Instrucciones sobre cómo aumentar la seguridad de su sitio de WordPress para que esté protegido contra software malicioso y piratas informáticos. Asegure su sitio web.
¿Sabías que cada día se piratean hasta 30.000 sitios web? La seguridad de un sitio web es importante para todos los propietarios. WordPress es el sistema CMS más utilizado en el mundo. Por lo tanto, es un objetivo frecuente de los ataques de piratas informáticos.
Obsah
Seguridad del sitio de WordPress
Un sitio bien protegido también es importante para los negocios. Si los piratas informáticos roban información y contraseñas e instalan malware, pueden llegar a sus clientes a través de su sitio.
Lo guiaremos a través de los pasos que debe seguir para mantener su sitio seguro y protegido.
Seleccione una plantilla segura
Šablóna tvorí podstatnú časť celej stránky. Zabezpečuje množstvo funkcií a preto štandardne obsahuje množstvo kódu. Je podstatné vybrať si overenú, kvalitnú šablónu. Niektoré z nich si dokonca platia bezpečnostný audit a získavajú bezpečnostný certifikát.
? Tip: Odporúčam vsadiť na overené multifunkčné šablóny Divi a Avada. Výborné skúsenosti mám taktiež so šablónami StudioPress.
Výber bezpečného hostingu
Elegir un alojamiento de calidad es importante para asegurar un sitio de WordPress. El hosting debe tener un certificado SSL y garantizar una disponibilidad del 99,9% . Además, asegúrate de que la administración del hosting que hayas elegido esté encriptada con HTTPS.
Utilice un alojamiento que sea adecuado para los sitios de WordPress. Dicho alojamiento ofrece una copia de seguridad de su sitio, actualizaciones automáticas de WordPress y respalda la seguridad de su sitio. Una ventaja significativa es el soporte técnico de calidad. Me centro en el tema de la elección del hosting en mi artículo Cómo elegir el mejor hosting para WordPress.
? Consejo: para un sitio web rápido de WooCommerce, es crucial elegir el alojamiento adecuado. Recomiendo apostar por calidad contrastada: WebSupport , Webglobe-Yegon o Wedos .
Nastavte zálohovanie dát
Todos los datos deben ser respaldados. No se limite a utilizar su alojamiento. Necesitas hacer una copia de seguridad de un lugar más. Puedes usar Dropbox o Amazon. Configure un sistema para realizar copias de seguridad de toda la base de datos, todos los complementos y la plantilla utilizada. Después de la copia de seguridad, verifique la funcionalidad de la copia de seguridad. No te saltes este paso.
Asegúrese de que se pueda utilizar la copia de seguridad. Es necesario realizar una copia de seguridad al menos una vez al día oa intervalos regulares. La copia de seguridad también se puede configurar en un complemento de copia de seguridad especial o en un complemento de seguridad.
? Consejo: uso el complemento UpdraftPlus para la copia de seguridad. También escribí las instrucciones exactas sobre cómo hacer una copia de seguridad automática a través de este complemento.
Instalar el complemento de seguridad
La seguridad del sitio de WordPress también requiere la instalación de un complemento de seguridad. El popular complemento Sucuri lo protegerá de los tipos comunes de ataques. Protege eficazmente el sitio web del malware. Después de instalarlo, realice todas las configuraciones necesarias.
? Consejo: Complementos similares están disponibles gratuitamente Wordfence Security o iThemes Security premium. La ventaja de este último es la copia de seguridad automática de la página, que crea el complemento en caso de que su página se vea comprometida.
Actualizar la página regularmente
La actualización periódica de la plantilla y todos los complementos es una parte importante de la seguridad del sitio de WordPress. Los desarrolladores de WordPress trabajan constantemente para mejorar las plantillas y los complementos. Sus actualizaciones pueden abordar algunas vulnerabilidades de seguridad .
Realice este paso manualmente. En el menú de administración, acceda a la sección Tablón de anuncios y actualizaciones. Compruebe qué complementos necesitan actualización y actualícelos.
