15 trucos de seguridad de WordPress para asegurar su sitio web de WordPress

Últimamente ha habido tantas noticias sobre sitios web de WordPress. Y, muchas personas han comenzado a cuestionar la seguridad de WordPress debido a ataques recientes. Por lo tanto, si posee un sitio web de WordPress, debe actuar sobre la base de estas 15 técnicas de seguridad de WordPress que aprenderé en esta guía. Antes de entrar directamente en él, déjame advertirte antes. Mientras está aquí ocupado leyendo este artículo, un niño con escenarios podría intentar piratear su sitio (WordPress o no). ¿En serio? Sí. “¿Por qué algunos niños perderían el tiempo conmigo? No es como si fuera un gran problema “.
Bueno, no quiero criar tus preocupaciones, pero a los hackers les gustan los sitios pequeños porque son un objetivo fácil.
contenido
¿Por qué la seguridad del sitio es tan grande Zarva?
WordPress estaba roto, ¿debería buscar otras plataformas?
1. Use un nombre de usuario y contraseña únicos
2. Use la autenticación de dos factores
3. Verifique al usuario como hombre
4. Actualizar WordPress
Cómo se actualiza WordPress
5. Deshabilitar la edición de archivos
6. Limite las pruebas de inicio de sesión
7. Protección contra ataques de fuerza bruta
8. Protección contra ataques DDoS
9. Escanee malware y elimínelos
10. Webhost Good
11. Elija complementos y tema sabiamente
12. Elimine temas y complementos innecesarios/obsoletos
13. seguro .htaccess y wp-contento.php
14. Ocultar información confidencial
15. Mantente hacia adelante y actual
Conclusión
¿Por qué la seguridad del sitio es tan grande Zarva? De acuerdo, alguien está tratando de subir a mi sitio, pero ¿por qué debería importarme? Especialmente porque tengo una copia de seguridad de todos. Solo pude eliminar WordPress y reinstalarlo. Su pregunta es válida. Pero, ¿qué sucede si el hacker tiene acceso a la copia de seguridad y al host web? También hay otros riesgos si un pirata informático gana el control sobre su sitio web, algunos de ellos son …
Los piratas informáticos podrían robar su información y sus visitantes y usarlos con fines ilegales.
Si recién está comenzando a obtener visitantes, el tiempo que no funcionan lo afectará a largo plazo.
La gente comenzará a cuestionar la calidad de su sitio.
Los atacantes pueden publicar algo ofensivo o ilegal en su sitio, para lo cual puede tener que enfrentar consecuencias (legales u otros).
Pero, ¿por qué alguien pondría todo el esfuerzo solo para dar problemas a un sitio pequeño como el mío?
Un sitio pequeño es fácil de piratear.
Los piratas informáticos prueban sus herramientas en pequeños sitios web para un proyecto más grande.
Pueden usar su host web para enviar correos electrónicos de spam.
Introduce el uso de los recursos de pequeños sitios para atacar a “grandes chicos”. Su servidor web puede ser parte de una red BOT para ataques DDoS.
Los piratas informáticos pueden usar su sitio web para difundir malware. Miles de sitios web pequeños son una buena manera de difundir programas de malware, porque los pequeños propietarios de sitios web no pueden permitir a los expertos en seguridad para verificar la seguridad.
Los piratas informáticos pueden usar su sitio para aumentar su tráfico de Google y rango publicando vínculos de retroceso.
Por lo tanto, incluso si está comenzando a crear un sitio web, debe tener mucho cuidado con la seguridad. No se trata solo de ti. Su falta de atención podría afectar a otros (ataque DDoS). WordPress se ha roto, ¿debería buscar otras plataformas?
En primer lugar, ningún sistema (sitio web o computadora personal) es seguro. Las personas incluso han encontrado formas de piratear los sistemas con agujeros de aire (computadoras aisladas). Independientemente de la plataforma que elija, los hackers encontrarán una ruta de acceso. La razón por la cual tantos sitios de WordPress están rotos es que WordPress es muy popular. Alrededor del 27% de los sitios web usan WordPress y está aumentando. Entonces WordPress se ha convertido en una mina de oro para piratas informáticos y spammers. Los ciberpunks atacan constantemente a WordPress, porque si logran encontrar vulnerabilidad, podría tomar el control del 27% de Internet.
Otra razón por la cual los sitios de WordPress están rotos es que es un entorno abierto. Los usuarios pueden codificar y modificar los sitios web ellos mismos. Pueden agregar complementos de terceros. Entonces, ¿debería encontrar otro CMS para su sitio? No. El problema no es con el código básico de WordPress, sino con los complementos y los temas que instala. Pero luego, como dije anteriormente, ningún sistema es completamente seguro. Si WordPress no estaba seguro, ¿por qué usaríamos el 27% de la web? Muchos voluntarios tienen especial cuidado para mantener el sistema básico y el almacén de WordPress. Los temas y complementos que están disponibles en el almacén de WordPress se prueban a fondo para su seguridad y confiabilidad.

