Cómo Aumentar Seguridad de Wordpress

 

WordPress es un CMS utilizado para la creación de páginas web ya sean blogs, tiendas, etc. Sin embargo, la seguridad para un sitio web es importante y si no sabes cómo tener tu página con la menor posibilidad de ser hackeado o perder tu sitio te daremos algunos consejos a continuación.

Pero antes, si tu sitio ya ha sido hackeado aprende cómo recuperar tu sitio de Wordpress.

Cambiar el usuario y url de Wordpress

El usuario por defecto es "admin", y con eso, los atacantes tienen la mitad del trabajo para acceder al sitio. 

Para reducir este riesgo, es crucial cambiar el nombre de usuario del administrador a uno menos predecible y en alias manejar otro nombre y modificar que se muestre el Alias para evitar que obtengan el nombre de usuario y utilizar plugins de seguridad para cambiar la URL de inicio de sesión, como WPS Hide Login o Change wp-admin login.

Además, es importante limitar el número de intentos de inicio de sesión para evitar ataques de fuerza bruta.

Si deseas obtener más información sobre cómo mejorar la seguridad del inicio de sesión en WordPress, te recomendamos consultar nuestro artículo más completo al respecto.

Utilizar contraseñas seguras

Crea contraseñas seguras para todos los usuarios de WordPress, utilizando una combinación de letras mayúsculas y minúsculas, números y símbolos.

Activar la autenticación de dos factores

Implementa la autenticación de dos factores (2FA) para agregar una capa adicional de seguridad al proceso de inicio de sesión. 

Limitar los intentos de inicio de sesión

Limita el número de intentos de inicio de sesión permitidos para evitar ataques de fuerza bruta.

Utilizar un plugin de seguridad como "Login Lockdown"

Este plugin te permite bloquear IPs después de un número determinado de intentos de inicio de sesión fallidos.

Evitar ataques de fuerza bruta al Administrador de WP con Loginizer

Loginizer es un plugin de WordPress que te ayuda a luchar contra ataques de fuerza bruta bloqueando el acceso de la IP después de alcanzar un máximo de intentos permitidos. Con Loginizer puedes añadir direcciones IP a la lista negra o a la lista blanca de acceso. También puedes usar otras características, como la autenticación de dos factores, reCAPTCHA, el acceso PasswordLess (sin contraseña), etc., para mejorar la seguridad de tu web.

Bloquearán por 15 minutos luego de tres intentos fallidos de acceso. Tras varios bloqueos, la IP se bloqueará por 24 horas.

Actualizaciones de WordPress

Es importante mantener la versión más reciente de WordPress. Las actualizaciones a menudo incluyen parches de seguridad para corregir vulnerabilidades conocidas. 

Actualizar Plugins

Hablando de los plugins, estos tienden a ser la razón por la que los sitios son hackeados. Si sueles ingresar a diario a tu sitio no tendrás problema para actualizar los plugins, pero si entras muy de vez en cuando será un problema ya que estos suelen sacar actualizaciones a cada rato y si no se mantienen actualizados tu vulnerabilidad es mayor. Si hay algún plugin que no sea necesario o no se ocupe, lo mejor es eliminarlo.

Por otro lado, algunos plugins suelen tener problemas de seguridad en nuevas actualizaciones por lo que debes estar al tanto de noticias sobre plugins. Podrás instalar plugins muy conocidos como Contact Form 7 y confiar en ellos pero hace poco hubo una actualización de este plugin y hubo muchas webs hackeadas por un problema de seguridad en la nueva versión por lo que ningún plugin se puede salvar de ser seguro o no.

No solo debes fijarte en tener la última versión de los plugins y de los templates sino que también debes mantener actualizado la versión de PHP que estés ocupando. 

Utiliza un plugin de actualización automática. Puedes instalar un plugin como "Easy Updates Manager" para automatizar las actualizaciones de plugins y temas. Desde tu instalador de aplicaciones de tu hosting o desde el administrador de WordPress puedes seleccionar que se haga de forma automática.

