Lista de verificación de seguridad simple para sitios de WordPress

Lista de verificación de seguridad simple para sitios de WordPress

¿Sabía que más de 100.000 sitios web son pirateados diariamente? Así es, el cibercrimen es una seria amenaza para cualquier empresa, y cualquiera con un sitio de WordPress tampoco está seguro. He tenido un encuentro con hackers (y tuve que recuperar mi sitio de WordPress), y probablemente sepas que era feo.


Los hackers están buscando activamente sitios web vulnerables para romper y robar datos que puedan liberar para obtener ganancias monetarias o pura intención maliciosa. Para protegerte a ti mismo y a tu valioso sitio, debes considerar seriamente fortalecer tu seguridad de WordPress.

Teniendo en cuenta que perderá ingresos, tiempo y esfuerzo cuando los piratas informáticos ingresen a su sitio web, hemos creado la siguiente lista de verificación de seguridad que puede usar para proteger su sitio web de WordPress. Todos los elementos de seguridad en la publicación son relativamente fáciles de implementar, incluso para los novatos:

Como puede ver, dividiremos la publicación en varias partes que abarcarán todo, desde elegir un host seguro hasta fortalecer su área de administración y otras. Deberá repetir algunas tareas de seguridad, como actualizar sus temas regularmente. Otras tareas son únicas, pero aún tienen un impacto significativo en mantener su sitio seguro. Comprueba lo que necesitas arreglar y hazlo de inmediato porque los hackers tampoco pierden el tiempo.

Lista de verificación de seguridad simple de WordPress

1. Actualizar WordPress

El núcleo de WordPress se audita y verifica regularmente para detectar vulnerabilidades de seguridad. Si se detectan fallas y errores de seguridad, los desarrolladores principales generalmente lanzan actualizaciones de mantenimiento. Las actualizaciones menores se instalan en su sitio web de WordPress automáticamente.

Sin embargo, deberá actualizar WordPress manualmente para todas las versiones principales. Es un proceso relativamente sencillo ya que recibe un mensaje molesto en su administrador de WordPress. Solo el 22% de los sitios web se ejecutan con la última versión de WordPress, lo cual es triste considerando lo fácil que es actualizar.

No se encuentre en el 78% restante ya que esencialmente está exponiendo su sitio a todo tipo de ataques al no actualizar su sitio web. Por lo general, los piratas informáticos son el primer grupo de personas en conocer las vulnerabilidades en las versiones anteriores, ya que cuentan con las fallas para lanzar ataques exitosos..

Antes de actualizar WordPress, recomendamos leer las notas de la versión para ver qué ha cambiado y hacer una copia de seguridad de su sitio web (solo para estar seguro). De esta manera, ahora qué esperar cuando hace clic en ese botón de actualización, y tiene un sistema de seguridad en caso de que algo salga mal.

2. Actualizar temas y complementos

Mientras actualiza el núcleo de WordPress, no olvide actualizar sus temas y complementos también. Los hackers son particularmente aficionados a los viejos temas y complementos con agujeros de seguridad conocidos.

Explotan estas vulnerabilidades de seguridad e incluso pueden ocultar una puerta trasera en un tema o complemento antiguo. Si no actualiza, pueden hackear su sitio web cuando lo desee..

Para evitar perder sus estilos personalizados, recomendamos utilizar un tema secundario de WordPress en lugar del tema principal. De esa manera, no perderá sus personalizaciones cuando actualice su tema.

También debería eliminar los temas inactivos, complementos e instalaciones de WordPress no utilizadas. No solo ahorrará ancho de banda y hará que su sitio web sea más rápido, sino que también mantendrá a raya a los hackers.

Otra nota rápida, nunca descargue temas y complementos premium “anulados”. Vaya solo con fuentes confiables como WordPress.org, Envato u otra tienda temática de buena reputación..

3. Utilice contraseñas únicas y seguras

Te sorprenderá saber que la mayoría de los sitios web son pirateados cuando los malos roban tu información de inicio de sesión. Además, los ataques de fuerza bruta son bastante comunes e implican bombardear su página de inicio de sesión con miles de combinaciones de nombre de usuario y contraseña hasta que algo ceda.

Si usa nombres de usuario y contraseñas débiles (como el infame “admin” o “12345”), está haciendo que sea muy fácil para los hackers ingresar a su sitio web. Acostúmbrate a crear contraseñas únicas y seguras que cambies regularmente. Incluso puede usar un generador en línea gratuito, como este de Ultimo pase.

