Seguridad de WordPress: ¿Cómo proteger y asegurar WordPress?

Aunque WordPress es generalmente un software muy seguro y cientos de desarrolladores lo auditan periódicamente, al ser una plataforma de código abierto, ocasionalmente pueden surgir vulnerabilidades de seguridad, a menudo debido a los complementos y temas utilizados. Si bien no es posible eliminar por completo los riesgos, es posible minimizarlos con las medidas de seguridad de WordPress.

Según las estadísticas de Internet, cada día se atacan más de 100.000 sitios web. Para evitar estar entre estos sitios (o reducir el riesgo), tomar medidas de seguridad en WordPress es de vital importancia.

Aquí está la lista más actualizada de medidas de seguridad de WordPress para 2024:

Elija empresas de hosting confiables y calificadas

No sería exagerado decir que elegir alojamiento para su sitio web o negocio es el elemento vital de la seguridad del sitio. Por eso WordPress ocupa el primer lugar entre las medidas de seguridad.

Lo primero que hay que hacer para abrir una web o un blog es elegir el hosting. En este punto, al comienzo del viaje, sería beneficioso para usted invertir en un buen hosting. La empresa que elija debe incluir la última versión de PHP y MySQL, así como servicios importantes como un firewall, copias de seguridad de registros, análisis de malware, medidas de prevención de DDOS y monitoreo de seguridad 24 horas al día, 7 días a la semana.

El coste de un hosting que cumpla estas condiciones puede ser más elevado que otros, pero aun así merece la pena por la seguridad y el buen funcionamiento de tu sitio web.

Utilice SSL para la seguridad de WordPress

SSL (Secure Socket Layer) es un protocolo que cifra la transferencia de datos. Cuando habilita SSL, su sitio web se abre como HTTPS en lugar de HTTP y tiene un símbolo de candado delante de la URL, lo que indica que el sitio es seguro.

Con SSL, no sólo tomas medidas de seguridad de WordPress, sino que tu clasificación en los motores de búsqueda también se ve afectada positivamente. (¡Google ha declarado oficialmente que https es un factor de clasificación!)

Los certificados SSL suelen ser emitidos por autoridades certificadoras y suelen tener precios elevados. Sin embargo, también es posible utilizar SSL gratuito con Let's Encrypt, una organización sin fines de lucro. De hecho, muchas empresas de hosting ofrecen ahora certificados SSL gratuitos para sus clientes.

Haga una copia de seguridad de su sitio con regularidad

No importa cuántas precauciones tome para garantizar que su sitio permanezca seguro, lo más importante que debe hacer es realizar copias de seguridad periódicas. Si pierde su sitio a manos de atacantes, puede superar la situación con un daño mínimo gracias a las copias de seguridad que ha recibido. Así que tu primera defensa serán estos refuerzos.

Mantenga actualizada su versión, complementos y temas de WordPress

La versión, los complementos y los temas de Wp no actualizados pueden crear importantes vulnerabilidades de seguridad. WordPress es un software de código abierto que se mantiene y actualiza periódicamente. Muchos errores y vulnerabilidades se corrigen cada vez que se lanza una nueva versión. Asimismo, asegúrese de utilizar siempre la versión actualizada de sus temas y complementos. Si no actualiza, su sitio estará en grave riesgo.

Entonces, ¿cómo actualizar?

Si tienes una nueva actualización para WordPress, temas y complementos, puedes verlos en la sección “Actualizaciones” del panel de administración y actualizarlos con un solo clic.

Asegúrese de eliminar todos los temas y complementos que no utilice.

Utilice contraseñas seguras

Las contraseñas débiles son fáciles de adivinar. Los piratas informáticos utilizan un software especial para forzar los inicios de sesión, también conocidos como ataques de fuerza bruta. Por lo tanto, es importante crear contraseñas únicas y seguras para la seguridad de WordPress.

Utilice una combinación de letras mayúsculas y minúsculas, números aleatorios y símbolos para crear una contraseña segura. Recuerde también cambiar su contraseña cada pocos meses. Asegúrese de tener contraseñas seguras no sólo para iniciar sesión en su cuenta de WordPress, sino también para su cuenta de hosting, cuentas FTP, base de datos y cuentas de correo electrónico privadas.

Utilice la autenticación de dos factores

No importa qué tan segura sea su contraseña, todavía existe un riesgo. La autenticación de dos factores implica un proceso de dos pasos en el que no sólo necesita su contraseña sino también un segundo método para iniciar sesión.

