Cuando se trata de la seguridad del sitio web de WordPress, puede hacer muchas cosas para evitar que su sitio web o blogs sean atacados por piratas informáticos. Dado que los sitios web de WordPress son fáciles de piratear, los piratas informáticos suelen atacar el CMS para llevar a cabo actividades maliciosas. Si bien no existe un método infalible, aún puede familiarizarse con los métodos de fortalecimiento de WordPress porque las consecuencias de no tenerlos en su lugar pueden ser perjudiciales.
En términos simples, el sitio web de Hardening WordPress se puede definir como la aplicación de medidas de seguridad eficientes y efectivas. Si bien es imperativo tener un complemento de seguridad de WordPress para escanear y limpiar su sitio web, también debe implementar medidas de refuerzo para hacerlo más sólido.
Errores durante el endurecimiento de WordPress
Antes de sumergirnos en los métodos para fortalecer su sitio web de WP, primero analicemos cuáles son los errores comunes que cometen las personas al fortalecer sus sitios web de WordPress:
1. No hacer una copia de seguridad de su sitio web
La cantidad de amenazas en línea, a diario, ha sido testigo de un aumento significativo. Además, los piratas informáticos en línea utilizan métodos cada vez más sofisticados para llevar a cabo actividades maliciosas. Por lo tanto, es imperativo que tenga un plan efectivo de copia de seguridad de la base de datos de WordPress en primer lugar. Debe asegurarse de utilizar las mejores copias de seguridad de WordPress:
- En primer lugar, haga una copia de seguridad de su base de datos junto con sus archivos que contienen complementos, temas, carpeta wp-content, archivo .htaccess y archivo wp-config.php , etc.
- La frecuencia de la copia de seguridad dependerá completamente de la frecuencia de los cambios que realice en su sitio web. Supongamos que publica contenido varias veces en una semana, entonces, en ese escenario, debe realizar una copia de seguridad diaria en lugar de una copia de seguridad semanal.
- También debe asegurarse de guardar la copia de seguridad fuera del sitio y en varias ubicaciones diferentes.
- Por último, acostúmbrese a revisar las copias de seguridad diariamente para asegurarse de que funcionen como deberían.
2. No aplicar actualizaciones
Una de las cosas importantes que debe asegurarse es mantener su sitio web actualizado. Para garantizar que los usuarios de WordPress obtengan control de acceso a las funciones nuevas y avanzadas y, lo que es más importante, para solucionar cualquier posible problema de seguridad de WordPress, el equipo detrás de WordPress implementa actualizaciones en intervalos regulares.
Las actualizaciones menores suelen contener correcciones y parches de seguridad, no se realizan automáticamente. Por otro lado, el núcleo principal de WordPress se actualiza automáticamente con las actualizaciones automáticas de WordPress. Además, también vienen con funciones nuevas y avanzadas en sus actualizaciones de seguridad.
. Uso de contraseñas débiles
Si a menudo usa nombres de usuario y contraseñas idénticos para todas sus cuentas en línea o usa algo que no es difícil de adivinar, como el nombre de un país o su fecha de nacimiento, es culpable de tener una contraseña débil. Debe cambiar el nombre de usuario de WordPress a tiempo para mantenerlo seguro de la actividad maliciosa de los piratas informáticos.
Con una contraseña fácil, le facilita las cosas al hacker. Asegúrese de pensarlo dos veces antes de finalizar una contraseña para su correo electrónico, área de administración y panel de control de alojamiento. Lo que es más importante, acostúmbrese a cambiar la contraseña cada seis meses y tener una combinación de mayúsculas y minúsculas, junto con números y símbolos.
4. Dejar su área de inicio de sesión desprotegida
Si está usando WordPress durante bastante tiempo, entonces sabe cómo acceder a la página de administración e inicio de sesión. Por desgracia, como usted está familiarizado con esta importante información, también lo están los piratas informáticos. Debido a esto, necesita fortalecer su área de inicio de sesión de WordPress.
