Home
Cómo aumentar la seguridad de su sitio de WordPress de forma gratuita – Guías Gurú –

Cómo aumentar la seguridad de su sitio de WordPress de forma gratuita – Guías Gurú –

No Comments Conocimiento

WordPress es el sistema de gestión de contenidos más popular disponible en el mundo. Según WordPress tiene una cuota de mercado del 65,2% en agosto de 2021, lo que lo convierte en el rey indiscutible del mercado de CMS en la actualidad.

Como resultado de su popularidad, los sitios de WordPress son uno de los mayores objetivos de los piratas informáticos. Pueden utilizar un único exploit exitoso para convertirse en múltiples filtraciones de sitios lucrativas. Y el alcance es enorme: según los datos disponibles, se producen hasta 90.000 ataques por minuto. Esto también puede ser una subestimación porque SiteLock ha informado que el sitio web promedio de una pequeña y mediana empresa es atacado 44 veces por día.

Para mantener sus sitios seguros, los propietarios y operadores de sitios de WordPress deben hacer todo lo que esté a su alcance para mantener sus sitios actualizados y libres de vulnerabilidades de seguridad. Y esa no es una tarea pequeña. Para ayudar, aquí hay un plan de acción de seis pasos para que los propietarios y operadores de sitios de WordPress protejan sus sitios.

Paso 1: actualice a la última versión de WordPress

Los desarrolladores de la plataforma WordPress hacen un excelente trabajo identificando vulnerabilidades en su código y solucionándolas. Y, sin embargo, persisten las vulnerabilidades en las instalaciones de WordPress. Esto se debe a que los propietarios de los sitios no aplican las actualizaciones con prontitud, lo que los deja expuestos a ataques evitables.

Los datos al respecto son claros. Las últimas encuestas indican que muchos de ellos están ejecutando versiones con vulnerabilidades conocidas. Y la mayoría de los propietarios de esos sitios citan las mismas dos razones para su inacción. O no tienen la competencia técnica necesaria para completar una actualización o sus sitios dependen de complementos que no funcionan con .

Si eres del primer tipo y aún no estás muy versado en desarrollo web, aquí tienes algunas formas sencillas de mantener tu WordPress actualizado.

Una vez que haya una nueva versión de WordPress disponible, aparecerá una notificación indicándole que actualice:

Aunque, por lo general, está perfectamente bien presionar ese botón de inmediato, hacer primero una copia de seguridad completa del sitio podría ahorrarle muchos problemas en el futuro. Como se mencionó anteriormente, es posible que sus complementos de terceros y toda la personalización que haya realizado no sean compatibles con el motor principal. Lo que puede resultar en errores o diseño roto.

Afortunadamente, preparar una copia de seguridad completa de WordPress es bastante fácil. Algunos proveedores de hosting te permiten crear la copia de tu sitio web con un solo clic. Esta es una gran característica ya que tienes todas tus copias de seguridad en un solo lugar y puedes restaurarlas o descargar los archivos en un abrir y cerrar de ojos.

En caso de que no tenga esa opción, hay una variedad de complementos de respaldo de WordPress para salvarle el día. Una de las soluciones más populares, con más de tres millones de usuarios activos, es . Si bien el complemento tiene versiones gratuitas y de pago, en la mayoría de los casos, las funciones básicas deberían ser la solución.

En definitiva, las vulnerabilidades de seguridad pueden costarle a su empresa una reputación y una gran cantidad de ingresos. Por lo tanto, tiene sentido contratar ayuda profesional si es necesario para realizar una actualización y abandonar los complementos heredados que no funcionan. Incluso si cuesta algo de dinero a corto plazo, la reducción del riesgo vale la pena.

See also  Cómo crear una dirección de correo electrónico general en cPanel - Servicio de correo electrónico -

Si bien aquí se identifican productos y prácticas que pueden proteger su identidad en caso de un ataque, sirven como reactivos versus proactivos. Desde el principio, a la hora de elegir tu negocio, la seguridad debe ser una prioridad. Al comprar un nuevo dominio, es importante protegerse contra el fraude de identidad con un registro de dominio privado de una empresa acreditada.

Paso 2: actualice a la última versión de PHP disponible y reduzca la vulnerabilidad de PHP

Incluso si está utilizando la última versión de WordPress, su sitio aún puede ser vulnerable a ataques que utilicen fallas en el lenguaje de programación subyacente que utiliza la plataforma: PHP. Por eso es importante asegurarse de que su proveedor de alojamiento ofrezca la versión PHP más reciente en sus servidores y que su sitio esté configurado para usarla. Y si su proveedor de alojamiento utiliza una versión PHP desactualizada, debería hacerlo.