La verificación de inicio de sesión con un SMS, una llamada telefónica o una contraseña de un solo uso basada en el tiempo suelen estar entre las mejores medidas de seguridad de WordPress. De hecho, es 100% efectivo la mayor parte del tiempo.

Puede utilizar uno de los siguientes complementos para esto:

Autenticación de dos factores Duo
Autenticador de Google

Seguridad de inicio de sesión de WordPress con CAPTCHA

Usar CAPTCHA es una forma sencilla pero eficaz de prevenir ataques de fuerza bruta en su sitio web.

Después de una cierta cantidad de intentos fallidos de inicio de sesión, se genera un CAPTCHA para determinar si el usuario es un humano o un bot. Los CAPTCHA están diseñados para que los bots no puedan leerlos. Los bots no pueden iniciar sesión hasta que resuelvan el CAPTCHA.

Cambie su URL de inicio de sesión de WordPress

Otro paso importante al tomar medidas de seguridad de WordPress es cambiar la URL de inicio de sesión de WordPress.

De forma predeterminada, cualquiera que agregue /wp-login.php o /wp-admin/ al final de su nombre de dominio puede acceder a su página de inicio de sesión de WordPress. Al cambiar la URL, puede dejar de ser un objetivo y estar mejor protegido contra ataques de fuerza bruta. Si bien esta no es una solución importante para la seguridad de WordPress, es una medida que puede utilizar junto con otras medidas de seguridad de WordPress para proteger su sitio web.

La forma más sencilla de cambiar tu URL de inicio de sesión de WordPress es utilizar un complemento (especialmente si eres nuevo en esto). Uno de los mejores complementos que puedes usar es el Wp Safe Zone complemento de seguridad.

Deshabilitar la edición de archivos

Puede editar sus archivos de temas y complementos directamente desde el panel de administración de WordPress. Sin embargo, esta característica puede plantear graves riesgos de seguridad. Por lo tanto, le recomendamos que evite editar sus archivos directamente desde el panel de Wp.

Para hacer esto, simplemente agregue el siguiente código a su archivo wp-config.php.

// No permitir la edición de archivos define ('DISALLOW_FILE_EDIT', verdadero);

Inicie sesión en cPanel y vaya a "Administrador de archivos". Busque "wp-config.php" en la carpeta "public.html", haga clic derecho sobre él y haga clic en "Editar". Agregue el código anterior al final del archivo y guarde la página.

Cambiar el prefijo de la base de datos de WordPress

Otra medida de seguridad de WordPress es cambiar el prefijo de la base de datos.

De forma predeterminada, utiliza el prefijo wp_ para todas las tablas de su base de datos. El uso del prefijo predeterminado deja la base de datos de su sitio vulnerable a ataques de inyección SQL. Cambiar esto aumentará aún más su seguridad. Por ejemplo, en lugar de wp_, puede especificar un prefijo aleatorio como shfwp_, mywp_, wpdlt_, etc.

Cuando instala WordPress por primera vez, puede especificar el prefijo de la base de datos. Sin embargo, si no lo ha hecho, aún puede cambiar el prefijo de la base de datos, que actualmente es wp_.

***Este proceso es riesgoso y puede dañar completamente su sitio si no se realiza correctamente.

Deshabilitar XML-RPC en WordPress

Si bien XML-RPC ayuda a conectar su sitio de WordPress a aplicaciones web y móviles, puede aumentar significativamente los ataques de fuerza bruta. Por lo tanto, si no está utilizando XML-RPC, le recomendamos deshabilitarlo. Simplemente agregue el siguiente código a su archivo .htaccess:

Bloquear XML-RPC en Apache:

Orden denegar, permitir denegar desde todos permitir desde 123.123.123.123

Bloquear XML-RPC en Nginx

ubicación = /xmlrpc.php { negar todo; }

Ocultar el nombre de usuario que utiliza para iniciar sesión en WordPress

Cualquiera que quiera saber su nombre de usuario simplemente ingresa esta simple URL en el navegador: siteadi.com/wp-json/wp/v2/users

Para evitar esto, ingrese el siguiente fragmento de código en su archivo funciones.php. Con este código, la lista de usuarios se oculta y les aparece un mensaje de error a quienes ingresan la url.

add_filter( 'rest_endpoints', function( $endpoints ){ if ( isset( $endpoints['/wp/v2/users'] ) ) { unset( $endpoints['/wp/v2/users'] ); } if ( isset( $endpoints['/wp/v2/users/(?P<id>[\\\\\\\\d]+)'] ) ) { unset( $endpoints['/wp/v2/users/(?P<id>[\\\\\\\\d]+)'] ); } return $endpoints; });

Utilice la última versión de PHP

Mantener la versión de PHP actualizada también es muy importante para la seguridad del sitio de WordPress. Cada versión de PHP tiene soporte para corregir varias vulnerabilidades de seguridad. Para garantizar la máxima seguridad, asegúrese de que su sitio sea compatible con la última versión de PHP.