El equipo de WordPress también aborda todos los problemas de seguridad con mucha habilidad. Están constantemente lanzando actualizaciones con correcciones de seguridad. Por lo tanto, puede confiar en WordPress para su sitio. Sin embargo, usted, como propietario del sitio web, debe tener mucho cuidado. Siempre debe monitorear su sitio web regularmente. ¡Aquí hay 15 medidas de seguridad de WordPress que debe seguir para minimizar el riesgo de que su sitio se rompa! Consejo profesional: siempre una copia de seguridad de sus archivos de WordPress, incluida la base de datos, antes de cambiar los archivos e instalar complementos de seguridad. Nota: Algunos de los enlaces en esta guía son enlaces afiliados. Ganamos una cierta cantidad de comisión si compra servicios/productos a través de enlaces, a cualquier costo adicional para usted. Dicho esto, no recomendamos productos que no valgan la pena. 1. Use un nombre de usuario y contraseña únicos al instalar WordPress, WordPress crea automáticamente un nombre de usuario llamado “Admin”. Creo que es una gran característica porque me exime de la tarea agotadora de ingresar a mi propio nombre de usuario. Puedo concentrarme en otras cosas verdaderamente importantes. ¡Gracias WordPress!
Sé que sé. Es una excusa estúpida. Pero, ¿cambió el nombre de usuario “administrador” predeterminado durante la instalación de WordPress? ¡Bienvenido al club! Cuando los piratas informáticos intentan conectarse al panel de administración, primero intentan “administrador” como nombre de usuario. ¿Cuál es el problema importante con el nombre de usuario cuando tiene una contraseña segura? Bueno, sé que tienes una contraseña segura es algo bueno. Pero si todavía usa “administrador” como nombre de usuario, reduzca el esfuerzo del hacker. Las permutaciones se reducen. Los piratas informáticos solo pueden intentar combinar diferentes contraseñas, porque ya conozco su nombre de usuario. Aunque puede instalar un complemento para cambiar el nombre de usuario, no recomiendo usar complementos para tareas simples. Por lo tanto, simplemente cree un nuevo usuario con privilegios de administración y luego elimine al antiguo usuario del administrador. No se preocupe, WordPress le preguntará qué quiere hacer con las publicaciones creadas. Al crear un nuevo usuario, use un nombre de usuario que no sea demasiado obvio, como “mi nombre” o “mi nombre de sitio”.
En cuanto a la contraseña, la regla simple es que su contraseña es compleja, larga y única.
Complejo: su contraseña debe contener al menos 1 número, 1 letra mayúscula y 1 carácter especial. LARGO: Su contraseña debe ser al menos 10 caracteres. Único: su contraseña no debe contener palabras o expresiones ordinarias. Y debe usar diferentes contraseñas para cada sitio web. Después de aplicar las reglas de contraseña anteriores, su contraseña debe verse así: [correo electrónico
protegido] #m! k% Esta es una contraseña segura.Pero el problema es que somos seres humanos y es difícil de recordar.Por lo tanto, use herramientas como LastPass y Keepass.Son gratuitos y puedes usarlos en múltiples dispositivos.Si todavía cree que puede deshacerse de las contraseñas simples porque es creativo, espero que esto lo cambie.2. Use la autenticación de dos factores ahora ha utilizado un nombre de usuario único y una contraseña segura para su panel de administración de WordPress.¡Eso es genial!Este es un paso hacia una mejor seguridad de WordPress.¡Pero no importa cuán fuertes, las contraseñas se pueden romper!
Los piratas informáticos usan ataques de fuerza bruta (hablaremos de ello más tarde) para ingresar a su sitio. Un poderoso ataque de fuerza bruta puede romper cualquier contraseña. Es por eso que debe comenzar a usar la autenticación de dos factores en su sitio web. Aumentará la seguridad. La autenticación de dos factores requiere ingresar un código de seguridad además del nombre de usuario y la contraseña para la autenticación. Una vez que active la autenticación de dos factores, recibirá un código (desechable) en su teléfono inteligente. Solo podrá autenticarse después de ingresar el código. Lo sé, esto es un dolor de cabeza, pero, recuerde, es mejor asegurarse que lamentarse. A menos que el gurú de seguridad encuentre algunas opciones de conexión de ADN, dos factores es el mejor método de seguridad. Desafortunadamente, WordPress no tiene configuraciones construidas para agregar dos factores. Deberá usar un complemento llamado Google Authenticator. Si no está familiarizado con la verificación de dos pasos desde Google, Evanto Tuts+ tiene excelentes tutoriales sobre el uso de Google 2 Factor con WordPress. 3. Verifique al usuario como un hombre que los hackers usan redes BOT para atacar los sistemas de fuerzas sin procesar. Y, una forma de dar a los piratas informáticos es el uso de una forma de recaptcha. En general, Botnet no puede validar recaptcha, por lo que los piratas informáticos deben intentar ingresar el nombre de usuario y las contraseñas. Eso, amigo, es un dolor en … ya sabes dónde. Pero, el antiguo recaptcha, el que usa texto distorsionado, no es efectivo. Todos estábamos allí cuando tienes que hacer una adivinanza salvaje sobre algunas letras.

