Consejos profesionales para proteger los sitios web de WordPress

Cuando está creando un sitio web, aunque siempre habrá problemas de seguridad, la mayoría de ellos son fáciles de abordar. Siga leyendo para obtener más información sobre los desafíos que puede plantear un sitio de WordPress y lo que puede hacer para crear sitios web seguros de WordPress.

Beneficios de usar WordPress

Antes de sumergirnos en cómo puede hacer que su sitio de WordPress sea más seguro, hablemos sobre los beneficios de usar WordPress. WordPress hace que sea fácil para cualquier persona crear un sitio web hermoso y funcional, sin importar el nivel de experiencia que tenga. Tienen miles de plantillas personalizables que facilitan a los diseñadores novatos obtener sus ideas en línea.

Si tiene un poco más de experiencia con la codificación web, WordPress ofrece un acceso fantástico al código detrás de las plantillas. De hecho, puedes codificar un tema personalizado desde cero si quieres. También hay miles de complementos y widgets que le permiten agregar la funcionalidad que necesita a cualquier sitio de WordPress.

Por qué es importante la seguridad web

Todos tenemos una vaga idea de que la seguridad web es importante, pero ¿sabes por qué? Si trabaja en un campo sensible, como la industria médica o legal, obviamente proteger la información del cliente es crucial. Pero incluso si trabaja en un campo menos estricto, es fundamental que proteja la información de sus clientes.

Problemas de seguridad de WordPress

Una de las desventajas de WordPress es que, a medida que avanzan las plataformas de sitios web, no es el más seguro. Por un lado, estos sitios tienden a ser fáciles de piratear, ya que la página de inicio de sesión predeterminada para los sitios de WordPress es la URL del sitio con "/ wp-admin" clavado en la parte posterior. Si los usuarios mantienen el nombre de usuario "admin" predeterminado y usan una contraseña simple, es fácil para los piratas informáticos entrar por la fuerza.

El enfoque modular de WordPress también puede funcionar en su contra en términos de riesgos de seguridad. Los complementos y temas más antiguos que no se han actualizado por un tiempo pueden ser vulnerables a los ciberataques. Y algunos servidores de alojamiento web pueden dejar su sitio vulnerable a los ataques DDOS, de los que puede ser difícil recuperarse.

Amenazas de seguridad comunes

Existen varios tipos de amenazas que los piratas informáticos pueden representar para su sitio y sus clientes. Uno de los más siniestros es el malware, un término general que puede abarcar una variedad de virus diferentes. Esto puede incluir ransomware (programas que bloquean la información de los usuarios hasta que a los piratas informáticos se les paga una cierta cantidad de dinero), ataques drive-by (programas que solo necesitan que un usuario visite un sitio web para infectar su computadora) y caballos de Troya. (programas que parecen software beneficiosos y engañan a los usuarios para que los descarguen).

Los piratas informáticos también pueden intentar cerrar su sitio mediante un denegación de servicio distribuida (DDOS) ataque. Pueden intentar acceder y manipular sus bases de datos de back-end mediante ataques de inyección SQL para robar datos confidenciales de los clientes. Y algunos programas más sutiles pueden intentar espiar a su empresa para obtener acceso a información confidencial.

1. Elija un proveedor de hosting de buena reputación

Una de las primeras y mejores cosas que puede hacer para mantener seguro su sitio de WordPress es elegir un proveedor de alojamiento de confianza. Aunque puede crear su sitio a través de WordPress, no funcionan alojamiento del sitio. Su sitio web se alojará a través de una empresa separada y, si no elige una de buena reputación, podrían dejar su sitio vulnerable a los piratas informáticos.

Asegúrese de hacer su tarea antes de registrarse con un proveedor de alojamiento. Lea las reseñas de los clientes, lea las listas de empresas de alojamiento de alta calidad y hable con sus amigos conocedores de la tecnología que tienen sitios sobre los proveedores que utilizan. También busque en Google la empresa que está considerando; Si surgen un montón de historias sobre violaciones de sitios web, opte por otra empresa.

