Seguridad de WordPress: 13 pasos para hacer su sitio anti-glonth

Permítame decir: WordPress es genial. Millones de personas se reunieron en la plataforma y la usan en su negocio diario. Sin embargo, hay un lado oscuro de la creciente popularidad de WordPress: debido a que está más y más sitios web, el número de piratas informáticos y otras personas dudosas dirigidas a WordPress también es constante. Como resultado, la seguridad es una preocupación creciente para todos los usuarios de WordPress. Sin embargo, al mismo tiempo, es un tema muy descuidado, porque, sinceramente, muchos lo consideran aburrido. ¿Sabes qué más es aburrido? Seguro de salud. Pero, como las medidas de seguridad de WordPress, está contento de estar allí cuando realmente lo necesita. Por lo tanto, ahora echaremos un vistazo a cómo mantener su sitio precioso.
Las medidas de seguridad generales para WordPress WordPress son, por su naturaleza, bastante sólidas en términos de seguridad. La comunidad aborda regularmente los problemas de seguridad; Sin embargo, confiar en otros para hacer el trabajo por usted no siempre es suficiente. Hay pasos adicionales que puede (y debe) hacer para bloquear su sitio. 1. Use una empresa de alojamiento de confianza WordPress Security es mucho más que tener una buena contraseña. De hecho, según WP White Security, solo el 8% de los sitios pirateados de WordPress están pirateados debido a la débil información de conexión.
Entonces, ¿cómo obtuvieron el acceso a los atacantes al otro 92% de los sitios pirateados de WordPress? Complementos y temas vulnerables? Parcialmente sí. Los hacks de este tipo representan el 22%, respectivamente del 29%. Sin embargo, él no es el mayor culpable hasta ahora. Como resultado, el 41% de los sitios exitosos de WordPress tienen lugar a través de una seguridad insuficiente en el lado del servidor. Por lo tanto, no debe ser sorprendente que el primer orden para mantener a WordPress de manera segura sea utilizar un proveedor de alojamiento confiable, que actualice regularmente su infraestructura y mantenga la seguridad diaria. Mejore su información de conexión de que solo el 8% de los hacks tienen lugar a través de contraseñas y nombres de usuario débiles no es una excusa para pasar por alto. Esto abre la puerta a los ataques de la fuerza bruta. Siga los siguientes pasos para asegurar su información de conexión: ¡No use el nombre de usuario “Administrador”! Hace años, “Admin” era el estándar para la cuenta de administrador principal. Se usó en cada instalación de WordPress y muchas personas se quedaron con ella. Los piratas informáticos saben esto y, por lo tanto, a menudo se dirigen a este nombre de usuario directo. Como resultado, si instala WordPress en un nuevo sitio, asegúrese de haber creado otro nombre de usuario. Si tiene un sitio con el nombre del administrador ya existente, cree un nuevo usuario con los derechos completos del administrador (y otro nombre de usuario), conéctese como usuario y elimine la cuenta de administrador anterior. Recuerde volver a asignar el contenido según sea necesario.
Crear una contraseña segura es importante tener una contraseña segura.WordPress ha mejorado mucho para decirle si su contraseña es suficiente o no, así que tenga en cuenta su consejo.Si no puede encontrar una contraseña segura solo, hay servicios que pueden ayudarlo, como el generador de contraseñas Strong, LastPass o el generador de contraseñas de Norton.¡Y no olvides cambiarlo de vez en cuando!Para obligar a otras personas a su sitio a optar por una mejor información de inicio de sesión, use el complemento Force Strong Passwords.Por lo tanto, otros no se convierten en una preocupación de seguridad.3. Esté actualizado, ya sabe este, así que lo cubriré brevemente: ¡Mantenga su sitio actualizado de WordPress!Cada nueva versión no solo trae características adicionales y remedios de error, sino que también aborda los problemas de seguridad conocidos, ¡así que no las omita!
Esto es especialmente cierto para las actualizaciones menores de WordPress (reconocidas por el tercer dígito de su número de versión, por ejemplo 4.1.1). Estos se crean especialmente para combatir los problemas de seguridad que han ocurrido en las principales actualizaciones. Hasta ahora, WordPress implementa automáticamente actualizaciones menores y se le recomienda que lo deje. 4. Esté atento al uso de complementos y tema, como ha visto en las figuras anteriores, más de la mitad de los hacks de WordPress tienen lugar a través de complementos y temas. Por lo tanto, requieren una atención especial: instale la menor cantidad de complementos posible que cada complemento sea un riesgo de seguridad potencial si está mal codificado o de lo contrario no es igualdad. Por esta razón, debe intentar limitar la cantidad de complementos activos en su sitio. Si puede pasar sin él, haga esto y elimine el complemento. Deshacerse de los complementos no utilizados también es una buena manera de acelerar su sitio de WordPress.
Mantenga la tarea y los arados actualizados, lo cual es una buena práctica para WordPress en general se extiende a complementos y temas. Manténgalos actualizados mientras realiza el resto de su sitio. Preste atención a los complementos que no se han actualizado durante mucho tiempo en mayo contienen riesgos de seguridad. Para acelerar el proceso y si su tema lo acepta, agregar las siguientes líneas a wp-config.php activará actualizaciones automáticas para complementos y temas: add_filter (‘auto_update_plogin’, ‘__return_true’); add_filter (‘auto_update_theme’, ‘__return_true’); No use nada de fuentes desconocidas, muchos “temas gratuitos de WordPress” contienen el código cuestionable. Quédese con el director de WordPress si puede o utiliza sitios confiables, como los enumerados aquí. Verifique los temas de confiabilidad para verificar si un tema coincide con los últimos estándares y prácticas de desarrollo, use el complemento de verificación del tema. Puede hacer esto directamente desde el área de administración del sitio de WordPress. 5. Haga una copia de seguridad regular si su sitio está roto, estará en una posición mucho mejor con una práctica copia de seguridad. Hay muchos servicios y complementos disponibles para ayudarlo:
Vaultpress
Blogvault
Ascendente
Copia de seguridad en Dropbox
Backupbuddy
Creador de copia de seguridad
También es posible que desee analizar el tipo de servicio de repuesto que tiene su proveedor de alojamiento. Muchos ofrecen respaldo diario que realmente puede salvar su piel (hable desde la experiencia).
6. Limite los intentos de conexión porque estaba hablando de los ataques anteriores anteriormente: una buena manera de evitarlos es limitar el número de intentos de conexión que los usuarios pueden hacer antes de que WordPress cierre. Los complementos, como la solución de seguridad de bloqueo e inicio de sesión, siguen los intentos fallidos de IP y prohíben a otros, si es necesario. Esta funcionalidad también se encuentra en muchos de los complementos de seguridad todo en uno a continuación. 7. Utilice la autenticación de dos pasos para dificultar aún más este tipo de ataques, puede instalar un proceso de autenticación de dos pasos. De esta manera, los usuarios tendrán que introducir credenciales adicionales, por ejemplo, que se han enviado a su teléfono móvil. Aquí hay algunos complementos para esto:
Autenticación con dos factores dúo
Llave
Autenticador de Google
Dos factores de autores
SMS mecánico
Página de inicio de sesión de sigilo
Trucos técnicos avanzados para una mayor seguridad de WordPress, ahora que tenemos las cosas básicas fuera de la carretera, es hora de profundizar un poco. A continuación, analizaremos algunos cambios que se realizarán “debajo del capó” para mantener su sitio de WordPress seguro. 8. Elija un prefijo de tabla personalizada de forma predeterminada, WordPress aplica el prefijo WP_ a todas las tablas de la base de datos. Debido a que este es un hecho bien conocido, puede ayudar a los piratas informáticos a obtener acceso a su sitio. Si hace una nueva instalación de WordPress, debe cambiarlo, preferiblemente con algo difícil de adivinar.
Puede hacer lo mismo para un sitio web existente de WordPress. Para hacer esto, primero debe abrir wp-config.php y desplazarse hacia abajo en esta entrada: $ table_prefix = ‘wp_’; Después de haber cambiado ‘WP_’ al prefijo deseado, debe hacer lo mismo en la base de datos. Esto se puede hacer a través de un complemento (por ejemplo, la seguridad de Ithemes) o manualmente a través de phpmyadmin o un servicio similar. Si avanza en la ruta manual, asegúrese de cambiar el nombre de cada tabla en la base de datos (núcleo y cualquier tabla adicional), así como la tabla y opciones de USEA. Aquí hay un artículo útil sobre este tema. 9. Agregue sales a WP-config Cuando se desplace hacia abajo en el archivo de configuración de WordPress, se encontrará con estas líneas: Define (‘Auth_Key’, ‘ponga su frase única aquí); Define (‘ Secure_auth_ky ‘,’ Pon su frase aquí único ‘);
Define (‘logged_in_key’, ‘pon tu frase única aquí);
Define (‘nonce_key’, ‘pon tu frase única aquí’);

