10 consejos de expertos para proteger su sitio web en WordPress

WordPress es el sistema de gestión de contenidos (CMS) más popular, según el sitio web CódigoEnWpWordPress alimenta casi el 40 % de todos los sitios web del mundo. Es natural que los piratas informáticos estén empezando a atacar específicamente los sitios de WordPress. Independientemente del tipo de contenido que ofrezca su sitio, no es inmune. Si no toma ciertas precauciones, corre el riesgo de que pirateen su sitio web. Como con todo lo relacionado con la tecnología, debes comprobar la seguridad de tu sitio web.
En este tutorial, compartiremos nuestros 10 consejos principales para mantener seguro su sitio de WordPress.

 

Elegir un buen alojamiento web

La forma más fácil de proteger su sitio es utilizar un proveedor de alojamiento que ofrezca varios niveles de seguridad.
Puede parecer tentador optar por un proveedor de alojamiento barato, pero no descuide la calidad de su alojamiento web, elija un proveedor de alojamiento con protección DDoS, un WAF (cortafuegos) y soluciones antispam y antimalware. ¿Por qué es tan importante proteger su sitio web? Porque tus datos podrían ser borrados por completo y tu url podría empezar a ser redirigida a otra ubicación.
Al pagar un poco más por un alojamiento de calidad, se añaden automáticamente capas adicionales de seguridad a su sitio web. Otra ventaja es que utilizando un buen alojamiento WordPress, puedes acelerar tu sitio WordPress considerablemente.
Aunque hay muchos proveedores de alojamiento, recomendamos Closte, WPX, Kinsta y WPEngine. Ofrecen una gran cantidad de características de seguridad, incluyendo escaneos diarios de malware y acceso a soporte 24 horas al día, 7 días a la semana, 365 días al año. Y lo mejor de todo es que también tienen precios razonables.

 

Evite utilizar temas o extensiones nulos

Los temas premium de WordPress tienen un aspecto más profesional y más opciones de personalización que los temas gratuitos. Los temas premium están programados por desarrolladores altamente cualificados y se someten a varias pruebas de WordPress en cuanto se publican. No hay restricciones a la hora de personalizar el tema y, si algo va mal en tu sitio, recibirás asistencia completa. Lo mejor de todo es que se beneficiará de actualizaciones periódicas.
Pero hay algunos sitios que ofrecen temas anulados o crackeados. Un tema anulado o crackeado es una versión pirateada de un tema premium, disponible a través de medios ilegales. También son muy peligrosos para su sitio. Estos temas contienen código malicioso oculto, que puede destruir tu sitio y tu base de datos o registrar tus credenciales de administrador.
Aunque pueda resultar tentador ahorrarse unos euros, evite siempre los temas anulados por su propia seguridad.

 

Instalación de un plugin de seguridad para WordPress

Comprobar regularmente la seguridad de tu sitio web en busca de malware es un trabajo que lleva mucho tiempo y, a menos que actualices regularmente tus conocimientos sobre prácticas de codificación, es posible que ni siquiera te des cuenta de que hay malware incrustado en el código. Afortunadamente, otras personas se han dado cuenta de que no todo el mundo es desarrollador y han implementado plugins de seguridad de WordPress para ayudarles. Este tipo de plugins garantizan la seguridad de tu sitio, escanean en busca de malware y supervisan tu sitio las 24 horas del día, los 7 días de la semana, para comprobar regularmente lo que ocurre en él.
Sucuri.net es un excelente plugin de seguridad para WordPress. Ofrece auditoría de la actividad de seguridad, comprobación de la integridad de los archivos, escaneado remoto de malware, comprobación de listas negras, aplicación efectiva de la seguridad, acciones de seguridad posteriores al hackeo, notificaciones de seguridad e incluso un cortafuegos de sitios web (por un cargo adicional).

 

Utilice una contraseña segura

Las contraseñas son un elemento muy importante de la seguridad de los sitios web y, por desgracia, a menudo se descuidan. Si utiliza una contraseña simple, como "123456, abc123, password", debe cambiarla inmediatamente para evitar ser víctima de un ataque. Fuerza bruta. Aunque esta contraseña es fácil de recordar, también es extremadamente fácil de adivinar. Un usuario avanzado puede descifrar fácilmente tu contraseña y acceder a ella sin demasiados problemas.
Es importante que utilices una contraseña compleja o, mejor aún, una contraseña generada automáticamente con una variedad de números, combinaciones de letras sin sentido y caracteres especiales como % o ^.

 

Desactivar la edición de archivos

Cuando configuras tu sitio WordPress, tu panel de control incluye una función de edición de código que te permite modificar tu tema y plugin. Puedes acceder a ella yendo a Apariencia>Editor. También puedes encontrar el editor de plugins yendo a Plugins>Editor.
Una vez que su sitio esté en línea, le recomendamos que desactive esta función. Si los hackers acceden al panel de administración de WordPress, pueden inyectar código malicioso sutil en el tema y el plugin. A menudo, el código será tan sutil que no notará nada hasta que sea demasiado tarde.
Para deshabilitar la posibilidad de modificar plugins y el archivo del tema, simplemente pegue el siguiente código en su archivo wp-config.php.
define('DISALLOW_FILE_EDIT', true) ;

 