Afortunadamente, esto es más fácil que caerse de un tronco y también resulta útil para mantener a raya a los piratas informáticos. Siga los ajustes que se mencionan a continuación para limitar el acceso al área de inicio de sesión y las credenciales de inicio de sesión:
- Asegúrese de cambiar el nombre para mostrar en la sección Usuarios. El nombre para mostrar tiende a ir con cada publicación publicada. Esto también significa que los piratas informáticos solo tendrán que adivinar su contraseña para acceder fácilmente.
- Intente y limite sus intentos de inicio de sesión también, lo ayudará a evitar el ataque de fuerza bruta de WordPress. Si tiene algún problema, puede ponerse en contacto con los expertos de WordPress.
- Con la ayuda del complemento de autenticación de dos factores , puede elegir tener la autenticación de dos factores de WordPress.
5. No utilizar un alojamiento web seguro
Hoy en día, el alojamiento de WordPress varía desde alojamiento compartido económico hasta alojamiento administrado de WordPress más costoso y eficiente y servidores web dedicados. Dicho esto, no todos los proveedores de hosting son iguales. Algunos de ellos son más seguros que otros y este elemento en particular se refleja en sus planes de precios.
6. Uso de temas y complementos mal codificados
El uso de una línea de comando mal codificada en el tema del complemento aumenta significativamente las probabilidades de que su sitio web sea pirateado. Lo mismo ocurre con la descarga de temas premium populares gratuitos en sitios web de terceros. Dichos temas tienden a ralentizar su sitio web y, a veces, no son compatibles con su versión y complementos de WordPress. Lo que es peor, a veces, también pueden contener código PHP malicioso.
Siempre es recomendable usar temas y complementos de sitios web oficiales o de buena reputación. En caso de que un tema gratuito venga con una versión premium, asegúrese de descargarlo solo desde el sitio web del desarrollador. Ahora que conoce bien los errores, analicemos algunas de las mejores formas prácticas de fortalecer su sitio web de WordPress antes de que sea demasiado tarde.
Sugerencia: antes de continuar y realizar cambios, asegúrese de realizar una copia de seguridad de su sitio web, en caso de que algo salga mal.
Las mejores maneras de fortalecer la seguridad del sitio web de WordPress
Hay varias formas de fortalecer el sitio web de WordPress. La lista de formas es larga. Aquí hemos tratado de cubrir los pasos más importantes que debe seguir para proteger WordPress de la piratería:
1. Implementar la autenticación de dos factores
Según los expertos de WordPress, los piratas informáticos utilizan la página de inicio de sesión para piratear un sitio web. Con la ayuda de los ataques de fuerza bruta (también llamados cracking de fuerza bruta), los piratas informáticos usan los bots para adivinar las credenciales importantes de su sitio web. En caso de que los datos importantes de su sitio web se filtren desde otro sitio web, estos piratas informáticos también pueden acceder fácilmente a su sitio web. Todos sabemos que los piratas informáticos son inteligentes, por lo que conocen bien el hecho de que las personas suelen mantener el mismo nombre de usuario y contraseña para sus múltiples cuentas. Esto es lo que facilita la tarea de los piratas informáticos, es decir, piratear su sitio web de WordPress.
La mejor manera es agregar una autenticación de dos factores para cada usuario, ya sea administrador, suscriptor, editor, superadministrador o autor. La mayoría de los sitios web ofrecen a sus usuarios la verificación en dos pasos para iniciar sesión en sus cuentas. Para ello, el usuario tiene que:
- Proporcione sus datos de inicio de sesión.
- Introduzca una contraseña (que se genera en tiempo real).
Esto ayudará a fortalecer su cuenta y será difícil para los piratas informáticos obtener acceso a su panel de control de WordPress. También puede aplicar la misma tecnología en su sitio web para protegerlo de los piratas informáticos. Puede usar una aplicación para lo mismo: Google Authenticator. Esta aplicación en particular es responsable de generar una contraseña cada 30 segundos. También se puede utilizar un código secreto que solo usted conocerá.