Para hacer que la experiencia sea más amigable con las personas y más repulsiva para los robots, Google ha introducido el nuevo “sin cappptcha”. La nueva recaptcha invisible puede incluso detectar automáticamente a un hombre. Puede agregar recaptcha manualmente en el formulario de registro de autenticación, comentarios y/o manuales o usar una captcha de recaptcha sin captcha. Pero primero, debe obtener la tecla Recaptcha de Google. Después de obtener las claves, ingrese en sus códigos si lo hace manualmente o en la configuración del complemento si usa un complemento.
4. Actualizar WordPress siempre debe actualizar WordPress. Las actualizaciones de WordPress no son solo para agregar funciones. Las actualizaciones se lanzan más importante para remediar los errores y agujeros de seguridad. Pero, ¿qué sucede si encuentro problemas de compatibilidad con mi tarea y arados después de actualizar WordPress? Bueno, por lo general, los buenos temas y los complementos inician actualizaciones tan pronto como se actualice el núcleo de WordPress. Si los complementos o temas que usa no se han actualizado, entonces es hora de encontrar alternativas a ellos. La mayoría de los sitios web pirateados usan WordPress o complementos o temas obsoletos. Las versiones obsoletas de los complementos podrían poner en peligro su sitio, ¡así que actualice los temas y complementos lo antes posible! Si no hay actualizaciones disponibles, cámbielas. Puede encontrar muchos temas y complementos actualizados en el almacén de WordPress.
También puedes probar nuestros temas de WordPress.Los actualizamos regularmente para que no se preocupe por los problemas de seguridad de la tarea.Cómo actualizar WordPress Update WordPress es fácil.WordPress muestra automáticamente notificaciones en el tablero si hay actualizaciones para el sistema básico, los temas o los complementos.Acceda a las actualizaciones del Panel de tablas> y haga clic en los botones de actualización. También puede activar actualizaciones automáticas, para que WordPress, complementos y sus temas básicos se actualicen automáticamente para versiones menores.Recibirá una notificación por correo electrónico cuando su sitio se actualice automáticamente.5. Deshabilitar la edición de archivos Puede personalizar fácilmente su sitio web con un editor de código incorporado de WordPress.
Sin embargo, imaginen que los hackers han logrado de alguna manera conectarse a su sitio ahora, pueden editar fácilmente su sitio web usando el editor. Por lo tanto, es una práctica segura deshabilitar la edición de WordPress a través del editor. Para deshabilitar el editor, primera copia de seguridad para WordPress. Luego ubique el archivo wp-config.php en el back-end de su sitio web. Puede encontrar WP-Config.php en la carpeta raíz de su sitio, junto con otras carpetas como WP-Admin y WP-Content. Puede usar el cliente FTP para conectarse al back-end del sitio web. O, si tiene acceso CPANEL, puede usar el Administrador de archivos disponible en CPANEL. Ahora, agregue la línea de código siguiente al archivo wp-config.php y guarde la

