Iniciar su propio sitio de WordPress en estos días es bastante fácil. Desafortunadamente, los piratas informáticos no tardarán en apuntar a su sitio.
La mejor manera de proteger un sitio de WordPress es comprender cada punto de vulnerabilidad asociado con la ejecución de un sitio de WordPress. Luego, instale la seguridad adecuada para bloquear a los piratas informáticos en cada uno de estos puntos.
En este artículo, aprenderá cómo proteger mejor su dominio, su conexión de WordPress y las herramientas y complementos disponibles para proteger su sitio de WordPress.
Crea un dominio privado
Es demasiado fácil en estos días encontrar un dominio disponible y comprarlo a un precio muy económico. La mayoría de la gente nunca compra complementos de dominio para su dominio. Sin embargo, un complemento que siempre debe considerar es la protección de la privacidad.
Hay tres niveles básicos de protección de la privacidad con GoDaddy, pero estos también coinciden con lo que la mayoría de los proveedores de dominios tienen para ofrecer.
- Básico: Oculte su nombre y datos de contacto en el directorio de WHOIS. Esto solo está disponible si su gobierno le permite ocultar la información de contacto del dominio.
- Completo: Reemplace su propia información con otra dirección de correo electrónico e información de contacto para ocultar su identidad real.
- Último: Seguridad adicional que bloquea el escaneo de dominios maliciosos e incluye monitoreo de seguridad del sitio web para su sitio real.
Por lo general, actualizar su dominio a uno de estos niveles de seguridad simplemente requiere elegir actualizar desde una lista desplegable en la página de listado de su dominio.
La protección de dominio básica es bastante barata (normalmente alrededor de $ 9,99 / año) y los niveles más altos de seguridad no son mucho más costosos.
Esta es una excelente manera de evitar que los spammers eliminen su información de contacto de la base de datos de WHOIS u otras personas malintencionadas que quieran acceder a su información de contacto.
Ocultar los archivos wp-config.php y .htaccess
Cuando tu por primera vez instalar WordPress, deberá incluir su ID administrativa y contraseña de la base de datos SQL de WordPress en el archivo wp-config.php.
Estos datos se cifran después de la instalación, pero también desea evitar que los piratas informáticos modifiquen este archivo y rompan su sitio web. Para hacer esto, ubique y edite el archivo .htaccess en la carpeta raíz de su sitio y agregue el siguiente código al final del archivo.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Para evitar cambios en el propio .htaccess, también agregue lo siguiente al final del archivo.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
Guarde el archivo y salga del editor de archivos.
También puede considerar hacer clic derecho en cada archivo y cambiar los permisos para eliminar completamente el acceso de escritura para todos.
Si bien hacer esto en el archivo wp-config.php no debería causar ningún problema, hacerlo en .htaccess podría causar problemas. Especialmente si está ejecutando complementos de seguridad de WordPress que pueden necesitar modificar el archivo .htaccess por usted.
Si recibe errores de WordPress, siempre puede actualizar los permisos para volver a permitir el acceso de escritura al archivo .htaccess.
Cambie su URL de inicio de sesión de WordPress
Dado que la página de inicio de sesión predeterminada para cada sitio de WordPress es su dominio / wp-admin.php, los piratas informáticos utilizarán esta URL para intentar piratear su sitio.
Lo harán a través de lo que se conoce como ataques de «fuerza bruta», en los que enviarán variaciones de nombres de usuario y contraseñas típicos que muchas personas usan comúnmente. Los piratas informáticos esperan tener suerte y encontrar la combinación adecuada.
Puede detener estos ataques por completo cambiando su URL de inicio de sesión de WordPress a algo no estándar.
Hay muchos complementos de WordPress para ayudarlo a hacer esto. Uno de los más comunes es Ocultar conexión WPS.
Este complemento agrega una sección al General pestaña debajo configuraciones en WordPress.
Allí puede escribir la URL de conexión de su elección y seleccionar Guardar cambios para activarlo. La próxima vez que desee iniciar sesión en su sitio de WordPress, utilice esta nueva URL.
Si alguien intenta acceder a su antigua URL wp-admin, será redirigido a la página 404 de su sitio.
Notar: Si está utilizando un complemento de almacenamiento en caché, asegúrese de agregar su nueva URL de inicio de sesión a la lista de sitios que no se almacenarán en caché. Luego, asegúrese de purgar el caché antes de volver a conectarse a su sitio de WordPress.