Define (‘Auth_sal’, ‘Pon tu frase única aquí’);
Define (‘Secure_auth_sal’, ‘Pon tu frase única aquí’);
Define (‘logged_in_sal’, ‘pon tu frase única aquí);
Define (‘Nonce_al’, ‘Pon tu frase única aquí’); Estas son claves de seguridad utilizadas para mejorar el cifrado ocultando información almacenada en cookies de usuario (a veces llamadas “sales”). Para mejorar la seguridad, WordPress tiene un práctico generador de sal para completar las frases únicas con caracteres aleatorios que nadie debería poder adivinar.
Simplemente haga clic en el enlace y luego copie y pegue el código generado en lugar de las líneas de arriba. Haga clic en Guardar y terminado. 10. Establezca los permisos correctos para los archivos eligiendo los permisos correctos para los archivos en su servidor, puede evitar cargar o modificar archivos no perseguidos. Los permisos se pueden modificar a través de un cliente FTP, como Filezilla. ¿Cuánto acerca de lo que se debe cambiar en: 755 o 750 para directorios?
644 o 640 para archivos
Wp-config.php debe establecerse en 440 o 400
Para obtener más información sobre los permisos de archivos de WordPress, consulte WordPress Codex. 11. Desactive el tema de WordPress y el editor de complementos WordPress Publisher permite a los usuarios cambiar los archivos y el complemento directamente desde WordPress Backynd. Sin embargo, si un individuo sombreado tiene acceso al área de administración, podría usar la misma función para hacer estragos serios en todo su sitio. Para evitar que esto suceda, puede desactivar el editor agregando la siguiente línea a wp-config.php: define (‘deseshow_file_edit’, true); 12. Bloquear el acceso a su archivo WP-Config Un lector cuidadoso podría notar que agregar cosas a WP-Config.php es bueno y bueno, pero ¿qué hay de proteger este archivo vital en sí? ¿No crees que algo importante hacer? Seguro que lo hace; Y afortunadamente podemos hacer esto exactamente agregando el siguiente código a nuestro archivo .htaccess: archivos

