis acciones de seguridad posteriores a la secuencia para guiarlo a través del proceso de guardar su sitio después de conocer a un intruso. También puede estar interesado en leer sobre las razones por las cuales los complementos no son responsables de los problemas de seguridad de WordPress. Solicite comentarios para medir la seguridad del sitio contra la experiencia del usuario, ¿qué tarea es la seguridad sobre la funcionalidad y el uso de su sitio web? Aunque la seguridad es algo maravilloso, ¿qué sucede si su paranoia conduce a clientes insatisfechos que no pueden conectarse a sus cuentas? Después de implementar todas estas tácticas de seguridad, envíe encuestas para tratar de ajustar los comentarios de sus clientes realmente depende de los tipos de sitios que realiza, pero si el proceso de autenticación de dos pasos marcará a sus miembros, considere otros métodos de seguridad.