Administrar muchas contraseñas seguras puede ser un problema. Para ayudar, a menudo confío en administradores de contraseñas como 1Password o LastPass, entre otros. No reutilice la misma contraseña en varios sitios web y mantenga siempre segura su información de inicio de sesión. Asegúrese de que sus usuarios de WordPress también usen contraseñas seguras.

Mientras lo hace, recuerde usar contraseñas seguras para su correo electrónico, cPanel, bases de datos MySQL y cuentas FTP también.

4. Instale un complemento de seguridad de WordPress

Cada vez que creo un nuevo sitio web de WordPress, generalmente tengo varios complementos de facto que instalo casi automáticamente. Obtengo un complemento antispam, Formulario de contacto 7, Symple Shortcodes e iThemes Security, mi complemento de seguridad de WordPress..

El complemento me permite fortalecer mis defensas de WordPress sin sudar. Viene con tantas características que hacen que mantener a los malos fuera de mis sitios web sea muy fácil. Configurar el complemento es súper fácil; deberías estar en funcionamiento en poco tiempo.

Los mejores complementos de seguridad de WordPress le ofrecen diferentes funciones, así que asegúrese de verificar antes de instalar para asegurarse de que obtiene todas las funciones que necesita para proteger todo su sitio web, sin importar cuán únicas sean. Las características estándar incluyen escaneo de malware, bloqueo de IP, prevención de fuerza bruta, autenticación de dos factores y mucho más: marcar muchas de las casillas de esta lista de verificación de seguridad que está leyendo en este momento!

5. Elija un gran alojamiento de WordPress

Por lo general, los principiantes buscan el primer paquete de alojamiento barato que encuentran. No lo sostendría en su contra, ya que no lo sabe mejor, pero el alojamiento compartido cuestionablemente barato (o incluso gratuito) puede exponerlo a riesgos de seguridad. Sé esto a ciencia cierta porque he sido hackeado en dos compañías de alojamiento diferentes que ofrecen alojamiento compartido.

El alojamiento compartido implica compartir un servidor con miles de otros sitios web. Esto aumenta el riesgo de contaminación entre sitios. Es decir, un hacker puede obtener acceso a su sitio incluso si el sitio web de otra persona fue el punto de ataque original.

El alojamiento administrado de WordPress, por otro lado, se centra solo en sitios web de WordPress. No comparte un servidor con otros, y obtiene más opciones de seguridad para mantenerse seguro. También ofrecen soporte dedicado y más opciones de recuperación en caso de que ocurra lo peor.

Si debe utilizar el alojamiento compartido, digamos que está comenzando con un blog que aún no genera dinero, asegúrese de que los sitios estén aislados o “encarcelados”. Si está ejecutando un sitio web comercial o de comercio electrónico, vale la pena usar el mejor alojamiento de WordPress que pueda ajustar a su presupuesto desde el primer momento, como VPS, hosting dedicado o administrado de WordPress.

6. Use SSL (HTTPS)

Hoy en día, muchas empresas de alojamiento de WordPress ofrecen certificados SSL gratuitos desde el primer momento y por una buena razón. Los certificados SSL hacen que su sitio web sea más seguro que los sitios sin SSL. Google también recomienda el uso de certificados SSL para proteger los datos en su sitio web (y asegurarse de que los usuarios sepan si usa SSL o no).

HTTPS es más seguro que su predecesor HTTP. Un sitio web que utiliza HTTPS cifra todos los datos que se mueven entre el navegador del usuario y sus servidores. Si un hacker intercepta la comunicación, solo encontrará datos encriptados que sean tan útiles como un hombre con una sola pierna en una competencia de patear traseros ��

Instalar certificados SSL en la mayoría de los servidores web es tan fácil como A, B, C. La mayoría ofrece instaladores con un solo clic que facilitan todo el proceso. Simplemente inicie sesión en su cPanel y haga clic en un solo botón para instalar y administrar sus certificados SSL. Si desea un enfoque más práctico, considere revisar Let’s Encrypt.

7. Crear una copia de seguridad completa del sitio

Cuando los hackers me destronaron, tuve que reconstruir mis sitios web desde cero, un dolor de cabeza que habría evitado si hubiera recordado de manera confiable hacer una copia de seguridad de WordPress.

Pero no, las copias de seguridad que estaban con mi servidor web se dañaron durante el ataque, y no, no tenía una solución de copia de seguridad secundaria. Un caso clásico de poner todos tus huevos en una canasta que me enseñó una lección difícil.

