Esta guía le proporcionará una serie de pasos a seguir para mantener seguro su sitio web de WordPress:
NOTA: Antes de proceder con cualquier cambio, asegúrese de generar una versión completa de su sitio web. Si ha creado su sitio utilizando el instalador de scripts Softaculous, no dude en consultarlo también (paso 5: software de copia de seguridad).
Hoy en día nos enfrentamos a muchos problemas de seguridad con diferentes sistemas de gestión de contenidos (CMS) y aplicaciones web. WordPress no es una excepción, ya que es uno de los sistemas de gestión de contenido de blogs más populares y potentes.
Hay varias razones para ello:
- CMS utiliza archivos típicos para contraseñas y configuraciones ubicados en los mismos directorios para cada cuenta (wp-config.php, directorio wp-admin/, etc.), por lo que son muy fáciles de ubicar y modificar después de obtener acceso parcial.
- El panel de administración (wp-admin) se ejecuta bajo el mismo dominio y utiliza el mismo código base/permiso que el resto de la aplicación.
- Los usuarios administradores pueden instalar un complemento/tema, que luego puede modificar cualquier archivo o cambiar cualquier cosa en la base de datos (esto está relacionado con temas o complementos corruptos, no oficiales, no actualizados, automodificados o fraudulentos).
Este artículo le proporciona una lista de consejos e instrucciones que pueden mejorar el nivel de seguridad de su instalación de WordPress.
Hacer copias de seguridad periódicas de su sitio de WordPress es el primer y más importante paso. Antes de aplicar cualquier cambio, asegúrese de hacer una copia de seguridad de toda su instalación o bases de datos de WordPress.
Para crear una copia de seguridad, puede utilizar el archivo .
Se recomienda crear copias de seguridad periódicas para toda su cuenta de cPanel utilizando la herramienta Copias de seguridad y creando una copia de seguridad de cPanel completa, puede consultarla para obtener más detalles.
Además, puede hacer una copia de seguridad de su sitio de WordPress usando CodeGuard, tenemos una guía detallada.
La última versión de WordPress siempre está disponible en . La versión oficial no está disponible en otros sitios web o recursos, por lo tanto, NUNCA actualice WordPress desde recursos de terceros. Además, puede actualizar WordPress fácilmente desde el Panel de administración directamente o mediante Softaculous usando . Si bien mantener un sitio de WordPress no es una ciencia espacial, sigue siendo una tarea que requiere concentración y atención continua, algo que muchos propietarios de sitios no tienen que desperdiciar. Considere un para ayudarlo a mantenerse al día con diversas tareas programadas y urgentes, como solucionar problemas de DNS o solucionar problemas de compatibilidad de complementos.
Asegúrate de que la versión de tu blog esté actualizada. El equipo de WordPress trabaja constantemente en la creación de parches para solucionar los 'agujeros' de seguridad y las puertas traseras. Por eso es muy importante tener la última versión de WordPress.
También se recomienda encarecidamente actualizar sus complementos y temas a las últimas versiones, ya que un error en uno de ellos puede afectar toda su instalación. Puede actualizar tanto los complementos como los temas a través del Panel de administración > elija el menú Complementos o Temas y haga clic en Actualizar ahora junto al complemento o tema necesario:
NOTA: Se recomienda crear copias de seguridad de sus archivos y base de datos de WordPress antes de aplicar cualquier cambio.
Muchos temas personalizados de WordPress “gratuitos” incluían codificación base64, que a menudo se utiliza para ocultar código malicioso. Entonces, con dichos temas o complementos puedes cargar fácilmente malware en tu cuenta. Así es como la mayoría de los 'hackers' obtienen acceso a sus archivos y a su sitio.
Recomendamos usar contenido solo del recurso oficial, ya que es el lugar más seguro para obtener temas y complementos.
El inicio de sesión predeterminado de WordPress es 'admin' y la mayoría de los piratas informáticos lo saben. Debe cambiarse por una personalizada con una contraseña segura que incluya teclas superiores/inferiores, números y símbolos.
Suponiendo que utiliza Softaculous, especifica el nombre de usuario en la pantalla de instalación:
Además, no se recomienda utilizar contraseñas o direcciones de correo electrónico similares a sus cuentas de otros recursos web.