Después de actualizar el archivo, no podrá editar las plantillas del tema usando el panel de WordPress. Todavía puede cambiar los temas utilizando el FTP o el Administrador de archivos CPANEL. 6. Limite las pruebas de inicio de sesión al instalar WordPress, WordPress le pregunta si instala o no el enchufe para el límite de conexión.

Limitar las pruebas de conexión es una excelente manera de proteger su sitio de los ataques de fuerza en bruto. Los hackers intentarán autenticarse en su sitio con diferentes combinaciones de conexión. Sin embargo, si activa la limitación de las pruebas de conexión, permite a los usuarios intentar conectarse solo por un cierto número de veces, después de lo cual el usuario está bloqueado. Si olvidó marcar esta opción al instalar WordPress, no se preocupe. Puede encontrar el complemento en el almacén de WordPress. Vaya a Plugins> Agregue NUEVO en el menú del Panel de WordPress. Busque “Loginizer”, luego instale y active el complemento. Después de activar el complemento, vaya a la seguridad del Loginizer> Fuerza bruta del menú de administración de WordPress para configurar la protección de la conexión.

7. Protección contra los ataques de los piratas informáticos brutos Use ataques de fuerza bruta para obtener acceso al panel de administración o cuentas FTP de su sitio, un ataque de fuerza sin procesar es un método de prueba y error. Es como probar diferentes combinaciones de llaves para abrir un bloqueo. Los intrusos pueden usar redes BOT para automatizar los ataques. Para proteger su sitio web para no convertirse en el objetivo de los ataques de las fuerzas brutas, siga las instrucciones 1, 2, 3 y 6. ellos para encontrar el formulario de conexión primero. Puede crear una URL de inicio de sesión personalizada utilizando un complemento llamado todo en una seguridad de WordPress y

Firewall. Después de instalar el complemento, vaya a la sección de fuerza bruta para activar la URL personalizada. Este complemento tiene tantas funciones que ni siquiera necesitará otros complementos de seguridad de WordPress si lo instala. 8. Protección contra los ataques DDoS con tantos dispositivos activados por Internet, la frecuencia de los ataques DDoS ha aumentado. DDOS es un método para sobrecargar un sitio/servicio con tráfico falso con la intención de detener el servicio. Los piratas informáticos usan sistemas infectados (que tienen malware) para realizar ataques DDoS. En 2016, Hackers Mototolite Dyn, que pone en cuenta muchos sitios web famosos como Twitter, Amazon, Reddit y Netflix. Por lo tanto, siempre debe estar listo para abordar los ataques DDoS. Después de las medidas de seguridad mencionadas anteriormente (1, 2, 3, 4, 6 y 7), ya está preparado para ataques DDoS. Además, también recomendaría el uso de servicios en la nube como CloudFlare o MaxCDN. Pueden ayudarlo a aliviar los ataques DDoS. Del mismo modo, memorizar su sitio web en caché también puede ayudarlo a proteger su sitio de sobrecargar el tráfico. Puede mantener su sitio en caché usando complementos como WP Super Cache. 9. Escanee el malware y elimínelos mientras lee mis consejos de seguridad con tanto cuidado (realmente espero que usted), déjame decirte algo más aterrador, si aún no has entrado en pánico! ¡Los piratas informáticos son trucos! Es posible que ya haya colocado algo de malware en sus archivos web. Por lo tanto, ¡debe escanear su servidor web en busca de archivos maliciosos lo antes posible!

