Lanzar su propio sitio de WordPress en estos días es bastante fácil. Desafortunadamente, los piratas informáticos no tardarán en comenzar a apuntar a su sitio.
La mejor manera de hacer que un sitio de WordPress sea seguro es comprender cada punto de vulnerabilidad que proviene de ejecutar un sitio de WordPress. Luego, instale la seguridad adecuada para bloquear a los piratas informáticos en cada uno de esos puntos.
En este artículo, aprenderá cómo proteger mejor su dominio, su inicio de sesión de WordPress y las herramientas y complementos disponibles para proteger su sitio de WordPress .
Crear un dominio privado
Es muy fácil en estos días encontrar un dominio disponible y comprarlo a un precio muy bajo. La mayoría de la gente nunca compra ningún complemento de dominio para su dominio. Sin embargo, un complemento que siempre debe considerar es la Protección de la privacidad.
Hay tres niveles básicos de protección de la privacidad con GoDaddy, pero estos también coinciden con las ofertas de la mayoría de los proveedores de dominios.
Por lo general, actualizar su dominio a uno de estos niveles de seguridad solo requiere elegir actualizar desde un menú desplegable en la página de la lista de dominios.
La protección de dominio básica es bastante barata (generalmente alrededor de $ 9.99 / año), y los niveles de seguridad más altos no son No es mucho más caro.
Esta es una excelente manera de evitar que los spammers eliminen su información de contacto de la base de datos de WHOIS u otras personas con intenciones maliciosas que quieran acceder a su información de contacto.
Ocultar wp- Archivos config.php y .htaccess
La primera vez que instalar WordPress, deberá incluir el ID administrativo y la contraseña para su base de datos SQL de WordPress en el archivo wp-config.php .
Esos datos se cifran después de la instalación, pero también desea evitar que los piratas informáticos puedan editar este archivo y romper su sitio web. Para hacer esto, busque y edite el archivo .htaccess en la carpeta raíz de su sitio y agregue el siguiente código al final del archivo.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Para evitar cambios en. htaccess, agregue lo siguiente al final del archivo también.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
Guarde el archivo y salga del editor de archivos.
También puede considerar hacer clic con el botón derecho en cada archivo y cambiar los permisos para eliminar el acceso de escritura por completo para todos.
Si bien hacer esto en el archivo wp-config.php no debería causar ningún problema, hacerlo en .htaccess podría causar problemas. Especialmente si está ejecutando algún complemento de seguridad de WordPress que pueda necesitar editar el archivo .htaccess por usted.
Si recibe algún error de WordPress, siempre puede actualizar los permisos para permitir el acceso de escritura en el archivo. htaccess nuevamente.
Cambie su URL de inicio de sesión de WordPress
Dado que la página de inicio de sesión predeterminada para cada sitio de WordPress es yourdomain / wp-admin.php, los piratas informáticos usarán esta URL para intentar piratear en su sitio.
Lo harán a través de lo que se conoce como ataques de "fuerza bruta", donde enviarán variaciones de nombres de usuario y contraseñas típicos que muchas personas usan comúnmente. Los piratas informáticos esperan tener suerte y conseguir la combinación correcta.
Puede detener estos ataques por completo cambiando su URL de inicio de sesión de WordPress por algo no estándar.
Hay muchos complementos de WordPress para ayudarlo a hacer esto. Uno de los más comunes es Ocultar inicio de sesión de WPS.
Este complemento agrega una sección a la pestaña Generalen Configuraciónen WordPress.
Allí, puede escribir cualquier URL de inicio de sesión que desee y seleccionar Guardar cambiospara activarla. La próxima vez que desee iniciar sesión en su sitio de WordPress, use esta nueva URL.
Si alguien intenta acceder a su anterior URL de wp-admin, será redirigido a la página 404 de su sitio.
Nota: si usa un complemento de caché, asegúrese de agregar su nueva URL de inicio de sesión a la lista de sitios noen caché. Luego, asegúrese de purgar la caché antes de volver a iniciar sesión en su sitio de WordPress.
Instale un complemento de seguridad de WordPress
Hay muchos Complementos de seguridad de WordPress para escoge de. De todos ellos, Wordfence es el que se descarga con más frecuencia, por una buena razón.
