Cómo asegurar su blog de WordPress, consejos útiles para cualquier usuario

Siempre es diversión y juegos hasta que no puedas iniciar sesión en tu amado sitio web de WordPress porque los malos se hicieron cargo. Toda la diversión y los juegos hasta que alguien sea pirateado, pierda el acceso al panel de administración de WordPress y se desate el infierno..


Tus estados de ánimo reciben el primer golpe. Se humedecen rápidamente cuando descubres que has sido destronado. Es doloroso y frustrante, por decir lo menos, porque, bueno, un tipo por ahí está jugando con su medio de vida, entrometiéndose en su negocio y escupiendo en su cara..

Y vaya a entrar en acción, tratando frenéticamente de restablecer su sitio de WordPress, de ahí su negocio, a su antigua gloria. Confía en mí, no quieres ser hackeado, nadie lo hace. Pero aún así, les sucede a todos y cada uno de los días.

Sin embargo, siempre tenemos sus mejores intereses en mente, y como tal, hemos reunido varias medidas que puede usar para reforzar la seguridad de WordPress y reducir las posibilidades de alojar invitados no invitados.

Con estas mejores prácticas de seguridad de WordPress, queremos que tenga el más seguro de los sitios de WordPress. Haremos todo lo posible para desglosar los puntos, pero si necesita ayuda con algo, haga sus preguntas y / o comparta su opinión en los comentarios..

Fuera del camino, fortalezcamos su sitio de WordPress.

Comience con un alojamiento de WordPress de calidad

Elegir un plan de alojamiento

Seguramente, no puede esperar una seguridad de primer nivel de un proveedor de alojamiento web que cobra un dólar por mes. Todos hemos visto esos planes de alojamiento de “lo tenemos todo por un centavo”. Esos planes turbios de empresas de hospedaje turbios que prometen el cielo por tan solo $ 2 a $ 4 dólares al mes. Oh, ¿no son tan atractivos??

Son principalmente paquetes de alojamiento compartido que tendrán su sitio web, por lo tanto, su negocio, viviendo en el mismo servidor con un millón y otro de sitios. Todo tipo de sitios, buenos y malos. Por lo general, son menos seguros en comparación con el alojamiento administrado de WordPress que cuesta alrededor de $ 30 al mes.

Si o / y uno de los sitios web se ve comprometido, usted también corre un mayor riesgo de verse comprometido. De hecho, se verá comprometido incluso si está tan atento como el próximo. La única forma de mitigar los ataques relacionados con el host web es ir con un host de confianza y un plan de alojamiento seguro desde el principio.

Elegir el mejor alojamiento de WordPress para su negocio no tiene por qué ser un desafío, teniendo en cuenta que solo hay algunos factores a tener en cuenta. Incluyen costo, calidad de soporte, políticas sobre copias de seguridad y gestión de datos, actualizaciones del servidor y el software y todo lo demás..

Consulte el artículo vinculado en el párrafo anterior y tenga ganas de elegir un elegante host de WordPress basado en características de seguridad, entre otras cosas. Si desea omitir la investigación y pasar directamente a alojar su blog de WordPress en servidores seguros, usamos, amamos y recomendamos WPEngine. Proporcionan alojamiento de WordPress de primer nivel lleno de opciones de seguridad que te dejarán boquiabierto. Todo a un buen precio. Media Temple y Siteground son otras excelentes opciones de alojamiento de WordPress también.

El alojamiento compartido de Bluehost también es una excelente opción para los principiantes que prueban las aguas, pero si necesita un alojamiento seguro para su sitio de WordPress, deberá actualizar el paquete de alojamiento compartido a uno de los otros paquetes.

¿Por qué es tan importante tu anfitrión? Me han pirateado tres veces (sí, tres veces) en su paquete compartido. Bueno, en parte fue mi culpa, ya que había descuidado los sitios de las víctimas, lo que les dio a los piratas informáticos un día de campo para jugar como quisieran. Desde entonces, eliminé esos sitios ya que eran riesgos potenciales para otros sitios web en ese servidor en particular (quédese ya que mencionaremos una o dos cosas sobre cómo descuidar su sitio puede conducir a desagradables insinuaciones con la escoria de Internet, también conocidos como piratas informáticos). enfocado; preste atención o pagará con su sitio).

