Guía y lista de verificación de seguridad definitiva para WordPress

Índice
  1. Por qué es importante la seguridad en WordPress
  2. Los fundamentos
    1. 1. Actualice su tema, complementos y archivos principales de WordPress
    2. 2. Utilice y aplique contraseñas seguras
    3. 3. Elige una buena empresa de alojamiento web
    4. 4. Habilite la autenticación de dos factores (2FA)
    5. 5. Instalar un certificado SSL
    6. 6. Cambiar el nombre de usuario del administrador
    7. 7. Dé a los usuarios acceso únicamente a lo que necesitan
  3. Soluciones de seguridad avanzadas
    1. 8. Instalar un complemento de seguridad
    2. 9. Configurar copias de seguridad
    3. 10. Actualice su versión de PHP
    4. 11. Cambiar el prefijo de la base de datos predeterminada
    5. 12. Ocultar la versión de WordPress desde el frontend
    6. 13. Cambiar la URL de inicio de sesión de WordPress
    7. 14. Eliminar mensajes de error de PHP
    8. 15. Cambiar de un FTP a un SFTP
  4. Preguntas frecuentes sobre seguridad de WordPress

Si hay algo que todo sitio web de WordPress debería tomar en serio es la seguridad . Tomar las medidas de seguridad adecuadas no solo ayuda a proteger sus datos y los de sus clientes, sino que también garantiza que Google u otros motores de búsqueda no bloqueen su sitio.

Si su sitio web está decidido a publicar malware, Google lo bloqueará y un pirata informático puede provocar que esto suceda fácilmente.

Por estos motivos, es necesario hacer todo lo posible para proteger su sitio web. Afortunadamente, existe mucha información sobre cómo mejorar la seguridad de su sitio web.

WordPress en sí no presenta grandes problemas de seguridad y, si se actualiza con regularidad, siempre debería ser una plataforma segura. Sin embargo, dado que WordPress es el CMS más popular, del que depende más del 44 % de Internet para crear sitios, los piratas informáticos y otros actores maliciosos lo han estado atacando.

Por ello, es necesario tomar algunas medidas sencillas para proteger su sitio web hoy mismo.

Si bien la cantidad de complementos y opciones en WordPress suele ser algo bueno, en este caso puede causar mucha confusión, por eso existe esta guía. Hoy repasaremos una lista completa de los pasos que debes seguir para proteger tu sitio web .

Mejora tu seguridad en WordPress ocultar Por qué es importante la seguridad en WordPress Los fundamentos Soluciones de seguridad avanzadas Preguntas frecuentes sobre seguridad de WordPress Lista de verificación de seguridad de WordPress Mejore la seguridad de WordPress hoy mismo

Por qué es importante la seguridad en WordPress

Al fin y al cabo, un sitio web es un negocio. Y cuando un negocio sufre una vulneración de seguridad, no solo le cuesta dinero, sino que puede arruinar su reputación.

Por este motivo, un sitio web debe ser seguro en todo momento para proteger los datos confidenciales que contiene.

Por ejemplo, imagine un sitio de comercio electrónico sencillo . Piense en los datos de los usuarios que almacena. Información de tarjetas de crédito, direcciones postales, números de teléfono y más podrían almacenarse en una única base de datos.

Si esta información fuera robada, no sólo afectaría negativamente su marca y reputación, sino que potencialmente podría arruinar la vida de alguien.

Por ello, los gobiernos de todo el mundo exigen la implementación de determinadas medidas de seguridad. E incluso si no vives en uno de esos países, basta con que un solo visitante de uno de ellos te exponga a multas elevadas o algo peor.

Las leyes y medidas de seguridad que debes respetar cambian constantemente y son diferentes en todo el mundo. Por ello, es importante que tu sitio web esté siempre protegido para evitar problemas. Lamentablemente, es fácil pasar por alto algo, por eso existe esta lista de verificación.

Le mostrará los pasos que debe seguir para asegurar una nueva instalación de WordPress.

Los fundamentos

Comencemos con los aspectos básicos de la seguridad de WordPress. Son cosas sencillas que no requieren mucho tiempo, pero que pueden tener un gran impacto en la seguridad de su sitio web.

