Cómo proteger su blog de WordPress

Proteger su blog de WordPress es algo esencial que debe hacer después de configurarlo en su servidor. No debería haber ninguna razón para dejar su WordPress abierto para que los piratas informáticos entren y roben su información o destruyan sus datos. Dedique unas horas a proteger WordPress y se ahorrará innumerables horas lidiando con ataques constantes. Esta guía muestra varias formas de proteger WordPress para mantener seguros sus datos e información.

También es útil: puede obtener un certificado SSL gratuito para su sitio web de WordPress para proteger a los visitantes de su sitio.

1. Utilice un complemento de seguridad todo en uno

Para simplificar las cosas, comience con un complemento de seguridad de WordPress que maneje múltiples tareas en un solo lugar. Una de las mejores opciones es All-In-One Security (AIOS) . Con una impresionante calificación de 5 estrellas en más de un millón de instalaciones, vale la pena agregarlo a su sitio. Además, muchas de las funciones son completamente gratuitas.

El complemento hace lo siguiente:

• Detiene los ataques de fuerza bruta
• Permite la autenticación de dos factores
• Oculta su página de inicio de sesión de los bots
• Fuerza el cierre de sesión para los usuarios a quienes les gusta permanecer conectados todo el tiempo
• Ayuda a mejorar la seguridad de la contraseña
• Mejora WordPress Salts (parte del proceso hash para cifrar contraseñas) agregando 64 nuevos caracteres, que cambian semanalmente
• Agrega protección de firewall
• Incluye protección contra malware (solo premium)
• Reduce los comentarios spam

Esto es sólo una pequeña porción de lo que se incluye. Configurar todo puede llevar un tiempo, pero administrar un complemento es mejor que varios.

2. Detener los ataques de fuerza bruta

Los piratas informáticos pueden descifrar fácilmente su contraseña de inicio de sesión y sus credenciales mediante ataques de fuerza bruta. Para evitar que esto suceda, instale el complemento Login Lockdown . Este complemento registra la dirección IP y la marca de tiempo de cada intento fallido de inicio de sesión en WordPress. Una vez que se detecta una cierta cantidad de intentos fallidos, deshabilitará la función de inicio de sesión para todas las solicitudes de ese rango.

También agrega otras dos funciones útiles: autenticación de dos factores y CAPTCHA. Estos también reducen drásticamente los ataques de fuerza bruta.

3. Utilice una contraseña segura

Asegúrese de utilizar una contraseña segura que sea difícil de adivinar para otros. Utilice una combinación de dígitos, caracteres especiales y letras mayúsculas/minúsculas para formar su contraseña. También puede utilizar el verificador de contraseñas en WordPress 2.5 y superior para verificar la seguridad de su contraseña.

Otra opción es utilizar un administrador de contraseñas para generar una contraseña completamente aleatoria y segura. Incluso si no almacena sus contraseñas, estas siguen siendo excelentes herramientas para generar contraseñas únicas para su sitio.

4. Proteja su carpeta WP-Admin

Su carpeta «wp-admin» contiene toda la información crítica sobre su sitio y es el último lugar al que desea dar acceso a otros. La forma más sencilla de protegerlo es añadiendo una contraseña adicional. Incluso si un hacker ingresa a su sitio con las credenciales de un usuario, aún tiene que averiguar las credenciales de su wp-admincarpeta. En este punto, es posible que ya conozca la infracción y pueda cambiar la contraseña del usuario pirateado y su contraseña de wp-admin para mayor seguridad.

Hay varias formas de hacer esto. El primero depende de su proveedor de alojamiento web. Muchos ofrecen cPanel. Los pasos pueden variar ligeramente según el anfitrión.

• Inicie sesión en la sección cPanel de su sitio. Su proveedor de alojamiento web tendrá instrucciones sobre cómo hacer esto.
• Desplácese hacia abajo hasta «Seguridad» y seleccione «Directorios protegidos con contraseña».

• Seleccione «Privacidad del directorio».

• Seleccione el directorio que desea proteger con contraseña y siga las instrucciones. Generalmente hay un tutorial que profundiza en cómo proteger mejor los directorios usando este método.

El segundo método es manual y generalmente no se recomienda, ya que si no lo hace correctamente, podría terminar bloqueado en su sitio.

• Cree un archivo de texto usando su editor de texto favorito y asígnele el nombre «.htaccess»
• Agregue lo siguiente al archivo, pero cambie la ruta de AuthUserFile a donde cargará el archivo de contraseña (en el siguiente paso) y cambie «su nombre de usuario» por su nombre de usuario.

AuthName "Admins Only"AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername

• Crea otro archivo de texto llamado “.htpasswd”
• Utilice un generador htpasswd para generar el contenido del archivo. Hosting Canada , web2generators y AskApache tienen generadores fáciles de usar. Después de completar el generador, copie el texto que se le proporciona en el. htpasswd archivo que creó.
• Copie ambos archivos a su carpeta wp-admin y estará listo.

5. Eliminar la información de la versión de WordPress

Muchos temas de WordPress incluyen la información de la versión de WordPress en la metaetiqueta. Los piratas informáticos pueden obtener rápidamente esta información y planificar ataques específicos dirigidos a la vulnerabilidad de seguridad de esa versión.

Para eliminar la información de la versión de WordPress:

• Inicie sesión en su panel de WordPress.
• Vaya a «Diseño -> Editor de temas».
• Busque su archivo «Encabezado» a la derecha.
• Busque la siguiente línea de código:

<meta name="generator"content="WordPress versionnumber"/>

• Elimine esta línea y presione «Actualizar archivo».

