Lista de verificación de seguridad simple para sitios de WordPress

¿Sabía que más de 100,000 sitios web son pirateados diariamente? Así es, el crimen cibernético es una amenaza grave para cualquier empresa, y todos tienen un sitio de WordPress no es seguro. Tuve una reunión con hackers (y tuve que recuperar mi sitio de WordPress) y probablemente sabes que era feo. Los piratas informáticos buscan activamente sitios web vulnerables para romper y robar datos que pueden publicar para ganancias monetarias o intenciones puramente intencionales. Para protegerlo a usted y a su precioso sitio, debe pensar seriamente en fortalecer su seguridad de WordPress.
Dado que perderá ingresos, tiempo y esfuerzo cuando los piratas informáticos ingresan a su sitio, hemos creado la próxima lista de verificación de seguridad que puede usar para asegurar su sitio de WordPress. Todos los elementos de seguridad en la publicación son relativamente fáciles de implementar incluso para aquellos que reciben:
Actualizar WordPress
Actualizar temas y complementos
Use contraseñas únicas y potentes
Instale un complemento de seguridad de WordPress
Elija un excelente alojamiento de WordPress
Use SSL (https)
Crear una copia de seguridad completa del sitio
Use un firewall para aplicaciones web (WAF)
Deshabilitar la edición de archivos en WordPress Admin
Asegúrese de su página de autenticación
Agregar autenticación
Iniciar sesión por usuarios inactivos
Busque malware y problemas
Use una VPN
Como puede ver, dividiremos la publicación en varias partes, cubriendo todo, desde elegir un anfitrión seguro hasta el fortalecimiento del área de administración y otras. Deberá repetir algunas tareas de seguridad, como actualizar temas regularmente. Otras tareas son algo único, pero aún tienen un impacto significativo en mantener la seguridad de su sitio. Verifique lo que necesita para remediar y hacerlo de inmediato, porque incluso los piratas informáticos pierden el tiempo. Actualizar WordPress WordPress Core se audita y se verifica regularmente para detectar vulnerabilidades de seguridad. Si se detectan defectos y errores de seguridad, los desarrolladores básicos generalmente lanzan actualizaciones de mantenimiento. Las actualizaciones menores se instalan automáticamente en su sitio web de WordPress. Sin embargo, deberá actualizar WordPress manualmente para todas las versiones principales. Es un proceso relativamente simple porque recibe un mensaje duro en su administrador de WordPress. Solo el 22% de los sitios web se ejecutan en la última versión de WordPress, lo cual es triste dado lo fácil que es actualizarse.

No está en el resto del 78%, porque esencialmente expone su sitio a todo tipo de ataques, no haciendo su sitio. Por lo general, los piratas informáticos son el primer grupo de personas que se enteran de cualquier vulnerabilidad en versiones antiguas, porque es importante en los defectos para lanzar ataques exitosos. Antes de actualizar WordPress, recomendamos leer las notas de lanzamiento para ver qué ha cambiado y hacer una copia de seguridad de su sitio web (solo para estar seguro). De esta manera, ahora qué esperar al hacer clic en ese botón de actualización y tendrá una falla que algo si algo no funciona bien. Actualice temas y complementos mientras actualiza el núcleo de WordPress, no olvide actualizar su tarea y arados. A los hackers, especialmente, les gustan los temas y complementos viejos con agujeros de seguridad conocidos. Explotan estas vulnerabilidades de seguridad e incluso pueden ocultar una puerta trasera en un tema o complemento antiguo. Si no actualiza, puedo hackear su sitio web cuando lo deseen. Para evitar perder estilos personalizados, recomendamos usar un tema infantil de WordPress, a diferencia del tema de los padres. De esta manera, no perderá sus personalizaciones cuando actualice su tema.
