Saltar al contenido

15 recordatorios de seguridad esenciales para WordPress

07/04/2021

Todos sabemos que Internet puede ser vulnerable. Los grupos más grandes de la web sufren ataques regulares de piratas informáticos y saqueadores de datos. WordPress no es inmune. En abril de 2013, más de 90.000 sitios de WordPress fueron atacados …

La seguridad de WordPress es un tema crucial y esencial para cualquier administrador de sistemas preocupado por preservar su sitio. Cuando uno se da cuenta del tiempo de trabajo, escritos y reflexiones que representa la creación de un sitio, es peligroso aproximarse en cuanto a su protección.

Los piratas informáticos siempre están buscando nuevas vulnerabilidades. Hay muchas soluciones de seguridad disponibles para usted, desde las más simples hasta las más sofisticadas.

 

Medidas de seguridad esenciales de WordPress

1- La cuenta de administrador

Primero, sea cual sea el método de instalación elegido, cree siempre una nueva cuenta ADMIN con un inicio de sesión y contraseña ultraseguros.

Si es posible, evite elegir un inicio de sesión con su nombre o la raíz de su dominio.

 

2- Contraseña

Utilice siempre contraseñas complejas que combinen letras, símbolos y números.

Es preferible utilizar un generador de cadenas aleatorio de más de 8 caracteres. Esto le dará un inicio de sesión mucho más seguro.

 

3- Considere limitar el número de pruebas de identificación

Varios plugins le permiten protegerse de los ataques de «fuerza bruta», es decir, intentos de adivinar su contraseña buscando todas las combinaciones posibles.

Instale una extensión que bloquee los intentos repetidos en la misma dirección IP. ( Bloqueo de inicio de sesión, por ejemplo). Si un robot intenta ingresar a su sitio, bloquea el acceso por un tiempo. Una vez instalada la extensión, puede establecer la cantidad de intentos que desea antes del bloqueo y el tiempo de conexión después del bloqueo.

 

4- Recuerda ocultar la versión de tu WordPress

Su versión proporciona información a los piratas informáticos para encontrar posibles agujeros de seguridad. En el archivo function.php de su tema, agregue este fragmento de código:

remove_action ("wp_head", "wp_generator");

El número de versión de WP también se puede encontrar en el archivo readme.html ubicado en la raíz de su WordPress (el archivo también se eliminará)

 

5- Hacer copias de seguridad

Las copias de seguridad del sistema deben realizarse al menos una vez a la semana para evitar piratería o un bloqueo del disco. ¡Es mejor prevenir que curar!

En WordPress no hay escasez de soluciones de respaldo. Ver servicios de respaldo o respaldar WordPress .

 

6- Tenga cuidado al descargar plantillas

Los temas gratuitos descargados aleatoriamente de la web pueden revelar muchos virus.

Para protegerse, instale un plugin tipo TAC, como: Theme Authenticity Checker , que escanea y analiza temas en busca de un posible virus.

 

7- Realiza actualizaciones periódicas

Actualice su WordPress ya que esto le permite tener las últimas correcciones para las vulnerabilidades de seguridad.

Nuevamente, antes de cualquier actualización, recuerde hacer una copia de seguridad de su sitio .

 

8- Agregar claves de seguridad secretas

Las claves de autenticación SALT crean una cookie de identificación que protege su instalación.

Si estos códigos no están presentes en su archivo wp-config.php, puede generarlos y agregarlos yendo a  https://api.wordpress.org/secret-key/1.1/salt/

 

9- Protege tus archivos

Bloquea la navegación en tus carpetas de WordPress. De forma predeterminada, cualquier persona puede acceder al contenido de sus carpetas de WordPress (wp-content) a través de un navegador simple.

Para proteger el archivo wp-config a través de su .htaccess , agregue:

<Archivos wp-config.php>
 orden permitir, negar
 Negar todo
</Files>

Para ocultar directorios confidenciales siempre a través de htaccess:

Opciones de todos los índices

Finalmente para proteger el archivo htaccess en sí:

<Archivos .htaccess>
 orden permitir, negar 
 Negar todo 
</Files>

 

10- Cambiar el prefijo «wp_»

Por defecto, el prefijo de las tablas de la base de datos MYSQL para WordPress es «wp_». Este prefijo es conocido por todos y puede resultar vulnerable en caso de una inyección.