Sin estos pasos, no tiene sentido implementar opciones más avanzadas porque se construirían sobre una base débil.

Con esto en mente, comencemos a cubrir cómo mejorar la seguridad en WordPress .

1. Actualice su tema, complementos y archivos principales de WordPress

Debes actualizar tu sitio, plugins y tema de WordPress con regularidad. Los piratas informáticos suelen atacar instalaciones desactualizadas con vulnerabilidades de seguridad conocidas, lo que los convierte en un blanco fácil incluso si tienes otras medidas de seguridad implementadas.

Afortunadamente, todo esto se puede configurar para que se haga automáticamente y WordPress hace un gran trabajo al notificarte cuando hay una actualización disponible.

Para ver si hay actualizaciones disponibles, inicie sesión en su sitio de WordPress. En el panel de administración de la izquierda, haga clic en Panel de control y seleccione la opción Actualizaciones.

Fíjate si hay un pequeño número rojo junto a la opción Actualizaciones. Este número representa la cantidad de actualizaciones disponibles para los complementos, temas y archivos principales de WordPress. Si ves un número rojo, es hora de actualizar.

En esta sección, puedes ver todas las actualizaciones disponibles. En la parte superior se encuentra la sección Actualizaciones de WordPress. En ella se indica cuál es tu versión actual de WordPress. Mientras diga “Tienes la última versión de WordPress”, estarás listo para comenzar.

Debajo de esto, encontrarás una sección para plugins y temas. Si hay actualizaciones disponibles, simplemente selecciona el plugin o tema y haz clic en el botón “Actualizar” correspondiente. Si bien esto es fácil de hacer manualmente, muchos usuarios se olvidan de hacerlo, por lo que deberías considerar configurar actualizaciones automáticas.

Puedes hacer esto para complementos , temas y archivos principales de WordPress .

Vale la pena señalar que, incluso si no utilizas activamente un plugin o tema, debes mantenerlo actualizado. Incluso un plugin inactivo puede crear una brecha que los piratas informáticos pueden aprovechar. Por lo tanto, el mejor consejo es eliminar siempre los plugins y temas que tu sitio no tenga activados.

No sólo ocupan espacio en el servidor sino que suponen una vulnerabilidad de seguridad.

2. Utilice y aplique contraseñas seguras

Estoy seguro de que ya has oído hablar de la importancia de las contraseñas seguras y lo voy a repetir una vez más. Tu sitio web podría utilizar los mejores complementos de seguridad del mercado, pero todos son inútiles si utilizas contraseñas débiles o comunes.

Estas contraseñas son fáciles de descifrar o adivinar, y siendo los ataques de fuerza bruta el método más común, las contraseñas seguras son una de las mejores defensas.

De forma predeterminada, WordPress proporciona un generador de contraseñas que puede generar una contraseña segura para tu cuenta. También puedes crear la tuya propia y WordPress te informará si la contraseña es segura o no.

Si ingresa una contraseña débil, deberá confirmar que está usando una.

Lamentablemente, esto no impide que los usuarios utilicen una. En su lugar, deberás aplicar contraseñas seguras con un complemento.

Por ejemplo, un complemento de este tipo sería el Administrador de políticas de contraseñas , que le permite evitar que los usuarios creen contraseñas débiles e incluso obligarlos a cambiar las existentes.

También agrega otras excelentes protecciones de contraseñas, como una fecha de vencimiento de contraseña. Básicamente, esto obliga al usuario a actualizar su contraseña periódicamente, lo que se recomienda cada seis meses. También puede aplicar diferentes reglas para diferentes roles de usuario.

Muchos principiantes evitan las contraseñas seguras porque son difíciles de recordar, pero al hacerlo se socava la seguridad de todo el sitio web. Si recordar una contraseña es difícil, considere usar un administrador de contraseñas para iniciar sesión fácilmente y mantener una contraseña segura.