2. Utilice un certificado SSL

Usar una sola capa de sockets, o SSL, es una excelente manera de mantener su sitio web de WordPress más seguro para usted y sus clientes. Un SSL es efectivamente una forma de cifrar los datos que se ejecutan entre el navegador web de un usuario y su servidor web. Sin esto, cualquiera puede ver todos los datos de su sitio en texto sin formato, incluida la información privada del cliente, los números de tarjetas de crédito y más.

Lo mejor de todo es que el uso de un certificado SSL puede hacer incluso más que mejorar la seguridad de su sitio. Google y otros motores de búsqueda de alto perfil han comenzado a reconocer los beneficios de seguridad que brindan los SSL y lo han incluido en los algoritmos de sus motores de búsqueda. Ejecutar un SSL puede realmente mejorar su posicionamiento en los motores de búsqueda, que puede ser crucial para atraer nuevos visitantes a su sitio.

3.Hacer obligatorias las contraseñas seguras

Contraseñas seguras son una de las mejores y más sencillas formas de protegerse contra los piratas informáticos, tanto dentro como fuera de su sitio. Muchos piratas informáticos comienzan por intentar encontrar la forma más fácil de ingresar a su sitio: a través de la puerta principal. Probarán contraseñas comunes como "contraseña123", "[sitename]123 ”, y así sucesivamente.

Solicite a todos los que creen una cuenta en su sitio, tanto clientes como empleados, que creen una contraseña segura. Idealmente, las contraseñas deben incluir una combinación de letras, números y caracteres especiales y deben tener al menos ocho caracteres. También debe haber al menos una letra mayúscula y, para una capa adicional de seguridad, puede pedir a las personas que cambien sus contraseñas de forma regular.

4. Utilice la autenticación de dos factores

Incluso si utiliza requisitos de contraseña estrictos, muchas personas aún encontrarán formas de hacer que su contraseña sea fácil de recordar y tan fácil de adivinar. Una forma de reforzar la seguridad de su sitio es utilizar la autenticación de dos factores. Esto es mucho más difícil de penetrar para los piratas informáticos, ya que tienen que adivinar o conocer dos datos correctamente, en lugar de una contraseña.

Su autenticación de dos factores podría incluir hacerles a los usuarios una pregunta de seguridad cuando estén listos para iniciar sesión. También podría enviarles un código de confirmación por separado a través de una fuente de contacto secundaria. El código de acceso caducará en quince minutos, por lo que a los piratas informáticos les resultará imposible corregirlo.

5. Limite los intentos fallidos de inicio de sesión

Si no usa la autenticación de dos factores, definitivamente querrá limitar la cantidad de intentos fallidos de inicio de sesión que puede tener un usuario. Muchos piratas informáticos utilizarán un método de fuerza bruta que simplemente adivina diferentes combinaciones de contraseñas hasta que encuentran la correcta. Los programas de computadora pueden ejecutar docenas de adivinaciones de contraseñas por minuto, por lo que es muy sencillo encontrar la combinación correcta.

Limitar los intentos fallidos de inicio de sesión obstaculiza este método de fuerza bruta. Dé a los clientes de tres a cinco oportunidades para obtener la información de inicio de sesión correcta. Si fallan, tendrán que restablecer su contraseña utilizando un método de contacto secundario que también será difícil de ingresar para los piratas informáticos.

6. Cambie el nombre de su URL de inicio de sesión

Como mencionamos, la mayoría de los sitios de WordPress vienen con una URL de inicio de sesión de administrador estándar que es la URL de su sitio web con "/ wp-admin /" clavado en la parte posterior. Esto hace que sea tremendamente simple para los piratas informáticos obtener acceso a su sitio de inicio de sesión, especialmente si su tema tiene la etiqueta estándar "Desarrollado por WordPress" en la parte inferior. Desde allí, pueden aprovechar las lagunas de la versión y otros métodos para acceder a su sitio.