Instalación del certificado SSL

Hoy en día, el protocolo SSL (Single Sockets Layer) es ventajoso para todo tipo de sitios web. Al principio, SSL era necesario para proteger un sitio para transacciones específicas, como el procesamiento de pagos. Hoy, sin embargo, Google ha reconocido su importancia y da a los sitios con un certificado SSL una clasificación más alta en sus resultados de búsqueda.
El protocolo SSL es obligatorio para todos los sitios que manejan información sensible, como contraseñas o datos de tarjetas de crédito. Sin un certificado SSL, todos los datos entre el navegador web del usuario y su servidor web se entregan en texto claro. Este texto puede ser leído por piratas informáticos. Al utilizar SSL, la información sensible se cifra antes de ser transferida entre su navegador y su servidor, lo que dificulta su lectura y hace que su sitio sea más seguro. Para los sitios web que aceptan información confidencial, el precio medio de un SSL oscila entre 40 y 150 dólares al año. Si no acepta información confidencial, no necesita pagar por un certificado SSL. Casi todos los alojamientos web ofrecen un certificado SSL gratuito de Let's Encrypt que puedes instalar en tu sitio.

 

Cambia la URL de tu conexión WP

La dirección por defecto para conectarse a WordPress es "yoursite.com/wp-admin". Si deja esta dirección como predeterminada, podría ser el objetivo de un ataque de fuerza bruta destinado a descifrar su combinación de nombre de usuario y contraseña. Si permites que los usuarios se registren para obtener cuentas de suscripción, también podrías recibir mucho spam. Para evitarlo, puedes cambiar la URL de inicio de sesión del administrador o añadir una pregunta de seguridad a la página de registro e inicio de sesión.
Consejo profesional: Puede proteger aún más su página de inicio de sesión añadiendo un plugin de autenticación de dos factores a su WordPress mediante extensiones como Wordfence. Cuando intente iniciar sesión, tendrá que proporcionar una autenticación adicional para acceder a su sitio; por ejemplo, podría ser su contraseña y un correo electrónico (o un mensaje de texto). Se trata de una función de seguridad mejorada para evitar que los piratas informáticos accedan a su sitio.
Consejo 2: también puedes comprobar qué direcciones IP han fallado más intentos de conexión y bloquearlas.

 

Limitar los intentos de conexión

Por defecto, WordPress permite a los usuarios intentar iniciar sesión tantas veces como quieran. Aunque esto puede ser útil si olvidas con frecuencia qué letras están en mayúsculas, también te expone a ataques de fuerza bruta.
Al limitar el número de intentos de conexión, los usuarios pueden intentarlo un número limitado de veces hasta que son bloqueados temporalmente. Esto limita sus posibilidades de ser objeto de un intento de fuerza bruta, ya que el hacker es bloqueado antes de que pueda completar su ataque.
Puede habilitar esto fácilmente con un plugin de límite de intentos de conexión de WordPress. Después de instalar el plugin, puede cambiar el número de intentos de conexión a través de Ajustes> Intentos de límite de conexión. Si quieres activar los intentos de conexión sin un plugin, también puedes hacerlo siguiendo algunos tutoriales en internet.

 

Hacer inaccesibles/Ocultar los archivos wp-config.php y .htaccess

Aunque se trata de un proceso avanzado para mejorar la seguridad de su sitio, si se toma en serio su seguridad, es importante ocultar los archivos .htaccess y wp-config.php de su sitio para evitar que los hackers accedan a ellos.
Recomendamos encarecidamente que esta opción sea implementada por desarrolladores experimentados, ya que es imperativo hacer primero una copia de seguridad de su sitio y luego proceder con precaución. Cualquier error podría dejar su sitio inaccesible.
Para ocultar los archivos después de la copia de seguridad, tienes que hacer dos cosas:
En primer lugar, vaya a su archivo wp-config.php y añada el siguiente código,
<Files wp-config.php>
orden permitir,denegar
negar de todo
</Files>
Del mismo modo, añada el siguiente código a su archivo .htaccess,
<Files .htaccess>
orden permitir,denegar
negar de todo
</Files>
Aunque el proceso en sí es muy fácil, es importante que te asegures de tener la copia de seguridad antes de empezar por si algo sale mal.

 

Actualice la versión de su WordPress y sus módulos

Mantener tu WordPress actualizado es una buena práctica para garantizar la seguridad de tu sitio web. Con cada actualización, los desarrolladores introducen algunos cambios, a menudo actualizaciones de las funciones de seguridad. Al mantener tu CMS actualizado con la última versión, estás ayudando a protegerte frente a vulnerabilidades y exploits previamente identificados que los hackers pueden utilizar para acceder a tu sitio.
También es importante actualizar tus plugins y temas por las mismas razones.
Por defecto, WordPress descarga automáticamente las actualizaciones menores. Sin embargo, para las actualizaciones importantes, deberá actualizarlas directamente desde el panel de administración de WordPress.

Conclusión

La seguridad de WordPress es uno de los elementos esenciales de un sitio web. Si no mantienes la seguridad de tu WordPress, los hackers pueden atacar fácilmente tu sitio. Mantener su sitio web seguro no es difícil y se puede hacer sin gastar un centavo. Algunas de estas soluciones son para usuarios avanzados, pero si tienes alguna duda, WS Consultoría Digital puede ayudarle a asegurar su sitio web y proteger sus datos.
¿Ha sido ya víctima de un ataque? ¿Se han visto afectados su SEO y su reputación en línea? Recurra a nuestros expertos, Póngase en contacto con nosotros