Volviendo a elegir un alojamiento de WordPress de alta calidad, ¿cómo lo haces? Una simple llamada telefónica a su proveedor de alojamiento web de elección debería ser suficiente. Debe intentar ver si ejecutan los últimos servidores. Pregunte sobre las versiones de sus servidores, la seguridad de dichos servidores y el software que ejecutan en estos servidores.

Luego realice una búsqueda rápida en Google para verificar (o confirmar) las fechas de lanzamiento del software del servidor. Esto debería darle una idea de si están ejecutando o no el último software. También lo ayudará a determinar con qué frecuencia actualizan sus servidores. Si pasan largos períodos sin actualizaciones, no debe confiar en ellos con su negocio en línea.

Esté atento y haga otras preguntas relacionadas y nunca se detenga hasta que esté satisfecho de que el suyo es el proveedor de alojamiento web más seguro que el dinero puede comprar.

Haga heno mientras brilla el sol y esté preparado

Llave de computadora de respaldo en azul para archivar y almacenar

Llave de computadora de respaldo en azul para archivar y almacenar

Si bien es posible que no impida que los malos entren en su blog de WordPress o en su tienda en línea, la preparación puede disminuir el impacto del ataque. Estoy hablando de copias de seguridad de datos aquí mi amigo; copias de seguridad periódicas que lo protegerán de perder datos importantes.

Una copia de seguridad le brinda tranquilidad para que pueda dormir mejor por la noche. Una copia de seguridad es la solución rápida que desea cuando las cosas salen mal. Cuando su increíble sitio de recetas comienza a vender Viagra en todas las páginas, solo puede contar con una copia de seguridad para recuperarse de tal ataque.

Debe intentar hacer una copia de seguridad de toda su instalación de WordPress; archivos principales, bases de datos y todo lo demás. Los expertos recomiendan además cifrar sus copias de seguridad y almacenar una copia de las mismas en medios de solo lectura..

Puede programar fácilmente copias de seguridad diarias o aprovechar herramientas como MySQL Workbench, Copia de seguridad de la base de datos de WordPress (WP-DB-Backup) y BackWPup entre otros. También puedes aprender más:

Complementos de WordPress

Justo el otro día, Ryan Dewhurst de WPScan descubierto (y reportado) Una vulnerabilidad de inyección SQL ciega en WordPress SEO por Yoast. Ahora, WordPress SEO by Yoast es un plugin de SEO popular, con más de un millón de instalaciones activas. Esto significa que si un hacker explotara este agujero de seguridad, habría tenido más de un millón de sitios de WordPress a su merced. Un millón de sitios web más!

Oh no, por favor, no te alarmes. Yoast lanzó una solución de seguridad el mismo día en que se descubrió la vulnerabilidad. Sin embargo, solo hay un problema. A diferencia de WordPress, los complementos no se actualizan automáticamente, lo que significa que aún eres vulnerable si no has actualizado a la última versión de WordPress SEO.

También podría argumentar que no sabía nada sobre esto, pero los piratas informáticos tienen todos los detalles ya que la información es de dominio público, donde está disponible para todos. ¿Que diablos estas esperando? Presione ese botón de actualización ya. Actualice todos sus otros complementos también.

Aún en este negocio de complementos de WordPress, solo debe comprar o descargar complementos de WordPress de fuentes confiables. Para estar seguro, obtenga sus complementos de la extensa Repositorio de plugins de WordPress o de proveedores acreditados como CodeCanyon.

Hay hackers que se harán pasar por desarrolladores legítimos de complementos en un intento por servirle complementos que están alineados con código malicioso. No caigas en sus trucos baratos, obtén tus complementos de sitios web confiables. Además, no deje complementos inactivos por ahí: elimine todos los complementos no utilizados porque son un punto de entrada favorito para los piratas informáticos. Sí lo son, incluso cuando están desactivados.