Deshabilitar el informe de errores de PHP

Los piratas informáticos pueden utilizar mensajes de error de forma maliciosa. Por ejemplo, un error de un tema o complemento podría mostrar la ruta de su servidor.

Para deshabilitar el informe de errores, agregue el siguiente código a su wp-config.php file:

informe_error (0); @ini_set ('display_errors', 0);

Proteja su archivo wp-config.php

El archivo wp-config.php es uno de los archivos más importantes, pero también el más vulnerable, de su sitio. Contiene datos altamente sensibles. Este archivo debe estar protegido.

La forma más sencilla de hacer esto es mover el archivo wp-config.php un paso por encima de su directorio raíz de WordPress.

También puede impedir el acceso al archivo agregando el siguiente código a su archivo .htaccess:

orden permitir, negar negar de todos

Bloquear el acceso a otros archivos confidenciales

La instalación de WordPress incluye no sólo el archivo wp-config.php, sino también algunos archivos más confidenciales, como los archivos install.php y readme.html. Estos archivos no deben ser accesibles para otros.

Nuevamente, aquí es donde entra en juego nuestro mejor amigo, el archivo .htaccess. Puede ocultar sus archivos confidenciales del acceso no autorizado agregando los siguientes códigos a este archivo:

Orden permitir, denegar Denegar de todos Orden permitir, denegar Denegar de todos Orden permitir, denegar Denegar de todos Orden permitir, denegar Denegar de todos

Utilice permisos de archivos correctos

Un permiso de archivo incorrecto, como 777, podría permitir que un pirata informático cargue un archivo o modifique un archivo existente. Para cambiar los permisos de los archivos, debe iniciar sesión en su cPanel, ir al "Administrador de archivos" y realizar los cambios necesarios.

Según WordPress, los siguientes permisos son los permisos correctos:

• Todas las carpetas deben ser 755 o 750
• Todos los archivos deben ser 644 o 640.
• wp-config.php debería ser 440 o 400

Agregue su sitio a Google Search Console

Hay muchas ventajas al agregar su sitio de WordPress a Google Search Console. Además de ver datos sobre su sitio, también puede ver problemas de seguridad aquí. Si Google detecta problemas con su sitio, se lo notificará por correo electrónico.

Obtenga un complemento de seguridad de WordPress

La forma más sencilla, rápida y segura de tomar medidas de seguridad de WordPress es utilizar un complemento de seguridad de WordPress todo en uno que incluya los pasos anteriores y más.

En el ámbito de la seguridad de WordPress, la vigilancia es primordial. Una de las medidas más importantes que puede tomar es integrar un firewall de aplicaciones web (WAF) sólido. Su WAF actúa como barrera principal, interceptando y frustrando ataques maliciosos incluso antes de que tengan la posibilidad de violar su sitio.

¿Por qué elegir WP Safe Zone?

1. Protección avanzada de cortafuegos: WP Safe Zone cuenta con un firewall de aplicaciones web avanzado que actúa como un centinela vigilante para su sitio web. Al examinar el tráfico entrante en tiempo real, bloquea eficazmente los intentos maliciosos, fortaleciendo su sitio contra una gran cantidad de amenazas cibernéticas.

2. Detección proactiva de amenazas: Con WP Safe Zone, está equipado con capacidades de detección proactiva de amenazas. El complemento monitorea continuamente su entorno de WordPress, identificando y neutralizando rápidamente cualquier actividad sospechosa antes de que pueda comprometer la integridad de su sitio.

3. Políticas de seguridad personalizables: Adapte sus protocolos de seguridad para satisfacer sus necesidades específicas con WP Safe Zone. Ya sea que prefiera una protección estricta o un enfoque más equilibrado, el complemento ofrece configuraciones personalizables para alinearse con sus requisitos de seguridad únicos.

4. Interfaz amigable: WP Safe Zone prioriza la facilidad de uso con su interfaz intuitiva. No necesita ser un experto en ciberseguridad para mejorar la seguridad de su WordPress: el complemento simplifica el proceso y lo hace accesible para usuarios de todos los niveles.

No deje su sitio de WordPress vulnerable a posibles amenazas. Invierta hoy en WP Safe Zone y fortalezca su fortaleza digital con la máxima confianza.