No use complementos obsoletos
Al seleccionar los complementos apropiados para su sitio web, use solo aquellos que se hayan actualizado recientemente. Asegúrese de no utilizar aquellos que no se han actualizado durante más de dos años. No solo arriesga la seguridad del sitio, sino también la compatibilidad del complemento con su plantilla.
Utilice contraseñas seguras
Un punto importante para asegurar el sitio web de WordPress es el uso de contraseñas seguras . Debe usar dichas contraseñas para su propio acceso al Sitio, así como para el acceso de otros usuarios. El ataque de piratas informáticos más común es robar su contraseña. Depende de usted hacer que este paso sea difícil para ellos. También use contraseñas seguras para alojamiento, dirección de correo electrónico y cuentas FTP.
No utilice las mismas contraseñas en todas partes, las contraseñas no deben contener su nombre, secuencia simple de números y similares. Elija una combinación de letras mayúsculas y minúsculas, números y caracteres. La mejor contraseña es aquella que no se puede recordar.
Utilice un administrador de contraseñas para recordarlas usted mismo. El administrador de contraseñas lo ayuda a crear contraseñas seguras y las guarda todas. Puede acceder a estas contraseñas con una sola contraseña.
Para aumentar la seguridad de un sitio de WordPress, también es importante que le des acceso a otra persona a su administración solo cuando sea necesario. También es importante que cualquier persona que obtenga este enfoque comprenda sus competencias para crear y mantener el sitio.
Cifrado SFTP
Por la seguridad del sitio web de WordPress, es importante que envíe los datos en FTP encriptados al editar la página. Utilice el cifrado SFTP.
Asegure su certificado SSL
Un certificado SSL (Secure Socket Layer) garantiza su comunicación segura y encriptada con los servidores. Esta comunicación también se aplica a su contraseña. Sin un certificado SSL, su contraseña se envía a través de la web sin cifrar.
Eliminar exceso de contenido en el servidor
El contenido que reside en el espacio web (FTP) presenta un riesgo. Por ejemplo, las copias de seguridad de todo el sitio en el directorio wp-content/backup, que almacena la configuración de la página y el contenido de la base de datos, pueden ser un riesgo. Los archivos excesivos y riesgosos deben eliminarse del espacio del sitio.
cambiar el prefijo
Durante la instalación de la plantilla de WordPress, WordPress le preguntará qué prefijo desea utilizar. WordPress usa el prefijo predeterminado. Seleccionar el prefijo wp_ predeterminado facilitará el trabajo de los piratas informáticos. Por lo tanto, recomiendo ajustarlo a cualquier otra cosa.
Cambiar el prefijo después de la instalación (solo avanzado)
Realice una copia de seguridad de toda la base de datos del sitio antes de realizar el cambio. Luego abra el archivo wp-config.php. Puede encontrarlo en el directorio raíz de WordPress.
Configuración predeterminada $ table_prefix = 'wp_'; cambiar por ejemplo: $ table_prefix = 'nuevoprefijo_';
Si realizó este ajuste durante la instalación de WordPress, ya no necesita hacer nada. Si ya tenía instalado WordPress, también necesita actualizar la base de datos. Puedes hacer esto usando el complemento iThemes Security, que lo hará por ti o a través de PHPMyAdmin:
RENOMBRAR tabla `wp_links` TO` newprefix_links`;
También debe ejecutar este comando para cada tabla de base de datos y tabla de complementos. Si está utilizando el alojamiento de cPanel WordPress, busque phpMyAdmin y cambie el nombre de cada tabla. Este proceso puede ser un poco largo. Puedes hacerlo más fácil usando los siguientes comandos:
RENOMBRAR tabla `wp_commentmeta` TO` newprefix_commentmeta`; RENOMBRAR tabla `wp_comments` TO` newprefix_comments`; RENOMBRAR tabla `wp_links` TO` newprefix_links`; RENOMBRAR tabla `wp_options` TO` newprefix_options`; RENOMBRAR tabla `wp_postmeta` TO` newprefix_postmeta`; RENOMBRAR tabla `wp_posts` TO` newprefix_posts`; RENOMBRAR tabla `wp_terms` TO` newprefix_terms`; RENOMBRAR tabla `wp_termmeta` TO` newprefix_termmeta`; RENOMBRAR tabla `wp_term_relationships` TO` newprefix_term_relationships`; RENOMBRAR tabla `wp_term_taxonomy` TO` newprefix_term_taxonomy`; RENOMBRAR tabla `wp_usermeta` TO` newprefix_usermeta`; RENOMBRAR tabla `wp_users` TO` newprefix_users`;
Puede agregar filas adicionales para otros complementos que tengan sus propias tablas en su base de datos.