Por cierto, a menos que esté con los gustos de WPEngine y Siteground, no cuente con su proveedor de alojamiento web para mantenerse a salvo en lo que respecta a las vulnerabilidades de los complementos: asuma la responsabilidad y muerda la bala.

Temas de WordPress

Si los piratas informáticos no se abren paso a través de complementos obsoletos, comprometidos o mal codificados, encontrarán lagunas en sus temas. De hecho, la mayoría de los ataques ocurren a través de temas y complementos, así que sí, debes estar más atento aquí.

En primer lugar, al igual que con los complementos de WordPress, no puede darse el lujo de elegir temas desde cualquier lugar. Capturará un virus, malware o algo peor y luego llorará cuando sh * t llegue al ventilador.

Si está operando con un presupuesto muy ajustado o recién comenzando, puede consultar algunos de nuestros temas de WordPress gratuitos pero codificados profesionalmente o los miles de temas gratis en WordPress.org. Actualmente, uso el tema elegante gratuito de nuestro propio establo, y ha estado haciendo maravillas. ¿Ver? No predicar agua y beber vino aquí ��

En temas premium, un gran tema te costará $ 60 dólares más o menos en algunos de los mejores mercados temáticos como Elegant Themes y Themeforest. Obtiene un excelente producto, soporte de primera categoría y actualizaciones de seguridad, entre otras cosas. Si necesita apuntar en la dirección correcta, me encantaría recomendar el elegante tema Total WordPress que es nada menos que hermoso y seguro.

Debes esforzarte por mantener tus temas actualizados en todo momento para evitar problemas. Dicho esto, elimine todos los temas no utilizados por razones obvias.

Si tienes algo más de verde para gastar o eres un desarrollador de WordPress, puedes buscar crear tus propios temas personalizados. Este es el único medio seguro, aunque costoso, de obtener temas seguros de WordPress.

Por supuesto, usted (o su desarrollador) debe seguir los mejores estándares de codificación web y actualizar los temas si es necesario. Si contrata a un desarrollador web para crear un tema, primero asegúrese de que tenga buena reputación. También puede verificar si su tema cumple con los últimos estándares de tema de WordPress utilizando un complemento como Comprobación de tema. Hacia adelante…

Actualizar WordPress

actualizaciones de wordpress

Siempre debe ejecutar su negocio en línea en la última versión de WordPress que es obvio. Debería pensar que es obvio que todos actualizarían WordPress regularmente, considerando que todos recibimos notificaciones en el tablero.

Sin embargo, este no es siempre el caso, ya que a menudo atraparás a emprendedores en línea que no actualizan a la última versión semanas e incluso meses después del lanzamiento de la actualización..

Siempre puede obtener el sabor oficial y más reciente de WordPress en WordPress.org. Se le advierte que no descargue o instale WordPress desde cualquier otro sitio web, ya que podría atrapar algo. Algo realmente malo como un hack de exploits de puerta trasera, o algún código JavaScript que carga basura y otros hacks en tu servidor. Simplemente no descargue WordPress desde ningún otro sitio que no sea WordPress.org.

Actualizar su instalación de WordPress es un trabajo fácil y sencillo, solo es cuestión de apuntar y hacer clic. Sin embargo, se le recomienda hacer una copia de seguridad de su sitio antes de cualquier actualización en caso de que algo se interrumpa en el proceso. Además de eso, perderá todos los cambios que haya realizado en los archivos principales, ya que el proceso de actualización afecta a todos los archivos y carpetas de WordPress.

La función de actualización automática se introdujo en WordPress 3.7 para encargarse de pequeñas correcciones de seguridad y facilitar todo el proceso de actualización tanto para los desarrolladores como para los usuarios finales. Ahora, solo necesita preocuparse por las actualizaciones de versiones principales, así que sí, su trabajo debería ser fácil. Solo necesita activar la actualización automática.