Cambiar su URL de inicio de sesión hace que sea casi imposible para los piratas informáticos acceder a su página de inicio de sesión. Existen casi dos mil millones de sitios web en línea en este momento, por lo que es poco probable que los piratas informáticos adivinen su URL de inicio de sesión de inmediato. Combinado con requisitos de contraseña estrictos y autenticación de dos factores, será casi imposible para los piratas informáticos iniciar sesión en su sitio.

7. Cambiar el prefijo de la tabla de la base de datos de WordPress

Cuando instala WordPress, la base de datos de WordPress tiene por defecto un prefijo de tabla "wp-". Tener este prefijo predeterminado puede dejar su sitio vulnerable a Ataques de inyección SQL. Cambiar esto a cualquier otro término puede dificultar que los piratas informáticos utilicen este método de ataque en particular.

La desventaja es que el momento más fácil para realizar este cambio es cuando descargas WordPress por primera vez. Si ya lo ha instalado, puede agregar algunos complementos que le permitan cambiar el prefijo de la tabla de la base de datos. Pero siempre asegúrese de hacer una copia de seguridad de su sitio antes de realizar cambios en la base de datos.

8. Mantenga su sitio actualizado

Mantener su sitio de WordPress actualizado es una de las formas más importantes de hacerlo más seguro. Con cada nueva versión que sale, los piratas informáticos encuentran nuevas lagunas y errores en la codificación que les permiten acceder a su sitio. Afortunadamente, WordPress controla estas lagunas y las corrige a medida que surgen.

Para tener acceso a las últimas medidas de seguridad que WordPress tiene para ofrecer, debe actualizar su sitio. Sabemos que ejecutar esas actualizaciones puede resultar complicado, especialmente si tiene complementos y otras personalizaciones. Pero cuanto más lo posponga, más tiempo le dará a los piratas informáticos para acceder a su sitio.

9. Haga una copia de seguridad de su sitio web

Otra excelente manera de mantener su sitio más seguro es realizar copias de seguridad periódicas. Sabemos que las copias de seguridad de sitios pueden suponer mucho trabajo y llevar mucho tiempo, pero valen la pena. Si alguna vez su sitio es pirateado o bloqueado, podrá recuperar una versión reciente, en lugar de tener que empezar de nuevo por completo.

Hacer una copia de seguridad de su sitio web también puede ser más fácil en estos días de lo que solía ser. Puede automatizar las copias de seguridad para que se ejecuten en medio de la noche, cuando es probable que nadie esté usando su sitio en la parte delantera o trasera. También puede programarlos con anticipación para que pueda configurar y olvidar los protocolos de respaldo de su sitio.

10. Elimine su número de versión de WordPress

Una de las mejores formas de facilitar su sitio de WordPress es eliminar su número de versión de las partes visibles de su sitio. Muchos temas incluyen automáticamente esta información y puede dejarlo vulnerable a los piratas informáticos. Pueden encontrar lagunas de seguridad en ese número de versión específico y explotarlas para ingresar a su sitio.

Para eliminar el número de versión de su sitio, deberá editar el archivo functions.php para el tema que está utilizando. Una vez que extraiga este archivo, agregue el siguiente código:

function remove_wp_version () {

regreso ";

}

add_filter ('the_generator', 'remove_wp_version');

Esto eliminará el número de versión de las páginas frontales de su sitio y lo hará un poco más seguro.

Una advertencia rápida: es mejor que este archivo solo se edite a través de SFTP, y hacerlo con precaución. - Si edita el archivo functions.php de su sitio desde wp-admin y hace algo mal, podría desencadenar un error y podría quedar bloqueado en su sitio.

Cree sitios web seguros de WordPress

WordPress es una de las mejores herramientas de diseño web del mercado. Pero debe tomar algunas precauciones especiales para asegurarse de que su sitio se mantenga seguro. Mantenga las cosas actualizadas, cambie las etiquetas predeterminadas y haga todo lo posible para que las contraseñas sean lo más difíciles de adivinar o piratear.