Puede cambiar su nombre de usuario o contraseña de administrador a través de la base de datos, puede encontrar las instrucciones correspondientes
6.1 Cambiar el prefijo de la base de datos
Se recomienda encarecidamente cambiar el prefijo de la base de datos, ya que el prefijo de tabla predeterminado para WordPress es wp_. Los ataques son más fáciles con el prefijo de tabla predeterminado porque es más fácil de adivinar. Recomendamos cambiar el prefijo de la base de datos a algo más seguro que wp_.
NOTA: Cree una copia de seguridad de su base de datos antes de aplicar cualquier cambio.
Si instala WordPress usando Softaculous, puede configurar el prefijo de tabla personalizado y el nombre de la base de datos durante el proceso de instalación, en la sección ampliada de Opciones avanzadas:
Si ya instaló WordPress, aún puede cambiar el prefijo de la base de datos de dos maneras: manualmente o usando un complemento especial.
Para un cambio manual del prefijo de la base de datos, vaya a cPanel > menú phpMyAdmin > elija la base de datos necesaria en el lado izquierdo > haga clic en la opción SQL arriba:
Aquí debe ejecutar consultas RENAME SQL en tablas en su base de datos de WordPress:
RENOMBRAR la tabla `wp_commentmeta` A `newprefix_commentmeta`;
RENOMBRAR la tabla `wp_comments` A `newprefix_comments`;
RENOMBRAR la tabla `wp_links` A `newprefix_links`;
RENOMBRAR la tabla `wp_options` A `newprefix_options`;
RENOMBRAR la tabla `wp_postmeta` A `newprefix_postmeta`;
RENOMBRAR la tabla `wp_posts` A `newprefix_posts`;
RENOMBRAR la tabla `wp_terms` A `newprefix_terms`;
RENOMBRAR la tabla `wp_term_relationships` A `newprefix_term_relationships`;
RENOMBRAR la tabla `wp_term_taxonomy` A `newprefix_term_taxonomy`;
RENOMBRAR la tabla `wp_usermeta` A `newprefix_usermeta`;
RENOMBRAR la tabla `wp_users` A `newprefix_users`;
NOTA: newprefix_ debe reemplazarse con el nuevo prefijo de base de datos que desea tener en lugar de wp_.
Presione Ir para continuar con los cambios:
Una vez hecho esto, verá que el nuevo prefijo de la base de datos se ha aplicado a su base de datos de WordPress:
Después de eso, deberá buscar en la tabla de opciones cualquier otro campo que use wp_ como prefijo para poder reemplazarlos. Es necesario ejecutar la siguiente consulta de la misma forma:
SELECCIONE * DESDE `newprefix_options` DONDE `option_name` COMO '%wp_%'
Luego haga clic en Ir y obtendrá el resultado como se muestra en la siguiente captura de pantalla:
Aquí deberá ir una por una para cambiar estas líneas y reemplazar el prefijo de la base de datos anterior por el nuevo. Una vez hecho esto, debemos buscar usermeta para todos los campos que usan wp_ como prefijo con la ayuda de esta consulta SQL:
SELECCIONE * DESDE `newprefix_usermeta` DONDE `meta_key` COMO '%wp_%'
Después de eso, haga clic en Ir y aparecerán los siguientes resultados:
La cantidad de entradas puede variar dependiendo de cuántos complementos esté utilizando y demás. Aquí también debes cambiar todo con wp_ al nuevo prefijo.
Una vez hecho esto, asegúrese de actualizar su archivo wp-config.php con el nuevo prefijo de la base de datos:
Además, puede cambiar el prefijo de la base de datos utilizando complementos especiales como o.
6.2 Cambiar el nombre de usuario y la contraseña de la base de datos
Para cambiar el nombre de usuario o contraseña de la base de datos, inicie sesión en cPanel y navegue hasta el menú Bases de datos MySQL en la sección Bases de datos:
En Usuarios actuales, verá todos los usuarios de la base de datos creada en su cuenta. Aquí puede Cambiar la contraseña o Cambiar el nombre del usuario de la base de datos necesario eligiendo la opción correspondiente:
Para cambiar la contraseña, haga clic en Cambiar contraseña. En la nueva ventana, inserte su nueva contraseña dos veces y haga clic en Cambiar contraseña:
Para cambiar el nombre de usuario de la base de datos, haga clic en Cambiar nombre. En la nueva ventana, debe especificar el nuevo nombre de usuario que desea tener (esta será la parte después de cPanelusername_) y hacer clic en Continuar para guardar los cambios:
Una vez que se cambia el nombre de usuario o la contraseña de la base de datos, debe actualizar su archivo wp-config.php con los detalles correspondientes:
Al reforzar WordPress para evitar que su sitio sea pirateado, recomendamos configurar la protección con contraseña para los archivos del sistema.
