¿Se pregunta por qué hemos publicado una lista de verificación de seguridad de WordPress si otros blogueros lo han hecho excepcionalmente bien antes?
La impactante verdad es que al usuario promedio de WordPress no le importa mucho la seguridad y los piratas informáticos se centran en las vulnerabilidades de WordPress. El 70% de todos los sitios de WordPress en el Top 1.000.000 de Alexa son vulnerables a ataques de piratas informáticos. Incluso los grandes nombres no prestan la atención necesaria a la seguridad.
Proteger un sitio web requiere tiempo y recursos, pero ciertamente vale la pena a largo plazo. Valoramos su tiempo y entendemos por qué puede descuidar la seguridad de su sitio de vez en cuando.
La singularidad de esta lista de verificación es que condensa valiosos consejos en un formato conciso y digerible. Úselo periódicamente y fortalecerá considerablemente la seguridad de su sitio.
Copia de seguridad periódicamente
Su sitio no es más seguro si tiene una copia reciente del mismo. Pero una copia de seguridad reciente le brinda la tranquilidad que necesita cuando trabaja para mejorar la seguridad del sitio.
Mucho más, la copia de un sitio es excelente cuando su sitio está infectado con malware.
No faltan excelentes complementos de respaldo y algunos de ellos son gratuitos. UpDraftPlus , Duplicator y BackWPUp son excelentes complementos que le permiten programar copias de seguridad automáticas, guardarlas en varias ubicaciones remotas y restaurar su sitio con facilidad.
Tiempo estimado
Instalar, activar y configurar un complemento de respaldo lleva 10 minutos. También deberás comprobar periódicamente la integridad de las copias.
Instalar un complemento de seguridad
Un complemento de seguridad sólido es el mejor amigo de un administrador de sitio web exhaustivo. Afortunadamente, al igual que los complementos de respaldo, los usuarios tienen a su disposición un montón de complementos de seguridad y millones de usuarios satisfechos han probado algunos de ellos.
Me cuesta creer que no encontrará un complemento de seguridad satisfactorio. Wordfence , All In One WP Security & Firewall y iThemes Security son complementos que merecen toda su atención.
Las acciones más críticas de un complemento de seguridad son:
- Escanear los archivos del sitio contra malware
- Comprobación de los archivos frente a vulnerabilidades de seguridad.
- Bloquear usuarios por IP o por país
- Incluir IP en listas blancas y negras.
Tiempo estimado
Instalar, activar y configurar un complemento de seguridad lleva 20 minutos. Tenga en cuenta que la mayoría de los complementos de seguridad vienen repletos de muchas funciones. Verifique todas las funciones para asegurarse de consolidar la seguridad del sitio.
Audite su alojamiento, temas y complementos
Esta sugerencia es frecuentemente ignorada incluso por los expertos y los blogueros preocupados por la seguridad. Su ignorancia se debe a que rara vez es necesario auditar a su proveedor de alojamiento, temas y complementos. ¡No cometas el mismo error!
Su proveedor de alojamiento es fundamental para la seguridad y el rendimiento de su sitio. Considere a su proveedor de hosting como la base de su sitio web. No se puede crear un sitio web sólido sobre una base débil.
Elija un proveedor que utilice las últimas tecnologías y garantice un entorno seguro. Es posible que sienta la tentación de ahorrar dinero utilizando un proveedor económico, y eso es comprensible. Sin embargo, a la larga, un buen proveedor de hosting es mejor porque tus archivos estarán seguros. Además de eso, el hosting es responsable de la velocidad de carga. Es una obviedad lo vital que es la velocidad.
Espere tener malware y vulnerabilidades si utiliza un tema o complementos de proveedores sospechosos. Desinstale todo lo que genere un signo de interrogación. Instale temas y complementos desde el repositorio de WordPress o únicamente de fuentes confiables.
Tiempo estimado
De 30 a 45 minutos son suficientes para evaluar su proveedor de alojamiento, su tema y sus complementos.
Fortalecer las contraseñas de los usuarios
¿Es este un consejo inútil presentado sólo por escribir más? ¡Desafortunadamente no lo es! Las contraseñas débiles son culpables del 81% de las filtraciones de datos de las empresas . Por lo tanto, es una buena idea restablecer las contraseñas de todos los usuarios y pedirles que utilicen credenciales más complejas.
Algunos complementos de seguridad obligan a los usuarios a utilizar contraseñas complejas, por lo que, una vez más, un complemento hace el trabajo por usted.
Tiempo estimado
Depende de la complejidad del sitio, pero restablecer las contraseñas y enviar un correo electrónico a los usuarios sobre su intención debería llevar entre 15 y 20 minutos. Agregue otros cinco minutos para configurar un complemento de seguridad que solicite contraseñas complejas.