También debe eliminar los complementos, complementos e instalaciones de WordPress no utilizados. No solo guardará el ancho de banda y hará su sitio más rápido, sino que también tendrá piratas informáticos remotos. Otra nota rápida, nunca descargue temas y complementos “cancelados”. Solo accede a fuentes confiables, como WordPress.org, Envato u otra tienda temática de renombre. 3. Use contraseñas únicas y potentes, se sorprenderá al descubrir que la mayoría de los sitios web están pirateados cuando los malos roban su información de conexión. Además, los ataques de fuerza bruta son bastante comunes e implican bombardear su página con miles de combinaciones de nombres de usuario hasta que algo da. Use el nombre de usuario y las contraseñas débiles (como el infame “administrador” o “12345”), haga que el acceso de los piratas informáticos sea extremadamente fácil en tu sitio web. Se utiliza para crear contraseñas únicas y potentes que cambie regularmente. Incluso puede usar un generador en línea gratuito, como este de LastPass. Administrar muchas contraseñas seguras puede ser un problema. Para ayudar, a menudo confío en administradores de contraseña, como 1Password o LastPass, entre otros. No reutilice la misma contraseña en múltiples sitios web y siempre mantenga la información de inicio de sesión. Asegúrese de que sus usuarios de WordPress también usen contraseñas seguras.
Mientras esté en él, no olvide usar contraseñas seguras para E -Mail, Cpanel, bases de datos MySQL y cuentas FTP. 4. Instale un complemento de seguridad de WordPress cada vez que creo un nuevo sitio web de WordPress, generalmente tengo complementos más defectuosos que casi instalo automáticamente. Recibo un complemento anti-Spam, Formulario de contacto 7, Symple Shortcodes e Ithemes Security, mi complemento de seguridad de WordPress. El complemento me permite fortalecer mi defensa de WordPress sin dibujar sudor. Viene con tantas funciones que hacen que los malos se mantengan fuera de mis sitios. La configuración del complemento es muy simple; Debe estar en funcionamiento en el tiempo más corto. Los mejores complementos de seguridad de WordPress le brindan diferentes funciones, así que asegúrese de verificar antes de la instalación para asegurarse de recibir todas las funciones que necesita para asegurar todo su sitio, sin importar cuán único sea. Las funciones estándar incluyen escaneo de malware, bloqueo de IP, prevención de resistencia sin procesar, autenticación de dos factores y más, ¡verificando muchas de las casillas para esta lista de verificación de seguridad que lee en este momento! 5. Elija un excelente alojamiento de WordPress Por lo general, los principiantes reciben para el primer paquete de alojamiento barato que cumplen. No me resistiría a ti, porque no sabes nada mejor, pero las casas baratas (o incluso gratuitas) pueden exponerlo a los riesgos de seguridad. De hecho, sé esto, porque fui pirateado por dos compañías de alojamiento diferentes que ofrecen sombra de sombra.
El alojamiento compartido implica compartir un servidor con miles de otros sitios web.Esto aumenta el riesgo de contaminación entre los sitios.Es decir, un hacker puede obtener acceso a su sitio, incluso si el sitio web de otra persona era el punto de ataque inicial.El alojamiento de WordPress administrado, por otro lado, se centra solo en los sitios web de WordPress.No comparta un servidor con otros y reciba más opciones de seguridad para mantenerlo a salvo.También ofrece asistencia dedicada y deberían ocurrir más opciones de recuperación.Si necesita usar Shade Shared, suponga que comienza con un blog que no gana dinero, asegúrese de que los sitios estén aislados o “cerrados”.Si está ejecutando un sitio web comercial o comercio electrónico, es bueno utilizar el mejor alojamiento de WordPress que puede caber en su presupuesto desde el principio, como VPS, alojamiento dedicado o administrado de WordPress.
6. Use SSL (HTTPS) hoy en día, muchas compañías de alojamiento de WordPress ofrecen certificados SSL gratuitos desde el principio y por una buena razón. Los certificados SSL hacen que su sitio sea más seguro que los sitios SSL. Google también recomienda el uso de certificados SSL para proteger los datos en su sitio web (y asegúrese de saber si está utilizando SSL o no). HTTPS es más seguro que su predecesor HTTP. Un sitio web que usa HTTPS encripta todos los datos que se mueven entre el navegador del usuario y sus servidores. Si un hacker intercepta la comunicación, encontrará solo datos cifrados que son tan útiles como un hombre de un solo pie en un fondo de accidente cerebrovascular. Instalar certificados SSL en la mayoría de los hosts web es tan fácil como A, B, C. La mayoría de los instaladores de un solo clic que facilitan todo el proceso. Simplemente inicie sesión en Cpanel y haga clic en un solo botón para instalar y administrar certificados SSL. Si desea un enfoque más práctico, le recomendamos que consulte en Cifrar. 7. Cree una copia de seguridad completa del sitio cuando los piratas informáticos me hayan destronado, tuve que reconstruir los sitios en Scratch, un dolor de cabeza que habría evitado si recuerdo con certeza que tenía una copia de seguridad para WordPress.