Hoy en día, creo copias de seguridad completas del sitio web que incluyen mis archivos y bases de datos. Yo uso principalmente ManageWP, pero también uso el Complemento duplicador para almacenar copias de seguridad en mi computadora y en Google Drive.

Le insto a crear copias de seguridad completas regularmente. Muchas soluciones de respaldo de WordPress le permiten automatizar todo el proceso, ahorrándole tiempo y dándole tranquilidad.

8. Use un firewall de aplicaciones web (WAF)

Para agregar una capa adicional de seguridad a su sitio de WordPress y dormir mejor por la noche, habilite un firewall de aplicación web (WAF). Un WAF protege su sitio web al bloquear el tráfico malicioso mucho antes de que llegue a su sitio. Es una medida proactiva para detener a los malos antes de que causen algún daño..

El cortafuegos filtra el tráfico entrante, elimina a los piratas informáticos y deja pasar a los usuarios legítimos. Muchas compañías de seguridad de WordPress ofrecen firewalls de aplicaciones web junto con otras funciones. Las opciones populares en la industria incluyen Sucuri y Flama de nube.

9. Desactiva la edición de archivos en WordPress Admin

El CMS de WordPress viene con un fantástico editor de código que le permite editar archivos de plugins y temas dentro de su panel de administración de WordPress. El editor de código es una gran herramienta para tener a su disposición, pero en manos equivocadas, los hackers pueden usarlo para desfigurar o agregar malware en su sitio web.

Siempre puede editar sus archivos de tema y complementos (si es necesario) a través de FTP o administrador de archivos en cPanel, lo que significa que puede desactivar por completo el editor de código en WordPress. No desea que los hackers que obtienen acceso a su área de administración de WordPress tengan acceso al editor de código, porque pueden causar mucho daño con unas pocas líneas de código..

¿Qué hacer? Puede deshabilitar el editor de código incorporado usando el programa gratuito Seguridad Sucuri enchufar. Alternativamente, puede agregar el siguiente código a su wp-config.php archivo:

// No permitir la edición de archivos
define ('DISALLOW_FILE_EDIT', verdadero);

Estamos avanzando.

10. Asegure su página de inicio de sesión

Por lo general, el formulario de inicio de sesión en su WordPress tiene dos campos; nombre de usuario y contraseña. Con los atacantes de fuerza bruta y los robots cada vez más inteligentes, ¿cómo evitas que los piratas informáticos tengan acceso a tu área de administración de WordPress? Es simple; agrega CAPTCHA o preguntas de seguridad que hacen que sea más difícil para cualquier persona obtener acceso no autorizado.

Y no tiene que editar código para agregar CAPTCHA o preguntas de seguridad a su página de inicio de sesión. Hay un complemento popular de WordPress conocido como Pregunta de seguridad de WP eso es fácil de configurar y usar. Si desea usar CAPTCHA, puede usar Captcha de inicio de sesión simple, WordFence, o una de las muchas otras opciones disponibles gratis en WordPress.org.

Al mismo tiempo, puedes cambie su URL de inicio de sesión de wp a algo único De esa manera, los bots y los piratas informáticos tendrán dificultades para adivinar la URL de su página de inicio de sesión. wp-login ya es popular entre los hackers, por lo que tiene mucho sentido cambiar la URL a otra cosa. Puedes usar un complemento como WPS Ocultar inicio de sesión.

11. Agregar autenticación

Además, considere implementar la autenticación de dos factores y de múltiples factores. En caso de que un hacker tenga acceso a sus datos de inicio de sesión, no podrá iniciar sesión en su sitio de WordPress. Hay muchas opciones disponibles, pero Autenticador de Google es una opción popular.

Aparte de eso, limite los inicios de sesión en su página de inicio de sesión. Si un visitante está intentando iniciar sesión con una cuenta que no existe o está intentando volver a iniciar sesión muchas veces, lo más probable es que sea un hacker o un robot que intente ingresar por la fuerza bruta. Puede usar un complemento como Limitar los intentos de inicio de sesión o Bloqueo de inicio de sesión para mantener alejados estos elementos intrusivos.

12. Cerrar sesión usuarios inactivos

Cuando tiene un sitio web de WordPress multiusuario, no puede controlar completamente cómo o dónde los usuarios acceden a su sitio web. Un autor podría decidir usar Wi-Fi público gratuito para hacer toques finales en un artículo. Un diseñador web puede abandonar su escritorio y regresar de una hora de almuerzo.