La versión gratuita de Wordfence incluye un potente motor de análisis que busca amenazas de puerta trasera, código malicioso en sus complementos o en su sitio, amenazas de inyección de MySQL y más. También incluye un firewall para bloquear amenazas activas como ataques DDOS.
También le permitirá detener los ataques de fuerza bruta al limitar los intentos de inicio de sesión y bloquear a los usuarios que realicen demasiados intentos de inicio de sesión incorrectos.
Hay bastantes configuraciones disponibles en la versión gratuita. Más que suficiente para proteger los sitios web pequeños y medianos de la mayoría de los ataques.
También hay una página de panel útil que puede revisar para monitorear las amenazas recientes y los ataques que se han bloqueado.
WordPress Password Generator y 2FA
Lo último que desea es que los piratas informáticos adivinen fácilmente su contraseña. Desafortunadamente, muchas personas usan contraseñas muy simples que son fáciles de adivinar. Algunos ejemplos incluyen usar el nombre del sitio web o el propio nombre del usuario como parte de la contraseña, o no usar caracteres especiales.
Si ha actualizado a la última versión de WordPress, tiene acceso a poderosas herramientas de seguridad de contraseña para proteger su sitio de WordPress.
El primer paso para mejorar la seguridad de su contraseña es ir a cada usuario de su sitio, desplazarse hacia abajo hasta la sección Administración de cuentas y seleccionar el botón Generar contraseña.
Esto generará una contraseña larga y muy segura que incluye letras, números y caracteres especiales. Guarde esta contraseña en un lugar seguro, preferiblemente en un documento en una unidad externa que pueda desconectar de su computadora mientras está en línea.
Seleccione Cerrar sesión en cualquier otro lugarpara asegurarse de que todo las sesiones activas están cerradas.
Finalmente, si ha instalado el complemento de seguridad de Wordfence, verá un botón Activar 2FA. Seleccione esta opción para habilitar la autenticación de dos factores para sus inicios de sesión de usuario.
Si no está utilizando Wordfence, deberá instalar cualquiera de estos populares complementos 2FA.
Otras consideraciones de seguridad importantes
Hay algunas cosas más que puede hacer para asegurar completamente su sitio de WordPress.
Ambos el Complementos de WordPress y la propia versión de WordPress deben actualizarse en todo momento. Los piratas informáticos a menudo intentan explotar las vulnerabilidades en versiones anteriores del código de su sitio. Si no actualiza ambos, está dejando su sitio en riesgo.
1. Seleccione con regularidad Complementosy Complementos instaladosen su panel de administración de WordPress. Revise todos los complementos en busca de un estado que indique que hay una nueva versión disponible.
Cuando vea uno que está desactualizado, seleccione actualizar ahora. También puede considerar seleccionar Habilitar actualizaciones automáticas para sus complementos.
Sin embargo, algunas personas desconfían de hacer esto, ya que las actualizaciones de complementos a veces pueden dañar su sitio o tema. Por lo tanto, siempre es una buena idea probar las actualizaciones de complementos en un sitio de prueba de WordPress local antes de habilitarlas en su sitio en vivo.
2. Cuando inicie sesión en su panel de WordPress, verá una notificación de que WordPress está desactualizado si está ejecutando una versión anterior.
De nuevo, haga una copia de seguridad del sitio y cárguelo en un sitio de prueba local en su propia PC para probar que la actualización de WordPress no dañe su sitio antes de actualizarlo en su sitio web en vivo.
3. Aproveche las funciones de seguridad gratuitas de su proveedor de alojamiento web. La mayoría de los servidores web ofrecen una variedad de servicios de seguridad gratuitos para los sitios que aloja allí. Hacen esto porque no solo protege su sitio, sino que mantiene seguro todo el servidor. Esto es especialmente importante cuando está en una cuenta de alojamiento compartido donde otros clientes tienen sitios web en el mismo servidor.
Estos a menudo incluyen seguridad SSL gratuita instalaciones para su sitio, copias de seguridad gratuitas, la capacidad de bloquear direcciones IP maliciosas e incluso un escáner de sitio gratuito que regularmente escanee su sitio en busca de códigos maliciosos o vulnerabilidades.
Ejecutar un sitio web nunca es tan simple como instalar WordPress y publicar contenido. Es importante hacer que su sitio web de WordPress sea lo más seguro posible. Todos los consejos anteriores pueden ayudarlo a hacerlo sin demasiado esfuerzo.