Para crear la protección con contraseña, siga estos pasos:
Vaya a cPanel > sección Archivos > Privacidad del directorio para acceder a una lista de las carpetas de su sitio:
Elija el directorio que desea proteger. Haga clic en el botón Editar cerca de la carpeta que desea proteger en la sección Acciones y navegará a la sección Configuración de seguridad:
Marque la casilla Proteger con contraseña este directorio y asigne un nombre a su directorio protegido:
Luego cree un usuario que esté autorizado para acceder al directorio y guarde los cambios:
Puede seguir nuestro artículo especialmente creado sobre cómo configurar la protección con contraseña para obtener más detalles. Además, puede configurar reglas de protección interna en .htaccess para proteger sus archivos y carpetas como se muestra.
NOTA: Es muy importante proteger el archivo wp-config.php y la carpeta wp-admin ya que son más susceptibles a un ataque de piratas informáticos.
Cargar archivos a través de FTP es una forma rápida de poner en funcionamiento un nuevo sitio o agregar nuevos archivos a su cuenta. Sin embargo, SFTP es más seguro y sus contraseñas están cifradas para ayudar a evitar que los piratas informáticos las descubran. Puede encontrar una guía más detallada sobre cómo cargar sus archivos a través de FTP o SFTP.
son otros métodos seguros para agregar o transferir archivos de su sitio.
Si desea utilizar FTP (o utilizar los detalles de cPanel para la conexión FTP), es una buena idea eliminar cualquier cuenta FTP que no esté utilizando para evitar que se acceda a ellas sin su consentimiento. Esta es una excelente manera de ayudar a mantener su sitio y su información más seguros.
Otra buena idea es eliminar el metagenerador de WordPress. Este meta muestra la versión de su sitio de WordPress. Puede abrir su sitio web y verificar su código fuente presionando CTRL + U en Windows u Opción+Comando+U en Mac. Si la versión de WordPress es visible para los piratas informáticos, les resultará más fácil aprovechar las vulnerabilidades de la versión específica para piratear su sitio web.
Para ocultar su versión de WordPress, navegue por su tema actual en /wp-content/themes/yourtheme/ e inserte el siguiente código en el archivo function.php:
/* Ocultar cadenas de versión de WP de scripts y estilos
* @return {cadena} $src
* @filtro script_loader_src
* @filtro style_loader_src
*/
función fjarrett_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $consulta);
si (! vacío($consulta) && $consulta === $wp_version) {
$src = remove_query_arg('ver', $src);
}
devolver $fuente;
}
add_filter('script_loader_src', 'fjarrett_remove_wp_version_strings');
add_filter('style_loader_src', 'fjarrett_remove_wp_version_strings');
/* Ocultar cadenas de versión de WP de la metaetiqueta del generador */
función wpmudev_remove_version() {
devolver '';
}
add_filter('the_generator', 'wpmudev_remove_version');
Se recomienda limitar el número de intentos de inicio de sesión en su Panel de WordPress con la ayuda de . Registra las direcciones IP de cada inicio de sesión fallido dentro de un período de tiempo determinado. Si se detecta más de un cierto número de intentos dentro de un corto período de tiempo desde el mismo rango de IP, entonces la función de inicio de sesión se desactiva para todas las solicitudes de ese rango. Esto permite evitar el descubrimiento de contraseñas por fuerza bruta.
Uno de los pasos más importantes es utilizar complementos de seguridad:
Seguridad de Wordfence:
es un complemento de seguridad gratuito de WordPress que permite escanear su sitio web en busca de códigos maliciosos, puertas traseras o shells que los piratas informáticos hayan instalado, mostrar análisis y tráfico del sitio web en tiempo real, configurar el escaneo automático y mucho más. Podrás encontrar la descripción de cada opción.
Complemento de seguridad de WordPress todo en uno:
es un complemento fácil de usar que llevará la seguridad de su sitio de WordPress a un nuevo nivel. Proporciona al usuario…
Facebook Comments
Disqus