2. Limite los intentos de inicio de sesión
Probablemente haya notado que su banco solo ofrece tres intentos para obtener su nombre de usuario y contraseña correctos. Posteriormente, se le da la opción de ‘Olvidé mi contraseña’. Cuando haya intentado iniciar sesión con credenciales incorrectas, recibirá el siguiente mensaje:
3. Bloquee la ejecución de PHP en carpetas no confiables
Esto es un poco técnico, pero lo simplificaremos tanto como sea posible. En primer lugar, debe saber que PHP (preprocesador de hipertexto) es un lenguaje de secuencias de comandos de propósito general muy conocido y se utiliza en el desarrollo web.
Su sitio web de WP también está hecho de archivos y carpetas, sin embargo, no todos los archivos y carpetas usan funciones de PHP. Si el hacker de alguna manera puede obtener acceso a su sitio web, creará sus propias carpetas e insertará sus funciones PHP en las existentes. Bloquear la ejecución de funciones de PHP desde una carpeta desconocida es una de las formas efectivas de prevenir tal pirateo.
4. Deshabilitar el editor de archivos
En el momento en que un pirata informático obtenga acceso con éxito a una cuenta de administrador de WordPress, se hará cargo de su sitio web. Una vez que haya obtenido acceso a su tablero, realizará cambios en la codificación de su tema y complementos utilizando la opción de Editor. Además, también tiene la opción de añadir sus propios guiones. De esta forma podrá:
- Mostrar su propio contenido
- Spam a tus usuarios
- Desfigurar su sitio web
SEO Spam Hacks y SQL Injections son algunos de los hacks comunes ejecutados a través de estos editores. Para ubicar el editor, debe ir a Apariencia > Editor . Y complementos > Editor de complementos .
Vaya al archivo wp-config para deshabilitar el editor. El mismo método, en el que accedimos a los archivos del sitio web a través del Administrador de archivos o FTP, se puede utilizar aquí.
Para la siguiente parte, si tiene conocimientos técnicos sobre temas y complementos mal codificados , definitivamente será útil, pero si no los tiene, es mejor no seguir adelante con esto. Si desea continuar utilizando el método manual, estos son los pasos detallados que debe realizar.
Encuentre su archivo wp-config en su Administrador de archivos y haga clic derecho para tener la opción ‘Editar’.
Aquí verá información adicional al respecto y podrá ‘deshabilitar la verificación de codificación’. Luego proceda a ‘Editar’.
En esta etapa, su archivo wp-config está abierto, debe desplazarse hacia abajo y encontrar la línea
/*That’s all, stop editing! Happy publishing. */
Tienes que pegar el siguiente código encima de este
define( ‘DISALLOW_FILE_EDIT’, true );
Ahora guarda los cambios que tienes y cierra el editor.
Regrese al panel de control, aquí verá que ya no tiene la opción de Editor.
5. Cambiar las claves de seguridad de WordPress
WordPress tiende a almacenar todas sus credenciales para que no tenga que ingresarlas cada vez que inicia sesión. La mejor parte es que todas sus credenciales se almacenan de forma encriptada. Por el contrario, si los datos se almacenan en texto plano, será mucho más fácil para el hacker interpretarlos. Y por otro lado, si los datos están encriptados, parecerá texto aleatorio y no podrá usarlo.
WordPress, utilizando claves de seguridad y salts, encripta los datos. En términos simples, las claves se pueden definir como variables aleatorias que codifican el nombre de usuario y la contraseña. Salts solo va un paso más allá y mejora el cifrado.
Se recomienda que realice cambios en sus claves antiguas a intervalos regulares. Para tener un nuevo conjunto de claves, puede usar el enlace: Clave secreta. Tendrás la página que se ve así:
6. No permitir instalaciones de complementos
Un usuario o un cliente puede, sin motivo alguno, instalar un complemento sin conocer su compatibilidad y confiabilidad. Esta acción puede generar numerosos problemas en su sitio web. Si elige deshabilitar las actualizaciones de complementos y temas, podrá protegerse de entrar en esta situación.
7. Use un complemento de seguridad
Puede habilitar y deshabilitar fácilmente esta función con la ayuda de un complemento. Esto es necesario, especialmente cuando no desea que su cliente instale los complementos sin razón.
8. Usuarios inactivos de cierre de sesión automático
Encontrará esta función especialmente en los sitios web oficiales de los bancos, donde cierran su sesión después de un período particular de inactividad. De esta manera su cuenta estará a salvo de accesos no autorizados. Además, los usuarios inactivos se desconectarán automáticamente si están conectados pero no han realizado ninguna tarea en el sitio web.