Pero no, las copias de repuesto que estaban con mi host web fueron corruptos durante el ataque y no, no tenía una solución de respaldo secundaria. Un caso clásico para poner todos tus huevos en una canasta que me enseñó una fuerte lección. Hoy en día, creo hijos de repuesto completos del sitio que incluyen archivos y bases de datos de mi sitio web. Principalmente uso la administración, pero también uso el complemento duplicado para almacenar niños de repuesto en mi computadora y Google Drive. Le insto a que cree hijos de repuesto completos regularmente. Muchas soluciones de respaldo de WordPress le permiten automatizar todo el proceso, ahorrando tiempo y dándose tranquilidad. 8. Use un firewall para aplicaciones web (WAF) para agregar una capa de seguridad adicional a su sitio de WordPress y duerma mejor por la noche, active un firewall WAF (WAF). Un WAF protege su sitio web bloqueando el tráfico malicioso mucho antes de llegar a su sitio. Es una medida proactiva detener a los malos en sus pasos antes de causar daños. La pantalla de protección filtra su tráfico de entrada, eliminando a los piratas informáticos al tiempo que permite que los usuarios legítimos pasen. Muchas compañías de seguridad de WordPress ofrecen firewalls para aplicaciones web junto con otras características. Las opciones populares en la industria incluyen jugos y Cloudflore. 9. Desactivar la edición de archivos en WordPress Admin WordPress CMS viene con un fantástico editor de código que le permite editar complementos y temas en el tablero del administrador de WordPress.
El editor de códigos es una herramienta excelente que tiene disponible, pero en las manos equivocadas, los hackers pueden usarlo para eliminar o agregar malware en su sitio web. Siempre puede editar el tema y los archivos de complemento (si es necesario) a través de FTP o Administrador de archivos en CPanel, lo que significa que puede deshabilitar completamente el editor de código de WordPress. No desea que los hackers que tengan acceso al área de administración de WordPress tengan acceso al editor de código, ya que pueden causar muchos daños con algunas líneas de código. ¿Qué hacer? Puede deshabilitar el editor de código Built -in utilizando Suruurity gratuito de complementos. Alternativamente, puede agregar el siguiente código al wp-config.php: // no permite el archivo del archivo (‘deseshow_file_edit’, true); Siga adelante. 10. Proporcione su página de autenticación generalmente, el formulario de conexión de WordPress tiene dos campos; nombre de usuario y contraseña. Dado que los atacantes y los robots de la fuerza bruta se vuelven más inteligentes todos los días, ¿cómo se detiene a los piratas informáticos para que tengan acceso al área de administración de WordPress? Es simple;
Agregue CAPTCHA o preguntas de seguridad que tengan acceso no autorizado para cualquier persona. Y no tiene que editar el código para agregar captcha o preguntas de seguridad a su página de inicio de sesión. Hay un complemento popular de WordPress conocido como pregunta de seguridad de WP, fácil de configurar y usar. Si desea usar Captcha, puede usar Captcha de inicio de sesión simple, Wordfency o una de las muchas otras opciones disponibles de forma gratuita en wordpress.org. Al mismo tiempo, puede cambiar la URL WP-Login con algo único. De esta manera, los robots y los piratas informáticos serán difíciles de tratar de adivinar la URL de su página de autenticación. WP-Login ya es popular entre los hackers, por lo que es perfectamente lógico cambiar la URL con algo más. Puede usar un complemento como WPS Hide Sogin. 11. Agregue la autenticación adicional, considere la implementación de la autenticación con dos factores y multifactores. Si un hacker obtiene acceso a los detalles de su autenticación, no podrá conectarse a su sitio de WordPress. Hay muchas opciones disponibles, pero Google Authenticator es una opción popular. Además, limite su inicio de sesión a su página de inicio de sesión.