Actualiza, actualiza, actualiza o prepárate para arrepentirte, arrepentirte, arrepentirte.

Limpia tu computadora

Después de la secundaria hace unos diez años, trabajé brevemente en un cibercafé. Fue bastante interesante ya que conocí a tanta gente e hice mi entrada al mundo del marketing digital..

Pero no siempre fue divertido gracias a gusanos, troyanos, virus, malware, etc. Recuerdo que a veces tuve que cerrar el café por el día solo para formatear las computadoras. No importaba que tuviera programas antivirus instalados y funcionando en todas las computadoras. Pero yo divago.

Si algún hacker logra obtener un registrador de claves en su máquina como un troyano (lo que significa que el registrador de claves está oculto en otro programa para enmascarar el hecho de que el hacker está registrando cada pulsación de tecla en su PC), nunca protegerá su sitio web sin importar qué.

Su sitio será pirateado una y otra vez, ya que solo está proporcionando su información de inicio de sesión a los malos. Y como pueden ver todas sus pulsaciones de teclas, tendrán acceso a sus cuentas en línea, todas ellas. Habla de correo electrónico, Facebook, Twitter, YouTube, etc..

Ayudante de registradores clave, hay cosas peores en el lado oscuro de Internet. Por ejemplo:

En realidad, hay virus en la naturaleza que infectarán su computadora local, y luego buscarán conexiones FTP abiertas y cargarán automáticamente un archivo de hackeo a su servidor web utilizando esa conexión. – Brad Williams, Bloqueando WordPress

Las computadoras del cibercafé no son exactamente como quieres acceder a tu panel de administración de WordPress. Tal vez sea inevitable, pero siempre asegúrese de que todas las computadoras que use no tengan malware, virus y spyware. De lo contrario, le entregará a los piratas informáticos su información de inicio de sesión y más en bandeja de plata..

Asegúrese de que su sistema operativo y los programas en su computadora estén actualizados. Luego encienda sus firewalls y obtenga el mejor programa antivirus. Me cansé de formatear las computadoras todo el tiempo, así que hice un viaje para encontrar el mejor programa antivirus. Y lo encontré. Desde entonces, he usado y amado a Eset.

Además, manténgase alejado de los sitios no confiables, pero si debe hacerlo, por curiosidad, desactive todos los scripts, es decir, Java, JavaScript, Flash, etc.en su navegador. O simplemente no visites a esos sangrientos efin ‘ sitios.

Crear contraseñas más fuertes

restablecer-wordpress-contraseña

Es hora de la historia. Esta vez tomé un café demasiado y creé un sitio de WordPress que bauticé “creativamente” # YouCan’tHackThis. Creativamente está entre comillas porque estaba montando las olas de un café alto. Quizás había tomado una copa o dos antes del café; No puedo recordarlo. Creo muchos sitios web de WordPress solo por diversión.

Mi nombre de usuario era … espera … Deshackulture (culparemos al café) y mi contraseña era, bueno, no me acuerdo. Sin embargo, era una trampa, la contraseña, y por esta misma razón, nunca se mantuvo firme cuando una persona grosera de Internet (o cosita) llegó a la página de inicio de sesión con “fuerza bruta”.

En pocas palabras, mis defensas se derrumbaron y # YouCan’tHackThis cayó como los muros de Jericho. Google me envió el temido correo electrónico “Hacking Sospechoso” con una URL de muestra, y en una investigación adicional, encontré mucha basura.

El hacker tuvo la audacia de publicar una captura de pantalla de su escritorio en mi querido # YouCan’tHackThis como para burlarse de mí. Él / ella / eso tenía agallas, le digo, porque en la parte superior de la captura de pantalla, había páginas y páginas de contenido de relleno y pelusa que no tenían dirección.

