8 Secretos esenciales de seguridad de WordPress

En los últimos 15 años, WordPress se ha convertido en el sistema de gestión de contenido más popular del mundo. Fácil de empezar y extremadamente versátil, es uno de los mejores plataformas de blogs alrededor - el hogar ideal para su portafolio de diseño , o algo más ambicioso.

Hay un gran surtido de Temas de WordPress para elegir, mientras que si no tiene miedo de un poco de código, encontrará un montón de Tutoriales de WordPress Eso te ayudará a enfrentar sus características más complejas. Para otras opciones, pruebe nuestras guías a lo mejor. Creador de sitios web y Alojamiento web Servicio.

• El mejor software antivirus.

Sin embargo, un gran inconveniente de la popularidad de WordPress es que es un objetivo principal para los hackers. Si desea evitar perder el control de su nuevo sitio brillante, siga estos consejos para mantenerlo seguro.

01. Agregar seguridad adicional a las cuentas de usuario

Una gran cantidad de vulnerabilidad proviene de las cuentas de usuario que intencionalmente le dan acceso a su sitio, en particular los roles de administrador y editor. Si un hacker obtiene acceso a una de estas cuentas, de cualquier usuario en el sitio, no solo el administrador principal, puede realizar cambios a voluntad en el sitio web.

Siempre asegúrese de que las cuentas solo tengan el acceso que necesitan. Por ejemplo, si un usuario solo va a escribir artículos, considere darles solo un contribuyente o acceso al editor, nunca administrador. Tenga en cuenta el nivel de capacidad de sus usuarios, asegurando que cualquier persona con acceso administrador o editor esté completamente capacitado para usar todas las funciones de la cuenta para evitar accidentes.

Puede agregar funciones para permitir el acceso temporal a un determinado nivel de rol, es decir, si tiene un contratista que trabaja en el sitio y necesita acceso temporal de administración, puede entregarlos con un tiempo establecido para caducar para que no necesite Para recordar revocar su acceso más tarde en la línea.

Si un determinado nivel de rol no necesita todos los permisos predeterminados, puede instalar un complemento de roles y permisos para desactivar ciertos permisos que nunca se utilizarán. También puede crear otros roles con solo acceso específico. Restrinja a los usuarios solo a los permisos que necesitan para evitar el uso indebido accidental o intencional de una característica.

Para ayudar a prevenir los ataques provenientes de los inicios de sesión de los usuarios, coloque un límite en el número de veces que una cuenta puede realizar un intento de inicio de sesión fallido antes de que el nombre de usuario esté bloqueado durante un período de tiempo. Esto captura principalmente bots que están adivinando contraseñas, pero recuerde advertir a sus usuarios que no deben intentar iniciar sesión en más de la cantidad de veces que establece en una fila. Si no recuerden su contraseña, y si olvidan su contraseña, ¡deben restablecerlo en lugar de intentar adivinar!

También es una buena práctica recordar a los usuarios que utilicen contraseñas seguras (más de ocho dígitos, con un número superior, minúscula, etc.) y para cambiarlos de vez en cuando. Recuérdeles que nunca escriban sus contraseñas, y cierre sesión cuando hayan terminado con su sesión para evitar el acceso no autorizado a sus cuentas.

La autenticación de dos factores es un nivel adicional de seguridad que se puede agregar a los inicios de sesión. Requieren que los usuarios usen sus autenticadores al iniciar sesión para aumentar el número de credenciales necesarias de solo el estándar. Los usuarios necesitarán un código adicional o PIN para iniciar sesión, generalmente generado al azar por una aplicación o enviarse a un teléfono por texto. Puede sentirse como una barrera adicional para iniciar sesión para los usuarios, pero también es una barrera adicional para los hackers.

02. Cambiar los valores predeterminados antiguos

Las nuevas instalaciones de WordPress hacen que elija un nombre de usuario personalizado para su cuenta de administrador, pero si instaló su sitio hace un tiempo, su cuenta de administrador puede tener el nombre predeterminado de 'admin': esto facilita que los piratas informáticos adivinen las credenciales de inicio de sesión como la mitad El trabajo ya está hecho para ellos. Cambie el nombre de usuario de administrador predeterminado a otra cosa para mejorar la seguridad. Puede hacerlo manualmente a través de la base de datos en la tabla WP_USERS, o puede crear un nuevo perfil de administración y eliminar el anterior a través del panel de administración (asegúrese de atribuir todas las publicaciones de cuentas antiguas a la nueva).

También puede cambiar el prefijo predeterminado de la base de datos a algo que no sea WP_ para agregar una capa adicional de oscuridad a sus configuraciones predeterminadas. La forma más fácil de hacer esto en una instalación existente es a través de un complemento, pero primero haga una copia de seguridad de sus bases de datos.

