Seguridad de WordPress: más de 19 pasos para proteger su sitio

Cuando se trata de la seguridad de WordPress, hay muchas cosas que puede hacer para bloquear su sitio para evitar que los piratas informáticos y las vulnerabilidades afecten a su empresa o blog. Lo último que quiere que suceda es despertarse una mañana para descubrir su sitio en ruinas. Así que hoy vamos a compartir muchos consejos, estrategias y técnicas que puede utilizar para mejorar su seguridad de WordPress y mantenerse protegido.

Vulnerabilidades de WordPress

WordPress tiene un mal rollo a veces por ser propenso a las vulnerabilidades de seguridad e inherentemente no ser una plataforma segura para usar en un negocio. Sin embargo, esto casi siempre se debe al hecho de que los usuarios siguen las peores prácticas de seguridad probadas en la industria. El uso de un software obsoleto de WordPress, la administración deficiente del sistema, la administración de credenciales y la falta de conocimientos necesarios sobre seguridad y web entre los usuarios de WordPress no tecnológicos mantienen a los piratas informáticos en la cima de su juego de delincuencia informática. Incluso los líderes de la industria no siempre usan las mejores prácticas. Reuters fue pirateada en 2012 porque usaban una versión obsoleta de WordPress.

Ahora bien, esto no quiere decir que las vulnerabilidades no existan. Según un estudio Q3 2017 realizado por Sucuri, una empresa de seguridad multiplataforma, WordPress continúa liderando los sitios web infectados en los que trabajaron (el 83%).  Esto es un aumento del 74% en 2016.

Vulnerabilidades de seguridad de WordPress

Vulnerabilidades de seguridad de WordPress

WordPress tiene más del 31% de todos los sitios web en Internet, y con cientos de miles de combinaciones de temas y complementos, no es de sorprender que existan vulnerabilidades que se descubran constantemente. Sin embargo, también hay una gran comunidad en torno a la plataforma de WordPress, para garantizar que estas cosas se apliquen lo antes posible. El equipo de seguridad de WordPressestá formado por aproximadamente 25 expertos, incluidos los desarrolladores principales y los investigadores de seguridad, aproximadamente la mitad son empleados de Automattic y un número trabajan en el campo de la seguridad web.

Vea algunos de los diferentes tipos de vulnerabilidades de seguridad de WordPress a continuación.

Puertas traseras

La vulnerabilidad de puerta trasera llamada acertadamente proporciona a los piratas informáticos con pasajes ocultos evitando el cifrado de seguridad para obtener acceso a sitios web de WordPress a través de métodos anormales: wp-Admin, SFTP, FTP, etc. Una vez explotados, las puertas traseras permiten a los hackers causar estragos en los servidores ataques: comprometer varios sitios alojados en el mismo servidor. En el tercer trimestre de 2017, Sucuri informó que las puertas traseras siguen siendo una de las muchas acciones posteriores a los ataques de los atacantes, con el 71%  de los sitios infectados con algún tipo de inyección de puerta trasera.

Distribución de la familia de malware

Distribución de la familia de malware

Las puertas traseras a menudo están encriptadas para que parezcan archivos legítimos del sistema de WordPress y llegan a las bases de datos de WordPress explotando las debilidades y los errores en las versiones obsoletas de la plataforma. El fiasco de TimThumb  fue un excelente ejemplo de vulnerabilidad de puerta trasera que explota los scripts sombreados y el software desactualizado que afecta a millones de sitios web.

Afortunadamente, la prevención y la cura de esta vulnerabilidad es bastante simple. Puede escanear su sitio de WordPress con herramientas como  SiteCheck  que puede detectar fácilmente puertas traseras comunes. La autenticación de dos factores, el bloqueo de direcciones IP, la restricción del acceso de administrador y la prevención de la ejecución no autorizada de archivos PHP se encarga fácilmente de las amenazas de puerta trasera comunes, que veremos más adelante.  Canton Becker  también tiene una excelente publicación sobre cómo limpiar el desorden de la puerta trasera en sus instalaciones de WordPress.

Hacks de Pharma

El exploit de Pharma Hack se utiliza para insertar código fraudulento en versiones obsoletas de los sitios web y complementos de WordPress, lo que provoca que los motores de búsqueda devuelvan anuncios de productos farmacéuticos cuando se busca un sitio web comprometido. La vulnerabilidad es más una amenaza de spam que el malware tradicional, pero le da a los motores de búsqueda suficiente razón para bloquear el sitio por acusaciones de distribución de spam.

Las partes móviles de Pharma Hack incluyen puertas traseras en complementos y bases de datos, que se pueden limpiar siguiendo las instrucciones de este blog de Sucuri . Sin embargo, los exploits son a menudo variantes viciosas de inyecciones maliciosas cifradas ocultas en las bases de datos y requieren un proceso de limpieza exhaustivo para corregir la vulnerabilidad. Sin embargo, puede evitar fácilmente Pharma Hacks mediante el uso de la recomendación de proveedores de alojamiento de WordPress con servidores actualizados y la actualización periódica de sus instalaciones, temas y complementos de WordPress.

Intentos de inicio de sesión de fuerza bruta

Intentos de inicio de sesión de fuerza bruta usan scripts automatizados para explotar contraseñas débiles y obtener acceso a su sitio. La autenticación en dos pasos, la limitación de los intentos de inicio de sesión, el monitoreo de inicios de sesión no autorizados, el bloqueo de IP y el uso de contraseñas seguras son algunas de las formas más fáciles y altamente efectivas de prevenir los ataques de fuerza bruta. Desafortunadamente, varios propietarios de sitios web de WordPress no pueden realizar estas prácticas de seguridad, mientras que los piratas informáticos pueden fácilmente comprometer hasta 30,000 sitios web en un solo día mediante ataques de fuerza bruta.

Redireccionamientos maliciosos

Los redireccionamientos maliciosos crean puertas traseras en instalaciones de WordPress usando FTP, SFTP, wp-admin y otros protocolos e inyectan códigos de redirección en el sitio web. Los redireccionamientos a menudo se colocan en su archivo .htaccess y otros archivos WP core en formularios codificados, dirigiendo el tráfico web a sitios maliciosos. Los usuarios de WordPress pueden usar escáneres gratuitos que detectan direcciones maliciosas tales como SiteCheck , Bots vs. Browsers y escuchar los comentarios de los usuarios. Veremos algunas formas en que puede evitar esto en nuestros pasos de seguridad de WordPress más adelante.

Negación de servicio

Quizás la más peligrosa de todas ellas, la vulnerabilidad de denegación de servicio (DoS) explota errores y errores en el código para saturar la memoria de los sistemas operativos del sitio web. Los hackers han comprometido millones de sitios web y han gastado millones de dólares explotando versiones obsoletas y con errores del software WordPress con ataques DoS. Si bien es menos probable que los ciberdelincuentes motivados por razones financieras se centren en las pequeñas empresas, tienden a comprometer sitios web vulnerables obsoletos al crear cadenas de botnets para atacar a las grandes empresas.

