Cómo proteger su sitio de WordPress para que no sea hackeado

No hay nada más aterrador que tu sitio de WordPress se vea comprometido y te sientas impotente sin saber qué hacer para proteger tu sitio de WordPress de los Hackers. Esto afecta a tu negocio, a tus ingresos, a la reputación de tu marca e incluso pierdes el sueño por ello. Dado que la seguridad de WordPress siempre está en nuestra mente aquí hay una lista útil de los 20 pasos que debe tomar para proteger su sitio de WordPress de los Hackers.



¿Cómo puede evitar que su sitio de WordPress siga siendo hackeado?

Aquí tienes una útil lista de las 20 cosas que debes hacer para reforzar la seguridad de tu sitio de WordPress:



1. Utiliza un servicio de alojamiento de WordPress seguro

Hoy en día, utilizar un servicio de hosting normal bajo una cuenta compartida no es suficiente. Tienes que asegurarte de que tu proveedor de alojamiento ofrece servicios dedicados a los sitios de WordPress.

Si tiene suficiente dinero para gastar, entonces debe considerar elegir un Servicio de Hosting WordPress Administrado. Estos proveedores ofrecen un entorno de alojamiento que está ajustado para los sitios de WordPress y prestan una atención extra a la seguridad.



2. Añade un firewall entre tu sitio WordPress y los visitantes de tu sitio

.Añadir un cortafuegos a nivel de DNS como Cloudflare filtrará el tráfico malo y evitará que llegue a tu servidor de alojamiento y de esta forma protegerás tu sitio web de WordPress de los hackers. Aunque a menudo se descuida, esta medida de seguridad es una de las más importantes para asegurar un sitio de WordPress.

<pFirewall a nivel de aplicación filtra el tráfico después de que visite por primera vez su sitio de WordPress. Aunque esta es una capa de seguridad importante no es tan eficiente como el firewall de nivel de DN porque permite que el atacante comience a abusar de los recursos de tu servidor y sitio.



3. Activar y usar un SSL para el dominio de tu sitio WordPress

Si utilizas un servicio de alojamiento de WordPress moderno ellos pueden configurar el SSL por ti. Let’s Encrypt ofrece SSLs gratuitos para todo el mundo, así que después de añadirlo a tu cuenta de hosting tienes que convertir todas tus URLs HTTP de WordPress a HTTPS. Tener una conexión HTTPS en tu sitio garantiza que cuando un usuario envía datos sensibles, como sus datos de acceso, se envían al lugar correcto, y no a un tercero malicioso.

También puedes seguir nuestro paso a paso Guía de instalación de SSL gratuito de WordPress para añadir un SSL de Let’s Encrypt a tu sitio de WordPress.



4. Desactivar XML-RPC cuando sea posible

XML-RPC solía ser explotado en el pasado para forzar una cuenta de administrador de WordPress y hacer caer un sitio de WordPress mediante un ataque DDoS.

Desactivando esta característica disminuirás la superficie de ataque para cualquier hacker que quiera entrar en tu sitio. Por otro lado, XML-RPC es una API utilizada por muchos servicios de terceros relacionados con WordPress, como JetPack.

Si quieres desactivar XML-RPC y dejar que JetPack o cualquier otro servicio utilice la API entonces añade el siguiente código al archivo .htaccess de tu sitio WordPress:

# Disable XML-RPC Start
<files xmlrpc.php>
Order Deny, Allow
Deny from all
Allow from 192.0.64.1/192.0.127.254
Satisfy All
ErrorDocument 403 http://0.0.0.0
# Disable XML-RPC End

Para poner en la lista blanca otros servicios para usar JetPack sólo tienes que duplicar la línea “Permitir desde…” y sustituir el rango de IPs de JetPack por las del servicio, que estás usando.



5. Cambia el nombre de tu URL de acceso a WordPress

Esta es una medida de seguridad proactiva que oculta tu URL de inicio de sesión de WordPress por defecto y frena los ataques automatizados de inicio de sesión por fuerza bruta de bots o malos actores.

La forma más segura de cambiar la URL de inicio de sesión de tu panel de WordPress es a través de un plugin como Rename wp-login.php de Ella van Durpe.



