La guía definitiva para la seguridad de WordPress

La guía definitiva para la seguridad de WordPress

La seguridad de WordPress es un tema de suma importancia para todos los propietarios de sitios web. Google incluye en la lista negra más de 10,000 sitios web todos los días por malware y alrededor de 50,000 por phishing cada semana. Si se toma en serio su sitio web, debe prestar atención a las mejores prácticas de seguridad de WordPress. En esta guía, compartiremos todos los mejores consejos de seguridad de WordPress para ayudar a proteger su sitio web de piratas informáticos y malware.
Guía completa de seguridad de WordPress
Si bien el software principal de WordPress es muy seguro y cientos de desarrolladores lo auditan regularmente, se puede hacer mucho para proteger su sitio. En MundoCMS, creemos que la seguridad no se trata solo de eliminar riesgos. También es una cuestión de reducción de riesgos. Como propietario de un sitio web, hay muchas cosas que puede hacer para mejorar la seguridad de su WordPress (incluso si no es un experto en tecnología). Tenemos una serie de pasos concretos que puede tomar para proteger su sitio web de violaciones de seguridad. Para facilitarle las cosas, hemos creado una tabla de contenido para ayudarlo a navegar fácilmente por nuestra guía de seguridad definitiva de WordPress.

Indice

Contents

Conceptos básicos de seguridad de WordPress
Seguridad de WordPress en sencillos pasos (sin codificación)
Seguridad de WordPress para usuarios de bricolaje
¿Listo? Empecemos.

¿Por qué es importante la seguridad del sitio web?

Un sitio de WordPress pirateado puede dañar seriamente los ingresos y la reputación de su empresa. Los piratas informáticos pueden robar información de usuario, contraseñas, instalar malware e incluso distribuir malware a sus usuarios. Peor aún, podría encontrarse pagando a piratas informáticos por ransomware solo para recuperar el acceso a su sitio web.
Por que la seguridad de WordPress es importante
En marzo de 2016, Google informó que se había advertido a más de 50 millones de usuarios de sitios web que un sitio web que visitaban podía contener malware o robar información. Además, Google incluye en la lista negra alrededor de 20.000 sitios web por malware y alrededor de 50.000 por phishing cada semana. Si su sitio web es un negocio, debe prestar especial atención a la seguridad de su WordPress. Así como es responsabilidad de los propietarios de negocios proteger el edificio de su tienda física, como propietario de un negocio en línea es su responsabilidad proteger el sitio web de su empresa.
[Back to Top ↑]

Mantenga WordPress actualizado

Mantenga WordPress actualizado
WordPress es un software de código abierto que se mantiene y actualiza periódicamente. De forma predeterminada, WordPress instala automáticamente actualizaciones menores. Para las versiones principales, debe iniciar la actualización manualmente. WordPress también viene con miles de complementos y temas que puede instalar en su sitio web. Estos complementos y temas son administrados por desarrolladores externos que también publican actualizaciones con regularidad. Estas actualizaciones de WordPress son cruciales para la seguridad y estabilidad de su sitio de WordPress. Debe asegurarse de que su núcleo, complementos y tema de WordPress estén actualizados.
[Back to Top ↑]

Permisos de usuario y contraseñas seguras

Administra contraseñas seguras
Los intentos de piratería de WordPress más comunes utilizan contraseñas robadas. Puede dificultar esto utilizando contraseñas más seguras que sean exclusivas de su sitio web. No solo para el área de administración de WordPress, sino también para las cuentas FTP, la base de datos, la cuenta de alojamiento de WordPress y sus direcciones de correo electrónico personalizadas que utilizan el nombre de dominio de su sitio. A muchos principiantes no les gusta usar contraseñas seguras porque son difíciles de recordar. Lo bueno es que ya no tienes que recordar las contraseñas. Puede utilizar un administrador de contraseñas. Consulte nuestra guía para administrar contraseñas de WordPress. Otra forma de reducir el riesgo es no permitir que nadie acceda a su cuenta de administrador de WordPress a menos que sea absolutamente necesario. Si tiene un equipo grande o autores invitados, asegúrese de comprender los roles y capacidades de los usuarios en WordPress antes de agregar nuevas cuentas de usuario y autores a su sitio de WordPress.
[Back to Top ↑]

El papel del alojamiento de WordPress

Su servicio de alojamiento de WordPress juega el papel más importante en la seguridad de su sitio de WordPress. Un buen proveedor de alojamiento compartido como Bluehost o Siteground toma medidas adicionales para proteger sus servidores de amenazas comunes. Así es como funciona una buena empresa de alojamiento web en segundo plano para proteger sus sitios web y sus datos.

  • Supervisan constantemente su red para detectar cualquier actividad sospechosa.
  • Todas las buenas empresas de alojamiento cuentan con herramientas para prevenir ataques DDOS a gran escala
  • Mantienen el software del servidor, las versiones php y el hardware actualizados para evitar que los piratas informáticos aprovechen una vulnerabilidad de seguridad conocida en una versión anterior.
  • Tienen planes de recuperación de desastres y accidentes listos para implementar que les permiten proteger sus datos en caso de un accidente mayor.