También vale la pena señalar la importancia de las contraseñas únicas. Nuevamente, a muchos principiantes les gusta usar la misma contraseña para varios sitios web. Desafortunadamente, si una de esas cuentas se ve comprometida, los piratas informáticos suelen intentar obtener esa información en otras plataformas populares como Amazon, etc.

Por lo tanto, su contraseña no sólo debe ser segura, sino que también debe ser única para cada sitio.

3. Elige una buena empresa de alojamiento web

Su sitio web es tan seguro como el servidor en el que está alojado, lo que significa que la empresa de alojamiento web que elija tendrá un gran impacto en la seguridad de su sitio. Afortunadamente, la mayoría de los proveedores de alojamiento web actuales cuentan con potentes medidas de seguridad que pueden ayudar a prevenir algunos de los ataques más comunes.

Por ejemplo, como cliente de nuestro sitio web , no tiene que preocuparse por ataques de fuerza bruta.

Todas nuestras cuentas de hosting vienen equipadas con WordPress Protect .

Básicamente, un ataque de fuerza bruta es cuando un hacker intenta entrar en su área de inicio de sesión adivinando contraseñas continuamente hasta que logra acceder. Nuestro sistema detecta múltiples inicios de sesión fallidos y comienza a limitar la conexión de la que provienen.

Como resultado, el ataque ya no se puede llevar a cabo y su sitio web no sufrirá problemas de rendimiento ni de tiempo de inactividad. Y esta es solo una de las medidas de seguridad que hemos implementado para mantener seguros los sitios web que alojamos. También nos aseguramos de que sus archivos, versiones de PHP y otros archivos estén actualizados.

Lo más importante es que los sitios que alojamos cuentan con copias de seguridad periódicas en caso de que ocurra un desastre. Si su sitio web se ve comprometido, podemos ayudarlo a que todo vuelva a funcionar y a localizar cualquier puerta trasera que pueda haber quedado.

Por lo tanto, el alojamiento web no solo afecta directamente el rendimiento de su sitio web, sino que también afecta la seguridad. Por lo tanto, asegúrese de elegir una empresa de alojamiento web de calidad; de lo contrario, su sitio web sufrirá mucho por ello.

4. Habilite la autenticación de dos factores (2FA)

La autenticación de dos factores, o 2FA, es una de las medidas de seguridad más populares para proteger las cuentas. Por ello, la mayoría de los sitios web la admiten y permiten a los usuarios habilitarla en sus cuentas.

Es seguro, fácil de usar y, lo más importante, agrega una capa adicional de defensa al área de inicio de sesión.

Normalmente, cuando inicias sesión, ingresas un nombre de usuario o una dirección de correo electrónico y escribes tu contraseña. Con la autenticación de dos factores habilitada, los usuarios deben ingresar esta información y luego se les solicitará que ingresen una contraseña de un solo uso. Esta contraseña puede provenir de un mensaje SMS, un correo electrónico o una aplicación de autenticación.

Básicamente, esto significa que, incluso si sus credenciales de inicio de sesión se vieran comprometidas, seguirían necesitando la contraseña de un solo uso que normalmente requeriría su teléfono inteligente. Lamentablemente, la 2FA no está integrada en WordPress. Deberá instalar un complemento para ello, como configurar Wordfence .

Si bien hay muchos complementos que pueden ayudarlo a agregar esta función, el complemento WP 2FA puede ser el más simple de usar.

Te permite forzar que ciertos roles de usuario habiliten la autenticación de dos factores o que todas las cuentas la tengan. Es compatible con la mayoría de las aplicaciones de autenticación, como Google Authenticator, por lo que los usuarios no tendrán problemas para configurarla.

También vale la pena mencionar que existe una versión aún más segura llamada autenticación multifactor (MFA). Esto es algo que solo se debe tener en cuenta en el caso de una cuenta de administrador, pero es idéntico a la 2FA. En lugar de usar solo un código de seguridad adicional, se usan varios.

Por ejemplo, después de ingresar sus credenciales de inicio de sesión, necesitará un código de seguridad de una aplicación de autenticación, así como uno de una dirección de correo electrónico.