03. Mantenga actualizado WordPress actualizado

WordPress siempre está actualizando y mejorando su seguridad incorporada, así que asegúrese de que su versión sea la más actualizada para mantenerse delante de las vulnerabilidades y explotaciones antiguas. La mayoría de las instalaciones de WordPress se actualizan automáticamente, pero si la suya no lo hace, vigile el panel de administración o la bandeja de entrada para que se le notifiquen cuando las nuevas actualizaciones están listas para instalar. Los hackers están en busca de sitios que no se han actualizado, y solo el 22% de los sitios de WordPress están ejecutando la última versión. Dado que WordPress corre Casi el 30% de todos los sitios web en la web. ¡Eso es un montón de sitios web obsoletos!

Si está ejecutando un sitio de estadificación, puede probar todas las actualizaciones de compatibilidad con su tema y complementos actuales antes de presionar en vivo. Esta es una buena práctica para evitar que las actualizaciones automáticas se conforman accidentalmente con las instalaciones existentes. Le da la oportunidad de capturar cualquier problema antes de entrar en producción. No olvide actualizar sus complementos y temas también. No son solo vulnerabilidades de la vieja núcleo de WordPress que pueden darle un camino a los piratas informáticos; Cualquier cosa que instale en su sitio web de WordPress también debe estar seguro. El siguiente consejo le dirá más sobre la elección de complementos confiables.

04. Instale los complementos confiables y la casa limpia regularmente

Hay una tentación de instalar tantos complementos, ya que tiene problemas para resolver, pero muchos complementos pueden causar hinchazón y un complemento no confiable puede causar un riesgo de seguridad. Siempre verifique que los complementos sean confiables antes de instalar. Descargue a través de la interfaz oficial de WordPress o el sitio web, y siempre revise la calificación de estrellas y revisiones para comentarios negativos que pueden indicar una falla de seguridad.

Los complementos son creados por desarrolladores con todos los diferentes niveles de habilidad. Aunque los complementos se vetan antes de agregarse al sitio de WordPress, siempre debe hacer su propia investigación para asegurarse de que el código que está instalando es sólido.

El sitio web de WordPress le dirá la edad de un complemento, cuando se actualizó por última vez, y lo más importante, si es compatible con su versión de WordPress. Un complemento que no se ha actualizado en un tiempo no es necesariamente malo, puede decir que no se ha actualizado en ese momento. Compruebe las revisiones recientes para confirmar que el complemento sigue siendo viable, y que sigue siendo compatible con su versión. Vale la pena evitar un complemento antiguo con revisiones recientes de estrellas bajas y una compatibilidad desconocida.

Elimine regularmente los temas y los complementos no utilizados, ya que incluso un complemento desactivado puede ser un riesgo de seguridad si se encuentra una vulnerabilidad y se explota. Mantenga su directorio de su plugin limpio. Solo debe haber instalado los complementos que está utilizando actualmente. Compruebe los complementos más antiguos cuando se actualiza para ver si aún son compatibles.

Revise sus complementos periódicamente para asegurarse de que aún tenga el mejor para el trabajo. Podría haber un nuevo complemento que combine las características de algunos que ya tenga y podría ser mejor compatible, más seguro y más fácil de mantener.

05. Considere el alojamiento administrado

No es solo la seguridad de su propio sitio en el que debe pensar. Si alberga sus sitios en servidores compartidos, corre el riesgo de contaminación de los servidores cruzados, donde los hackers adquieren acceso a través de un sitio diferente y pueden dañar otros sitios compartiendo el mismo espacio. Considere el alojamiento administrado o el servidor privado virtual (VPS) Hosting para eliminar esta amenaza, donde su sitio está alojado por separado.

El costo es una implicación obvia, pero para sitios con altas cargas y tráfico, los servidores dedicados pueden mejorar el rendimiento y la seguridad. Diferentes hosts tienen diferentes soluciones; Compare algunos para evaluar lo que mejor se adapte a sus necesidades.

06. Máscara, Cerradura y Ocultar

Los hackers tienen menos apalancamiento si no saben a dónde empezar. Oculte su número de versión de WordPress de su código para que solo los administradores sepan qué versión de WordPress está ejecutando. De esa manera, los hackers no saben qué vulnerabilidades están presentes para explotar.

Mueva su página de inicio de sesión / WP-Iniciar sesión a algo que no sea por defecto. Esto hace que un enorme obstáculo para DOS y los bots de ataque de fuerza bruta que se encuentran en busca de formularios de inicio de sesión. También agrega un valor más estético, ya que puede cambiar la URL a algo más memorable para sus usuarios.

Deny Acceso externo a wp-config.php y .htaccess usando el siguiente código en su archivo .htaccess:

 & lt; archivos wp-config.php & gt;
Pedido Permitir, denegar
Negar todo
& lt; / Files & GT;
& lt; archivos .htaccess & gt;
Pedido Permitir, denegar
Negar todo
& lt; / Files & GT; 

También puede deshabilitar la edición de archivos del panel de administración si sabe que sus temas solo se van a editar a través de la carga de archivos en un FTP. Esto evita que cualquier persona con acceso al panel de administración edite directamente los archivos accidentalmente o como hacker con intención maliciosa. Inserte lo siguiente en su archivo wp-config.php:

  define ('desallow_file_edit', verdadero); 

07. Ejecutar copias de seguridad frecuentes

Asegúrese de que su sitio esté respaldado en el caso de que su sitio esté pirateado y necesite retroceder a una versión limpia anterior. ¿Con qué frecuencia debe ejecutar las copias de seguridad depende de la frecuencia con la que se actualice su sitio?