En tales escenarios, su usuario puede exponer su sitio web a riesgos de seguridad sin saberlo. Una persona malintencionada podría hacerse cargo de su sesión, editar sus detalles y simplemente causar estragos. Si la parte no autorizada sabe lo que está haciendo, puede hacerse cargo fácilmente de la cuenta del usuario y causar daños..

¿Qué hacer? Puede cerrar la sesión de usuarios inactivos automáticamente después de un período predefinido. ¿Y la mejor parte? Hay complementos para este propósito exacto. Una opción popular es la Cierre de sesión inactivo Plugin que incluye opciones para personalizar el tiempo de inactividad antes del cierre de sesión, mensaje emergente personalizado o redirigir al cerrar sesión y el tiempo de espera de acuerdo con el rol del usuario.

13. Analizar en busca de malware y problemas (regularmente)

A menudo olvidado, escanear su sitio web de WordPress regularmente puede ayudarlo a identificar problemas de seguridad desde el principio. Un pirata informático tarda solo un segundo en ingresar a su sitio web y hacer todo tipo de cosas desagradables. Esta es precisamente la razón por la que debes estar al tanto de las cosas en todo momento.

Muchos complementos de seguridad de WordPress para buscar infecciones de malware, vulnerabilidades de seguridad conocidas, scripts obsoletos, ataques de fuerza bruta, copias de seguridad inexistentes, etc. Los complementos le envían informes detallados sobre problemas conocidos, para que pueda solucionarlos o contratar a un profesional.

Hay muchos escáneres de sitios web, como Sucuri SiteCheck, que puedes usar para revisar tu sitio en un instante. Todo lo que tiene que hacer es ingresar su URL, y las herramientas verificarán su sitio web automáticamente. Después de eso, le ofrecen un informe sobre lo que necesita arreglar. Una vez que tenga el informe, repare todas las vulnerabilidades de seguridad de inmediato.

14. Use una VPN

Si ejecuta un sitio web que contiene información confidencial que nunca debe estar en manos de los piratas informáticos, considere usar una red privada virtual (VPN), más aún cuando use Wi-Fi público gratuito. Una VPN lo protege de ataques de hombre en el medio que son comunes en las redes públicas, incluso en el hogar y el trabajo..

Una red privada virtual asegura que, incluso si los atacantes obtienen acceso al sistema y roban sus datos, no pueden hacer nada con los datos que obtienen de usted. Si tiene una red de Internet que comparte con muchas personas, use siempre una VPN antes de acceder a su área de administración de WordPress.

Otras opciones de seguridad de WordPress

¿Necesitas más para hacer? Nos encantaría mantener su sitio web seguro en todo momento, así que aquí hay elementos de seguridad adicionales para agregar a su lista de verificación:

  • Deshabilite la ejecución de archivos PHP en / wp-content / wp-uploads /
  • Cambiar el prefijo de la base de datos de WordPress
  • Proteja con contraseña su administrador y páginas de inicio de sesión en el lado del servidor
  • Deshabilitar indexación de directorio
  • Deshabilite WP REST API y XML-RPC si no es necesario
  • No edite / cambie el núcleo de WordPress: escriba o use un complemento que ofrezca la funcionalidad que necesita en su lugar
  • Asegúrese de que su sitio web ejecute la última versión de PHP
  • Use un programa antivirus en su computadora
  • Habilitar Google Search Console
  • Reduzca las vulnerabilidades de inyección de XSS y SQL (es posible que necesite una persona más experta en tecnología para ayudar con estos dos)

Realmente, la cantidad de pasos que puede seguir para proteger su sitio son infinitas. Pero si puede marcar los 14 elementos que hemos enumerado, es un gran paso para asegurar su sitio.


Asegurar su sitio web de WordPress es desafiante pero no imposible. Con las herramientas y habilidades adecuadas, puede fortalecer rápidamente su seguridad de WordPress y mantener alejados a los malos actores.

Como resumen, mantenga siempre actualizado su sitio web. Además de eso, nunca descargue temas o complementos de sitios no confiables. Y para estar del lado seguro en caso de que ocurra lo peor, siempre tenga una solución de respaldo confiable..

Esperamos que haya encontrado todos los consejos que necesita para asegurar su sitio web de WordPress, de ahí su negocio en línea. Si tiene alguna pregunta o necesita ayuda para descubrir cómo proteger su sitio web de WordPress, háganoslo saber en los comentarios. Mantenerse a salvo!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map