6. Establece un límite de tasa de inicio de sesión para tu página de inicio de sesión de WordPress

Otra forma de proteger su sitio de WordPress de los hackers es limitando la tasa de intentos de inicio de sesión en su panel de WordPress. Esto añadirá una capa extra de seguridad a su sitio de WordPress. Lo hará bloqueando una IP de hacer más intentos después de un límite especificado de reintentos ha sido alcanzado. Esto hace que un ataque de fuerza bruta sea difícil o imposible de realizar.

Limit Login Attempts Reloaded de WPChef, es uno de los plugins que solemos sugerir a nuestros clientes después de terminar una Limpieza de Malware de WordPress para sus sitios WordPress hackeados.



7. Utilice la autenticación de 2 factores para su página de inicio de sesión en el panel de WordPress

La autenticación de dos factores es una capa adicional de seguridad añadida a su procedimiento de inicio de sesión. De esta manera, incluso si sus detalles de inicio de sesión de administrador han sido expuestos, adivinado o forzado el atacante tendrá que completar el desafío 2FA para poder acceder a su página del Tablero de WordPress.

Le sugerimos que eche un vistazo a el servicio 2FA de Google y cree una cuenta con ellos, después instale y configure el complemento para WordPress de Google Authenticator de Ivan Kruchkoff.

Si quieres ayuda para añadir 2FA a tu sitio web de WordPress entonces asegúrate de leer nuestra propia guía sobre Cómo configurar y usar 2FA de Google en tu sitio de WordPress(enlace).



8. Permitir 1 o 2 admins siguiendo el principio de menos privilegios

Si es posible deja un solo admin y baja a todos los demás a Editores, Autores o incluso Suscriptores. Cuantos más administradores tenga un sitio WordPress más posibilidades de ser hackeado por un ataque de fuerza bruta o una violación de los datos de acceso.

También puede utilizar nuestro WP User Admin plugin para programar un usuario o un grupo de usuarios que desee editar su rol de usuario y establecer una hora y fecha específicas en las que desea que se aplique este cambio. También puede establecer que el mismo usuario o usuarios recuperen su rol de usuario original bajo una fecha y hora futura.

De este modo, puede establecer un usuario como administrador durante un periodo de tiempo específico y luego degradarlo automáticamente a autor o a cualquier otro rol de usuario preferido.



9. Utiliza contraseñas complejas para tus cuentas de administrador

Utilizar una contraseña simple y fácil de adivinar para tu cuenta de usuario administrador es la forma más rápida de que tu sitio WordPress sea hackeado. Usa contraseñas complejas y si es posible cámbialas de vez en cuando. Hoy en día, no necesitas recordar cada una de las contraseñas que utilizas. Todo lo que necesitas hacer es instalar un servicio de gestión de contraseñas como 1Password, guardar tus contraseñas con un solo clic y proteger tu sitio de WordPress de los Hackers.



10. Cambiar los nombres de usuario del administrador por defecto y aleatorizarlos

Una vez que configuras un nuevo sitio web de WordPress el nombre de usuario por defecto para tu cuenta de administrador es “admin”(¡dah!). Si mantienes el nombre de usuario de administrador por defecto entonces haces que sea más fácil para el atacante entrar por fuerza bruta en tu Dashboard de WordPress ; porque ya conocerá el nombre de administrador por lo que sólo tendrá que adivinar o forzar el ataque a la contraseña.

Puedes crear una nueva cuenta de administrador, luego iniciar sesión con sus datos y eliminar la cuenta de administrador por defecto o utilizar un plugin como el Easy Username Update de Yogesh C. Pant y establecer un nombre de usuario de administrador aleatorio.

Si quieres ayuda para renombrar tu nombre de usuario de administrador por defecto no dudes en consultar nuestra guía sobre Cómo cambiar tu nombre de usuario de administrador por defecto.



11. Asegura los archivos y la base de datos de tu sitio WordPress

Toma las medidas necesarias para proteger los archivos y la base de datos de tu sitio WordPress. Es donde se encuentran todas las configuraciones importantes de tu sitio WordPress, incluyendo las entradas y páginas de tu blog. Para ello, debes cambiar su prefijo por defecto y asegurarte de que la contraseña de tu base de datos está lejos de ser predecible.