Para completar el proceso, debe buscar cualquier archivo adicional que use el prefijo wp_. Este proceso hará que este proceso sea más fácil para usted:
SELECCIONE * DESDE `nuevas opciones_prefijo` DONDE` nombre_opción` LIKE ' %wp_% '
Cambie los nombres de búsqueda.
Habilitar cortafuegos (WAF)
Para proteger mejor su sitio de WordPress, use Firewall (WAF), que bloquea el malware antes de que llegue a su sitio. Recomiendo usar Sucuri para este propósito. Garantiza la protección contra malware.
No use el nombre de usuario «admin»
Por la seguridad del sitio web de WordPress , es necesario cambiar el nombre de usuario básico. Cree una nueva cuenta de administrador y elimine la predeterminada. Hazlo tan pronto como instales la plantilla de WordPress.
Elija un nombre de usuario que no se pueda adivinar. Si ya tiene instalado WordPress y usa el nombre «admin», esto se puede cambiar. Cree un nuevo usuario y elimine el original. La solución también es usar el complemento para cambiar el nombre de usuario.
Deshabilitar la edición de plantillas y complementos
WordPress incluye una función de edición de código incorporada que le permite editar la plantilla y los complementos en el menú de administración . Es recomendable apagarlo para que esta opción no caiga en malas manos. Para hacer esto, agregue el siguiente código al archivo wp-config.php :
// No permitir la edición de archivos definir ('DISALLOW_FILE_EDIT', verdadero);
Deshabilitar archivo PHP (avanzado)
En algunos directorios de WordPress es necesario deshabilitar el archivo PHP. Como en /wp-content/uploads/ . Esto se hace en un editor de texto. Puedes usar el Bloc de notas. Introduce este código:
Negar todo
En el siguiente paso, guárdelo como .htaccess y cárguelo en /wp-content/uploads/ files.
Esto también lo proporciona la función de endurecimiento en el complemento de Sucuri .
Edición de un archivo .htaccess (avanzado)
La edición del archivo .htaccess también aumentará la seguridad del sitio de WordPress. Si no tiene al menos un conocimiento mínimo de programación, omita este paso. Haga una copia de seguridad de su sitio antes de editarlo. Utilice el siguiente procedimiento para permitir el acceso al panel de administración solo a las direcciones IP definidas. Para otros, el acceso estará bloqueado.
Tipo de autenticación básico orden denegar, permitir Negar todo # tu dirección IP de casa permitir desde xxx.xxx.xxx.xxx # su dirección IP en el trabajo permitir desde xxx.xxx.xxx.xxx
Pegue el .htaccess modificado en el directorio wp-admin.
Revisa los archivos que subes al sitio
Solo cargue archivos que no sean virus en el sitio web. Revise su computadora con regularidad en busca de software antivirus.
Asegúrese de haber iniciado sesión en el menú de administración
WordPress permite un número ilimitado de intentos de iniciar sesión en el menú de administración. Puede establecer el número máximo de errores permitidos para asegurar el inicio de sesión. Por ejemplo, tres inicios de sesión incorrectos.
Además, puede establecer el período de tiempo para inicios de sesión incorrectos: tres inicios de sesión en tres minutos. Si alguien inicia sesión incorrectamente por cuarta vez, bloqueará su dirección IP durante unos minutos. Haga esto instalando el complemento Login LockDown . Después de activarlo, vaya a Configuración »Login LockDown.
