5 consejos de seguridad de WordPress que necesita implementar ahora mismo

Probablemente ya conozca las medidas de seguridad obvias que debe tomar para proteger su sitio web de WordPress.

Posiblemente sepa que debe hacer que la contraseña de su sitio sea “segura” (una combinación de caracteres especiales, letras mayúsculas, minúsculas y números). No debe usar «admin» como nombre de usuario y debe cambiar las contraseñas con frecuencia. Probablemente ya utilice la autenticación de dos factores en su sitio de WordPress y tenga una copia de seguridad de su sitio. Y nunca descarga complementos premium de forma gratuita o de fuentes desconocidas. Entonces, ¿qué más hay?

Aquí discutiremos algunos consejos más de seguridad de WordPress utilizando métodos poco conocidos, pero profundamente efectivos que puede y debe usar para proteger su sitio de WordPress.

1. Cambie el nombre o reubique su página de inicio de sesión

La página de inicio de sesión predeterminada para su sitio es “www.websitename.com/wp-login.php” (o “www.websitename.com/wp-admin”). Una de las formas de proteger su sitio es ocultar u ocultar la página de inicio de sesión para que los piratas no puedan encontrarla fácilmente. Controlar su acceso de inicio de sesión limitando el número de intentos de inicio de sesión cada vez y el intervalo de tiempo entre los intentos de inicio de sesión también mejoraría la seguridad.

Si ya tiene Jetpack instalado, puede activar su módulo de «Protección de fuerza bruta». Con este módulo activado, Jetpack actualizará Dashboad con el número de intentos de inicio de sesión maliciosos en su sitio web. También tiene la opción de incluir en la lista blanca varias direcciones IP. Desde Jetpack, vaya a «Configuración» y luego a «Proteger», seguido de «Configurar», y verá lo que se parece a la imagen de abajo.

Cerber Security and Limit Login Attempt es un complemento alternativo a Jetpack. Si prefiere no usar Jetpack, Limitar el inicio de sesión es una opción. A la fecha de redacción, el complemento se ha instalado más de 40.000 veces y mantiene una reputación casi prístina, ya que 108 de 111 usuarios lo calificaron con cinco estrellas.

Limitar el inicio de sesión es bastante fácil de usar, pero configurar su sección «Endurecimiento» mejora la seguridad de su sitio. Todo el acceso al servidor XML-RPC, que incluye trackbacks y pingbacks, está bloqueado de forma predeterminada. Si por alguna razón estaría accediendo a la API de descanso de WordPress (por ejemplo, la aplicación de Android o iOS de su blog lo necesita), deje que WP API de descanso y XML-RPC sean accesibles.

2. Aloja donde sea seguro

Dado que un enorme cuarenta y uno por ciento de las violaciones de seguridad de los sitios de WordPress se originan en el extremo del host y no en el sitio en sí, es de sentido común asegurarse de que su host sea seguro. De hecho, el alojamiento tiene el mayor peso cuando se trata de seguridad. Solo el ocho por ciento de los hacks ocurren debido a contraseñas débiles, el veintinueve por ciento debido al tema y el veintidós por ciento debido a complementos. Entonces, aproximadamente la mitad de la seguridad de su sitio depende del alojamiento.

Asegúrese de que su cuenta incluya el aislamiento de la cuenta si usa alojamiento compartido. Su cuenta estará protegida de lo que suceda en los sitios web de otras personas. Sin embargo, es mejor que utilice un servicio diseñado pensando en los usuarios de WordPress. Dichos servicios incluirían firewall de WordPress, protección contra ataques de malware de día cero, MySQL y PHP actualizados, servidores de WordPress especializados y un servicio de atención al cliente experto en WordPress. Hosts como WP Engine , Siteground y Pagely tienen un sólido historial de seguridad.

