7 mejores prácticas de seguridad de WordPress

Debido a que los hacks y las violaciones de seguridad se vuelven más preocupantes para cualquier persona que ejecute un sitio web de WordPress, es importante saber que puede mejorar drásticamente su seguridad utilizando algunas buenas prácticas de seguridad de WordPress. Si aún no tiene una estrategia de seguridad de WordPress, esta publicación lo ayudará a comprender siete formas en que puede asegurar y proteger su sitio web de WordPress. Las mejores prácticas de seguridad de WordPress
1. Use una contraseña segura con la ayuda de un administrador de contraseñas.
2. Dos factores todas las cosas.
3. Cambie las sales de WordPress regularmente.
4. Use permisos de archivo seguros.
5. Use SFTP siempre que sea posible.
6. Use SSL en todos sus sitios de WordPress.
7. Mantenga actualizado su sitio web de WordPress y todo lo que esté en él.
Comprender la amenaza: ¿Qué es un hacker? Desafortunadamente, hay personas y sistemas que trabajan activamente en los sitios web piratas. La palabra “hacker” puede traer a la mente algunas ideas, que incluyen:
El adolescente con siempre evasivo campana trabajando en un sótano oscuro
Agentes gubernamentales que se infiltran en delincuentes o gobiernos extranjeros
Redes subterráneas que luchan por la libertad, la igualdad o para exponer la corrupción
Aunque existen todos estos escenarios de “hackers”, es poco probable que se oriente a su sitio web personal de WordPress. Puede estar tentado a personificar los ataques, pero la realidad es que un “hacker” se parece a un robot sin sentido. A través de los robots, nos referimos a “robots” o código automático que tiene una conexión a Internet. Así como un brazo robótico en una fábrica de producción está programado para realizar tareas específicas, estos robots funcionan cada segundo de cada día para realizar sus tareas programadas con la mayor frecuencia posible, ya que muchos sitios. Los robots a menudo se pueden resumir como “encontrar un sitio y lanzar un lanzamiento y lanzar un lanzamiento. Este ataque específico “. El propósito de los ataques es a menudo transformar el sitio atacado en otro hocico que se les puede dar tareas. Las tareas pueden variar desde atacar a otros sitios hasta enviar correos electrónicos de spam o phishing. En otras palabras, estos robots no saben cuál es su sitio y no le importa. Para el creador del hocico, cada sitio comprometido ofrece acceso a más recursos para crear un flujo de ingresos de una forma u otra. ¿Por qué alguien querría piratear mi sitio web? Actualmente, hay decenas de millones de sitios web. WordPress alimenta alrededor del 26% de ellos. Desafortunadamente, la gran cantidad de sitios de WordPress hace un objetivo.
Recientemente, Juices lanzó un informe Piratat WordPress, con aproximadamente el 94% de los sitios en los que trabajaban en el tercer trimestre de 2019 eran sitios de WordPress.
Los diagramas de este tipo pueden hacer que los usuarios se preocupen de que WordPress no esté seguro, lo es. En la tabla anterior, los jugos encontraron que, en la mayoría de los casos, los compromisos tenían poco o nada que ver con el núcleo de WordPress. Por el contrario, los compromisos de WordPress se han relacionado con la implementación de la implementación, la configuración general y el mantenimiento por webmaster y hosts. Incluso con estos problemas de seguridad de WordPress conocidos, WordPress es seguro si lo mantiene actualizado y usa estas buenas prácticas de seguridad de WordPress. ¿Cómo puedo mantener mi sitio web seguro de WordPress? Cuando se trata de seguridad de WordPress, no es si eres atacado, sino cómo evitar el éxito de Hacks WordPress. Entonces, ¿qué podemos hacer? Puede mejorar drásticamente su seguridad de WordPress revisando algunos consejos de seguridad de WordPress 101 e implementando estas buenas prácticas de seguridad de WordPress. 1. Usar contraseñas seguras con la ayuda de un administrador de contraseñas es una prueba rápida. ¿Conoces al menos una de tus contraseñas? ¿Usó esa contraseña para otra autenticación en otro lugar? Si ha respondido a ambas preguntas, sí, su estrategia de contraseña podría usar una auditoría seria.