Incluso las últimas versiones del software WordPress no pueden defenderseintegralmente contra los ataques DoS de alto perfil , pero al menos lo ayudarán a evitar quedar atrapado en el fuego cruzado entre las instituciones financieras y los sofisticados ciberdelincuentes. Y no se olvide del 21 de octubre de 2016. Este fue el día en que Internet se vino abajo debido a un ataque DNS DDoS. Lea más acerca de por qué es importante utilizar un proveedor de DNS premium y una estrategia de conmutación por error para aumentar su seguridad de WordPress.

Guía de seguridad de WordPress 2018

Según estadísticas en vivo de internet, más de 60,000 sitios web son pirateados todos los días. Es por eso que es tan importante tomarse un tiempo y seguir las siguientes recomendaciones a continuación sobre cómo fortalecer mejor su seguridad de WordPress.

sitios de wordpress pirateados

Fundamentalmente, la seguridad no se trata de sistemas perfectamente seguros. Tal cosa bien podría ser poco práctica o imposible de encontrar y / o mantener. Lo que sí es seguridad es la reducción del riesgo, no la eliminación del riesgo. Se trata de emplear todos los controles apropiados disponibles para ti, dentro de lo razonable, que te permitan mejorar tu postura general, reduciendo las posibilidades de convertirte en un objetivo y, posteriormente, ser pirateado. – Codex de seguridad de WordPress

Nos aseguraremos de mantener este post actualizado con información relevante a medida que las cosas cambian con la plataforma de WordPress y surgen nuevas vulnerabilidades.

Índice de seguridad de WordPress

  1. Alojamiento seguro de WordPress
  2. Utilice la última versión de PHP
  3. Clever nombres de usuario y contraseñas
  4. Últimas Versiones
  5. Bloquear el administrador de WordPress
  6. Autenticación de dos factores
  7. HTTPS – Certificado SSL
  8. Endurecimiento de wp-config.php
  9. Deshabilitar XML-RPC
  10. Ocultar la versión de WordPress
  11. Encabezados de seguridad HTTP
  12. Complementos de seguridad de WordPress
  13. Seguridad de la base
  14. Conexiones seguras
  15. Permisos de archivos y servidores
  16. Deshabilitar la edición en el panel
  17. Prevenir Hotlinking
  18. Siempre tome copias de seguridad de WordPress
  19. Protección DDoS

1. Invierta en Secure WordPress Hosting

Cuando se trata de la seguridad de WordPress, hay mucho más que solo bloquear su sitio, aunque le ofreceremos las mejores recomendaciones sobre cómo hacerlo a continuación. También hay seguridad a nivel del servidor web de la que es responsable su host de WordPress. Nos tomamos la seguridad muy en serio aquí en Unlockers TM y manejamos muchos de estos problemas para nuestros clientes. Es muy importante que elija un host en el que pueda confiar para su negocio . O si está alojando WordPress en su propio VPS, entonces necesita tener los conocimientos técnicos para hacer estas cosas usted mismo.

alojamiento seguro de WordPress

El endurecimiento del servidor es la clave para mantener un entorno de WordPress completamente seguro. Se necesitan varias capas de medidas de seguridad a nivel de hardware y software para garantizar que la infraestructura de TI que aloja los sitios de WordPress sea capaz de defenderse contra amenazas sofisticadas, tanto físicas como virtuales. Por esta razón, los servidores que alojan WordPress deben actualizarse con el último sistema operativo y el software (de seguridad), así como probarse exhaustivamente y analizarse en busca de vulnerabilidades y malware. Un ejemplo reciente de esto tuvo lugar cuando recientemente tuvimos que parchar NGINX para  las vulnerabilidades de seguridad OpenSSL que se descubrieron.

Los firewalls a nivel de servidor y los sistemas de detección de intrusiones deberían estar en su lugar antes de instalar WordPress en el servidor para mantenerlo bien protegido incluso durante la instalación de WordPress y las fases de construcción del sitio web. Sin embargo, todos los programas instalados en la máquina destinados a proteger el contenido de WordPress deberían ser compatibles con los últimos sistemas de administración de bases de datos para mantener un rendimiento óptimo. El servidor también debe configurarse para usar protocolos seguros de encriptación y transferencia de archivos (como SFTP en lugar de FTP) para esconder contenido confidencial de intrusos malintencionados.

Usamos Google Cloud Platform aquí en Unlockers TM para todos nuestros clientes de WordPress para garantizar el alojamiento seguro de WordPress . Una gran ventaja de esto es que se basa en un modelo de seguridad que se ha desarrollado a lo largo de 15 años, y actualmente protege productos y servicios como Gmail, Búsqueda, etc. Google actualmente emplea a más de 500 profesionales de seguridad a tiempo completo. . Unlockers Cloud también utiliza contenedores Linux (LXC) y LXD para organizarlos, además de Google Cloud Platform, lo que nos permite aislar por completo no solo cada cuenta, sino también cada sitio separado de WordPress . Este es un método mucho más seguro que el ofrecido por otros competidores.

2. Utilice la última versión de PHP

PHP es la columna vertebral de su sitio de WordPress y, por lo tanto, es muy importante utilizar la última versión en su servidor. Cada versión principal de PHP suele ser totalmente compatible durante dos años después de su lanzamiento. Durante ese tiempo, los errores y problemas de seguridad son corregidos y parchean de forma regular. A partir de ahora, cualquiera que ejecute una versión de PHP por debajo de 5.6 ya no tiene soporte de seguridad y está expuesto a vulnerabilidades de seguridad sin parches.

Versiones de PHP compatibles para WordPress

Versiones de PHP compatibles

¿Y adivina qué? De acuerdo con la  página oficial de Estadísticas de WordPress , al momento de escribir esto, más del 35% de los usuarios de WordPress todavía usan una versión de PHP que es inferior a 5.6 . ¡Eso da miedo! A veces les toma tiempo a las empresas y desarrolladores probar y asegurar la compatibilidad con su código, pero no tienen excusa para ejecutar algo sin soporte de seguridad.

WordPress versión PHP Estadísticas

WordPress versión PHP Estadísticas

¿No sabe en qué versión de PHP se encuentra actualmente? La mayoría de los hosts suelen incluir esto en una solicitud de encabezado en su sitio. Una manera rápida de verificar es ejecutar su sitio a través de Pingdom . Haga clic en la primera solicitud y busque un parámetro X-Powered-By. Normalmente, esto mostrará la versión de PHP que su servidor web está utilizando actualmente.

compruebe la versión de php

X-Powered-By encabezado HTTP

Aquí en Unlockers Cloud solo admitimos versiones estables y compatibles de PHP, incluidos 5.6, 7, 7.1 y 7.2. Incluso puede alternar entre versiones de PHP con un clic de un botón desde su Cpanel .