5. Instalar un certificado SSL

Un certificado SSL es un archivo almacenado en su servidor web que garantiza que el dominio almacenado en ese servidor coincida con el nombre de dominio del archivo. Esto permite que un visitante se conecte de forma segura con usted. SSL garantiza que los actores maliciosos no puedan leer ni modificar los datos transferidos entre el visitante y su servidor web.

En otras palabras, permite que su sitio web cifre la conexión entre el visitante y el sitio web.

Por suerte, los certificados SSL se han convertido en un estándar y hoy en día es obligatorio que los sitios web los tengan instalados. De lo contrario, los navegadores web informarán al usuario de que la conexión no es segura, lo que asustaría a la mayoría de los usuarios.

Puede identificar un certificado SSL si el sitio web tiene “HTTPS” en la URL.

Entonces, ¿cómo se obtiene un certificado SSL en WordPress? Bueno, eso depende de la empresa de alojamiento web. Por ejemplo, aquí en nuestro sitio web , proporcionamos certificados SSL gratuitos de forma automática a nuestros clientes. Hoy en día, un sitio web no puede funcionar sin uno, por lo que lo incluimos en nuestros planes.

En caso de que su sitio web sea antiguo y no tenga un certificado SSL instalado desde el principio, simplemente póngase en contacto con su proveedor de alojamiento web y ellos podrán agregar uno por usted. Es algo sencillo de hacer y puede ayudar a proteger los datos de su sitio web.

Sin mencionar que no tener uno arruinará los esfuerzos de SEO de su sitio web, ya que los motores de búsqueda como Google no quieren recomendar sitios web que no se consideren "seguros".

6. Cambiar el nombre de usuario del administrador

Cuando WordPress se instala por primera vez en su servidor web, se crea una cuenta de administrador predeterminada. El nombre de usuario de esa cuenta de administrador es “Admin”. Si bien esto puede no parecer particularmente preocupante, déjeme decirlo de otra manera. Hackers, ahora sepan cuál es su nombre de usuario de administrador.

Al menos, así era antes. WordPress ha identificado este problema, por lo que las nuevas instalaciones de WordPress actuales requieren que elijas un nombre de usuario de administrador único. Sin embargo, si utilizaste una instalación de WordPress con un solo clic, es posible que aún te encuentres con este problema.

Sin mencionar que si su sitio es antiguo y nunca cambió el nombre de usuario, aún puede estar configurado como Administrador.

Por lo tanto, debes cambiar el nombre de usuario de administrador predeterminado lo antes posible. Sin embargo, en realidad no puedes cambiar el nombre de usuario predeterminado de WordPress. En cambio, tendrás que ser un poco creativo para solucionar este problema, pero ten la seguridad de que en realidad es bastante fácil.

Hay algunos métodos que puedes usar para cambiar el nombre de usuario del administrador en WordPress .

La primera es simplemente crear una nueva cuenta de administrador con un nombre de usuario único y eliminar la antigua. Puede pensar que perderá algo, pero no lo hará. Los datos se guardan en el servidor web y no en la cuenta, por lo que es seguro hacerlo, especialmente si acaba de crear un sitio nuevo.

En caso de que tenga algunas publicaciones creadas por esa cuenta de administrador, solo necesitará dedicar algo de tiempo a cambiar el autor a la nueva cuenta.

El segundo método consiste en acceder a la base de datos de su sitio web y cambiar el nombre de usuario. Es un poco más complejo, pero obtendrá el mismo resultado.

El último método consiste en utilizar un complemento. Este es un problema habitual, por lo que existen varios complementos que se pueden utilizar para cambiar el nombre de usuario en WordPress.

7. Dé a los usuarios acceso únicamente a lo que necesitan

WordPress utiliza el sistema de roles de usuario para determinar a qué tiene acceso cada usuario. La cuenta de administrador tiene acceso a todo lo que hay en un sitio web sin restricciones. Por lo tanto, es el rol de usuario más poderoso del sistema y solo debería estar en manos de los propietarios del sitio.