Desplegué todo el sitio y reforcé la seguridad en mis otros sitios web. Instalé iThemes Security, y hoy todo lo que recibo son correos electrónicos de “Notificación de bloqueo del sitio”. Si alguien intenta forzar su entrada en cualquiera de mis sitios usando la fuerza bruta, ¡están bloqueados por un siglo! Sí, son 100 años en el hacker de basura. Jaja, me estoy dejando llevar.

notificación de bloqueo del sitio

Las contraseñas débiles te harán hackear. Del mismo modo, ese nombre de usuario de administrador que tanto te gusta facilitará a los hackers. Cree nombres de usuario personalizados al instalar WordPress y use el indicador de fortaleza al crear su contraseña. Eso debería ser suficiente, pero si desea hacer un esfuerzo adicional, debe verificar el 1 Contraseña y KeePass herramientas.

Informar vulnerabilidad de seguridad

Es su responsabilidad como usuario de WordPress informar una vulnerabilidad de seguridad tan pronto como la descubra..

Primero, es buen karma. En segundo lugar, lo que va, vuelve. En tercer lugar, si la vulnerabilidad está en un complemento o tema que usa, obtendrá actualizaciones de seguridad y un gran agradecimiento. Como resultado, su sitio no se ve comprometido y usted construye un buen representante mientras hace del mundo un lugar mejor.

Es nuestra responsabilidad colectiva como WordPressers señalar todos los agujeros de seguridad que encontramos. Después de todo, es por nuestro propio bien..

Apriete los permisos de archivo / carpeta

Ahora nos estamos metiendo en el grueso de la seguridad de WordPress. Como principiante absoluto, odiaría que te asustes. Lo sacudiré y lo serviré frío como a ti te gusta. Aquí vamos.

Si todos los Tom, Dick y Harry que obtienen acceso a su servidor pueden editar (también conocido como escribir en) sus archivos y carpetas, entonces hay muy poco que pueda hacer para detener el daño que se producirá.

Pero, ¿y si hicimos que ciertos archivos y carpetas solo puedan ser escritos por usted? Bueno, los hackers no sabrán qué hacer. Puede que se rompan bien, pero el daño que causarían cuando sus archivos no son editables / editables es mínimo. El bloqueo de sus permisos de archivos es una medida de seguridad que desea implementar, más aún si está en un plan de alojamiento compartido.

Pero, ¿cómo se lleva a cabo este negocio de permisos de archivos / carpetas? Aquí hay un posible esquema a seguir:

  • Todos los archivos de la carpeta raíz solo deben poder escribirse
  • / wp-admin /: solo usted puede escribir en todos los archivos
  • / wp-includes /: todos los archivos solo deben poder escribirse
  • / wp-content / themes: usted y el servidor web deben poder escribir todos los archivos
  • / wp-content / plugins: todos los archivos deben poder escribirse

¿Cómo se configuran los permisos de archivo / carpeta??

Para satisfacer el esquema anterior, debe establecer permisos en 755 para carpetas y 644 para archivos. ¿Cómo? Esa es la parte más fácil. Puede usar su cliente FTP (como Filezilla) o iniciar sesión directamente en su Administrador de archivos a través de cPanel.

Usando FTP

Después de iniciar sesión en su servidor web a través de FTP, ubique el directorio / archivo en el que desea establecer los permisos, haga clic con el botón derecho en él y seleccione “Permisos de archivo”. En la pantalla emergente que aparece, seleccione los permisos que considere adecuados. La ventana emergente podría verse así:

file-permissions-popup-filezilla

Y aquí está la lista completa de permisos de archivos de 000 a 777.

file-permissions-full-list

Usando el Administrador de archivos

wordpress-security-bluehost-cpanel

Inicie sesión en su cPanel y navegue hasta el Administrador de archivos. Cuando eso se cargue, seleccione su directorio o archivo, y haga clic en “Cambiar permisos” en el menú en la parte superior. Alternativamente, puede seleccionar su carpeta o archivo, hacer clic derecho sobre él y seleccionar “Cambiar permisos” en el menú desplegable que aparece.