Para verificar qué versión de PHP está ejecutando, vaya a Herramientas > Estado del sitio en su panel de WordPress y busque la pestaña Servidor. Simplemente haga clic en él para expandir una sección que contiene toda la información necesaria del servidor, incluida su versión actual de PHP:

Como mínimo, deberías utilizar PHP versión 7.4. Pero si hay una versión más nueva disponible, actualice siempre. Y luego, deberías realizar algunos cambios en la configuración de tu sitio para defenderlo contra algunos de los ataques más comunes relacionados con PHP. Primero, querrás deshabilitar la ejecución de PHP en carpetas que no la requieran. Para hacerlo, deberá acceder a algunas carpetas en los directorios de almacenamiento de su sitio.

Y a continuación, debes indicarle a WordPress que no muestre errores de PHP. Esto evita que un atacante explore su sitio en busca de ciertos tipos de vulnerabilidades de PHP que podrían conducir a un ataque exitoso. Desactivar errores es una simple cuestión de . Es un cambio simple que hará que sea mucho más difícil para los atacantes descubrir cualquier falla de seguridad que aún no haya solucionado.

Paso 3: elimine los complementos no utilizados y mantenga actualizados los restantes

Uno de los mayores beneficios de usar WordPress es que es muy fácil agregar funcionalidad mediante el uso de complementos. Y en el momento de escribir este artículo, había más de 58.000 complementos gratuitos disponibles a través de . Y los tipos de funciones que admiten son casi infinitos. Puedes usar un complemento para convertir WordPress en un portal de juegos completamente funcional lleno de juegos adictivos como y o a. Incluso puedes hacerlo con solo hacer clic en un botón.

Pero esa flexibilidad tiene un costo. Es que cada complemento que agrega a un sitio aumenta la complejidad del sitio y agrega código adicional que podría ser vulnerable a ataques. Entonces, el tercer paso en el plan de acción de seguridad es revisar los complementos instalados en su sitio y eliminar todo lo que el sitio ya no necesite para funcionar.

Por ejemplo, vaya a Complementos en su panel de WordPress y luego haga clic en el filtro Inactivo de arriba. Esto enumerará todos los complementos de su sitio web que están actualmente deshabilitados. Ahora bien, es posible que esto no signifique necesariamente que deba deshacerse de ellos de inmediato. Pero es un buen lugar para comenzar la limpieza.

See also  Cómo reiniciar VPS o servidor dedicado a través de WHM - Hosting -

Otros posibles factores descalificantes:

  • Tienes varios complementos para el mismo propósito pero usas solo uno de ellos;
  • Complementos que ya no son compatibles con los desarrolladores;

Pero no te detengas ahí. También debes buscar complementos que tengan funciones duplicadas o que puedan tener alternativas más simples. La conclusión es que cada complemento que logre eliminar o reemplazar mejorará sustancialmente la seguridad del sitio. Y cuando reduzca sus complementos a solo lo necesario, asegúrese de que todo lo restante esté actualizado a su versión más reciente.

Paso 4: active 2FA y considere una clave de seguridad física

Aunque las vulnerabilidades del código son una gran amenaza para los sitios web de WordPress, no son las únicas. Existe una amenaza mucho mayor que afecta a todos los sitios web de WordPress y que conduce a la mayoría de los ataques exitosos: .

Algunos consejos rápidos sobre cómo administrar sus contraseñas:

  • No utilices la misma contraseña para todas tus cuentas;
  • Evite utilizar en su contraseña información que sea de acceso público (su fecha de nacimiento, el nombre de su mascota, etc.);
  • Las contraseñas de más de 16 caracteres suelen ser más seguras. Conviértelo en una frase que también sea fácil de recordar;
  • Cambialo. Utilice mayúsculas y minúsculas, agregue números, caracteres especiales o incluso espacios.

Las contraseñas débiles son una de las principales razones por las que la tasa de ataques a sitios de WordPress y proveedores de alojamiento es tan alta: son en su mayoría el resultado de continuos intentos de piratería de contraseñas por fuerza bruta.

Un hack de fuerza bruta implica el uso de automatización para seguir adivinando las contraseñas de las cuentas de un sitio hasta que el atacante encuentra una que funciona. Y como no tienen que ejecutar estos ataques manualmente, pueden apuntar a varios sitios a la vez para aumentar sus probabilidades de éxito. Pueden simplemente sentarse y relajarse mientras su computadora hace todo el trabajo. Pero existe una forma sencilla para que los propietarios de sitios frustren los ataques de fuerza bruta. Pueden activar la autenticación de dos factores (2FA) o, mejor aún, recurrir a claves de seguridad físicas para mejorar la seguridad de su sitio.