Puede hacer esto usando un complemento llamado Bulletproof Security. Este complemento viene con una serie de características, una de las cuales es el cierre de sesión inactiva.
9. Deshabilitar XML-RPC
XML-RPC, últimamente, se ha convertido en uno de los principales objetivos de los ataques de fuerza bruta. Según uno de los métodos de este protocolo basado en XML, el método system.multicall se puede utilizar para llevar a cabo varios métodos dentro de una sola solicitud. Esto resultará útil ya que puede pasar fácilmente muchos comandos dentro de una solicitud HTTP.
Sí, hay un par de complementos como Jetpack que dependen de XML-RPC; sin embargo, la mayoría de las personas no lo requerirán, y deshabilitar el acceso puede ser beneficioso.
Puede ejecutar su sitio web a través de XML-RPC Validator para saber si XML-RPC está habilitado. En caso de que no lo sea entonces recibirás el siguiente mensaje en tu pantalla:
También puede instalar un complemento Deshabilitar XML-RPC para deshabilitarlo por completo.
10. Verifique los permisos de archivo y servidor
Los permisos de archivo, en su instalación y servidor web, no deben pasarse por alto. Asegúrese de bloquear sus permisos, de lo contrario, será más fácil para el pirata informático obtener acceso a su sitio web y ejecutar actividades maliciosas. Por otro lado, debe asegurarse de que no sean demasiado severos, de lo contrario, puede romper la funcionalidad de su sitio web de WP. Por lo tanto, asegúrese de haber establecido los permisos correctos.
Permisos de archivo:
- Si el usuario disfruta del derecho a leer el archivo, se asignan permisos de lectura.
- Si el usuario disfruta del derecho de escribir o realizar cambios en el archivo, se asignan permisos de escritura.
- Si el usuario disfruta del derecho de ejecutarlo o ejecutarlo como un script, entonces se asignan permisos de ejecución.
Permisos de directorio:
- Si el usuario disfruta del derecho de acceder al contenido de la carpeta identificada, entonces se asignan permisos de lectura.
- Si disfruta del derecho de leer y eliminar archivos en la carpeta identificada, entonces se asignan permisos de escritura.
- Si el usuario disfruta del derecho de acceder a la carpeta real y puede realizar funciones y comandos, entonces se asignan permisos de ejecución.
11. Utilice SSL para la seguridad de los datos
Cuando habilita la seguridad SSL (Secure Sockets Layer), da un gran paso para hacer que su sitio web sea seguro. SSL es responsable de toda la información enviada hacia y desde su sitio web. De esa manera, los datos compartidos por sus visitantes permanecerán seguros y protegidos.
Lo mejor de usar SSL es que garantiza que el hacker no pueda ver ni interceptar los datos compartidos por sus usuarios. Secure Sockets Layer tiende a crear un túnel seguro y desempeña un papel importante en la protección de información clave, como detalles de tarjetas de crédito, nombres de usuario y contraseñas.
La URL de un sitio web certificado SSL comenzará con HTTPS y, por otro lado, un sitio web que no esté certificado por SSL comenzará con HTTP.
Envolver
Independientemente del tamaño de su sitio web, debe incorporar formas efectivas de fortalecer la seguridad de su sitio web de WordPress. Su sitio web es parte de un mundo virtual que está plagado de malos elementos de nuestro mundo real.
Los bots malos y los piratas informáticos buscan continuamente presas vulnerables y, en el momento en que obtienen una, se aprovechan de ella. La seguridad es un panorama en constante cambio y las vulnerabilidades evolucionan con el tiempo. Los piratas informáticos aprovechan las vulnerabilidades de WordPress como WordPress Pharma Hack, WordPress XSS Attack, Japanese Keyword Hack en el sitio de WordPress . Es por eso que es necesario seguir algunas formas efectivas de fortalecer la seguridad de WordPress.
Pero no necesita preocuparse demasiado, siga las medidas de fortalecimiento del sitio web discutidas anteriormente para proteger su sitio web de los piratas informáticos.