Instalar un complemento de seguridad de WordPress
Hay muchos complementos de seguridad de WordPress para elegir. De todos, Wordfence se descarga con más frecuencia, por una buena razón.
La versión gratuita de Wordfence incluye un potente motor de análisis que busca amenazas de puerta trasera, código malicioso en sus complementos o en su sitio, amenazas de inyección de MySQL y más. También incluye un firewall para bloquear amenazas activas como ataques DDOS.
También le permitirá detener los ataques de fuerza bruta al limitar los intentos de inicio de sesión y bloquear a los usuarios que realizan demasiados intentos de inicio de sesión incorrectos.
Hay muchas configuraciones disponibles en la versión gratuita. Más que suficiente para proteger los sitios web pequeños y medianos de la mayoría de los ataques.
También hay una página de panel útil que puede visitar para monitorear amenazas y ataques recientes que han sido bloqueados.
Utilice el generador de contraseñas de WordPress y 2FA
Lo último que desea es que los piratas informáticos adivinen fácilmente su contraseña. Desafortunadamente, muchas personas usan contraseñas muy simples y fáciles de adivinar. Algunos ejemplos incluyen el uso del nombre del sitio web o del propio nombre del usuario como parte de la contraseña, o la ausencia de caracteres especiales.
Si ha actualizado a la última versión de WordPress, tiene acceso a poderosas herramientas de seguridad de contraseña para proteger su sitio de WordPress.
El primer paso para mejorar la seguridad de su contraseña es acceder a cada usuario de su sitio, desplazarse a la sección Administración de cuentas y seleccionar el crear una contraseña botón.
Esto generará una contraseña larga y muy segura que consta de letras, números y caracteres especiales. Guarde esta contraseña en un lugar seguro, preferiblemente en un documento en una unidad externa que pueda desconectar de su computadora mientras está en línea.
Para seleccionar Desconectarse en cualquier otro lugar para asegurarse de que todas las sesiones activas estén cerradas.
Finalmente, si ha instalado el complemento de seguridad de Wordfence, verá un Activar 2FA botón. Seleccione esta opción para habilitar la autenticación de dos factores para sus inicios de sesión de usuario.
Si no está utilizando Wordfence, deberá instalar uno de estos populares complementos 2FA.
Otras consideraciones importantes de seguridad
Hay algunas otras cosas que puede hacer para asegurar completamente su sitio de WordPress.
Los dos Complementos de WordPress y la versión de WordPress en sí debe actualizarse en todo momento. Los piratas informáticos a menudo intentan aprovechar las vulnerabilidades en versiones anteriores del código de su sitio. Si no actualiza estos dos elementos, está dejando su sitio en riesgo.
1. Seleccione regularmente Complementos y Complementos instalados en su panel de administración de WordPress. Verifique todos los complementos para ver un estado que indique que hay una nueva versión disponible.
Cuando vea uno que esté desactualizado, seleccione Actualizar ahora. También puede considerar seleccionar Habilitar actualizaciones automáticas para sus complementos.
Sin embargo, algunas personas son reacias a hacer esto porque las actualizaciones de complementos a veces pueden dañar su sitio o tema. Por lo tanto, siempre es una buena idea probar las actualizaciones de complementos en un sitio de prueba de WordPress local antes de activarlos en su sitio en vivo.
2. Cuando inicie sesión en su panel de WordPress, verá una notificación de que WordPress está desactualizado si está usando una versión anterior.
Nuevamente, guarde el sitio y cárguelo en un sitio de prueba local en su propia PC para probar que la actualización de WordPress no daña su sitio antes de actualizarlo a su sitio web en vivo.
3. Aproveche las funciones de seguridad gratuitas de su proveedor de alojamiento web. La mayoría de los servidores web ofrecen una variedad de servicios de seguridad gratuitos para los sitios que aloja allí. Lo hacen porque no solo protege su sitio, sino que también protege todo el servidor. Esto es especialmente importante cuando está en una cuenta de alojamiento compartido donde otros clientes tienen sitios web en el mismo servidor.
Estos a menudo incluyen seguridad SSL gratuita instalar para su sitio, copias de seguridad gratuitas, la capacidad de bloquear direcciones IP maliciosas e incluso un escáner de sitios gratuito que escaneará regularmente su sitio en busca de códigos maliciosos o vulnerabilidades.
Ejecutar un sitio web nunca es tan fácil como instalar WordPress y simplemente publicar contenido. Es importante hacer que su sitio web de WordPress sea lo más seguro posible. Todos los consejos anteriores pueden ayudarlo a hacer esto sin mucho esfuerzo.