 

Cambiar la versión de PHP

Si está en un host de WordPress que utiliza cPanel, generalmente puede cambiar entre las versiones de PHP haciendo clic en “Seleccionar PHP” en la categoría de software.

Versión de cpanel php

Versión PHP de cPanel

3. Utilice nombres de usuario y contraseñas inteligentes

Sorprendentemente, una de las mejores formas de reforzar su seguridad de WordPress es simplemente usar nombres de usuario y contraseñas inteligentes . Suena bastante fácil, ¿verdad? Bueno, consulte la lista anual de SplashData de 2017 de las contraseñas más populares robadas durante todo el año (ordenadas por orden de popularidad).

  • 123456
  • Contraseña
  • 12345678
  • QWERTY
  • 12345
  • 123456789
  • Déjame entrar
  • 1234567
  • fútbol
  • te amo

¡Eso es correcto! La contraseña más popular es “123456” , seguida de una “contraseña” sorprendente. Esa es una de las razones por las que aquí en Unlockers Cloud en las nuevas instalaciones de WordPress realmente forzamos el uso de una contraseña compleja para el inicio de sesión de wp-admin (como se ve a continuación en nuestro proceso de instalación con un solo clic). Esto no es opcional

forzar contraseña segura de wordpress

Forzar contraseña segura de WordPress

La wp_hash_password función principal de WordPress utiliza el marco hash de contraseña phpass y ocho pasos de hash basado en MD5.

Algunas de las mejores medidas de seguridad comienzan desde lo básico. Google tiene excelentes recomendaciones sobre cómo elegir una contraseña segura . O puede usar una herramienta en línea como Strong Password Generator .

También es importante usar contraseñas diferentes para cada sitio web. La mejor forma de almacenarlos es localmente en una base de datos encriptada en su computadora. Una buena herramienta gratuita para esto es KeePass . Si no desea seguir esta ruta, también hay administradores de contraseñas en línea como LastPass o TeamPassword . A pesar de que sus datos están alojados de forma segura en la nube, estos son generalmente más seguros ya que no está utilizando la misma contraseña en varios sitios.

Y en lo que respecta a su instalación de WordPress, nunca debería usar el nombre de usuario predeterminado “admin”. Cree un nombre de usuario único de WordPress para la cuenta de administrador y elimine el usuario “admin” si existe. Puede hacer esto agregando un nuevo usuario en “Usuarios” en el tablero y asignándole el perfil “Administrador” (como se ve a continuación).

agregar nuevo usuario administrador

Rol de administrador de WordPress

Una vez que asigne a la nueva cuenta el rol de administrador, puede volver atrás y eliminar el usuario “Administrador” original. Asegúrese de que al hacer clic en eliminar elija la opción “Atribuir todo el contenido a” y seleccione su nuevo perfil de administrador. Esto asignará a la persona como el autor de esas publicaciones.

eliminar el atributo de administrador de todo el contenido a

Atribuir todo el contenido a admin

También puede cambiar el nombre de su nombre de usuario administrador actual manualmente en phpMyAdmin con el siguiente comando. Asegúrese de hacer una copia de seguridad de su base de datos antes de editar tablas:

UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';

4. Utilice siempre la última versión de WordPress y complementos

Otra forma muy importante de reforzar su seguridad de WordPress es mantenerla siempre actualizada. Esto incluye el núcleo de WordPress y sus complementos. Estos se actualizan por una razón, y muchas veces incluyen mejoras de seguridad y corrección de errores. Le recomendamos que lea nuestra guía en profundidad sobre este tema:  Una inmersión profunda en las actualizaciones automáticas de WordPress .

mantener wordpress actualizado

Mantenga WordPress actualizado

Desafortunadamente, millones de empresas tienen versiones obsoletas del software y plugins de WordPress, y aún creen que están en el camino correcto del éxito comercial. Mencionan razones para no actualizar, como “su sitio se romperá” o “las modificaciones principales se habrán ido” o “el complemento X no funcionará” o “simplemente no necesitan la nueva funcionalidad”.

De hecho, los sitios web se rompen principalmente debido a errores en versiones anteriores de WordPress. Las modificaciones principales nunca son recomendadas por el equipo de WordPress y los desarrolladores expertos que entienden los riesgos involucrados. Y las actualizaciones de WordPress en su mayoría incluyen parches de seguridad imprescindibles junto con la funcionalidad adicional requerida para ejecutar los últimos complementos.

¿Sabía que se ha informado que las  vulnerabilidades de los complementos representan el 55.9% de los puntos de entrada conocidos para los piratas informáticos? Eso es lo que WordFence encontró en un estudio de 2016 en el que entrevistaron a más de 1,000 propietarios de sitios de WordPress que habían sido víctimas de ataques. Al actualizar sus complementos, puede asegurarse de que no sea una de estas víctimas. También se recomienda que solo instale complementos de confianza. Las categorías “destacadas” y “populares” en el repositorio de WordPress pueden ser un buen lugar para comenzar.

hackeado sitios web de wordpress complementos

Sitios pirateados de WordPress

Cómo actualizar WordPress Core

Hay un par de maneras sencillas de actualizar su instalación de WordPress. Si es un cliente de Unlockers Cloud, proporcionamos copias de seguridad automáticas con una opción de restauración con un solo clic. De esta forma puedes probar nuevas versiones de WordPress y complementos sin tener que preocuparte de que rompa nada. O también podrías probar primero en nuestro entorno de ensayo . Para actualizar el núcleo de WordPress puede hacer clic en “Actualizaciones” en su tablero de WordPress y hacer clic en el botón “Actualizar ahora”.

actualizar el núcleo de wordpress

También puede actualizar WordPress manualmente descargando la última versión y cargándola a través de FTP.

¡Importante! Sobrescribir las carpetas incorrectas podría romper su sitio si no se hace correctamente. Si no se siente cómodo haciendo esto, primero consulte con un desarrollador.

Siga los pasos a continuación para  actualizar su instalación existente:

  • Eliminar el viejo wp-includeswp-admindirectorios.
  • Sube el nuevo wp-includeswp-admindirectorios.
  • Suba los archivos individuales de la nueva wp-contentcarpeta a su wp-contentcarpeta existente , sobrescribiendo los archivos existentes. NO elimine su wp-contentcarpeta existente . NO elimine ningún archivo o carpeta en su wp-contentdirectorio existente (a excepción de uno sobreescrito por archivos nuevos).
  • Cargue todos los nuevos archivos sueltos desde el directorio raíz de la nueva versión a su directorio raíz de WordPress existente.