¿Qué hace una buena contraseña?
Largo
aleatorio
Único
Si conoce sus contraseñas, probablemente sean demasiado débiles. Por lo tanto, el uso de un administrador de contraseñas para administrar sus contraseñas es la mejor manera de mantener todo su inicio de sesión en su cuenta. Con la ayuda de un administrador de contraseñas, puede generar contraseñas largas, aleatorias y únicas y almacenarlas seguros con una extensión del navegador. Por lo tanto, la única contraseña que deberá recordar es la contraseña principal para iniciar sesión en el Administrador de contraseñas. Administradores de contraseña: LastPass
1 contraseña
Dashlane
Con la ayuda de un administrador de contraseñas, puede comenzar a usar una buena seguridad de contraseña para la autenticación. Vea más consejos de seguridad de contraseña de WordPress.
2. Dos factores para todas las cosas. La autenticación con dos factores no es un pavo real simple, es una seguridad real. ¿Ha utilizado la autenticación de dos factores y sabe cómo funciona? La autenticación con dos factores es un proceso de verificación de la identidad de una persona mediante la necesidad de dos métodos de verificación: algo que sabe, algo que tiene o algo que es. Aunque es fácil creer que la autenticación de dos factores es molesta, es hora de pasar el inconveniente y educar a todos los que conocemos sobre el valor de usar este método para garantizar sus datos de conexión. Si alguien puede capturar sus credenciales, no hará ningún bien si ha activado la autenticación con dos factores. No solo un hacker debe tener el nombre de usuario y la contraseña, sino también el dispositivo móvil para conectarse con éxito.
Agregue dos factores de autenticación a su inicio de sesión de WordPress y luego dos factores, siempre que pueda (incluidos el correo electrónico, las cuentas financieras, incluso las redes sociales, si están disponibles). Con Ithemes Security Pro, puede agregar fácilmente dos factores de inicio de sesión de WordPress a WordPress. 3. Cambie regularmente las sales y teclas de WordPress. WordPress utiliza cookies (o información almacenada en su navegador) para verificar la identidad de usuarios y comentaristas conectados. Para proteger mejor y garantizar el cifrado de la información de conexión almacenada en sus cookies de WordPress, WordPress incluye autenticación secreta y sales en su wp-config.php. Esencialmente, las sales y claves de WordPress son contraseñas adicionales para su sitio que son largas, aleatorias y complicadas, por lo que son casi imposibles de romper. Hay más complementos, incluidos iThemes Security Pro, que pueden cambiar sus sales y claves de WordPress.
IThemes Security Pro
Editor de archivos de configuración de WP

4. Use permisos de archivo seguros. ¿Qué tan seguro es su sitio si alguien puede ver o escribir en los archivos de su servidor? No es. Los archivos seguros de WordPress son obligatorios. Por ejemplo, estos permisos para archivos y directorios no lo son.