En un plan de alojamiento compartido, comparte los recursos del servidor con muchos otros clientes. Esto abre el riesgo de contaminación entre sitios donde un hacker puede usar un sitio vecino para atacar su sitio web. El uso de un servicio de alojamiento administrado de WordPress proporciona una plataforma más segura para su sitio web. Las empresas de alojamiento de WordPress administrado ofrecen copias de seguridad automáticas, actualizaciones automáticas de WordPress y configuraciones de seguridad más avanzadas para proteger su sitio web. Recomendamos WPEngine como nuestro proveedor de alojamiento de WordPress administrado preferido. También son los más populares de la industria. (Consulte nuestro cupón especial WPEngine). También puede probar Liquid Web, que es una buena alternativa a WP Engine.
[Back to Top ↑]

Seguridad de WordPress en sencillos pasos (sin codificación)

Sabemos que mejorar la seguridad de WordPress puede ser una idea aterradora para los principiantes. Especialmente si no eres un experto en tecnología. Adivina qué, no estás solo. Hemos ayudado a miles de usuarios de WordPress a mejorar su seguridad de WordPress. Le mostraremos cómo puede mejorar la seguridad de su WordPress con solo unos pocos clics (no se requiere codificación). Si puede apuntar y hacer clic, ¡puede hacerlo!

Instale una solución de respaldo de WordPress

Instale una solución de respaldo de WordPress
Las copias de seguridad son su primera defensa contra cualquier ataque de WordPress. Recuerda que nada es 100% seguro. Si los sitios web del gobierno pueden ser pirateados, el suyo también. Las copias de seguridad le permiten restaurar rápidamente su sitio de WordPress en caso de que suceda algo malo. Hay muchos complementos de respaldo de WordPress gratuitos y de pago que puede usar. Lo más importante que debe saber sobre las copias de seguridad es que debe guardar regularmente las copias de seguridad completas del sitio en una ubicación remota (no en su cuenta de alojamiento). Le recomendamos que lo almacene en un servicio en la nube como Amazon, Dropbox o nubes privadas como Stash. Dependiendo de la frecuencia con la que actualice su sitio web, la configuración ideal podría ser una vez al día o copias de seguridad en tiempo real. Afortunadamente, esto se puede hacer fácilmente usando complementos como UpdraftPlus o BlogVault. Son fiables y, sobre todo, fáciles de usar (no es necesario codificar).
[Back to Top ↑]

El mejor complemento de seguridad de WordPress

Después de las copias de seguridad, lo siguiente que debemos hacer es configurar un sistema de auditoría y monitoreo que realice un seguimiento de todo lo que sucede en su sitio web. Esto incluye monitorear la integridad de los archivos, intentos fallidos de inicio de sesión, escaneo de malware y más. Afortunadamente, todo esto puede solucionarse con el mejor complemento de seguridad gratuito de WordPress, Sucuri Scanner. Debe instalar y activar el complemento gratuito Sucuri Security. Para obtener más detalles, consulte nuestra guía paso a paso sobre cómo instalar un complemento de WordPress. Tras la activación, debe acceder al menú de Sucuri en su administrador de WordPress. Lo primero que debe hacer es generar una clave API gratuita. Esto permite el registro de auditoría, la verificación de la integridad, las alertas por correo electrónico y otras funciones importantes.
Generar clave de API de Sucuri
Lo siguiente que debe hacer es hacer clic en la pestaña «Curar» en el menú de configuración. Revise todas las opciones y haga clic en el botón «Aplicar curado».
Seguridad más dura de Sucuri
Estas opciones le ayudan a bloquear áreas clave que los piratas informáticos suelen utilizar en sus ataques. La única opción de refuerzo que es una actualización paga es el firewall de la aplicación web, que explicaremos en el siguiente paso, así que ignórelo por ahora. También cubrimos muchas de estas opciones de «refuerzo» más adelante en este artículo para aquellos que quieran hacerlo sin usar un complemento o aquellos que requieran pasos adicionales como «Cambiar el prefijo de la base de datos» o «Editar. Del nombre de usuario del administrador». . Después de la parte de endurecimiento, la configuración predeterminada del complemento es bastante buena para la mayoría de los sitios web y no requiere ninguna modificación. Lo único que recomendamos personalizar son las «alertas por correo electrónico». La configuración de alerta predeterminada puede saturar la bandeja de entrada de su correo electrónico. Le recomendamos que reciba alertas sobre acciones clave como cambios en complementos, registro de nuevos usuarios, etc. Puede configurar las alertas yendo a Configuración de Sucuri »Alertas.
Configurar alertas de seguridad por correo electrónico
Este complemento de seguridad de WordPress es muy poderoso, así que revise todas las pestañas y configuraciones para ver todo lo que hace, como buscar malware, auditar registros, rastrear intentos fallidos de inicio de sesión y más.

Habilitar el firewall de aplicaciones web (WAF)

La forma más sencilla de proteger su sitio y tener confianza en la seguridad de WordPress es utilizar un firewall de aplicaciones web (WAF). El firewall de un sitio web bloquea todo el tráfico malicioso incluso antes de que llegue a su sitio web.
Firewall de sitios web a nivel DNS – Estos firewalls enrutan el tráfico de su sitio web a través de sus servidores proxy en la nube. Esto les permite enviar solo tráfico real a su servidor web.
Cortafuegos a nivel de aplicación – Estos …

Leave a Reply