Cómo actualizar los complementos de WordPress

Actualizar tus plugins de WordPress es un proceso muy similar a la actualización del núcleo de WordPress. Haga clic en “Actualizaciones” en su panel de WordPress, seleccione los complementos que desea actualizar y haga clic en “Actualizar complementos”.

actualizar los plugins de wordpress

Actualizar plugins de WordPress

Del mismo modo, también puede actualizar un complemento de forma manual. Simplemente tome la última versión del desarrollador de plugins o del repositorio de WordPress y súbalo a través de FTP, sobrescribiendo el plugin existente dentro del directorio / wp-content / plugins.

También es importante tener en cuenta que los desarrolladores no siempre mantienen sus complementos actualizados. El equipo de WP Loop hizo un pequeño gran análisis de cuántos complementos de WordPress en el repositorio no están actualizados con el núcleo actual de WordPress. Según su investigación, casi el 50% de los complementos en el repositorio no se han actualizado en más de 2 años . Esto no significa que el complemento no funcionará con la versión actual de WordPress, pero se recomienda que elija complementos que se actualicen activamente. Los plugins desactualizados tienen más probabilidades de contener vulnerabilidades de seguridad.

plugins de wordpress no actualizados

img src: WP Loop

Use su mejor juicio cuando se trata de complementos. Mire la fecha de “Última actualización” y cuántas clasificaciones tiene un complemento. Como se ve en el ejemplo a continuación, este está desactualizado y tiene malas críticas, por lo que lo más probable es que recomiende mantenerse alejado de él.

antiguo plugin de WordPress

Viejo plugin de WordPress con malas calificaciones

También hay muchos recursos disponibles para ayudarlo a estar al tanto de las últimas vulnerabilidades y actualizaciones de seguridad de WordPress. Vea algunos de ellos a continuación:

archivo de seguridad wordpress

Archivo de seguridad de WordPress

5. Bloquee su administrador de WordPress

A veces, la estrategia popular de seguridad de WordPress por oscuridad es apropiadamente efectiva para un negocio en línea promedio y un sitio de WordPress. Si dificulta que los hackers encuentren ciertas puertas traseras, es menos probable que sean atacadas. Bloquear su área de administración de WordPress e iniciar sesión es una buena manera de reforzar su seguridad. Dos formas excelentes de hacerlo es primero cambiando la URL predeterminada de inicio de sesión de wp-admin y también limitando los intentos de inicio de sesión.

La seguridad por oscuridad puede ser una forma muy efectiva de reforzar su seguridad #WordPress.HAGA CLIC PARA TWEET

Cómo cambiar su URL de inicio de sesión de WordPress

By default your WordPress site’s login URL is domain.com/wp-admin. One of the problems with this is that all of the bots, hackers, and scripts out there also know this. By changing the URL you can make yourself less of a target and better protect yourself against brute force attacks. This is not a fix all solution, it is simply one little trick that can definitely help protect you. To change your WordPress login URL we recommend using the free WPS Hide login plugin or the premium Perfmattersplugin.

The plugin only has one option and is fast to configure. Once activated simply change your WordPress login URL under the “General” section in settings. Remember to pick something unique that won’t already be on a list that a bot or script might attempt to scan.

cambiando su url de inicio de sesión de WordPress

Hide WordPress login URL

How to Limit Login Attempts

While the above solution of changing your admin login URL will decrease a majority of the bad login attempts, putting a limit in place can also be very effective. The free Cerber Limit Login Attempts plugin is a great way to easily setup lockout durations, login attempts, and IP whitelists and blacklists.

límite de intentos de inicio de sesión wordpress

Limit login attempts in WordPress

Si está buscando una solución de seguridad de WordPress más simple, otra gran alternativa es el complemento de bloqueo de inicio de sesión gratuito . Login LockDown registra la dirección IP y la marca de tiempo de cada intento fallido de inicio de sesión. Si se detecta más de un cierto número de intentos dentro de un corto período de tiempo desde el mismo rango de IP, entonces la función de inicio de sesión se deshabilita para todas las solicitudes de ese rango. Y es completamente compatible con el complemento de inicio de sesión WPS Hide que mencionamos anteriormente.

login lockdown wordpress

Lockdown WordPress

Cómo agregar Autenticación HTTP básica (protección htpasswd)

Otra forma de bloquear a su administrador es agregar autenticación HTTP. Esto requiere un nombre de usuario y contraseña antes de poder incluso acceder a la página de inicio de sesión de WordPress. Nota: Esto generalmente no se debe usar en sitios de comercio electrónico o sitios de membresía. Pero puede ser una forma muy efectiva de evitar que los bots golpeen tu sitio.

Autenticación HTTP básica

Autenticación HTTP básica

apache

Si está utilizando un host cPanel, puede habilitar directorios protegidos por contraseña desde su panel de control. Para configurarlo manualmente, primero deberá crear un  .htpasswdarchivo. Puedes usar esta útil herramienta generadora . A continuación, cargue el archivo en un directorio debajo de su carpeta wp-admin, como por ejemplo:

home/user/.htpasswds/public_html/wp-admin/htpasswd/

Luego crea un archivo .htaccess con el siguiente código y súbelo a tu /wp-admin/directorio. Asegúrese de actualizar la ruta del directorio y el nombre de usuario.

AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd
AuthType basic
require user yourusername

La única advertencia para hacerlo de esta manera es que romperá AJAX (admin-ajax) en el front-end de su sitio. Esto es requerido por algunos complementos de terceros. Por lo tanto, también deberá agregar el siguiente código al archivo .htaccess anterior.

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Nginx

Si está ejecutando Nginx , también puede restringir el acceso con autenticación básica HTTP. Mira este tutorial . Si es un cliente de Unlockers Cloud, comuníquese con nuestro equipo de soporte y podemos agregarlo fácilmente.

6. Aproveche la autenticación de dos factores

¡Y por supuesto, no podemos olvidarnos de la autenticación de dos factores! No importa cuán segura sea su contraseña, siempre existe el riesgo de que alguien la descubra. La autenticación de dos factores implica un proceso de 2 pasos en el que no solo necesita su contraseña para iniciar sesión sino también un segundo método. En general, es un mensaje de texto (SMS), una llamada telefónica o una contraseña de un solo uso (TOTP) basada en el tiempo. En la mayoría de los casos, esto es 100% efectivo en la prevención de ataques de fuerza bruta a su sitio de WordPress. ¿Por qué? Porque es casi imposible que el atacante tenga su contraseña y su teléfono celular.

En realidad, hay dos partes cuando se trata de autenticación de dos factores. Primero está su cuenta y / o panel que tiene con su proveedor de alojamiento web. Si alguien tiene acceso a esto, podría cambiar sus contraseñas, eliminar sus sitios web, cambiar los registros de DNS y todo tipo de cosas horribles. Aquí en Unlockers Cloud nos asociamos con Authy  y tenemos una autenticación de dos factores disponible para su tablero Cpanel.