Director – 777

Archivo – 666
Lo que realmente puede establecer puede variar de un servidor a otro, pero generalmente puede ajustar el permiso del archivo y el director a través del panel de control del host y el cliente FTP. Debe tener los archivos en algún lugar entre 400 y 444. y los directorios en algún lugar entre 700 y 744.
El complemento de seguridad iThems incluye una forma de verificar rápidamente el archivo del archivo, si no está seguro. 5. Use SFTP siempre que sea posible. Si edita archivos en su sitio, es una buena idea comenzar a usar SFTP en lugar de FTP. Si no edita el código directamente, asegúrese de que su desarrollador web use los protocolos de seguridad más altos para acceder a los archivos del servidor. Mientras que los protocolos SFTP y FTP transfieren datos, sus similitudes terminan. Como un manual, FTP representa el protocolo de transferencia de archivos. FTP transfiere datos entre dos conexiones de distancia, en texto simple. Cada vez que un usuario abre una sesión FTP regular, toda la transmisión entre el host y el usuario se envía al texto simple. Cualquier persona tiene la capacidad de ocultar en la red puede leer los datos, incluida la información de contraseña.sftp es una forma segura de comando FTP. SFTP asegura que los datos se transfieran de manera segura con la ayuda del protocolo SSH2. Cuando se usa SFTP en lugar de FTP, toda la sesión de conexión, incluida la transmisión de contraseñas, está encriptada. Por lo tanto, es mucho más difícil para alguien que se esconde en la red observar y recopilar contraseñas. 6. Use SSL en todos sus sitios de WordPress. ¿Qué es SSL? ¿Por qué deberías usarlo? Todos vimos la cerradura verde en nuestro navegador cerca de la URL a la que accedemos, pero ¿por qué es tan importante? SSL significa una capa de sockets segura y crea una conexión encriptada entre su servidor web y el navegador web de los visitantes. Aquí hay un manual rápido sobre la terminología SSL / HTTPS:
Http significa protocolo de hiper texto.Cuando se usa HTTP para transferir información, es relativamente fácil para una persona con conocimiento interceptarla y verla. HTTPS significa seguro de protocolo Hyper Text.Al usar HTTPS si alguien puede interceptarlo, aún no podrá descifrarlo porque está encriptado.
SSL: las capas de enchufe seguras son seguridad durante la transferencia durante el uso de HTTPS.
En los primeros días de la web, los administradores necesitaban una forma de compartir la información que ponen en línea. Desarrollaron el protocolo HTTP para esto, pero rápidamente aprendieron que es fácil interceptar y ver la información. Luego acordaron un procedimiento para garantizar la información que compartieron y este es el protocolo HTTPS. Aquí los certificados SSL y SSL entran en juego. Los certificados SSL en cada computadora involucrada en la transferencia tienen claves o bloqueos únicos. Los datos se transfieren mediante capas de socket seguras. Puede imaginar que los datos viajan a través de un túnel seguro, con cerraduras en ambos extremos para que nadie más sea privilegiado para su información. Los certificados SSL varían en precio, pero son absolutamente necesarios para mantener la información en el sitio que está a salvo. También hay varios lugares para comprar certificados SSL, pero la forma más fácil es comprarlos a su anfitrión y dejar que los instale. También puede consultar nuestra capacitación de WordPress HTTPS. 7. Mantenga actualizado su sitio web de WordPress y todo lo que esté en él. Mantener el paso con el mantenimiento de WordPress es la última parte de una sólida estrategia de seguridad de WordPress. Del mismo modo que su césped necesita ser cortado o su automóvil requiere cambios en el aceite, debe realizar un mantenimiento regular en su sitio de WordPress, lo que significa que se actualiza activamente con actualizaciones sobre el núcleo, los temas de WordPress y los complementos. Las actualizaciones de la versión a menudo tienen importantes correcciones de seguridad y remedios, por lo que es importante ejecutar siempre la última versión de WordPress y cualquier temas o complementos que use.
Mantenga el núcleo de WordPress actualizado. Plaga de las actualizaciones del complemento y los temas.
Actualice sus contraseñas regularmente.
Verifique la rutina de sus sitios para encontrar complementos, temas y usuarios que no se usen y eliminenlos.
Siempre tienen una copia de seguridad reciente de WordPress. Si tiene una copia de seguridad de su sitio, no solo puede ahorrar tiempo si algo no va bien, sino que puede ahorrarle una experiencia costosa. Use un complemento de copia de seguridad de WordPress, como BackupBuddy, para crear respaldos automáticos de WordPress y almacenar archivos de repuesto fuera del sitio en un destino seguro.
Si administra más sitios de WordPress, hay herramientas para facilitar el mantenimiento de WordPress, como la sincronización de iThemes. En lugar de conectarse a cada sitio web individual para ejecutar actualizaciones, tiene un tablero central para ejecutar múltiples sitios web simultáneamente. ITHEMS Sync también puede enviar correos electrónicos de notificación cuando hay nuevas actualizaciones disponibles para su sitio de WordPress, para que nunca pierda una actualización de seguridad importante.
De todos modos, asegúrese de actualizar su sitio web de WordPress y todo en él.
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.