¿Es seguro instalar plugins de sitios externos?

Muchas veces vamos iniciando un negocio y no tenemos los recursos suficientes para comprar plugins necesarios, pero evita descargar plugins sin licencia porque no solo es ilegal sino que también puede contener malware y dañar tu sitio web.

Lo mismo aplica al instalar un template, muchos de estos se pueden descargar por otros sitios web pero pueden tener virus y si en algún momento necesitas soporte no te lo podrán ofrecer. Wordpress tiene una variedad muy amplia de templates gratuitos con los que pueden iniciar tu página.

Evitar plugins y temas gratuitos

Algunos plugins y temas gratuitos pueden contener malware o código vulnerable. Opta por opciones premium de desarrolladores reputables.

Plugins de Seguridad para Wordpress

Para mayor seguridad recomendamos ocupar el plugin de Wordfence Security o Solid Security Basic que ayudan a realizar los cambios para mejorar la seguridad de Wordpress. 

Es de gran importancia tener este plugin o uno parecido con las mismas funciones. Este plugin también tiene una versión de pago

Seguridad de archivos en WordPress

Para proteger los archivos delicados de tu sitio web puedes ingresar por FTP a tu sitio web y cambiar de directorio el archivo de web-config. Esto es porque este archivo contiene información de la instalación del sitio web y datos de acceso a bases de datos. 

Para protegerlo lo único que debes hacer es cambiarlo de directorio, moverlo a una carpeta o nivel superior dentro de tu raíz. Wordpress logrará abrir el archivo aunque no esté en el mismo lugar, mientras los hackers no podrán verlo. 

Seguridad del servidor

Utilizar un proveedor de alojamiento web confiable

Elige un proveedor de alojamiento web que ofrezca medidas de seguridad robustas, como firewalls y protección contra DDoS.

Mantener el software del servidor actualizado

Asegúrate de que el software del servidor, como PHP y MySQL, esté actualizado con los últimos parches de seguridad.

Desactivar el acceso a archivos sensibles

Desactiva el acceso directo a archivos sensibles como .htaccess y wp-config.php.

Activa Certificado SSL en Wordpress

A nadie le gusta ingresar a un sitio que dice que no es seguro por lo que debes contactar a tu proveedor para que te lo active, normalmente este se ofrece gratuitamente. Después deberás activarlo en tu sitio con el plugin Really Simple SSL para forzar que siempre direccione al sitio seguro https

Además, Google tiene muy en cuenta como factor de posicionamiento que el sitio tenga certificado SSL.

Seguridad en Nuevos Usuarios en Wordpress

Si en algún momento necesitas crear el usuario de otra persona para que ingrese al Wordpress, haz que esta persona realice todo lo que anteriormente comentamos sobre el inicio de sesión, contraseñas, etc.

También determina que rol tomará ese usuario y dale el tipo de usuario que necesite. Existen 6 en total, a continuación te los mostramos

• Super Admin: acceso a todas las funciones del sitio.
• Administrador: acceso a casi todas las funciones.
• Editor: Publica contenido tanto en las páginas como en el blog.
• Autor: Crea contenidos y administra tus publicaciones.
• Colaborador: Puede crear contenido pero no publicarlo.
• Suscriptor: solo administra su propio perfil.

Con estos consejos podrás tener un Wordpress más seguro y con menor probabilidad de hackeo.

Crear copias de seguridad regularmente en Wordpress

Sin embargo, incluso con todas estas medidas en marcha, no estás completamente protegido. Un fallo del servidor, un ataque cibernético o un error humano pueden provocar la pérdida de tu contenido.

Es por eso que las copias de seguridad son una parte fundamental de la seguridad de tu sitio web.

Las copias de seguridad te permiten:

• Restaurar tu sitio web a un estado anterior en caso de cualquier problema.
• Proteger tu contenido de la pérdida o la corrupción.
• Ahorrar tiempo y esfuerzo en caso de un desastre.