Cuando se trata de archivos, siempre existe el riesgo de que se modifique el contenido de un archivo o se suban archivos maliciosos a tu sitio web. Por ello, lo que puedes hacer es optar por plugins de seguridad como All-in-One WP Security. También necesitas ser cauteloso con tus permisos de directorio y archivo. Asegúrate de establecer los permisos de los directorios en <755> y de los archivos en <644>. De esta manera, usted es capaz de proteger los directorios, subdirectorios y archivos individuales también. Debe deshabilitar la edición de archivos para los Temas y Plugins que utilice y deshabilitar el listado de directorios. Puedes hacerlo a través de .htaccess.



12. Actualiza tus temas, plugins y archivos del núcleo de WordPress regularmente

Una de las grandes cosas de WordPress y todo lo relacionado con él es que cada cierto tiempo se lanzan nuevas actualizaciones. Esta es una gran característica que puede utilizar para proteger su sitio de WordPress de Hackers. Independientemente del tema y los plugins que utilice, debe asegurarse de actualizarlos con frecuencia a través del panel de control wp-admin. Es donde también puedes encontrar toda la información relevante sobre el estado de los Temas y Plugins que utilizas. Podrás localizar cuáles necesitan ser actualizados, e incluso podrás ver las mejoras que traen.

Cada nueva actualización trae consigo parches de seguridad y corrección de errores, nuevas funciones para mejorar el rendimiento y la compatibilidad de tu sitio WordPress. Los plugins y los temas se actualizan en un calendario no estándar. Por eso hay que estar atento a las nuevas actualizaciones que llegan. Ignorar las actualizaciones sólo consigue que tu sitio WordPress esté en peligro.

No nos cansamos de insistir en la importancia de actualizar los componentes de tu sitio web para protegerlo de los Hackers. Y aunque entendemos que esto puede ser un trabajo duro, la verdad es que es necesario. Siempre puedes probarlos en un entorno de ensayo antes de actualizarlos en el sitio en vivo, especialmente si sospechas que aplicar las últimas actualizaciones puede hacer que tu sitio web se rompa y no funcione correctamente.



13. Mantener sólo el tema y los plugins activos

Lo mejor es eliminar los Temas y Plugins que ya no uses. Principalmente porque los archivos de aquellos pueden ser utilizados como puntos de entrada de ataque por los hackers. La mayoría de los sitios de WordPress tienen una serie de plugins activos; gestionar y mantenerlos puede ser frustrante. Mantenerlos cuando no están activos puede interferir con la seguridad de su sitio web, pueden bloquear su rendimiento y, en términos prácticos, abarrotarán su panel de administración. Sólo aumentan su frustración.



14. Utiliza sólo temas y plugins de WordPress actualizados regularmente

Elegir temas y plugins para su sitio de WordPress puede ser una tarea desalentadora ya que hay innumerables, disponibles por ahí. No te decantes por el más asequible o el que esté lleno de numerosas características. No los descargue de fuentes y sitios web dudosos. En su lugar, considere las necesidades de su sitio, planifique con cuidado y, elija lo que elija, asegúrese de ir sólo por Temas y plugins oficiales y de confianza. Estos vienen con actualizaciones regulares y ofrecen soporte cuando surge un problema técnico.

También, revisa el repositorio de Temas y Plugins antiguos y abandonados y aléjate de ellos también. Ya que no se actualizan con regularidad (comprueba punto 12 ) y no hay soporte técnico para ayudarte cuando te encuentres con problemas.



15. Aplicar restricciones para bots, ciertas IPs y países

Algunos bots son útiles (rastreadores de sitios o chatbots). Están automatizados y realizan tareas repetitivas más rápidamente. Pero los bots también pueden ser una molestia, y pueden hacer mella en el rendimiento de tu sitio web. Para ello, debes ajustar los permisos para que bloquees los Bots maliciosos de tu sitio web. El tráfico de bots de Internet si no se controla, puede causar varios problemas y ciberataques. Por ejemplo, los bots maliciosos son conocidos por contribuir a los ataques DDoS, raspar el contenido de su sitio de WordPress, obtener acceso a sus credenciales y hacer spam. Lo mismo ocurre con los visitantes maliciosos procedentes de determinados países o direcciones de dominio. Pueden ser la fuente de spam y ataques maliciosos.

Puedes bloquear los bots mediante el uso de ciertos plugins de seguridad o incluso un plugin dedicado como el Stopbadbots Plugin.