3. Manténgase actualizado y use solo software actualizado

Sabe que tiene que usar un antivirus actualizado y otra protección antimalware relevante para su computadora. Esta precaución también se aplica a los complementos y temas. Manténgalos actualizados y, si tiene temas o complementos en su repositorio que no están en uso, elimínelos. Si es adecuado para su sitio, considere configurar sus complementos y temas para que se actualicen automáticamente. Para configurar actualizaciones automáticas, ingrese un código en su wp-config.php. El siguiente es el código para complementos:

Y para temas, use este código:

Si desea un enfoque de no intervención para el mantenimiento del sitio, puede considerar automatizar las actualizaciones de WordPress. Sin embargo, tenga en cuenta que configurar una actualización automática puede dañar su sitio, especialmente si se ejecutan en su sitio complementos incompatibles con la última actualización de WordPress. Para configurar una actualización automática para su sitio de WordPress, inserte el siguiente código en su archivo wp-config.php :

4. Elimina el editor de temas del complemento y los informes de errores de PHP.

Deshabilite su editor incorporado para complementos y temas si no modifica y cambia la configuración de forma rutinaria (o ejecuta cualquier otro mantenimiento en sus complementos y temas). Esto es por la seguridad de su sitio web.

Los usuarios autorizados de WordPress tienen acceso a este editor, lo que hace que su sitio sea vulnerable a una violación de seguridad si sus cuentas son pirateadas. De hecho, los piratas informáticos pueden destruir su sitio modificando el código en ese editor. Para deshabilitar el editor, inserte el siguiente código en su wp-config.php :

Los informes de errores son buenos. Le ayuda a solucionar problemas. El único problema (y es un gran problema) es que los mensajes de error también llevan consigo la ruta del servidor. Los piratas informáticos podrían mirar la ruta de su servidor y obtener fácilmente una comprensión clara de la estructura de su sitio web. Aunque el informe de errores de PHP es bueno, MEJOR está deshabilitado por completo. Use el fragmento de código a continuación para su archivo wp-config.php :

5. Utilice .htaccess para proteger archivos con fines especiales

El archivo .htaccess es importante porque es el corazón de su sitio web de WordPress. Este archivo es responsable de la estructura y seguridad de los enlaces permanentes de su sitio. Fuera de las etiquetas #BEGIN WordPressy #END WordPress, no hay límite para la cantidad de fragmentos de código que puede agregar a su archivo .htaccess para cambiar la visibilidad de los archivos dentro del directorio de su sitio web.

Si aún no lo ha hecho, oculte el archivo wp-config.php de su sitio. Ese archivo es fundamental para las actividades de su sitio y contiene su información personal, así como otros detalles importantes relevantes para su sitio. Puede utilizar el fragmento de código a continuación para ocultarlo.

Para restringir el acceso de administrador, simplemente cree un nuevo archivo .htaccess y cárguelo en su directorio «wp-admin». Luego, inserte este código:

Ingrese su dirección IP en el lugar correcto. Para permitir el acceso a su wp-admin desde múltiples direcciones IP, enumere esas direcciones IP, cada una de ellas en una línea separada, como allow from IP Address. Puede restringir el acceso a su wp-login.php casi de la misma manera. Simplemente agregue este fragmento de código en su .htaccess:

Si prefiere no bloquear todas las direcciones IP, solo direcciones IP específicas que desean obtener acceso a su wp-admin o wp-login.php, puede bloquear direcciones IP individuales usando este código:

También puede impedir que las personas vean el directorio de su sitio haciendo que no se pueda navegar. Puede utilizar este fragmento de código para hacer eso:

Conclusión

Esta ha sido una guía útil para ayudarlo a mejorar la seguridad de su sitio web de WordPress. La más importante de estas opciones es una que es bastante simple de implementar ahora: encuentre un host con una reputación impecable de seguridad, ya que la mitad de la seguridad de su sitio reside en su host.

¿Qué consejo de seguridad te resultó más útil y por qué? ¿Tiene otros consejos de seguridad que no se enumeran aquí? Menciónelo (o ellos) en los comentarios.

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario