0
(0)

Probablemente ya conozca las medidas de seguridad obvias que debe tomar para proteger su sitio web de WordPress.

Posiblemente sepa que tiene que hacer que la contraseña de su sitio sea «fuerte» (una combinación de caracteres especiales, letras mayúsculas, letras minúsculas y números). No debe usar «admin» como nombre de usuario y debe cambiar las contraseñas con frecuencia. Probablemente ya utilice la autenticación de dos factores en su sitio de WordPress y tenga una copia de seguridad de su sitio. Y nunca descarga complementos premium de forma gratuita o de fuentes desconocidas. Entonces, ¿qué más hay?

Aquí discutiremos algunos consejos más de seguridad de WordPress utilizando métodos poco conocidos pero profundamente efectivos que puede y debe usar para proteger su sitio de WordPress.

1. Cambie el nombre o reubique su página de inicio de sesión

wordpress-consejos-de-seguridad-alojamiento-ataque-de-fuerza-bruta

La página de inicio de sesión predeterminada para su sitio es «www.websitename.com/wp-login.php» (o «www.websitename.com/wp-admin»). Una de las formas de proteger su sitio es ocultar u ocultar la página de inicio de sesión para que los piratas informáticos no puedan encontrarla fácilmente. Controlar su acceso de inicio de sesión limitando el número de intentos de inicio de sesión cada vez y el intervalo de tiempo entre los intentos de inicio de sesión también mejoraría la seguridad.

Si ya tienes mochila propulsora instalado, puede activar su módulo de «Protección de fuerza bruta». Con este módulo activado, Jetpack actualizará el Tablero con la cantidad de intentos de inicio de sesión maliciosos en su sitio web. También tiene la opción de incluir en la lista blanca varias direcciones IP. Desde Jetpack, vaya a «Configuración» y luego a «Proteger», seguido de «Configurar», y verá lo que se parece a la imagen a continuación.

wordpress-consejos-de-seguridad-alojamiento-jetpack

Seguridad de Cerber y límite de intentos de inicio de sesión es un complemento alternativo a Jetpack. Si prefiere no usar Jetpack, Limitar inicio de sesión es una opción. A la fecha de redacción, el complemento se ha instalado más de 40 000 veces y mantiene una reputación casi impecable, ya que 108 de 111 usuarios lo calificaron con cinco estrellas.

Limit Login es bastante fácil de usar, pero configurar su sección de «Fortalecimiento» mejora la seguridad de su sitio. Todos los accesos al servidor XML-RPC, que incluyen trackbacks y pingbacks, están bloqueados de forma predeterminada. Si por algún motivo accede a la API de descanso de WordPress (por ejemplo, la aplicación de Android o iOS de su blog lo necesita), permita que la API de descanso de WP y XML-RPC estén accesibles.

wordpress-consejos-de-seguridad-hosting-cerber-limit

2. Aloja donde sea seguro

Dado que un enorme cuarenta y uno por ciento de las infracciones de seguridad de los sitios de WordPress se originan en el extremo del host y no en el sitio en sí, es de sentido común asegurarse de que su host sea seguro. De hecho, el alojamiento tiene el mayor peso en lo que respecta a la seguridad. Solo el ocho por ciento de los ataques ocurren debido a contraseñas débiles, el veintinueve por ciento debido al tema y el veintidós por ciento debido a complementos. Entonces, aproximadamente la mitad de la seguridad de su sitio depende del alojamiento.

wordpress-consejos-de-seguridad-hosting-hackeado

Asegúrese de que su cuenta incluya aislamiento de cuenta si usa alojamiento compartido. Su cuenta estará protegida de lo que suceda en los sitios web de otras personas. Sin embargo, es mejor que utilice un servicio diseñado pensando en los usuarios de WordPress. Dichos servicios incluirían firewall de WordPress, protección contra ataques de malware de día cero, MySQL y PHP actualizados, servidores de WordPress especializados y un servicio al cliente experto en WordPress. Anfitriones como Motor de trabajo en equipo, Terreno del sitioy página tener un sólido historial de seguridad.

consejos-de-seguridad-de-wordpress-hosting-siteground

3. Manténgase actualizado y use solo software actualizado

Sabes que tienes que usar un antivirus actualizado y otra protección antimalware relevante para tu computadora. Esta precaución también se aplica a los complementos y temas. Manténgalos actualizados, y si tiene temas o complementos en su repositorio que no están en uso, elimínelos. Si es adecuado para su sitio, considere configurar sus complementos y temas para que se actualicen automáticamente. Para configurar actualizaciones automáticas, ingrese un código en su wp-config.php. El siguiente es el código para los complementos:

add_filter( 'auto_update_plugin', '__return_true' );

Y para los temas, usa este código:

add_filter( 'auto_update_theme', '__return_true' );

Si desea un enfoque de no intervención para el mantenimiento del sitio, entonces puede considerar automatizar las actualizaciones de WordPress. Tenga en cuenta, sin embargo, que configurar una actualización automática puede dañar su sitio, especialmente si se ejecutan complementos incompatibles con la última actualización de WordPress en su sitio. Para configurar una actualización automática para su sitio de WordPress, inserte el siguiente código en su wp-config.php expediente:

# Enable all core updates, including minor and major:
define( 'WP_AUTO_UPDATE_CORE', true );

4. Eliminar el editor de temas del complemento y el informe de errores de PHP

Deshabilite su editor incorporado para complementos y temas si no modifica y cambia la configuración de forma rutinaria (o ejecuta cualquier otro mantenimiento en sus complementos y temas). Esto es por la seguridad de su sitio web.

Los usuarios autorizados de WordPress tienen acceso a este editor, lo que hace que su sitio sea vulnerable a una brecha de seguridad si sus cuentas son pirateadas. De hecho, los piratas informáticos pueden eliminar su sitio modificando el código en ese editor. Para deshabilitar el editor, inserte el siguiente código en su wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

El informe de errores es bueno. Le ayuda con la resolución de problemas. El único problema (y es un gran problema) es que los mensajes de error también llevan consigo la ruta del servidor. Los piratas informáticos podrían ver la ruta de su servidor y obtener fácilmente una comprensión clara de la estructura de su sitio web. Aunque el informe de errores de PHP es bueno, es MEJOR deshabilitarlo por completo. Use el fragmento de código a continuación para su wp-config.php expediente:

error_reporting(0);
@ini_set(‘display_errors’, 0);

5. Use .htaccess para proteger archivos especiales

wordpress-seguridad-consejos-alojamiento-uso-htaccess

El archivo .htaccess es importante porque es el corazón de su sitio web de WordPress. Este archivo es responsable de la estructura y seguridad de los enlaces permanentes de su sitio. fuera de la #BEGIN WordPress y #END WordPress etiquetas, no hay límite en la cantidad de fragmentos de código que puede agregar a su archivo .htaccess para cambiar la visibilidad de los archivos dentro del directorio de su sitio web.

Si aún no lo ha hecho, oculte el archivo wp-config.php de su sitio. Ese archivo es fundamental para las actividades de su sitio y contiene su información personal, así como otros detalles importantes relacionados con su sitio. Puede usar el fragmento de código a continuación para ocultarlo.

order allow,deny
deny from all

Para restringir el acceso de administrador, simplemente cree un nuevo archivo .htaccess y cárguelo en su directorio «wp-admin». Luego, inserte este código:

order deny,allow
allow from 192.168.5.1
deny from all

Ingrese su dirección IP en el lugar correcto. Para permitir el acceso a su wp-admin desde múltiples direcciones IP, enumere esas direcciones IP, cada una de ellas en una línea separada, como allow from IP Address. Puede restringir el acceso a su wp-login.php casi de la misma manera. Simplemente agregue este fragmento de código en su .htaccess:

order deny,allow
Deny from all
# allow access from my IP address
allow from 192.168.5.1

Si prefiere no bloquear todas las direcciones IP, solo las direcciones IP específicas que desean obtener acceso a su wp-admin o wp-login.php, puede bloquear direcciones IP individuales usando este código:

order allow,deny
deny from 456.123.8.9
allow from all

También puede impedir que las personas vean el directorio de su sitio haciendo que no se pueda navegar. Puede usar este fragmento de código para hacer eso:

Options All -Indexes

Conclusión

Esta ha sido una guía práctica para ayudarlo a mejorar la seguridad de su sitio web de WordPress. La más crucial de estas opciones es una que es bastante simple de implementar ahora: encuentre un host con una reputación impecable de seguridad, ya que la mitad de la seguridad de su sitio se basa en su host.

¿Qué consejo de seguridad te resultó más útil y por qué? ¿Tienes algún otro consejo de seguridad que no esté en la lista aquí? Menciónalo (o menciónalos) en los comentarios.

¿Le ha parecido útil este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.