Sin embargo, no es el único rol de usuario. De forma predeterminada, la jerarquía de roles de usuario incluye:

  1. Administrador
  2. Editor
  3. Autor
  4. Contribuyente
  5. Abonado

No explicaré aquí qué hace cada uno, pero si te interesa, tenemos una guía completa al respecto. Si se le asigna un rol con demasiado poder al usuario equivocado, puede dañar gravemente tu sitio y abrir la puerta a ataques maliciosos.

Por ejemplo, en teoría podría parecer una buena idea permitir que los colaboradores editen las publicaciones para que puedan hacer correcciones, pero ¿qué impide que un extraño agregue blasfemias, redirecciones SEO y más a una publicación sin su conocimiento? Nada.

También es importante señalar que muchos complementos agregan sus propios roles de usuario al sistema con poder específico del complemento.

Se recomienda encarecidamente crear roles de usuario personalizados que les brinden a los usuarios el acceso mínimo que necesitan. Si les falta algo, pueden comunicarse con usted para obtener acceso.

Si bien puedes usar código para personalizar a qué tiene acceso cada rol de usuario, la opción más sencilla sería usar un complemento. Una de las mejores opciones sería el complemento User Role Editor . Como sugiere el nombre, te permite editar lo que puede hacer un rol de usuario e incluso crear otros nuevos.

Soluciones de seguridad avanzadas

Las siguientes opciones son un poco más complejas, pero utilizo el término "avanzadas" de forma un tanto vaga, ya que cualquiera puede realizar estos pasos. Por lo general, requieren configurar un complemento o agregar una línea de código en algún lugar.

En cualquier caso, vayamos directo al grano con la entrada que probablemente estabais esperando.

8. Instalar un complemento de seguridad

Muchas personas suelen apresurarse a instalar un complemento de seguridad y, si bien es una buena idea, sin algunos de los otros pasos que hemos mencionado hasta ahora, hacerlo dejaría agujeros en la seguridad de su sitio web. Sin embargo, creo que este es un muy buen momento para instalar un complemento de seguridad.

Cuando se trata de complementos de seguridad en WordPress , no faltan opciones para elegir.

Por un lado, esto es genial porque tienes un montón de opciones disponibles, pero por otro lado, es un problema porque tienes un montón de opciones para elegir. Tendrás que buscar un poco para encontrar una herramienta que se adapte a lo que estás buscando.

Si bien puedes elegir cualquier complemento de seguridad, personalmente recomendaría el complemento Wordfence Security .

En primer lugar, el complemento es gratuito. Obtendrás un sistema de seguridad completo para tu sitio con todas las funciones de forma gratuita.

En cuanto a las funciones, este complemento está repleto de funciones. Empecemos por el cortafuegos de Wordfence. Impide que el tráfico malicioso entre en tu sitio web y también bloquea los ataques de fuerza bruta antes de que se produzcan. También hay un escáner de malware que examina todos tus archivos principales.

También tiene varias funciones que aumentan la seguridad de tu área de inicio de sesión, como habilitar la seguridad CAPTCHA para bloquear bots o la autenticación de dos factores (2FA) de la que hablamos antes. También puedes bloquear direcciones IP de usuarios individuales o direcciones IP de países.

En general, es un complemento fantástico que ofrece una gran cantidad de funciones de seguridad para WordPress.

9. Configurar copias de seguridad

Hasta ahora hemos hablado sobre formas de prevenir que ocurra un ataque, pero ¿cómo recuperarse cuando uno tiene éxito?

Lamentablemente, incluso si hace todo bien, aún existe la posibilidad de que su seguridad se vea comprometida en algún momento u otro y quizás una de las herramientas más poderosas a su disposición sea una copia de seguridad.

Una copia de seguridad es una copia de su sitio web que normalmente se almacena en una ubicación diferente. Muchos proveedores de alojamiento web realizan copias de seguridad de su sitio web de forma automática, por lo que es posible que ya se haya ocupado de esto, como es el caso de los clientes de nuestro sitio web.

Sin embargo, siempre se recomienda no depender únicamente de un proveedor de alojamiento web, sino tener a disposición una solución de respaldo adicional.