La segunda parte de la autenticación de dos factores se refiere a su instalación real de WordPress . Authy tiene un plugin oficial de WordPress  que puedes descargar y usar. Su plan gratuito está limitado a 100 autorizaciones por mes, pero sus planes pagos comienzan a un costo muy razonable de $ 0.09 / auth con autorizaciones y usuarios ilimitados.

Si está buscando una opción completamente gratuita, el complemento Google Authenticator es una excelente alternativa. También permite una cantidad ilimitada de usuarios. Una vez instalado, puede hacer clic en su perfil de usuario, marcarlo como activo y crear una nueva clave secreta o escanear el código QR.

Configuración de autenticación wordpress de dos factores

Autenticación de dos factores de WordPress

A continuación, puede usar una de las aplicaciones de autenticación gratuitas en su teléfono:

Después de habilitar esto, ahora requerirá su contraseña normal para iniciar sesión más el código de la aplicación Google Authenticator en su teléfono. Notará un campo adicional que ahora aparece en su página de inicio de sesión de WordPress. Además, este complemento es totalmente compatible con el complemento Ocultar inicio de sesión de WPS que mencionamos anteriormente.

inicio de sesión de WordPress de Google authenticator

Código de autentificación de Google

Así que asegúrese de aprovechar la autenticación de dos factores, puede ser una manera fácil de reforzar su seguridad de WordPress.

7. Utilice HTTPS para conexiones encriptadas – Certificado SSL

Una de las maneras más pasadas de reforzar su seguridad de WordPress es instalar un certificado SSL y ejecutar su sitio a través de HTTPS. HTTPS (protocolo de transferencia de hipertexto seguro) es un mecanismo que permite que su navegador o aplicación web se conecte de forma segura con un sitio web. Un gran error es que si no acepta tarjetas de crédito, no necesita SSL. Bueno, expliquemos algunas razones por las cuales HTTPS es importante más allá del comercio electrónico. Muchos hosts, incluido Unlockers Cloud, ahora incluso ofrecen certificados SSL gratuitos con Let’s Encrypt .

https conexiones cifradas

1. Seguridad

Por supuesto, la razón más importante para HTTPS es la seguridad adicional, y sí, esto tiene que ver con los sitios de comercio electrónico. Sin embargo, ¿qué tan importante es su información de inicio de sesión? Para aquellos de ustedes que ejecutan sitios web de WordPress de múltiples autores, si están ejecutando HTTP, cada vez que una persona inicia sesión, esa información se transmite al servidor en texto sin formato. HTTPS es absolutamente vital para mantener una conexión segura entre un sitio web y un navegador. De esta forma, puedes evitar que los piratas informáticos y / o intermediarios accedan a tu sitio web. Así que incluso los blogs de WordPress, sitios de noticias, agencias, todos pueden beneficiarse de HTTPS ya que esto garantiza que nada pasa en texto plano.

2. SEO

Google ha dicho oficialmente que HTTPS es un factor de clasificación . Si bien es solo un pequeño factor de clasificación, la mayoría de ustedes probablemente tomarán cualquier ventaja que puedan obtener en los SERP para vencer a sus competidores.

3. Confianza y credibilidad

Según una encuesta de GlobalSign , el 28.9% de los visitantes busca la barra de direcciones verde en su navegador. Y el 77% de ellos están preocupados por la interceptación o uso indebido de sus datos en línea. Al ver ese candado verde, los clientes tendrán instantáneamente más tranquilidad sabiendo que sus datos son más seguros.

4. Datos de referencia

Mucha gente no se da cuenta de que los datos de referencia de HTTPS a HTTP están bloqueados en Google Analytics. Entonces, ¿qué pasa con los datos? Bueno, la mayor parte se agrupa junto con la sección de “tráfico directo”. Si alguien va de HTTP a HTTPS, la referencia sigue siendo aprobada.

5. Advertencias de Chrome

El equipo de Chrome anunció que a partir de enero de 2017 marcarán los sitios HTTP que transmiten contraseñas o tarjetas de crédito como no seguros. Esto es especialmente importante si su sitio recibe la mayoría del tráfico de Chrome. Puede buscar en Google Analytics en la sección Audiencia en el navegador y sistema operativo, así que vea el porcentaje de tráfico que obtiene su sitio de WordPress de Google Chrome. Google les deja mucho más claro a los visitantes que su sitio web de WordPress podría no estar funcionando con una conexión segura.

6. Rendimiento

Debido a un nuevo protocolo llamado HTTP / 2 , muchas veces, aquellos que ejecutan sitios optimizados correctamente a través de HTTPS incluso pueden ver mejoras de velocidad. HTTP / 2 requiere HTTPS debido al soporte del navegador. La mejora en el rendimiento se debe a una variedad de razones, tales como que HTTP / 2 puede admitir una mejor multiplexación, paralelismo, compresión HPACK con codificación Huffman, la extensión ALPN y la inserción del servidor. Y con  TLS 1.3 lanzado a partir del 21 de marzo de 2018, las conexiones HTTPS son aún más rápidas.

¿Repensando HTTPS ahora? Consulte nuestra guía de migración en profundidad de WordPress HTTPS para que pueda comenzar a usarlo.

Para aplicar una conexión segura y encriptada entre usted y el servidor al iniciar sesión y administrar su sitio, agregue la siguiente línea a su wp-config.phparchivo:

define ('FORCE_SSL_ADMIN', verdadero);

8. Endurezca su archivo wp-config.php

Su archivo wp-config.php es como el corazón y el alma de su instalación de WordPress. Es de lejos el archivo más importante en su sitio cuando se trata de la seguridad de WordPress. Contiene la información de inicio de sesión de la base de datos y las claves de seguridad que manejan el cifrado de la información en las cookies. A continuación hay un par de cosas que puede hacer para proteger mejor este archivo importante.

1. Mueva wp-config.php

Por defecto, su archivo wp-config.php reside en el directorio raíz de su instalación de WordPress (su carpeta / public HTML). Pero puede moverlo a un directorio que no sea accesible en www. Aaron Adams escribió una gran explicación de por qué esto es beneficioso.

Para mover su wp-config.phparchivo simplemente copie todo en un archivo diferente. Luego, en su wp-config.phparchivo puede colocar el siguiente fragmento para simplemente incluir su otro archivo. Nota: la ruta del directorio puede ser diferente según su host web y configuración. Por lo general, es simplemente un directorio anterior.

<? php
include ('/ home / yourname / wp-config.php');

Nota: esto no funcionará para los clientes de Unlockers Cloud y romperá la funcionalidad en nuestra plataforma. Esto se debe a que nuestras restricciones open_basedir no permiten la ejecución de PHP sobre el ~/publicdirectorio por razones de seguridad. ¡La buena noticia es que nos encargamos de esto! Efectivamente hacemos lo mismo bloqueando el acceso wp-login.phpdentro del ~/publicdirectorio. Nuestra configuración predeterminada de Nginx incluye una regla que devolverá un 403 para cualquier intento de acceso de wp-config.php.