Y, quítelos. ¿Como hacer esto? Conecte un complemento de seguridad. Security Juices es el mejor complemento gratuito para detectar y eliminar malware de WordPress. Si no le gusta agregar complementos o desea realizar un escaneo completo en el servidor, suscríbase a jugos. Este servicio le cuesta. Si no puede pagar los jugos (sé que es costoso), hay una carretera. Como te prediqué sobre todas estas cosas tecnológicas, creo que mereces un mimo. ¡Aquí le mostramos cómo escanear y eliminar malware de su sitio web gratuito! Primero, descargue la carpeta public_html desde su servidor utilizando un cliente FTP. Luego escanee la carpeta descargada con el software antivirus (Norton, Kaspersky o algo más) en su computadora. Asegúrese de que el programa antivirus esté actualizado. Después de eso, reemplace el antiguo archivo public_html con el recién limpiado usando FTP. ¡Tan fácil! 10. WebHost Good Web Host juega un papel importante y muy importante en la seguridad del sitio. Un buen host web le brinda asistencia y herramientas para abordar los ataques DDoS, los ataques de fuerza en bruto y el malware. Por lo tanto, recomiendo el sitio de alojamiento porque mantienen la seguridad en prioridad. En general, un tono de hogar es más vulnerable porque el servidor se comparte con otros sitios web. Los piratas informáticos pueden usar otros sitios web en el mismo servidor para atacar su sitio web a sombra. Este concepto se llama contaminación cruzada. A menudo se considera el mejor para obtener alojamiento dedicado o alojamiento VPS, pero son caros. Como comienzo, es posible que no tenga el presupuesto necesario. ¿Eso significa que te arriesgas?

No. Incluso la partición compartida puede ser protegida. Una buena empresa de alojamiento web, como SiteGround, instala firewalls como ModSecurity, incluso en los planes para compartir. También limita la cantidad de sitios web en un servidor y exploran regularmente los servidores de malware. Del mismo modo, si su host web puede brindarle jugos de seguridad, es una ventaja. 11. Elija bien los complementos y el tema, elija sabiamente complementos y temas sabiamente. Eso es todo lo que necesitas saber sobre este tema. La opción de instalar complementos y temas de tercera parte es lo que hace que WordPress sea vulnerable a los piratas informáticos. Los complementos y los temas de WordPress disponibles en WordPress Warehouse son seguros. Pero si tiene que agregar manualmente algunos complementos o temas, siempre verifique si hay malware, utilizando el software antivirus antes de cargarlos en WordPress. Además, antes de instalar complementos o temas, verifique las revisiones y la fecha de la última actualización. 12. Elimine temas y complementos innecesarios/obsoletos siempre mantenga limpia su WordPress. Si actualmente no usa ningún complemento o tema y están desactualizados, elimínelos. Podría invitar a los piratas informáticos. Del mismo modo, vaya a la parte posterior de WordPress y verifique si tiene archivos innecesarios comparándolos con los archivos predeterminados de WordPress. O puede hacer una nueva instalación de WordPress. Primero, copia de seguridad para bases de datos y WordPress. Luego elimine WordPress. E instale un nuevo WordPress actualizado.

Asegúrese de informar a sus visitantes durante el mantenimiento mostrando una página de mantenimiento. 13. Por lo tanto, siempre debe ocultar los archivos .htaccess y wp- content.php. Incluso si no sabe cómo codificar, puede asegurar fácilmente .htaccess y wp- content.php insertando algunos códigos en el archivo .htaccess. Mantenga una copia de seguridad del archivo .htaccess antes de hacer cambios. Encuentre el archivo .htaccess desde la raíz de su sitio y agregue las siguientes líneas de código. Código para ocultar wp-config.php

código para ocultar el .htaccess
archivos. Asegúrese de eliminar (o al menos renombrarse) readMe.html de archivo después de instalar WordPress. El archivo ReadMe le dirá a los piratas informáticos qué versión de WordPress usa. Además, si ha creado un archivo phpinfo.php o i.php, le recomiendo que lo elimine o lo cambie. Este archivo contiene toda la información sobre su servidor, además, desactive la indexación de los directorios. Los atacantes pueden ver la estructura de sus carpetas y archivos con navegación en los directores. No tienes que ser bueno en la tecnología para hacerlo.