Si tiene un sitio de WordPress, lo más probable es que su sitio sea atacado por hackers todo el tiempo.
Buscan constantemente debilidades que les permitan ingresar, ya sea un complemento o tema desactualizado o una contraseña fácil de descifrar. Una vez que están dentro, obviamente pueden causar estragos.
Solo para probar de lo que estoy hablando, esto es lo que dice mi panel de WordPress en este momento.
Es por eso que su sitio de WordPress necesita ser absolutamente a prueba de balas. Estas son las mejores maneras de hacerlo sobre la base de mis conversaciones de consultoría con empresas.
Obtenga el mejor nombre de usuario y contraseña posibles
Si lo he visto una vez, lo he visto miles de veces. Las personas configuran sitios web de WordPress con el nombre de usuario y la contraseña configurados en "admin" y luego se preguntan por qué fueron pirateados.
Su página de inicio de sesión es esencialmente la puerta de entrada de su sitio web. Por lo tanto, tiene sentido dificultar la entrada de un intruso. No dejaría abierta la puerta de su casa, ¿verdad?
In_content_1 all: [300x250] / dfp: [640x360]->Muchos servidores web automatizarán la configuración de WordPress para usted y, cuando lo hagan, deberá especificar un nombre de usuario diferente que "admin". Si usa "admin", está haciendo que el trabajo de un hacker sea demasiado fácil para ellos.
Obtenga un nombre de usuario que sea imposible de adivinar por otra persona. No use un nombre de usuario que use en otra parte de Internet. Alguien solo tiene que buscarte en Google para encontrar esos nombres de usuario.
En cuanto a la contraseña, hazte un enorme favory obtén un administrador de contraseñas. Una fuente abierta gratuita que recomiendo es KeyPass. Luego, haga que su contraseña de WordPress tenga un mínimo de 30 caracteres con caracteres especiales en la mezcla. Sí, eso es correcto. 30 caracteres.
Instalar un complemento de fuerza bruta anti
Reforzando esa metáfora de la puerta, también tiene sentido agregar algunas cerraduras de seguridad. Para WordPress, en mi opinión, tiene cuatro opciones: Autenticador de Google, Authy, Bloqueo de inicio de sesión o reCAPTCHA.
Para ser claros, Google Authenticato y Authy hacen lo mismo. Obtiene un código en su teléfono inteligente y lo ingresa en la página de inicio de sesión. Sin ella, se le niega la entrada.
El bloqueo de inicio de sesión es un complemento que limita la cantidad de intentos de inicio de sesión incorrectos antes de que la dirección IP de la persona se bloquee durante un determinado período de tiempo que usted especifique. Incluso puede instalar esto junto con Authenticator para una seguridad súper duper.
reCAPTCHA no es mi favorito, pero es mejor que nada. Tampoco es infalible ya que se ha roto antes. Pero como dije, mejor que nada. reCAPTCHA obliga al usuario a escribir una secuencia de palabras o hacer clic en ciertas imágenes.
Asegúrese de que todos los temas y complementos se actualicen
El siguiente paso es asegurarse de que todos sus temas y complementos se actualicen regularmente base. Una vez más, cualquier vulnerabilidad, tanto conocida como desconocida, puede ser utilizada por un pirata informático para explotar en un sitio.
Debe estar atento a la página "Actualizaciones" donde se enumeran todas las actualizaciones disponibles. Esto debe hacerse a diario. Puede encontrar la página Actualizaciones como una subpestaña debajo de la pestaña del Tablero de instrumentos.
Deshabilitar temas y complementos innecesarios
Del mismo modo que debe mantener todos los temas y complementos actualizados, también debe deshabilitar cualquiera que no tenga no es necesario.
No hay ninguna razón para mantener activos los temas y complementos no utilizados, y hacerlo solo aumenta el riesgo de que se descubra una vulnerabilidad lo suficientemente grande como para dejar entrar a un atacante. Así que elimine todos los temas que no está utilizando. Siempre se pueden reinstalar más tarde.
En cuanto a los complementos, bórrelos directamente o, al menos, desactívelos.
No permita que nadie haga cuentas de usuario
Si el sitio de WordPress está siendo utilizado por una empresa o un equipo de algún tipo, entonces las cuentas de usuario obviamente serán necesarias. Pero si usted es un usuario único del sitio, no permita que nadie haga cuentas de usuario. Especialmente personas que no conoces.
Puedes evitar que la gente haga esto yendo a Configuración–>General. Desplázate hasta "Membresía" y desmarca “Cualquiera puede registrarse”.
Bajar de categoría a todos los demás usuarios autorizados
Si necesita dar cuentas de uso a las personas, asegúrese de que tengan el rol de acceso apropiado.
Por ejemplo, la persona propietaria del sitio debe ser el Administrador. Pero si alguien está blogueando como invitado para ti, solo necesita estar listado como Autor. No otorgue privilegios elevados a alguien si no los necesita.
Simplemente vaya a Usuarios–>Todos los usuariosy elija la persona para la que desea cambiar el rol. A continuación, elija del cuadro desplegable.
Detener todos los accesos a directorios con un archivo Index.HTML
Puede que no sepa esto, pero si crea un nuevo directorio en su sitio web, agregue archivos y no agregue un archivo index.htmlen él, todos los contenidos de ese directorio se pueden ver públicamente.
Para evitar que esto suceda, cree un archivo de texto en blanco y llámelo index.html.Luego cárguelo al nuevo directorio. Cualquier intento de ver el directorio hará que la persona vuelva a la página de índice en blanco.
Obtenga un certificado SSLC
Una de las mejores cosas que puede hacer para su sitio web es obtener un certificado SSL. Google ahora le da a los sitios SSL mayor prioridad en los resultados de búsqueda y, por supuesto, también asegura su sitio.
SSL simplemente asegura la conexión entre el navegador del usuario y el servidor web donde reside el sitio web. Por lo tanto, hace que sea extremadamente difícil para los piratas informáticos entrar en la conexión y robar datos.
Hay dos formas de obtener un certificado SSL. Puede comprar uno pero también puede obtener uno gratis de Encriptemos. Muchos servidores web ahora ofrecen Let's Encrypt como un servicio automatizado gratuito.
Copia de seguridad del sitio web de YourWordpress TODOS los días
Finalmente, si lo peor llega a lo peor, y ESTÁ pirateado, necesita una forma de obtener su sitio retroceda y corra lo más rápido posible. Es por eso que necesita una copia de seguridad diaria de todos los archivos de instalación.
La solución más fácil para esto es Jetpack, que está a cargo de las mismas personas que crearon WordPress. Con solo $ 3.50 al mes por un sitio, definitivamente es el más rentable.
Conclusión
Hay muchas otras formas de bloquear su sitio, pero muchos de ellos implican codificación compleja o instalación de complementos con opciones complejas. Si recién está comenzando con este tema, lo mejor es cubrir los conceptos básicos primero, que es lo que he intentado cubrir hoy.