8 consejos rápidos y fáciles de WordPress para mejorar la seguridad de su sitio web
Una actualización de seguridad de Wordfence indicó que hubo más de 20 millones de ataques contra más de medio millón de sitios de WordPress en mayo de 2020. El gran volumen de estos ataques solo en ese mes confirma cuán vulnerable puede ser su sitio.
Esto no quiere decir que el sistema de administración de contenido de WordPress no sea un lugar seguro, lo es. Lo que lo convierte en un objetivo jugoso para los atacantes es que la mayoría de los administradores no se adhieren al WordPress necesario. EN LINEA mejores prácticas.
Cómo optimizar su sitio de WordPress para la seguridad
Ahora, es prácticamente imposible crear y mantener un sitio perfectamente seguro. Sin embargo, hay algunas cosas que pueden ayudar a mejorar su postura de seguridad general y reducir el riesgo de ataques cibernéticos:
Elija sabiamente su proveedor de alojamiento
Hace algún tiempo, las características y el precio fueron las consideraciones clave al elegir con qué empresa de hosting elegir. Para la mayoría de las personas, la seguridad ocupaba el último lugar, es decir, si formaba parte de su lista de preocupaciones. Pero en un momento en que la piratería se ha vuelto tan rampante, las prioridades han cambiado. El alojamiento seguro debe ser su guía al elegir en qué empresa de alojamiento confiar su sitio web.
Hay un par de características de seguridad esenciales que debe tener en cuenta al elegir el mejores proveedores de alojamiento web de WordPress en 2021. Estos incluyen:
- Seguridad de servidor confiable
- Exploración de malware
- Capacidades de servidor seguro: debe estar protegido por SFTP. Compruebe también el tipo de certificado SSL.
- Prevención de ataques DDoS (compruebe si funciona con una empresa CDN, como Cloudflare).
- Protección cortafuegos
- Posibilidad de reiniciar manualmente
Asegure el archivo wp-config[.]php
El wp-config[.]php es un archivo central con credenciales críticas e información de conexión que WordPress necesita para almacenar y recuperar datos de la base de datos. Esta información incluye el host local, el nombre, el nombre de usuario y la contraseña.
El archivo wp-config[.]php se encuentra entre las áreas más atacadas por los actores maliciosos, ya que les brinda fácil acceso a la base de datos donde se almacena el contenido crítico del sitio. Hacer que este archivo sea inaccesible significa que está fortaleciendo su sitio desde el núcleo.
Proteger el archivo wp-config[.]php implica moverlo de su ubicación predeterminada. Lo bueno es que WordPress te permite ocultarlo fuera de la instalación de WordPress y seguirá funcionando.
Implementar WordPress en Kubernetes
WordPress es una plataforma inherentemente simple de usar para principiantes y una poderosa herramienta para desarrolladores. No es de extrañar que sea la elección de casi el 30 % de los sitios web del mundo, desde pequeños blogs individuales hasta corporaciones gigantes.
Puede hacer que su sitio de WordPress sea más manejable y seguro alojándolo a través de contenedores Docker orquestados con Kubernetes. Ejecutar WordPress en Kubernetes le ofrece un par de beneficios, incluida la integración continua (CI). Como desarrollador, CI reduce el tiempo que tarda en lanzar nuevas actualizaciones en un 10-15 %.
Además, acoplar su sitio de WordPress significa que solo un contenedor se verá comprometido en caso de una vulnerabilidad.
La transferencia de un sitio establecido a los contenedores de Docker puede requerir algo de trabajo. Sin embargo, considerando que los contenedores son el futuro del alojamiento, recomendamos aprender Docker y Seguridad de Kubernetes tan pronto puedas.
Instalar un complemento de seguridad de WordPress
Los consejos sobre si necesita un complemento de seguridad de WordPress están por todas partes. A menos que tenga uno de esos sitios de alto riesgo que exigen protección desde todos los frentes, es posible proteger su sitio sin utilizar un complemento de seguridad de WordPress dedicado.