16. Monitoriza los registros de tu sitio y el cambio de archivos

Monitorear tu sitio web de WordPress te ayuda a tener una buena idea de su estado y de esta manera, puedes detectar un comportamiento online sospechoso a tiempo. La monitorización constante es la clave para que el sitio de WordPress funcione de forma saludable y fiable. También puede informarte cuando ciertos componentes o características no funcionan correctamente o cuando los archivos y la base de datos han sufrido cambios. Especialmente cuando se trata de defenderse de los hackers, el tiempo sí importa, y la monitorización activa del sitio puede ser una gran manera de ayudar a evitar ataques maliciosos y violaciones de datos.



17. Haz una copia de seguridad de tu sitio regularmente

Las copias de seguridad son un salvavidas. La mayoría de los usuarios de WordPress se dan cuenta de la importancia de las copias de seguridad sólo después de que algo haya ido mal. Pero no hay que esperar a que ocurra un desastre para reconocer la necesidad de hacer una copia de seguridad de su sitio web y de sus datos casi a diario. Así que haga una copia de seguridad de su sitio web con frecuencia, aunque le lleve tiempo. Hacerlo significa que te aseguras de que todo tu duro trabajo y tus valiosos datos no se desvanecen en un segundo. No confíe únicamente en las copias de seguridad realizadas por su proveedor de alojamiento de WordPress. Utilice uno de los muchos servicios y plugins disponibles, que le permiten realizar copias de seguridad automáticas y completas. Estos plugins permiten programar las copias de seguridad de su sitio web, para que no tenga que ejecutarlas manualmente. Dependiendo de la complejidad, y el tamaño de su sitio web puede optar por comprar copias de seguridad automatizadas. Para que su sitio web, sus componentes y sus datos estén respaldados y seguros.



18. Evitar el uso de temas o plugins anulados

Alejaos de los temas y plugins anulados. Pueden ser menos costosos al comprarlos, pero la verdad es que te costarán más al final. Suelen comprarse en sitios web sospechosos, y pueden descargarse ilegalmente. Y aunque puedas hacerte con ellos de forma gratuita suelen carecer de características, no funcionan correctamente, no reciben actualizaciones (ver punto 12 ), y no tienes acceso a servicios de soporte. Por lo tanto, terminas usando un Tema o plugin que requiere mucho esfuerzo para mantener y operar. Lo que es más, la mayoría de los Temas y Plugins anulados contienen contenido extra que es malware y fue colocado allí por los hackers que los crackearon en primer lugar. Usar esos Temas y Plugins sería como invitar a los hackers a su sitio de WordPress.



19. Alojar un sitio de WordPress por cuenta

Tener varios sitios de WordPress bajo la misma cuenta conlleva algunos riesgos. El más destacado de ellos es el riesgo de que un sitio sea hackeado y luego el resto también se vea comprometido. ¿Qué pasa si las credenciales de su cuenta se ven comprometidas? Entonces podría enfrentarse a un grave problema. Esto podría evitarse si diversifica sus activos.



20. Eliminar cualquier sitio de staging o desarrollo bajo el directorio público de su sitio

Los sitios de ensayo y desarrollo son el patio de recreo seguro en el que puedes realizar todos los cambios y ajustes que desees. Puedes realizar pruebas continuas. Usted puede ser un retocador. Puedes probar la compatibilidad de los Temas y Plugins y las actualizaciones del núcleo de WordPress antes de implementarlos en tu sitio en vivo. Sin embargo, debes eliminarlos del directorio público de tu sitio ya que pueden ser recogidos por los rastreadores de sitios de los motores de búsqueda (y especialmente el de Google) y pueden ser utilizados como punto de entrada para los hackers.

<pFortalecer la seguridad de tu sitio WordPress es un proceso holístico con muchos pasos y factores a los que dedicar tu atención. Merece la pena el trabajo y el esfuerzo que le dediques. Sin embargo, si no eres un experto en el campo de WordPress, deberías buscar la ayuda profesional de un experto en WordPress. Ellos te guiarán hacia la elección de los componentes adecuados para tu sitio web y te ayudarán con los temas de mantenimiento y seguridad para que puedas centrarte en la gestión de tu negocio o tu blog.

El post Cómo proteger tu sitio WordPress para que no sea hackeado apareció primero en Servicios de soporte técnico para WordPress de BitofWP.

Categorías : # seguridad, # wordpress

Deja una respuesta

Tu dirección de correo electrónico no será publicada.