Afortunadamente, WordPress tiene un montón de complementos de copia de seguridad excelentes para elegir. Estos complementos suelen ofrecer múltiples ubicaciones de almacenamiento en la nube o en sus propios servidores personales. En otros casos, el complemento generará una copia de seguridad y la comprimirá para que la guardes en tu computadora o disco duro.

La mayoría de los complementos de copia de seguridad le permiten elegir exactamente qué archivos desea respaldar y admiten copias de seguridad automáticas. Puede elegir la frecuencia de las copias de seguridad y cuántas copias de seguridad se almacenan a la vez.

Lo más importante que debes recordar es nunca almacenar tu copia de seguridad en tu servidor web.

Si tu sitio web se ve comprometido, eso significa que un hacker podría tener acceso a todos los archivos, incluida la copia de seguridad. En cambio, deberías almacenarlos en la nube o en otro dispositivo para garantizar que siempre estén accesibles. Y lo más importante, asegúrate de que estén actualizados.

Afortunadamente, hoy en día el almacenamiento en la nube se ha vuelto bastante económico y existen varias opciones gratuitas entre las que elegir. Algunos complementos enviarán automáticamente sus copias de seguridad a plataformas como Dropbox, Google Drive o Microsoft OneDrive.

Solo asegúrate de comprimir tu copia de seguridad, de lo contrario, puede ser demasiado grande para almacenarla a un precio razonable.

10. Actualice su versión de PHP

La plataforma WordPress está escrita en lenguaje PHP. Al igual que ocurre con la actualización de los archivos principales, los complementos y los temas, también es necesario actualizar la versión de PHP. Estas actualizaciones suelen incluir correcciones de seguridad que ayudan a proteger el sitio web, por lo que es importante mantenerse al día con ellas.

Sin embargo, lo que hace que esto sea un poco más avanzado es que en realidad no puedes actualizar la versión de PHP en WordPress.

En lugar de eso, debes elegir la versión de PHP en tu cuenta de alojamiento web. No es difícil hacerlo, pero a algunos principiantes puede resultarles difícil encontrarla.

Simplemente inicie sesión en su cuenta de alojamiento web y acceda al cPanel. Desde allí, ubique la sección Software y seleccione la opción Seleccionar versión de PHP.

Hay una larga lista de extensiones PHP de las que no tienes que preocuparte como principiante. En cambio, justo en la parte superior se encuentra tu versión actual de PHP. Puedes usar el menú desplegable para seleccionar la versión más reciente.

Vale la pena señalar que la mayoría de los proveedores de alojamiento web no tendrán su sitio web en la última versión de PHP. Por este motivo, incluso si su cuenta acaba de configurarse, probablemente pueda cambiarla a la última versión de PHP.

La razón principal es que, a veces, la última versión puede dañar las aplicaciones de WordPress cuando es completamente nueva. Esto sucede si un desarrollador no tiene en cuenta los cambios dentro del entorno PHP.

Por lo tanto, siempre tenga una copia de seguridad disponible y esté preparado para revertir el cambio según sea necesario.

11. Cambiar el prefijo de la base de datos predeterminada

Si alguna vez se ha tomado un momento para mirar sus archivos de WordPress, es posible que haya notado que todos comparten un prefijo "wp-" en cada archivo. Esto se hace de manera predeterminada cuando se instala WordPress. Como puede haber adivinado, si es la opción predeterminada, eso significa que los piratas informáticos saben lo que están buscando.

Por ello, cambiar este prefijo puede ayudar a proteger sus archivos de WordPress haciéndolos más difíciles de identificar.

No es difícil hacerlo y requiere que cambies el prefijo de la tabla en el área PhpMyAdmin de tu cPanel. Para obtener instrucciones claras, consulta nuestra guía completa .

Puedes usar letras, números y guiones bajos al crear un nuevo prefijo. Aunque podrías crear un prefijo muy largo y complicado, no deberías hacerlo.

Recuerda que probablemente necesitarás acceder a estos archivos, por lo que dificultar su identificación es un arma de doble filo. En cambio, simplemente cámbialos de “wp-” a algo simple como “q223” o algo arbitrario similar y resolverás el problema.