Utilice el plugin Brozzme DB Prefix , una herramienta de un clic para cambiar el prefijo de su base de datos (database y wp-config.php). Para aplicar un nuevo prefijo, solo tiene que verificar que el wp-config.php sea modificable y que los derechos de alteración de la base de datos estén activados.

Solo se necesita una entrada: el nuevo prefijo de la base de datos. El plugin se encargará de todo. Solo tiene que presionar el botón si está de acuerdo con el prefijo generado. Por supuesto, el prefijo se puede cambiar para adaptarse a sus necesidades.

 

11- Ocultar errores de conexión

WordPress devuelve un mensaje demasiado explícito en caso de un problema de conexión, al agregar la siguiente línea a las funciones de su tema.php mostrará un mensaje de error trivial:

add_filter ('login_errors', create_function ('$ a', "return null;"));

 

12- Deshabilitar el editor de archivos

Evite editar sus archivos directamente desde WordPress, simplemente agregue la siguiente línea a su functions.php:

define ('DISALLOW_FILE_EDIT', verdadero);

 

13- Mueve tu PhpMyAdmin

Esta aplicación web le permite administrar sus bases de datos, generalmente ubicadas en la siguiente dirección: /mysite.com/phpmyadmin, se recomienda encarecidamente moverla (consulte con su host o subcontratación).

 

14- Mueve tu página de inicio de sesión

Con un plugin simple como WPS Hide Login , puede cambiar la URL de inicio de sesión de WordPress y así limitar los ataques «Brut Force» de los piratas informáticos.

 

15- Elija alojamiento especializado en WordPress

Deje que su proveedor de alojamiento web se encargue de la seguridad. Con un host de WordPress , su sitio está en buenas manos, ciertamente más caro que el compartido, este tipo de hosting mantiene, protege, repara y optimiza su sitio.

 

Vaya más lejos para proteger WordPress

En un sitio de WordPress, dos conceptos esenciales son pensar en el filtrado y la desinfección . Un usuario puede infiltrarse por múltiples medios y la codificación se utiliza para detectar piratería (cadenas de caracteres sospechosas, correos electrónicos incorrectos). Se utiliza una buena codificación para bloquear estos intentos de intrusión. La desinfección se realiza mediante un antivirus eficaz que escanea los agujeros de seguridad de su sitio.

Recuerde informarse periódicamente sobre las nuevas vulnerabilidades de seguridad. Son numerosos y estando atento, puede anticiparlos y estar siempre bien protegido. Recuerde ser constante en sus controles de seguridad, ya que nunca pueden estar 100% seguros.

Aquí hay algunos sitios para seguir las alertas y fallas detectadas:  Vigilance.fr  o incluso Blog.secupress.fr

 

Como beneficio adicional, encuentre a continuación 4 soluciones para fortalecer la seguridad de WordPress :

  • Cambiar su WordPress a HTTPS es la mejor manera de proteger los datos de sus usuarios y defenderse del robo de identidad. Los sitios protegidos a través de SSL también se benefician de una ventaja en cuanto a su referencia en las páginas de resultados de búsqueda.
  • Una forma indirecta de protegerse es camuflar su WordPress, para ello está el plugin HideMyWp . Este último mueve algunos directorios y oculta el hecho de que estás usando un WP. Tenga cuidado, sin embargo, su configuración puede ser peligrosa …
  • Finalmente, mi antivirus favorito: WordFence. Es  un plugin freemium, es decir que las opciones básicas son gratuitas y algunas reservadas para usuarios premium. Muy eficiente y potente, te invito a leer el tutorial completo de este antivirus para WordPress .
  • Finalmente, si para tu WordPress ya es demasiado tarde, mira nuestra guía: WordPress hackeado, ¿cómo reaccionar?

 

Finalmente y para concluir: Proteja su trabajo con contraseñas reales y seguras, haga copias de seguridad periódicas, instale un antivirus que escanee regularmente su sitio y sus archivos. Estos son importantes actos preventivos.

Crear un sitio de WordPress lleva tiempo, ¡merece estar protegido!