Usa la verificación en dos pasos
Una de las formas confiables de proteger un sitio de WordPress es la verificación en dos pasos. Esto le permitirá proteger el acceso al sitio con una contraseña y por teléfono.
Ocultar página de inicio de sesión
La seguridad del sitio de WordPress también aumentará la ocultación de la página de inicio de sesión. WordPress usa la dirección www.nombre-dominio.com/wp-admin o www.nombre-dominio.com/wp-login.php para iniciar sesión en la administración. Puede cambiarle el nombre usando el complemento WPS Hide Login .
Cuidado con los comentarios SPAM
Comentar SPAM a menudo contiene enlaces a sitios que contienen malware. Si no desea deshabilitar todos los comentarios, debe revisarlos. El verificador de comentarios más conocido es el complemento Akismet , que evalúa los comentarios y los filtra. Akismet está instalado en todas las plantillas de WordPress. En el menú de plantillas, busque Akismet y marque la casilla «activar».
Atención: el complemento akismet es gratuito solo para sitios web no comerciales.
No inicie sesión en una red wifi no segura
También es importante para la seguridad del sitio de WordPress que no utilice una red insegura para iniciar sesión. Un pirata informático ubicado en la misma red puede averiguar sus datos de inicio de sesión o una cookie para el inicio de sesión permanente.
Mover wp-config.php
Para aumentar la seguridad del sitio de WordPress, recomiendo mover el archivo wp-config.php al directorio de arriba. Realice este paso solo si no interfiere con la funcionalidad de su sitio y si solo aloja un dominio. En este archivo ha almacenado datos como el nombre de la base de datos, la contraseña, etc. Muévelo para ocultarlo de los piratas informáticos.
Configuración de derechos
El siguiente paso para aumentar la seguridad del sitio de WordPress es establecer derechos de acceso a carpetas y archivos. Debe usar esta configuración de derechos para la página:
Todos los directorios – 755 o 750
Todos los archivos – 644 o 640
wp-config.php – 600
Deshabilitar el informe de errores de PHP
Un mensaje de error también puede mostrar la ruta de su archivo. Pero puedes desactivarlo. Agregue lo siguiente al archivo wp-config.php:
@ini_set('display_errors','Off');
@ini_set('error_reporting',0);
Desactivar pingback XML-RPC
La función XML-RPC Pingback permite vincular una página a trackbacks y pingbacks. Sin embargo, también es una oportunidad para los piratas informáticos. La seguridad XML-RPC Pingback la proporciona, por ejemplo, el complemento iThemes Security .
Eliminar el número de versión de WordPress
Hay una metaetiqueta en el código fuente de WordPress con la versión de WordPress en uso. Esta información puede ser explotada por piratas informáticos. Puede ocultarlo fácilmente usando el complemento Meta Generator y Version Info Remover o agregando código al archivo functions.php que se encuentra en su plantilla:
remove_action('wp_head', 'wp_generator');
Configurar usuarios inactivos para cerrar sesión automáticamente
Algunos usuarios dejan la pantalla durante mucho tiempo, aunque todavía están conectados. Para aumentar la seguridad de su sitio de WordPress, puede configurarlos para que cierren sesión automáticamente. Es posible que haya notado que los bancos usan configuraciones similares. Esto se debe a que los piratas informáticos pueden realizar cambios en sus contraseñas o cuentas mientras el usuario que ha iniciado sesión no está presente.
Puede cerrar automáticamente la sesión de los usuarios inactivos a través del complemento de cierre de sesión inactivo .
Un resumen de los consejos de seguridad de WordPress
Considero que la elección de un hosting de calidad es lo más importante. El hosting debe tener un certificado SSL . Recomiendo apostar por calidad contrastada: WebSupport , Webglobe-Yegon o Wedos .
Además, no olvide usar contraseñas seguras e instalar/configurar uno de los complementos de seguridad comprobados: Sucuri , Wordfence Security o iThemes Security .
Was this article helpful for you? Support me by sharing, please. 👍