Es integral de una copia de seguridad en un lugar donde su sitio no está alojado para evitar cualquier actividad maliciosa en su alojamiento de WordPress de infectar sus copias de seguridad. Las copias de seguridad se pueden almacenar en su propia computadora o un servicio basado en la nube como Google Drive, Dropbox o Amazon S3 (echa un vistazo a otro almacenamiento en la nube Opciones aquí).

Copia de seguridad en una ubicación que no es su servidor actual también ayuda si tiene un complemento o un conflicto de tema sin resolverse y no puede acceder a su sitio, o si hay un mal funcionamiento de un servidor catastrófico y pierde todo su trabajo.

Existen complementos de copia de seguridad dedicados para ayudarlo a mantenerse en la pista, la mayoría con opciones para copias de seguridad programadas o manuales. Las versiones gratuitas y premium le brindan varias opciones, BackupBuddy es el servicio pagado más popular, ya que tienen su propio almacenamiento de terceros para sus archivos, más la capacidad de restaurar de una copia de seguridad directamente. Compare otros complementos como UpdraftPlus y BackWPUP para sus versiones gratuitas y premium para ver cuáles tienen las características que más valoran.

08. Instale los complementos de seguridad y antispam

Se pueden agregar muchas características de seguridad con un complemento de seguridad integral, como la seguridad de Ithemes o Sucuri, ambos tienen versiones gratuitas y premium. Los complementos de seguridad vienen con un conjunto de herramientas para bloquear las vulnerabilidades en su sitio, como las que ya se mencionan en este artículo; Desde enmascarar su número de versión, para instalar la autenticación de dos factores para los inicios de sesión, las listas de características a menudo son extensas.

Estos tipos de complementos pueden ser invaluables para hacer que su sitio de WordPress sea más seguro, y la mayoría de los complementos de seguridad son fáciles de usar con la instalación de un solo clic para las funciones más importantes, y la instalación opcional para las características más avanzadas o complejas. Esto los hace perfectos para los principiantes de WordPress, ya que no se necesita codificación para obtener un sitio bien protegido en minutos. Los usuarios más avanzados tendrán acceso a las funciones que pueden proteger su sitio, como cerrar el acceso innecesario a protocolos, como XML-RPC, y actualizar las sales de WordPress utilizadas en la codificación.

Dichos complementos ayudarán a proteger su sitio contra la fuerza bruta y los ataques de DOS, lo que puede llevar sus sitios sin conexión si hay demasiada carga en el servidor. También pueden firmar el proceso de inicio de sesión con niveles adicionales de seguridad para evitar que sus cuentas de usuario se utilicen como un método de ataque. Los registros de escaneo y actividad de malware mantienen registros de cualquier comportamiento sospechoso o archivos dañados para su revisión, le advierten los ataques en curso y le brinda una idea de dónde se encuentran las vulnerabilidades de su sitio para que pueda resolverlas.

Algunos complementos de seguridad también vienen con opciones de copia de seguridad, para ese servicio todo incluido. Tener todas sus necesidades de seguridad organizadas por un plugin significa que las características son fáciles de organizar, con menos riesgo de conflicto entre complementos similares. Sin embargo, asegúrese de hacer su investigación, ya que este plugin va a ser lo que se interpone en el camino de su sitio y cualquier persona que quiera causarlo daño. Tendrá que elegir uno que haga el trabajo admirablemente.

Además, un complemento anti-spam, como Akismet, evitará que los spammers obstruyan su sitio con comentarios no relacionados. Si su complemento de seguridad ya lo está haciendo, puede ayudar al complemento de seguridad agregando una capa adicional de seguridad a la interacción de su comunidad utilizando herramientas de validación como CAPTCHA y otros dispositivos anti-BOT para asegurarse de que solo las personas reales están comentando. Un plugin anti-spam ayuda a mantener su sitio limpio, así como su base de datos detrás de las escenas. La evaluación de los valiosos comentarios tiene la ventaja adicional de darle más peso a su contenido, solo mostrando un compromiso adecuado de los lectores.

Cada complemento viene con sus propias herramientas diferentes, así que compara las opciones para algo que se adapte a sus necesidades. Considere las versiones premium de los complementos para funciones adicionales, ya que esta es una parte integral de su sitio y, en general, los complementos pagados le darán el servicio más completo. Lo ideal es que desee una suite que cubra al menos los conceptos básicos de la seguridad, como los otros consejos nombrados en este artículo.

Este artículo se publicó originalmente en el número 272 de Creative Web Design Magazine Web Designer. Comprar emisión 272 aquí o Suscríbete al diseñador web aquí .

Artículos relacionados:

• 37 mejores temas de WordPress gratis
• 9 consejos de seguridad para proteger su sitio web de los piratas informáticos
• Poder un blog con la API de WordPress