2. Actualice las claves de seguridad de WordPress

Las claves de seguridad de WordPress son un conjunto de variables aleatorias que mejoran el cifrado de la información almacenada en las cookies del usuario. Desde WordPress 2.7, ha habido 4 claves diferentes: AUTH_KEY , SECURE_AUTH_KEY ,  LOGGED_IN_KEY y  NONCE_KEY.  Cuando instalas WordPress estos se generan al azar para ti. Sin embargo, si ha pasado por varias migraciones o ha comprado un sitio de otra persona, puede ser bueno crear nuevas claves de WordPress.

WordPress en realidad tiene una herramienta gratuita que puede usar para generar claves aleatorias . Puede actualizar sus claves actuales que están almacenadas en su archivo wp-config.php.

llaves de seguridad wordpress

Claves de seguridad de WordPress

Lea más acerca de las claves de seguridad de WordPress .

3. Cambiar permisos

Normalmente, los archivos en el directorio raíz de un sitio de WordPress se establecerán en 644, lo que significa que los archivos pueden leerse y escribirse por el propietario del archivo y pueden ser leídos por los usuarios del propietario del grupo de ese archivo y legibles por todos los demás. De acuerdo con la documentación de WordPress , los permisos en el archivo wp-config.php deben establecerse en 440 o 400 para evitar que otros usuarios en el servidor lo lean. Puede cambiar esto fácilmente con su cliente FTP.

Permisos de wp-config

Permisos de wp-config.php

9. Deshabilitar XML-RPC

En los últimos años, XML-RPC se ha convertido en un  objetivo cada vez más grande para los ataques de fuerza bruta. Como mencionó Sucuri, una de las características ocultas de XML-RPC es que puedes usar el método system.multicall para ejecutar múltiples métodos dentro de una sola solicitud. Eso es muy útil ya que permite a la aplicación pasar múltiples comandos dentro de una solicitud HTTP. Pero lo que también ocurre es que se usa con fines maliciosos.

Hay algunos plugins de WordPress como Jetpack que se basan en XML-RPC, pero la mayoría de las personas no necesitarán esto y puede ser beneficioso simplemente deshabilitar el acceso a él. ¿No está seguro de si XML-RPC se está ejecutando actualmente en su sitio web? Danilo Ercoli, del equipo de Automattic, escribió una pequeña herramienta llamada  XML-RPC Validator .

Validador de WordPress XML-RPC

Para desactivarlo por completo, puede instalar el  complemento Disable XML-RPC gratuito . O puede desactivarlo con el plugin premium perfmatters , que también contiene mejoras de rendimiento web.

Si usted es un cliente aquí en Unlockers Cloud esto no es necesario porque cuando se detecta un ataque a través de XML-RPC, se agrega un pequeño fragmento de código en el archivo de configuración de NGINX para detenerlos en sus pistas, produciendo un error 403.

location ~* ^/xmlrpc.php$ {
return 403;
}

10. Ocultar su versión de WordPress

Ocultar su versión de WordPress toca nuevamente el tema de la seguridad de WordPress por oscuridad . Mientras menos personas conozcan tu configuración de sitio de WordPress, mejor. Si ven que está ejecutando una instalación desactualizada de WordPress, esto podría ser un signo de bienvenida para los intrusos. De forma predeterminada, la versión de WordPress aparece en el encabezado del código fuente de su sitio. Nuevamente, recomendamos simplemente asegurarse de que su instalación de WordPress esté siempre actualizada para que no tenga que preocuparse por esto.

código fuente de la versión wordpress

Versión de WordPress en el código fuente

WPBeginner tiene un gran fragmento de código que puedes usar para eliminar esto. Simplemente agregue lo siguiente al archivo functions.php de su tema de WordPress.

¡Importante! La edición del código fuente de un tema de WordPress podría romper su sitio si no se hace correctamente. Si no se siente cómodo haciendo esto, primero consulte con un desarrollador.
función wpversion_remove_version () {
regreso '';
}
add_filter ('the_generator', 'wpversion_remove_version');

También podría usar un plugin premium como  perfmatters , que le permite ocultar la versión de WordPress con un solo clic, junto con otras optimizaciones para su sitio de WordPress.

Ocultar la versión de WordPress con perfmatters

Ocultar la versión de WordPress con perfmatters

Otro lugar donde aparece la versión de WordPress está en el archivo predeterminado readme.html (como se muestra a continuación) que se incluye en todas las versiones de WordPress. Se encuentra en la raíz de su instalación, domain.com/readme.html. Puede eliminar este archivo de manera segura a través de FTP.

readme de wordpress versión

Versión de WordPress en archivo readme

11. Agregue los últimos encabezados de seguridad HTTP

Otro paso que puede tomar para reforzar su seguridad de WordPress es aprovechar los encabezados de seguridad HTTP. Por lo general, se configuran en el nivel del servidor web y le dicen al navegador cómo comportarse al manejar el contenido de su sitio. Hay muchos encabezados de seguridad HTTP diferentes, pero a continuación suelen ser los más importantes. KeyCDN tiene una gran publicación en profundidad si desea leer más acerca de los encabezados de seguridad HTTP .

Puede verificar qué encabezados se están ejecutando actualmente en su sitio de WordPress iniciando Chrome devtools y mirando el encabezado en la respuesta inicial de su sitio. A continuación se muestra un ejemplo en 1lockers.net . Puede ver que estamos utilizando los encabezados strict-transport-security, x-content-type y x-frame-options.

encabezados de seguridad http wordpress

Encabezados de seguridad HTTP

También puede escanear su sitio web de WordPress con la herramienta gratuita securityheaders.io de Scott Helme. Esto le mostrará qué encabezados de seguridad HTTP tiene actualmente en su sitio. Si no está seguro de cómo implementarlos, siempre puede preguntarle a su anfitrión si pueden ayudarlo.

exploración de encabezados de seguridad http

Escaneo de encabezados de seguridad HTTP

Nota: También es importante recordar que cuando implemente los encabezados de seguridad HTTP cómo podría afectar sus subdominios de WordPress. Por ejemplo, si agrega el encabezado Política de seguridad de contenido y restringe el acceso por dominios, también debe agregar sus propios subdominios.

12. Use los complementos de seguridad de WordPress

Y, por supuesto, tenemos que dar algunas menciones a algunos plugins de seguridad de WordPress. Hay muchos grandes desarrolladores y compañías que ofrecen excelentes soluciones para ayudar a proteger mejor su sitio de WordPress. Aquí hay un par de ellos.

