Seguir estos sencillos consejos de seguridad de WordPress podría ayudar a salvar su sitio web


Cuando se trata de administrar su sitio web, nada es más importante que la seguridad.
Si tiene un negocio en Internet, ¡la seguridad de su instalación de WordPress debería estar en lo más alto de su lista de prioridades! Hay mucho que decir sobre este tema, pero he seleccionado algunos de los consejos más amplios y fáciles de ejecutar y los describí aquí. Si está buscando mejorar la seguridad, este es un excelente lugar para comenzar.

Prepárese para un día lluvioso con copias de seguridad

Su primera lección sobre seguridad debe ser saber que el panorama de la seguridad cambia constantemente y que nunca debe considerarse 100 % seguro. Incluso si está haciendo todo bien, siempre debe tener un plan de respaldo . Si su sitio web es importante para usted, entonces debe realizar copias de seguridad periódicas.
1. Copias de seguridad remotas del servidor : almacene siempre las copias de seguridad de forma remota. ¡Es una tontería almacenar copias de seguridad en su servidor de producción! Hay algunas formas muy sencillas de realizar copias de seguridad periódicas utilizando un software de servidor estándar, como WHM . También recomendaría R1Soft para copias de seguridad incrementales.
2. Copias de seguridad remotas de WordPress– Si una copia de seguridad diaria de todo el servidor no es una opción, lo mínimo que debe hacer es hacer una copia de seguridad de su base de datos de WordPress. Hay muchos complementos gratuitos y comerciales que pueden manejar esto por usted. Recomiendo encarecidamente usar uno que permita el almacenamiento remoto. Si tiene que usar FTP para la transferencia de archivos, use FTPS o SFTP. El FTP sin cifrar probablemente debería estar deshabilitado en su servidor de todos modos.
3. Use una matriz RAID redundante : debe usar un host que almacene su información en una matriz RAID redundante, como RAID 1 o RAID 10. Los discos duros fallan todo el tiempo, es simplemente una realidad del hardware. El uso de un RAID que refleje sus datos en varias unidades reducirá en gran medida el riesgo de pérdida de datos.

Asegurar su actividad en Internet

La buena seguridad de WordPress comienza en su propia casa. No solo su sitio web debe ser seguro, sino también los métodos en los que se conecta a él. Conectarse a su servidor o panel de WordPress de manera insegura pondrá todo en riesgo.
1. Use una red segura en el hogar : si está usando Wi-Fi en su hogar u oficina, le sugiero que configure una red WPA2 privada con un nombre y una frase de contraseña de red fuertes y generados aleatoriamente. Para una protección adicional, puede emplear métodos de » seguridad a través de la oscuridad «, como habilitar el filtrado de direcciones MAC .
2. Use una conexión VPN encriptada a través de wifi público– En términos generales, es mejor nunca iniciar sesión en un área confidencial como su panel de WordPress cuando está conectado a Internet a través de Wi-Fi público. Si está utilizando su computadora portátil o teléfono a través de una red pública, ejecute siempre su conexión a través de una VPN encriptada y asegúrese de iniciar sesión en su sitio web a través de SSL . Puede comprar una VPN en StrongVPN.com.

Protección de su computadora personal

Su red es segura, pero ¿qué pasa con su computadora física? Es increíblemente importante mantener su computadora libre de spyware, malware y virus.
1. Protección antivirus y cortafuegos : no tiene sentido tener contraseñas seguras si su computadora puede infectarse fácilmente con malware que puede acceder a su información confidencial y espiar su actividad en Internet. Asegúrese de que su computadora esté ejecutando un software confiable de Anti-Virus, Firewall y Malware. He tenido mucho éxito con Kaspersky y Malware Bytes . Ambos deben configurarse para actualizar y escanear automáticamente su computadora diariamente.

Protección de sus cuentas en línea

Puede estar haciendo todo bien, pero aun así ser pirateado por un ataque de fuerza bruta porque su contraseña es débil. También puede tener una contraseña segura, pero aun así ser pirateado porque la almacenó de manera insegura.
1. Generación de contraseña : cada inicio de sesión que use debe tener una contraseña aleatoria única con al menos 8 caracteres. Su contraseña debe incluir letras mayúsculas, números y caracteres especiales.
2. Almacene sus contraseñas de forma segura– Si tienes 20 contraseñas seguras aleatorias, ¿cómo las recuerdas? Si planea almacenar sus contraseñas en algún lugar al que pueda hacer referencia, hágalo de manera segura. Si está utilizando OSX, intente crear un nuevo llavero de autenticación y configure una nueva nota segura para cerrar sesión automáticamente después de 5 minutos. Si está utilizando Windows, intente crear un conjunto de archivos OneNote seguro para cerrar la sesión automáticamente después de 5 minutos también. También puede intentar usar servicios en línea como LastPass, o también puede encriptar sus propios archivos usando un software de encriptación como Truecrypt .
3. Restablezca sus contraseñas regularmente : sus contraseñas deben cambiarse regularmente. Lo mejor es configurar un recordatorio en su calendario para restablecer todas sus contraseñas cada uno o dos meses.