En caso de que no esté familiarizado con el término 2FA, aquí tiene un desglose rápido. En pocas palabras, este método de seguridad agrega una segunda capa de protección a su cuenta además de las contraseñas. En lugar de simplemente escribir sus credenciales, también necesita verificar los inicios de sesión a través de su dispositivo móvil.

WordPress en todas las versiones recientes y todos los propietarios de sitios deberían usarlo para mayor protección. Hace que un ataque de fuerza bruta exitoso sea casi imposible porque la autenticación ya no está ligada únicamente a las contraseñas. Pero debido a que los piratas informáticos pueden eludir o superar ciertos tipos de configuraciones 2FA, una solución aún mejor es recurrir a . Estos dispositivos pequeños y económicos dependen de una criptografía compleja para reemplazar las contraseñas y pueden eliminar cualquier posibilidad de una vulneración del sitio relacionada con la cuenta.

See also  Cómo acceder a una cuenta vía FTP - Hosting -

Paso 5: reduzca los niveles de permisos de la cuenta siempre que sea posible

Incluso con 2FA o claves de seguridad implementadas, siempre existe la posibilidad de que una vulnerabilidad de código desconocido permita a un atacante acceder a una cuenta protegida. Por lo tanto, el siguiente paso en el plan de acción de seguridad es intentar reducir las probabilidades de que un atacante obtenga acceso a una cuenta que pueda causar un daño significativo. Y esto significa revisar los permisos otorgados a cada cuenta con acceso a su sitio de WordPress.

Por defecto, WordPress te ofrece 5 roles de usuario:

  1. Administrador tiene control sobre todo el sitio web, desde instalar y eliminar complementos y temas hasta crear y eliminar usuarios de todos los niveles.
  2. Editor Solo puede administrar el contenido de su sitio web, como publicar o eliminar publicaciones o manejar comentarios.
  3. AutorEl rol de es similar al del Editor pero sus derechos se limitan a su propio contenido.
  4. Colaboradores Puede crear contenido pero no tiene los derechos para publicarlo.
  5. Suscriptores El papel es el más limitado. Solo pueden administrar la información de su propia cuenta y no tienen acceso a otras partes del área de administración.

En términos generales, la mejor postura de seguridad en cuanto a permisos es mantener las cuentas de superadministrador y administrador al mínimo: no más de dos de cada, y menos si es posible. Dado que esos tipos de cuentas representan el mayor potencial de daño, cuantas menos tenga, más seguro será su sitio. Y aunque las cuentas de nivel inferior, como editores, autores o colaboradores, tienen derecho a realizar ciertos cambios, no pueden realizar cambios en todo el sistema y no representan una gran amenaza.

Dicho esto, es importante otorgar a los usuarios sólo la cantidad mínima de permisos necesarios para su función. Entonces, si ha otorgado acceso de editor a alguien que no lo necesita, reduzca su nivel de acceso. Y si tienes cuentas de usuario que ya no son necesarias, cuanto más rápido las elimines, mejor. Las cuentas en desuso pueden representar una amenaza que pasa desapercibida hasta que es demasiado tarde, por lo que el mantenimiento adecuado y continuo de la cuenta es esencial.

Paso 6: eliminar el acceso al editor de temas y complementos de WordPress

El último paso en el plan de acción de seguridad de WordPress es desactivar el acceso al editor de temas y complementos integrado de WordPress. Es un cambio que ofrecerá una última línea de defensa para frenar a cualquiera que haya obtenido acceso no autorizado a su sitio en sus esfuerzos por alterar páginas o instalar código malicioso. Y nuevamente, puede hacer esto en el archivo wp-config.php de su sitio.

El cambio hace que sea más difícil para cualquier persona que haya obtenido acceso a la interfaz administrativa de su sitio causar daños graves porque elimina su capacidad de alterar los archivos principales del sitio. Después de realizar este cambio, la única forma de acceder…

Related posts:

  1. Instalación de un certificado SSL en IIS 8 y 10 – Alojamiento –
  2. Registro de Dominio .rip | Compre un nuevo gTLD .rip por $19,98
  3. Cómo conectar un dominio a MailChimp – Dominios –
  4. Registro de Dominio .nyc | Comprar nombre de dominio .nyc

Related Posts

Loading Facebook Comments ...
Loading Disqus Comments ...