Estas son algunas características y usos típicos de los complementos anteriores:

  • Generar y forzar contraseñas seguras al crear perfiles de usuario
  • Fuerce las contraseñas a caducar y reiniciar de forma regular
  • Registro de acción del usuario
  • Actualizaciones sencillas de las claves de seguridad de WordPress
  • Escaneo de malware
  • Autenticación de dos factores
  • reCAPTCHAs
  • Firewall de seguridad de WordPress
  • Lista blanca de IP
  • Lista negra de IP
  • Registros de cambio de archivo
  • Monitorear cambios DNS
  • Bloquear redes maliciosas
  • Ver información de WHOIS sobre los visitantes

Otro gran complemento que merece una mención honorífica es el complemento de registro de auditoría de seguridad de WordPress. Esto es increíble para aquellos de ustedes que trabajan en WP multisitio o simplemente sitios de varios autores. Ayuda a garantizar la productividad del usuario y permite a los administradores ver todo lo que se está modificando; como inicios de sesión, cambios de contraseña, cambios de tema, cambios de widgets, nuevas creaciones de publicaciones, actualizaciones de WordPress, etc. ¡Casi todo lo que sucede se registra! Al momento de escribir esto, el   plugin de WP Security Audit Log tiene más de 40,000 instalaciones activas con una calificación de 4,7 sobre 5 estrellas.

registro de auditoría de seguridad wordpress

Visor de registro de auditoría de seguridad

También tiene complementos premium adicionales como notificaciones por correo electrónico, administración de sesiones de usuario, búsqueda e informes. Consulte estos complementos de seguridad adicionales de WordPress que pueden ayudar a bloquear a los malos.

13. Mejora la seguridad de la base de datos

Hay un par de maneras de mejorar la seguridad en su base de datos de WordPress. El primero es usar un nombre de base de datos inteligente . Si su sitio recibe el nombre de trucos de voleibol, de manera predeterminada su base de datos de WordPress probablemente se llame wp_volleyballtricks. Al cambiar el nombre de su base de datos a algo más oscuro, ayuda a proteger su sitio al dificultar que los hackers identifiquen y accedan a los detalles de su base de datos. La gente de WPMUDEV escribió un pequeño tutorial sobre cómo cambiar el nombre de su base de datos en las instalaciones existentes.

Una segunda recomendación es usar un prefijo de tabla de base de datos diferente. Por defecto WordPress usa wp_ . Cambiar esto a algo así como 39xw_ puede ser mucho más seguro. Cuando instala WordPress, solicita un prefijo de tabla (como se ve a continuación). También hay formas de cambiar el prefijo de tabla de WordPressen instalaciones existentes.

prefijo de tabla de wordpress

Prefijo de tabla de WordPress – img src: jatinarora

14. Siempre use conexiones seguras

No podemos enfatizar lo suficiente sobre la importancia de usar conexiones seguras. Asegúrese de que su WordPress lo aloje tomando precauciones, como ofrecer SFTP o SSH. SFTP o Protocolo de transferencia segura de archivos (también conocido como protocolo de transferencia de archivos SSH), es un protocolo de red utilizado para transferencias de archivos. Es un método más seguro que el FTP estándar. Solo admitimos conexiones SFTP en Unlockers Cloud para garantizar que sus datos permanezcan seguros y encriptados. La mayoría de los hosts de WordPress también suelen usar el puerto 22 para SFTP. Llevamos esto un paso más allá en Unlockers Cloud y cada sitio tiene un puerto aleatorizado que se puede encontrar en su tablero de CPanel.

Información SFTP

También es importante asegurarse de que el enrutador de su casa esté configurado correctamente. Si alguien piratea su red doméstica, podría obtener acceso a todo tipo de información, incluso posiblemente donde se almacena su información importante sobre su (s) sitio (s) de WordPress. Aquí hay algunos consejos simples:

  • No habilite la administración remota (VPN). Los usuarios típicos nunca usan esta característica y manteniéndola desactivada puede evitar exponer su red al mundo exterior.
  • Los enrutadores usan IP por defecto en el rango como 192.168.1.1. Use un rango diferente, como 10.9.8.7.
  • Permita el más alto nivel de encriptación en su Wifi.
  • IP white-list su Wifi para que solo las personas con la contraseña y cierta IP puedan acceder a ella.
  • Mantenga el firmware en su enrutador actualizado.

Y siempre tenga cuidado al iniciar sesión en su sitio de WordPress en lugares públicos. Recuerde, ¡Starbucks no es una red segura! Tome precauciones, como verificar el SSID de la red antes de hacer clic en conectarse. También puede usar un servicio VPN de terceros como ExpressVPN para encriptar su tráfico de Internet y ocultar su dirección IP de los piratas informáticos.

15. Compruebe los permisos de archivos y servidores

Los permisos de archivos tanto en su instalación como en su servidor web son cruciales para aumentar su seguridad de WordPress. Si los permisos son demasiado flojos, alguien podría obtener acceso fácilmente a su sitio y causar estragos. Por otro lado, si sus permisos son demasiado estrictos, esto podría romper la funcionalidad de su sitio. Por lo tanto, es importante tener los permisos correctos establecidos en todos los ámbitos.

Permisos de archivos

  • Los permisos de lectura  se asignan si el usuario tiene derechos para leer el archivo.
  • Los permisos de escritura se asignan si el usuario tiene derechos para escribir o modificar el archivo.
  • Los permisos de ejecución se asignan si el usuario tiene los derechos para ejecutar el archivo y / o ejecutarlo como un script.

Permisos de directorio

  • Los  permisos de lectura se asignan si el usuario tiene los derechos para acceder al contenido de la carpeta / directorio identificado.
  • Los permisos de escritura se asignan si el usuario tiene los derechos para agregar o eliminar archivos que están contenidos dentro de la carpeta / directorio.
  • Los permisos de ejecución se asignan si el usuario tiene los derechos para acceder al directorio real y realizar funciones y comandos, incluida la capacidad de eliminar los datos dentro de la carpeta / directorio.

Puede usar un complemento gratuito como iThemes Security para escanear los permisos en su sitio de WordPress.

permisos de archivos wordpress

Análisis de permisos de archivos de WordPress

Here are some typical recommendations for permissions when it comes to file and folder permissions in WordPress. See the WordPress Codex article on changing file permissions for a more in-depth explanation.

  • All files should be 644 or 640. Exception: wp-config.php should be 440 or 400 to prevent other users on the server from reading it.
  • All directories should be 755 or 750.
  • No directories should ever be given 777, even upload directories.