Recomendaciones para tener un buen sistema de respaldos en WordPress:

1. Crea copias de seguridad regularmente.

La frecuencia con la que necesitas crear copias de seguridad depende de la frecuencia con la que actualizas tu sitio web. Si publicas contenido nuevo con frecuencia, es recomendable realizar copias de seguridad diariamente o semanalmente.

2. Utiliza una herramienta de copia de seguridad fiable.

Existen numerosas herramientas de copia de seguridad disponibles para WordPress, tanto gratuitas como de pago. Algunas opciones populares incluyen:

• All-in-One WP Migration: Permite crear y restaurar copias de seguridad completas de tu sitio web.
• Softaculous: La mayoría de los paneles de Hosting tiene un instalador de aplicaciones como Softaculous, desde esta misma herramienta puedes generar un respaldo.
• CodeGuard: una solución premium para la gestión de copias de seguridad. 

3. Almacena tus copias de seguridad en un lugar seguro.

No es recomendable almacenar tus copias de seguridad en el mismo servidor que tu sitio web. En caso de un fallo del servidor, también podrías perder tus copias de seguridad.

Algunas opciones para almacenar tus copias de seguridad de forma segura son:

• Un servicio de almacenamiento en la nube como Google Drive o Dropbox.
• Un disco duro externo.
• Un servidor remoto.

4. Mantén tus copias de seguridad actualizadas.

Asegúrate de actualizar tus copias de seguridad cada vez que realizas cambios importantes en tu sitio web.

Solución para Copias de Seguridad de Wordpress que recomendamos en Solo Web

Si buscas una solución completa para la gestión de copias de seguridad de tu sitio web, CodeGuard es una excelente opción. Este servicio ofrece una serie de ventajas que lo convierten en una alternativa superior a las herramientas de copia de seguridad tradicionales:

1. Copias de seguridad automáticas e ilimitadas:

CodeGuard realiza copias de seguridad automáticas de tu sitio web en tiempo real, lo que te permite tener siempre la última versión disponible.

No hay límite en la cantidad de copias de seguridad que puedes almacenar, lo que te da la tranquilidad de tener siempre un punto de restauración al que recurrir.

2. Restauración rápida y sencilla:

Con CodeGuard, restaurar tu sitio web a un estado anterior es rápido y sencillo. Puedes hacerlo con un solo clic desde el panel de control de CodeGuard.

Incluso puedes restaurar archivos y carpetas específicos, lo que te da un control granular sobre tu sitio web.

3. Seguridad de alto nivel:

CodeGuard utiliza tecnología de última generación para proteger tus copias de seguridad.

Tus datos se almacenan en servidores encriptados y se protegen con firewalls y otras medidas de seguridad.

4. Escaneo de malware y actualizaciones de plugins:

CodeGuard incluye un escáner de malware que analiza tu sitio web en busca de amenazas y te ayuda a eliminarlas.

También puedes configurar CodeGuard para que actualice automáticamente tus plugins, lo que te ayuda a mantener tu sitio web seguro y actualizado.

Si bien CodeGuard tiene un costo adicional, la tranquilidad y la flexibilidad que ofrece lo convierten en una inversión valiosa para cualquier sitio web.

Recuerda:

• Las copias de seguridad son una parte fundamental de la seguridad de tu sitio web.
• Es importante crear copias de seguridad regularmente, utilizar una herramienta fiable y almacenarlas en un lugar seguro.
• CodeGuard es una solución premium que te ofrece una gestión completa de las copias de seguridad de tu sitio web.

Toma el control de la seguridad de tu sitio web y protégelo de cualquier amenaza.

Con estos consejos podrás tener un Wordpress más seguro y con menor probabilidad de hackeo. 

 

Es demasiado tarde y ya Hackearon tu pàgina Web que usa WordPress?