El comando permite, rechazar
negar
Una nota importante: este código debe colocarse fuera de las etiquetas # Comenzar WordPress y # End WordPress. WordPress puede actualizar cualquiera de estas etiquetas y, por lo tanto, es propenso a perder durante las actualizaciones o cambios de la estructura de enlace permanente. 13. Eliminar la versión de WordPress antes hablamos sobre actualizaciones menores de WordPress y cómo abordan importantes problemas de seguridad. Debido a que son la conciencia pública, cualquiera puede descubrir rápidamente las vulnerabilidades de las versiones anteriores de WordPress y puede explotarlas. Esto también significa que si puedo encontrar la versión de su sitio web, las debilidades de su seguridad serán completamente obvias. Para evitar este escenario, los usuarios hacen bien en ocultar la versión de su sitio. Esto se puede hacer a través del complemento o agregando manualmente la siguiente línea de código en la función.php del tema: remove_action (‘wp_head’, ‘wp_generator’); Los complementos de seguridad todo en uno de WordPress Además de los pasos anteriores, también hay una serie de complementos de seguridad disponibles para fortalecer su sitio con unos pocos clics simples. De hecho, muchos de ellos realizan los pasos exactos expuestos anteriormente, además ofrece escaneos de malware y otras funciones útiles. Estos son algunos de los favoritos de la comunidad: 1. Ithemes SecurityPeste 30 formas de mejorar la seguridad de WordPress
Sistema de monitoreo para botas y cambios de archivo
Versión pro disponible
2. Todo en un WP Security & Firewall
Verifique la información de conexión de usuario vulnerable (por ejemplo, el nombre de usuario “Administrador”)
Otras funciones de protección de autenticaciones cambian el prefijo predeterminado de la base de datos a personalizado

Verifica los permisos de archivo correctos
3. Seguridad a prueba de balas
Autentificaciones de monitoreo y seguridad
Base de datos de copias de seguridad

Abajo de datos de crefix
Funciones adicionales en la versión Pro
4. Seguridad de Wordfency
El complemento de seguridad más descargado para WordPress (más de 800,000 instalaciones activas)
El código fuente escanea para malware

Autenticación con dos factores
Fuerte aplicación de contraseñas
5. Jues de seguridad
Implementa las mejores prácticas de seguridad de WordPress
Escaneo de malware

Oculta tu versión de WordPress
Restringir el acceso a los archivos a través de .htaccess
WordPress Security Security es una parte a menudo descuidada de ejecutar un sitio web de WordPress. Es aburrido y no necesariamente algo que muchos de nosotros queremos enfrentar. Desafortunadamente, su importancia a menudo se hace evidente solo después de que las cosas ya salieron mal. Vale la pena tomar medidas de precaución adicionales, ya que la recuperación después de un intento de piratería exitoso generalmente requiere mucho más tiempo y energía. Solo siguiendo los pasos mencionados anteriormente, su sitio será MIL antes. Si está buscando un proyecto de fin de semana, déjelo ser. ¿Tienes algo que agregar? ¿Los complementos o los hacks favoritos para fortalecer aún más a WordPress? Dinos en los comentarios.