Si bien esto hace que sea más difícil localizar archivos clave rápidamente, no impedirá por completo que los piratas informáticos los encuentren.

12. Ocultar la versión de WordPress desde el frontend

¿Alguna vez has visitado un sitio web y has notado una pequeña exención de responsabilidad en la parte inferior que indica a los usuarios qué versión de WordPress o cualquier CMS están usando? Esto puede parecer inofensivo, pero en realidad es una falla de seguridad grave.

Digamos que su sitio web no se ha actualizado y utiliza una versión anterior de WordPress. Si le dice a un hacker exactamente qué versión de WordPress está utilizando, podrá buscar rápidamente vulnerabilidades de seguridad en estas versiones anteriores.

Está claro que no es una buena idea hacerlo. En realidad, no es WordPress el que muestra esta información de forma predeterminada, sino tu tema.

Por suerte, si notas que tu tema hace esto, hay una forma sencilla de solucionarlo. Todo lo que tienes que hacer es acceder al archivo functions.php de ese tema y agregarle la siguiente línea de código:

eliminar_acción('wp_head', 'wp_generator');

Esto simplemente eliminará el mensaje de versión que se muestra. En casos excepcionales, este mensaje puede quedar bloqueado después de pagar por la versión Pro de un tema. En este caso, sus opciones son pagar por ella o buscar otro tema.

13. Cambiar la URL de inicio de sesión de WordPress

El área de inicio de sesión de WordPress es como la puerta de entrada de tu casa. Y estoy dispuesto a apostar a que no dejas la puerta de entrada sin llave cuando vas a la tienda. De manera similar, debes bloquear el área de inicio de sesión en WordPress.

El problema es que todo el mundo sabe cuál es la URL de inicio de sesión predeterminada en WordPress, pero como ya habrás adivinado, podemos cambiarla.

Si bien puedes editar el código en el backend de WordPress para ajustar esto, la forma mucho más sencilla es con el complemento WPS Hide Login. Con esto, simplemente ingresas una nueva URL de inicio de sesión y configuras una redirección para cuando los usuarios intenten acceder a la antigua.

Por ejemplo, en lugar de www.YourDomain.com/login, podrías poner www.YourDomain.com/door. Puedes poner cualquier cosa, pero evita usar páginas existentes para hacerlo.

En cuanto a la redirección, simplemente envíelos a una página 404 y no mencione cuál es la URL de inicio de sesión real.

Si busca más detalles, no dude en consultar nuestra guía completa sobre cómo ocultar la URL de su área de inicio de sesión .

14. Eliminar mensajes de error de PHP

Si un sitio web PHP presenta un error, se muestra en el sitio web cuál es el error. Naturalmente, como WordPress está escrito en PHP, también muestra estos mensajes. Si bien esto es útil para los desarrolladores que intentan identificar un problema, en realidad no es información que un usuario común necesite ver, y mucho menos un hacker.

Como he dicho en varios de los otros consejos de esta lista, dar a los piratas informáticos más información con la que trabajar simplemente no es una buena idea.

Estos mensajes no deberían estar activados de forma predeterminada, pero pueden activarse si activa el modo de depuración. Afortunadamente, puede solucionar este problema con bastante facilidad agregando algunas líneas de código.

Si bien hay varias formas de lograr esto, creo que la solución más sencilla es agregar las siguientes líneas al archivo wp-config:

ini_set('mostrar_errores','Desactivado');ini_set('informe_de_error', E_ALL );define('WP_DEBUG', falso);define('WP_DEBUG_DISPLAY', falso);

Esto finalizará el modo de depuración y evitará que los errores de PHP sean visibles en su sitio web. Si necesita ver los errores, puede verlos si consulta los errores de PHP en su cPanel .

Este es un gran recurso para solucionar problemas, pero requiere algunos conocimientos de codificación para aprovecharlo.

15. Cambiar de un FTP a un SFTP

Al acceder a los archivos de su sitio web, existen varias formas, y una de las opciones más populares es utilizar el Protocolo de transferencia de archivos (FTP).

En términos simples, esto le permite transferir archivos entre dos dispositivos, por lo que puede cargar o descargar archivos fácilmente desde su servidor web.