Mantenga todo actualizado
Un ejército de desarrolladores talentosos hace todo lo posible para hacer de WordPress un entorno cada vez más seguro. Por el contrario, un ejército más grande de piratas informáticos expertos intenta todo lo posible para identificar una vulnerabilidad en el núcleo de WordPress, un complemento o un tema.
Nada creado por el hombre es perfecto, por lo que cada producto se puede piratear hasta cierto punto. Sí, los piratas informáticos pueden ingresar a su sitio incluso si actualiza todo. Pero simplifica su trabajo utilizando versiones antiguas del núcleo, los temas y los complementos de WordPress.
Tiempo estimado
De vez en cuando, se necesitan menos de un minuto para actualizar estas cosas. Ayuda a ahorrar tiempo utilizando un servicio como ManageWP.
Eliminar todo lo que no esté en uso
Cada tema o complemento instalado pero no utilizado es una vulnerabilidad adicional desde una perspectiva de seguridad. Dirígete a tu panel y mira los complementos y temas que no usaste. Elimínelos para mejorar la seguridad de su sitio.
Bonificación: al eliminar estos elementos no utilizados, su sitio se cargará más rápido.
Tiempo estimado : se tarda aproximadamente un minuto en eliminar los temas y complementos no utilizados.
Gestión de usuarios
Cuantos más privilegios tengan los usuarios, más inseguro será el sitio. De vez en cuando, audite a los usuarios y determine sus roles. Por ejemplo, no cree una cuenta de editor para un usuario que solo es responsable de crear contenidos.
Consulte esta guía de WPBeginner sobre roles y permisos de usuario de WordPress antes de tomar medidas.
Tiempo estimado
Depende de la complejidad del sitio y de la cantidad de cuentas creadas. Pero se necesitan unos 15 minutos para evaluar el rol de cada usuario y limitar los privilegios si es necesario.
Deshabilitar la edición de archivos
Este consejo tiene más impacto en sitios con una gran cantidad de usuarios. El editor integrado permite a los usuarios (según sus funciones) editar el tema y los complementos directamente desde el panel de WordPress. Sin embargo, es un arma de doble filo.
De hecho, no tiene precio cuando necesitas modificar el código, pero es una vulnerabilidad enorme. Depende en gran medida de las habilidades de los usuarios, pero pueden agregar (voluntariamente o no) malware o fragmentos de código furtivos o incluso bloquear su sitio. ¡Nunca subestimes el poder de un punto y coma faltante!
La mejor solución es desactivar la edición de archivos. Renuncias a la comodidad de cambiar el código directamente desde el salpicadero. Pero puede estar seguro de que personas no capacitadas no cambiarán el código.
Es bastante sencillo desactivar la edición de archivos. Inserte esta línea de código en el sitio
definir ('DISALLOW_FILE_EDIT', verdadero);
Elimine esta línea de código si desea habilitar la edición de archivos.
Tiempo estimado
Tarda entre uno y cinco minutos, dependiendo de tus habilidades.
Configuraremos esto cuando configuremos el complemento de seguridad premium que proporcionamos de forma gratuita a todos nuestros clientes.
Limitar intentos de inicio de sesión
En esencia, los ataques de fuerza bruta se producen cuando un pirata informático intenta adivinar las credenciales de su sitio. Adivinar las credenciales correctas es casi imposible escribiendo manualmente nombres de usuario y contraseñas. Pero se volvió factible cuando se utilizó un software. Prueba miles de combinaciones en tan solo un segundo.
Puede agregar otra capa de seguridad para su sitio web limitando la cantidad de intentos de inicio de sesión. Es simple: instala y activa un complemento. Limit Login Attempts Reloaded y WP Limit Login Attempts son dos complementos que han sido probados por miles de usuarios satisfechos.
Tiempo estimado : se necesitan diez minutos para configurar un complemento que limite los intentos de inicio de sesión.
Configuraremos esto cuando configuremos el complemento de seguridad premium que proporcionamos de forma gratuita a todos nuestros clientes.
Concluyendo
No existe un sitio 100% imposible de piratear, pero aplicar los consejos anteriores es suficiente para proteger su sitio de manera significativa.
Por supuesto, esta lista de verificación no es exclusiva. Hay muchas otras formas de proteger su sitio web. Por ejemplo, los usuarios expertos podrían insertar algunos fragmentos de código para que el sitio sea impenetrable a los ataques de los piratas informáticos.
¿Está interesado en aprender consejos de seguridad más avanzados? Háganoslo saber y publicaremos una guía de seguridad para usuarios avanzados.
Deja un comentario