Aquí hay una guía:

wordpress-security-change-file-permissions

La opción de clic derecho …

wordpress-security-change-file-permissions-right-click

La ventana emergente “Cambiar permisos”:

ventana emergente wordpress-security-change-file-permissions-popups

¿Querer aprender más? Leer más sobre permisos de archivos aquí. Avanzando rápidamente …

Autenticación en dos pasos

La mejor manera de proteger sus activos en línea es hacer que sea increíblemente difícil para los malos iniciar sesión. Si puedes mantenerlos fuera, has ganado la mitad de la batalla. Aquí es donde entra la autenticación de dos pasos (o dos factores).

Cuando combina contraseñas seguras y autenticación de dos factores, agrega una capa de protección a su sitio web. Mejoras la seguridad de tu sitio de WordPress dos veces.

Y como tenemos complementos como Autenticador de Google, WordFence, Authy y Dúo, La implementación de la autenticación en dos pasos debería ser la medida de seguridad de WordPress más fácil que puede implementar en este momento.

Usar SSL

SSL es el acrónimo de Secure Sockets Layer, que es una forma estándar de establecer un enlace seguro y encriptado entre el servidor de un sitio web y el navegador de un usuario.

A veces, en lugar de tratar de romper las defensas de su sitio web, los piratas informáticos pueden decidir secuestrar los paquetes de datos que envía desde su navegador al servidor web. Cuando abren estos paquetes, acceden fácilmente a su información de inicio de sesión, etc..

¿Qué hacer? Debe utilizar el cifrado SSL que protege la privacidad e integridad de todos los datos que pasan entre su sitio web y el servidor. Esto es exactamente por qué encontrará todos los sitios principales que utilizan HTTPS en lugar de HTTP en sus dominios..

Es fácil de implementar y puede ahorrarle mucho tiempo y frustración. Simplemente consulte con su registrador de dominios o proveedor de alojamiento web, y ellos estarán encantados de instalar SSL por usted. Los certificados SSL también suelen ser baratos, por lo que puede ahorrar uno o dos dólares.

Deshabilitar cuentas de usuario no utilizadas

Piense en las cuentas de usuario en sus sitios de WordPress como asientos en un autobús. Si hay un asiento vacío, alguien se subirá. Si el asiento está ocupado o no existe, bueno, nadie tomará ese asiento en particular.

Si ha habilitado el registro de usuarios en su sitio web de WordPress, revise las cuentas de usuario de vez en cuando y elimine las cuentas no utilizadas y todas las cuentas creadas por spammers. Si dejas esto, solo estás pidiendo ser pirateado, y hackeado serás.

Alternativamente, puede deshabilitar el registro de usuario por completo yendo Configuración -> General y anule la selección de “Cualquiera puede registrarse” donde tiene Afiliación. Puede ver a todos los usuarios navegando a Usuarios -> Todos los usuarios en tu menú de administrador de WordPress.

Al mismo tiempo, puede limitar los permisos en nuevas cuentas de usuario. Puede hacerlo fácilmente navegando a Configuración -> General – Nuevo rol predeterminado del usuario y configurando la opción “Suscriptor”. Otros roles incluyen Colaborador, Autor, Editor y Administrador. Definitivamente no desea que los nuevos usuarios tengan privilegios de administrador. Lo mejor es asignar a los usuarios solo los privilegios que necesitan para hacer su trabajo.


Podría seguir y seguir, pero simplemente te abrumaré con mucha información, que definitivamente nunca es mi intención. Nos encantaría que tuvieras consejos prácticos que puedas comenzar a implementar en este momento, pero eso será un sueño si ahogo tu atención en una presa de factoides y demás. Entonces, aquí es donde tomo mi arco y dejo que las cortinas se cierren.

De vuelta a usted, comience a trabajar en las áreas que hemos mencionado ahora, porque cuanto más espere, más fácil será para los malos. Simplemente comience con un área y continúe desde allí, y si está atrapado o tiene dudas, envíe sus inquietudes a la sección de comentarios a continuación. O si tiene un consejo para agregar, háganos saber: lo estaremos esperando, y esa es una promesa solemne. Todos los mejores amigos!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map