Sin embargo, si te tomas en serio la seguridad de tu sitio (y apostamos a que lo haces), un complemento de seguridad de WordPress es algo que deberás considerar. Los mejores complementos de seguridad de WordPress, como Sucuri y Wordfence, ofrecen una línea de defensa adicional para su sitio al fortalecer su página de inicio de sesión, escanear su sitio en busca de malware y crear un firewall.
¡Haz que esas contraseñas sean difíciles!
Las contraseñas están destinadas a ser la primera línea de defensa contra piratas informáticos y maliciosos. Pero es bastante sorprendente que la mayoría de los propietarios de sitios web de WordPress sigan usando contraseñas simples y fáciles de adivinar, como 123456, QWERTY y Contraseña. 'iloveyou' tampoco es fuerte.
Al crear una contraseña para su sitio, asegúrese de que sea larga y compleja. La combinación de letras, números y caracteres, como paréntesis, corchetes y signos de porcentaje, hará que a los atacantes les resulte aún más difícil y más lento adivinar sus contraseñas.
En tono rimbombante, evitar usar la misma contraseña para diferentes sitios y dispositivos. Las consecuencias pueden ser devastadoras si la contraseña se ve comprometida.
Habilitar la autenticación de dos factores de WordPress
Los piratas informáticos y los actores maliciosos siempre están en la cima de su juego de adivinanzas de contraseñas. A pesar de las interminables campañas sobre la importancia de usar credenciales de inicio de sesión seguras, no sorprende que los ataques relacionados con contraseñas sigan aumentando.
Hacer cumplir contraseñas ultra fuertes para sus sitios de WordPress por sí solo no es suficiente. La implementación de una autenticación de 2 factores es crucial, ya que crea una etapa de verificación adicional en la que los usuarios deben proporcionar información que solo ellos conocen. Puede ser un código o un mensaje de texto enviado por teléfono o correo electrónico, una prueba biométrica, como un escaneo facial, o un código basado en el tiempo de otra aplicación.
Deshabilitar la edición de archivos
De forma predeterminada, los usuarios administradores pueden abrir Apariencia >> Editor de temas y use este complemento de edición para modificar cualquier archivo que desee directamente desde su panel de WordPress. Esto puede ser realmente útil, pero también conlleva un riesgo potencialmente alto.
En caso de que un atacante irrumpa en su tablero, tener habilitada esta opción de edición de archivos les da acceso absoluto a todos los códigos en su sitio web. Si rara vez realiza cambios en sus archivos, es posible que este complemento no sea necesario para usted ni para otros usuarios.
Deshabilitar este complemento es simple y directo. Solo necesitas agregar el texto. define('DISALLOW_FILE_EDIT', verdadero); al final de wp-config[.]php archivo.
Evite los temas anulados como la peste
Al buscar los mejores complementos de WordPress, probablemente busque un complemento que ofrezca excelentes funciones y reduzca los costos. Los temas de WordPress anulados son una opción favorita para la mayoría de las personas. Los temas anulados se refieren a copias pirateadas de temas premium de WordPress que a menudo se venden a una fracción del costo original.
Aunque la promesa de beneficiarse de funciones premium sin gastar mucho es tentadora, no se deje engañar por ellas. Los temas y complementos anulados se encuentran entre las principales razones por las que la mayoría de los sitios de WordPress son pirateados hoy en día. Esto se debe a que estos productos a menudo contienen malware que se propaga fácilmente a través de diferentes archivos en su sitio, lo que dificulta su detección y reparación.
Estos temas y complementos descifrados también tienen códigos maliciosos, que los piratas informáticos utilizan para robar su información de credenciales, como la dirección de correo electrónico, el nombre de usuario y las contraseñas, y ponerla a disposición de otros actores en la web oscura.
Mensajes recomendados
Los mejores complementos de marcas de WooCommerce en 2024
Abril 30, 2024