También puedes utilizar un complemento de seguridad de WordPress, como Sucuri Security , para ocultar esta información.

6. Oculta tu carpeta de complementos

Si va a la URL de su sitio web: https://yourwebsite.com/wp-content/plugins y puede ver la lista completa de complementos que utilizó, entonces su sitio de WordPress no es muy seguro. Puede ocultar fácilmente esta página cargando un “index.html” vacío en el directorio del complemento.

• Abre tu editor de texto. Guarde el documento en blanco como «index.html».
• Cargue el «index.html» en la carpeta «/wp-content/plugins» utilizando un programa FTP.

También es útil: utilice estos complementos de estadísticas de WordPress para medir su sitio web.

7. Cambie su nombre de inicio de sesión

El nombre de usuario predeterminado es «admin». Una forma sencilla de proteger WordPress es cambiar esto. De lo contrario, los piratas informáticos ya conocen la mitad de su información de inicio de sesión.

• Inicie sesión en su panel de WordPress y seleccione «Usuarios».
• Seleccione «Nuevo usuario».

• Establezca el rol en «Administrador» y envíe una invitación a la cuenta de correo electrónico deseada. Una vez aceptada la invitación, podrá iniciar sesión, crear una contraseña y convertirse en la nueva cuenta de administrador.

• Una vez que el nuevo usuario esté configurado, regrese a «Usuarios».
• Busque la cuenta «admin» y elimínela.
• Seleccione «Atribuir todas las publicaciones y enlaces a» y seleccione su nombre de usuario.
• Presione «Confirmar eliminación».

8. Actualice a las últimas versiones

WordPress, junto con los temas y complementos, recibe actualizaciones periódicas. Esto agrega nuevas funciones, soluciona errores y corrige vulnerabilidades de seguridad. La última parte es la más importante. Si los piratas informáticos se dan cuenta de que tiene una versión anterior con fallas de seguridad, explotarán la apertura de inmediato.

Programe un día cada mes para realizar actualizaciones. Si bien es posible que no tenga nuevas actualizaciones para todo, realice actualizaciones sobre lo que está disponible. Esto incluye su instalación principal de WordPress. Es una forma sencilla de proteger WordPress pero muy eficaz.

Antes de realizar actualizaciones importantes, haga una copia de seguridad completa de su sitio, por si acaso.

9. Realice análisis de seguridad periódicos

Cada instalación de WordPress necesita un complemento de seguridad. All-In-One Security (AIOS) y Sucuri Security, que ya hemos mencionado, son excelentes opciones. También puedes probar lo siguiente:

• Seguridad de Wordfence
• Seguridad de iThemes
• Protección Jetpack
• SecuPress Gratis

10. Haga una copia de seguridad de su sitio de WordPress

No importa qué tan seguro sea su sitio, siempre querrá prepararse para lo peor. Instale un complemento de copia de seguridad de WordPress y prográmelo para realizar una copia de seguridad de su base de datos diariamente.

Tiene una variedad para elegir, pero algunas de las mejores opciones incluyen:

• Copia de seguridad de Jetpack VaultPress
• UpdraftPlus
• amigo de copia de seguridad
• Bóveda de blogs
• Migración de WP todo en uno

11. Definir privilegios de usuario

Si hay más de un autor para su blog, puede instalar el complemento User Role Editor para definir las capacidades de cada grupo de usuarios. Esto le dará a usted, el propietario del blog, la capacidad de controlar lo que los usuarios pueden y no pueden hacer en el blog.

12. Actualice a SSL

Si no tienes un certificado SSL, ahora es el momento de conseguir uno. Secure Sockets Layer (SSL) es un protocolo que cifra lo que se envía entre los usuarios y los sitios web. Muchos servidores web ofrecen certificados SSL gratuitos o de bajo costo que son increíblemente fáciles de instalar. Estos son especialmente importantes si los usuarios inician sesión en su sitio o realizan compras. Además, Google prefiere sitios con certificados SSL.

• Conveniente tienda SSL
• Signo global
• Digicert
• La tienda SSL

13. Deshabilitar la edición de archivos

Puede editar su complemento y el código de su tema directamente desde el área de administración de su sitio. Imagínese si alguien más comenzara a modificar el código sin su permiso. Para evitar sorpresas desagradables, desactive la edición de archivos.

Si bien puedes usar un complemento como Sucuri, también puedes agregar algunas líneas de código a tu archivo “wp-config.php”.

• Localice el archivo “wp-config.php” en la carpeta raíz de su sitio. Puede utilizar cualquier cliente FTP que desee para acceder a sus archivos.
• Descarga el archivo y ábrelo en tu editor de texto favorito, como el Bloc de notas.
• Agregue lo siguiente al código:

// Disable file editdefine('DISALLOW_FILE_EDIT', true);

• Reemplace el archivo “wp-config.php” existente con la nueva versión para deshabilitar la edición de archivos.

También es útil: si está agregando muchos medios a su sitio web, considere estos consejos de optimización de imágenes de WordPress .

14. Utilice la autenticación de dos factores

Incluso si los piratas informáticos obtienen acceso a la información de inicio de sesión de un usuario, la autenticación de dos factores (2FA) significa que el pirata informático aún necesita acceder a otra contraseña. En este caso, normalmente se enviará un código al teléfono del usuario. Puede utilizar complementos de seguridad, como los mencionados anteriormente en esta publicación, o un complemento 2FA dedicado, como miniOrange Google Authenticator o WP 2FA .

Crédito de la imagen: Unsplash . Capturas de pantalla de Crystal Crowder.