Si un visitante intenta conectarse con una cuenta que no existe o vuelve a registrar para conectarse muchas veces, lo más probable es que sea un hacker o un robot que intente penetrar su fuerza. Puede usar un complemento como limitar la autenticación de pruebas o bloqueos para mantener estos elementos remotos intrusivos. 12. Inicie sesión con usuarios inactivos Cuando tenga un sitio de WordPress de uso múltiple, no puede controlar completamente cómo o dónde acceden a los usuarios a su sitio web. Un autor puede decidir usar Wi-Fi gratuito para hacer los últimos toques de un artículo. Un diseñador web podría salir de la oficina y regresar de una hora de almuerzo. En tales escenarios, su usuario puede exponer su sitio a riesgos de seguridad sin saberlo. Una persona muy intencional podría hacerse cargo de la sesión, editar sus detalles y simplemente hacer estragos. Si la parte no autorizada sabe lo que hace, puede hacerse cargo de la cuenta del usuario y puede causar daños. ¿Qué hacer? Puede desconectar automáticamente a los usuarios inactivos después de un período predefinido. ¿Y la mejor parte? Hay complementos para este propósito exacto. Una opción popular es el complemento de desconexión inactiva, que incluye opciones para personalizar el tiempo de inactividad antes de la desconexión, el mensaje emergente personalizado o la redirección a la desconexión y el vencimiento de acuerdo con el papel del usuario. 13. Buscando malware y problemas (regularmente) a menudo olvidados, el escaneo regular de su sitio de WordPress puede ayudarlo a identificar los problemas de seguridad temprano. Solo se necesita un segundo para que un hacker ingrese a su sitio.

y hacer todo tipo de cosas feas. Es por eso que debe conocer las cosas en cualquier momento. Muchos complementos de seguridad de WordPress para buscar infecciones por malware, vulnerabilidades de seguridad conocidas, scripts obsoletos, ataques de fuerza en bruto, niños de reserva no existentes, etc. Los complementos le envían informes detallados sobre problemas conocidos, para que pueda remediar o contratar a un profesional. Hay muchos escáneres de sitios web, como Sitecheck Juices, que puede usar para consultar su sitio en un momento. Todo lo que tiene que hacer es ingresar la URL, y las herramientas verificarán automáticamente su sitio. Después de eso, le da un informe sobre lo que necesita para remediar. Después de tener el informe, arregla de inmediato todas las vulnerabilidades de seguridad. 14. Use una VPN si ejecuta un sitio web que contiene información confidencial que nunca debe alcanzar las manos de los piratas informáticos, considere usar una red privada virtual (VPN), más cuando se usa Wi-Fi gratuito. Una VPN lo protege de los ataques humanos humanos de tamaño medio que son frecuentes en las redes públicas, incluso en el hogar y en el trabajo. Una red privada virtual asegura que incluso si los atacantes tienen acceso al sistema y roban sus datos, no pueden hacer nada con los datos que le toman. Si tiene una red de Internet que comparte con muchas personas, use siempre una VPN antes de acceder El área de administración de WordPress.
Otras opciones de seguridad de WordPress ¿Necesita más hacer? Nos gustaría mantener su sitio seguro en cualquier momento, por lo que aquí hay elementos de seguridad adicionales para agregar a la lista de verificación: Desactivar la ejecución del archivo PHP / WP-Content / WP-Suploads /
Cambiar el prefijo de la base de datos de WordPress
La contraseña protege a su administrador y de conexión de páginas del servidor
Deshabilitar la indexación del director
Deshabilite WP REST y API XML-RPC si no es necesario
No edite / modifique el núcleo de WordPress: escriba o use un complemento que ofrezca la funcionalidad que necesita
Asegúrese de que su sitio web esté ejecutando la última versión de PHP
Use un programa antivirus en su computadora
Habilitar la consola de búsqueda de Google
Reduzca las vulnerabilidades de inyección XSS y SQL (es posible que necesite una mejor tecnología para ayudar con estos dos)
De hecho, la cantidad de pasos que puede tomar para proteger su sitio es interminable. Pero si puede verificar los 14 elementos que enumeré, es un gran paso para asegurar su sitio.