16. Disable File Editing in WordPress Dashboard

Muchos sitios de WordPress tienen múltiples usuarios y administradores, lo que puede hacer que la seguridad de WordPress sea más complicada. Una práctica muy mala es otorgar acceso de autor o de administrador a los autores , pero lamentablemente sucede todo el tiempo. Es importante darles a los usuarios los roles y permisos correctos para que no rompan nada. Debido a esto, puede ser beneficioso simplemente desactivar el “Editor de Apariencia” en WordPress. La mayoría de ustedes probablemente haya estado allí en algún momento u otro. Vas a editar rápidamente algo en el Editor de Apariencia y de repente te queda una pantalla blanca de la muerte. Es mucho mejor editar el archivo localmente y subirlo a través de FTP. Y, por supuesto, en la mejor práctica, primero debe probar cosas como esta en un sitio de desarrollo.

editor de apariencia wordpress

Editor de apariencias de WordPress

Además, si su sitio de WordPress es pirateado, lo primero que deben hacer es intentar editar un archivo o tema PHP a través del Editor de Apariencia. Esta es una forma rápida de ejecutar código malicioso en su sitio. Si no tienen acceso a esto desde el tablero, para empezar puede ayudar a prevenir ataques. Coloque el siguiente código en su archivo wp-config.php para eliminar las capacidades ‘edit_themes’, ‘edit_plugins’ y ‘edit_files’ de todos los usuarios.

define ('DISALLOW_FILE_EDIT', verdadero);

17. Prevenir Hotlinking

El concepto de hotlinking es muy simple. Encuentra una imagen en Internet en alguna parte y usa la URL de la imagen directamente en su sitio. Esta imagen se mostrará en su sitio web, pero se servirá desde la ubicación original. Esto es en realidad un robo ya que está usando el ancho de banda del sitio enlazado. Esto puede no parecer un gran problema, pero podría generar una gran cantidad de costos adicionales. La avena es un gran ejemplo. The Huffington Post enlazó una caricatura suya que consistía en varias imágenes y acumuló una enorme factura de $ 1,000.

hotlinking

Factura de Hotlinking

Evite Hotlinking en Apache

Para evitar hotlinks en Apache, simplemente agregue el siguiente código a su archivo .htaccess.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

La segunda fila define la referencia permitida: el sitio que puede vincular directamente con la imagen, este debería ser su sitio web real. Si desea permitir múltiples sitios, puede duplicar esta fila y reemplazar la referencia. Si desea generar algunas reglas más complejas, eche un vistazo a este generador de protección htaccess hotlink .

Evite Hotlinking en NGINX

Para evitar hotlinking en NGINX, simplemente agregue el siguiente código a su archivo de configuración.

location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

Evite Hotlinking en CDN

Si está sirviendo sus imágenes desde un CDN, la configuración puede ser ligeramente diferente. Estos son algunos recursos con proveedores populares de CDN.

18. Siempre haz copias de seguridad

Las copias de seguridad son lo único que todos saben que necesitan pero que no siempre toman. La mayoría de las recomendaciones anteriores son medidas de seguridad que puede tomar para protegerse mejor. Pero no importa cuán seguro sea su sitio, nunca será 100% seguro. Entonces quieres copias de seguridad en caso de que ocurra lo peor. La mayoría de los proveedores de alojamiento gestionados de WordPress ahora ofrecen copias de seguridad. Unlockers Cloud ha automatizado copias de seguridad  para que pueda descansar tranquilo como la noche. Incluso puede hacer clic en un solo clic para restaurar su sitio.

Copias de seguridad automáticas de WordPress

Si su anfitrión no tiene copias de seguridad, existen algunos servicios y complementos populares de WordPress que puede usar para automatizar el proceso.

Servicios de copia de seguridad de WordPress

Los servicios de copia de seguridad de WordPress generalmente tienen una tarifa mensual baja y almacenan sus copias de seguridad en la nube.

Complementos de copia de seguridad de WordPress

Los complementos de copia de seguridad de WordPress le permiten tomar sus copias de seguridad a través de FTP o integrarse con una fuente de almacenamiento externo como Amazon S3, Google Cloud Storage, Google Drive o Dropbox. Recomendamos ir con una solución incremental para que use menos recursos.

19. Protección DDoS

DDoS es un tipo de ataque de DOS donde se usan múltiples sistemas para atacar a un solo sistema causando un ataque de denegación de servicio (DoS). Los ataques DDoS no son nada nuevo, según Britannica, el primer caso documentado data de principios de 2000. A diferencia de alguien que hackea su sitio, este tipo de ataques normalmente no dañan su sitio, sino que simplemente derribarán su sitio durante unas horas o días. . Que puedes hacer para protegerte? Una de las mejores recomendaciones es utilizar un servicio de seguridad de terceros de confianza como Cloudflare  o Sucuri . Si tiene un negocio, puede tener sentido invertir en sus planes premium.

Protección DDoS contra Cloudflare y Sucuri

Protección DDoS contra Cloudflare y Sucuri

Su avanzada protección DDoS se puede utilizar para mitigar los ataques DDoS de todas las formas y tamaños, incluidos los que se dirigen a los protocolos UDP e ICMP, así como SYN / ACK, amplificación DNS y ataques de Capa 7. Otros beneficios incluyen ponerlo detrás de un proxy que ayuda a ocultar su dirección IP de origen, aunque no es a prueba de balas.

Asegúrese de consultar nuestro caso práctico sobre cómo detener un ataque DDoS. Tuvimos un cliente con un pequeño sitio de comercio electrónico con Easy Digital Downloads, que recibió más de 5 millones de solicitudes en una sola página en 7 días . El sitio normalmente solo genera entre 30-40 MB por día en ancho de banda y un par de cientos de visitantes por día. Pero, de la nada, ¡el sitio instantáneamente pasó a entre 15 y 19 GB de transferencia de datos por día! Eso es un  aumento de 4650% . Y Google Analytics no mostró tráfico adicional. Entonces eso no es bueno.

Alto ancho de banda del ataque DDoS

Alto ancho de banda del ataque DDoS

El cliente implementó el firewall de aplicaciones web de Sucuri en su sitio y todo el ancho de banda y las solicitudes cayeron al instante en el sitio (como se ve a continuación) y desde entonces no ha habido un solo problema. Definitivamente una buena inversión y un ahorro de tiempo si te encuentras con problemas como estos.

Se agregó el firewall de la aplicación web Sucuri

Se agregó el firewall de la aplicación web Sucuri

Resumen

Como puede ver, existen numerosas maneras de fortalecer su seguridad de WordPress. Contar con contraseñas inteligentes, mantener actualizado el núcleo y los complementos, y elegir un host de WordPress administrado de forma segura son solo algunos de los que mantendrán su sitio de WordPress en funcionamiento de forma segura. Para muchos de ustedes, su sitio de WordPress es su negocio y sus ingresos, por lo que es importante tomarse un tiempo e implementar algunas de las mejores prácticas de seguridad mencionadas anteriormente, más temprano que tarde.

¿Alguna sugerencia importante de seguridad de WordPress que nos perdimos? Si es así, no dude en dejarnos saber a continuación en los comentarios.