El Protocolo de transferencia segura de archivos, o SFTP, es simplemente una variación más segura de un FTP.

La principal diferencia entre ambos es que el SFTP utiliza un canal unidireccional seguro para conectar los dispositivos. Básicamente, esto hace que sea imposible que alguien más utilice esta conexión para ver, descargar o editar archivos. Por lo tanto, es mucho más seguro.

En algunos casos, su proveedor de alojamiento web ejecutará un servidor SFTP, que es lo que hacemos en nuestro sitio web . Esto garantiza que sus datos estén siempre a salvo de miradas indiscretas para la mejor experiencia posible.

Este es solo otro ejemplo de lo importante que es su servidor web para la seguridad de su sitio web de WordPress.

Preguntas frecuentes sobre seguridad de WordPress

Si bien hoy hemos cubierto muchos consejos de seguridad de WordPress, es natural que tenga algunas preguntas pendientes. A continuación, se incluyen algunas de las preguntas más frecuentes sobre seguridad de WordPress.

¿Es una buena idea cerrar la sesión de los usuarios inactivos?

Muchos bancos, empresas de inversión y otras empresas altamente sensibles emplean esta medida para proteger las cuentas de posibles accesos si el usuario se aleja de la computadora. No es necesaria para la mayoría de los sitios web estándar, pero puede mejorar la seguridad.

¿Mi sitio web debería emplear CAPTCHA para protegerse contra bots?

CAPTCHA es un sistema de seguridad diseñado para garantizar que el usuario actual sea un humano. Para ello, se le pide al usuario que resuelva algún tipo de acertijo, como identificar texto, localizar algo en una imagen o algo por el estilo. Es eficaz en lo que hace, pero puede molestar a los usuarios.

Por este motivo, es mejor mantenerlo simple si se implementa en su sitio de WordPress. La mayoría de los complementos de seguridad lo incluyen.

¿Valen la pena los complementos de seguridad premium?

En términos generales, los complementos premium ofrecen más funciones que sus contrapartes gratuitas, lo que los convierte en una mejor opción en la mayoría de los casos. Si bien hay excelentes complementos de seguridad que puedes usar de forma gratuita, la versión premium generalmente ofrece una mejor protección, por lo que generalmente vale la pena pagar ese costo.

¿Qué hago si mi sitio web es hackeado?

Comience por cambiar todas las contraseñas de su sitio web. Luego, utilice una copia de seguridad anterior al ataque para restaurar su sitio web y comience a escanearlo en busca de malware con un complemento de seguridad. También puede ponerse en contacto con su empresa de alojamiento web para obtener ayuda, ya que muchas tienen escáneres de malware que puede solicitar.

¿Es WordPress una plataforma segura?

¡Por supuesto! WordPress por sí mismo es bastante seguro y constantemente corrige cualquier vulnerabilidad de seguridad. Las razones por las que un sitio web es hackeado no suelen tener nada que ver con el CMS que se elija. A menudo, los culpables son herramientas de terceros o errores humanos.

¿Los piratas informáticos siempre tienen como objetivo una cuenta de administrador?

No. En la mayoría de los casos, la mayoría de las cuentas comprometidas pertenecen a usuarios normales como resultado de contraseñas débiles o contraseña

SUSCRÍBETE A NUESTRO BOLETÍN 
No te pierdas de nuestro contenido ni de ninguna de nuestras guías para que puedas avanzar en los juegos que más te gustan.
Al suscribirte, aceptas nuestra política de privacidad y nuestros términos de servicio.

Tal vez te puede interesar:

  1. Más de 21 temas médicos gratuitos para WordPress que puedes usar hoy
  2. Los 13 peores errores de SEO que debes evitar a toda costa
  3. 23 errores comunes de WordPress que debes evitar
  4. Las 7 peores ideas de diseño de sitios web para empresas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

Este sitio web utiliza cookies para mejorar tu experiencia mientras navegas por él. Este sitio web utiliza cookies para mejorar tu experiencia de usuario. Al continuar navegando, aceptas su uso. Mas informacion