Evite esquemas de phishing e ingeniería social

A veces, ser pirateado no tiene nada que ver con su sitio web o su computadora, sino con sus comunicaciones inseguras. Estos tipos de ataques a menudo se denominan estafas de phishing o ingeniería social. La » estafa del príncipe nigeriano » es el ejemplo clásico de un esquema de phishing.
Tenga cuidado con los intentos de phishing– Comúnmente, los ataques de phishing llegan a través del correo electrónico. Suelen apuntar ciegamente a grandes empresas, como WordPress o empresas de hosting. Una simple búsqueda de Whois podría proporcionar información sobre su empresa de alojamiento, y una mirada a su sitio web revelará que está ejecutando WordPress. Un ataque fácil a un sitio web de este tipo sería hacerse pasar por un empleado de su empresa de alojamiento, advirtiéndole sobre un problema con sus instalaciones de WordPress y solicitando sus datos de inicio de sesión para que puedan solucionarlo. ¡No se deje engañar! Ninguna empresa respetable solicitará al azar sus credenciales de inicio de sesión. Los ataques de phishing a menudo enviarán correos electrónicos masivos como este a objetivos potenciales, con la esperanza de que algunas personas caigan en sus engaños.

Asegurar su instalación de WordPress

¡Apuesto a que te estabas preguntando cuándo finalmente íbamos a hablar de WordPress! Hay muchas buenas prácticas a las que puede suscribirse que ayudarán a mantener su instalación más segura. El códice de WordPress tiene una gran entrada sobre el endurecimiento de WordPress .
1. Actualice WordPress , temas y complementos : una de las cosas más importantes que puede hacer es mantener su software actualizado. Cada vez que haya una nueva versión de WordPress, o una nueva versión de uno de sus temas o complementos, actualícelos lo antes posible. Esto también se aplica a sus temas y complementos inactivos. Manténgalos actualizados, o si no planea usarlos en el corto plazo, elimínelos para que no se olvide de actualizarlos.
2. Actualice WordPress, temas y complementos : ¡en serio, hágalo!
3. Forzar SSL al iniciar sesión : si su servidor tiene un certificado SSL , puede usar https al iniciar sesión en su Panel de WordPress. Recomendaría forzar el inicio de sesión sobre SSL editando su archivo wp-config usando define(‘FORCE_SSL_ADMIN’, true); Esto ayudará a proteger su sitio web contra los ataques de Man In The Middle .
4. Cambiar el nombre de usuario del administrador : esto no debería ser un gran problema si está utilizando una contraseña realmente segura, pero, sin embargo, cambiar su nombre de usuario a algo inusual hace que los ataques de fuerza bruta tengan muchas menos probabilidades de éxito. Puede cambiar su inicio de sesión de administrador creando un nuevo administrador a través de Agregar nuevo»>Usuarios> Agregar nuevopestaña en wp-admin. Una vez creado, puede eliminar el usuario predeterminado.
5. Realice escaneos diarios de malware : lo ideal es que no lo pirateen si está ejecutando su sitio web de forma segura, pero como se mencionó al comienzo de este artículo, es imposible estar 100% seguro. Ejecutar escaneos diarios de malware puede ayudarlo a notificar si un pirata informático ha explotado con éxito su sitio web para hacer algo malicioso al detectar código sospechoso en la interfaz. Sucuri es una excelente opción, especialmente considerando que se han alineado con la comunidad de WordPress un poco más que la compañía de seguridad promedio.
6. Limite los intentos de inicio de sesión– Si tiene una contraseña segura y un nombre de usuario de administrador, entonces debería estar bastante seguro contra los ataques de inicio de sesión de fuerza bruta. Sin embargo, por si acaso, también puede limitar los intentos de inicio de sesión. Hay un gran plugin que hará el trabajo por ti.
7. Deshabilite la edición de archivos administrativos : en el desafortunado caso de que alguien obtenga acceso a su Panel de WordPress, debe intentar limitar los recursos que tienen para hacer daño. Usar el Editor de WordPress para modificar los archivos PHP de su tema es una manera fácil de ejecutar código malicioso en su sitio y permitir que el hacker haga lo que quiera con su sitio web. Estas capacidades de edición se pueden desactivar en su archivo wp-config usando define(‘DISALLOW_FILE_EDIT’, true);
8. Usa complementos de seguridad– Existen algunos complementos de seguridad excelentes que harán gran parte del trabajo por usted cuando se trata de fortalecer su instalación de WordPress. Le daría una oportunidad a WP Better Security : ayuda a manejar la mayoría de las cosas mencionadas aquí, y más.