¿Quiere que su sitio web sea tan seguro que los piratas informáticos no puedan entrar?

Si bien ningún sistema de seguridad de un sitio web es 100% a prueba de piratería, puede tomar muchas medidas para evitar una piratería y las consecuencias devastadoras que se derivan.

Puede cerrar puntos vulnerables y asegurar áreas comúnmente atacadas para que a los piratas informáticos les resulte increíblemente difícil atacar su sitio.

Le mostraremos la forma más fácil de fortalecer su sitio de WordPress. También le daremos las mejores prácticas a seguir para evitar que su sitio web sea vulnerable.

La forma más fácil de fortalecer su sitio de WordPress

Las medidas de fortalecimiento de WordPress implican pasos únicos, así como medidas que deben verificarse periódicamente.

Algunos pasos de endurecimiento también necesitan una buena cantidad de habilidades técnicas en WordPress. Si no es experto en tecnología, le recomendamos encarecidamente que utilice un complemento de refuerzo de WordPress.

Estos complementos le permiten aplicar medidas de refuerzo de la seguridad con solo hacer clic en un botón. Esto significa que nunca tendrá que tocar ningún código ni modificar ningún archivo por su cuenta.

Nuestro plugin de seguridad favorito es Sucuri . Tiene un firewall robusto y un poderoso escáner para monitorear su sitio y bloquear a los piratas informáticos.

Sucuri también viene con medidas de endurecimiento integradas que puede aplicar directamente dentro de su panel de control de WordPress. Le mostraremos cómo hacerlo a continuación.

Paso 1: Instalación de Sucuri

Sucuri ofrece un complemento de seguridad de WordPress de forma gratuita para todos los usuarios de WordPress.

Obtendrá acceso a:

  • Refuerzo de seguridad incorporado
  • Registro de actividad de seguridad
  • Supervisión de listas de bloqueo
  • Monitoreo de integridad de archivos
  • Escaneo remoto de malware
  • Notificaciones de seguridad
  • Acciones de seguridad posteriores al hackeo

Si desea instalar el sistema de seguridad completo que incluye el Firewall Sucuri, querrá suscribirse a un plan premium que comienza en $ 199.99 por año.

Una vez que instale y active el complemento, puede acceder y operar su configuración de seguridad directamente desde su panel de WordPress.

Paso 2: generar clave API

Desde su tablero de WordPress, navegue a la pestaña Sucuri » Tablero . En esta página, verá el botón 'Generar clave de API' .

Esto abrirá una ventana emergente donde se completarán previamente su sitio de WordPress y el correo electrónico del administrador. Puedes cambiarlo si quieres.

Después de eso, marque las casillas para aceptar los términos de servicio y la política de privacidad. Luego seleccione el botón 'Enviar' para generar la clave API.

Verá una ventana emergente que dice que su sitio se registró correctamente. Ahora puede dirigirse al tablero de Sucuri.

Con eso, su sitio tiene un escáner de seguridad activo en su sitio. Le mostrará si su sitio está limpio o no, y si está en alguna lista de bloqueo.

Paso 3: habilite las medidas de endurecimiento

Dentro del tablero de Sucuri, encontrará una lista completa de medidas de refuerzo que puede agregar a su sitio con solo hacer clic en un botón.

Vaya a Sucuri » Configuración » pestaña Endurecimiento .

Verás todas las opciones disponibles aquí:

  • Protección de firewall de sitios web: un firewall es la primera línea de defensa para bloquear a los piratas informáticos y los bots maliciosos. Si se registró para la versión pro, puede vincular su cuenta de firewall para ver las estadísticas en WordPress.
  • Verificar la versión de WordPress: comprueba cuándo la instalación, los temas y los complementos de WordPress no están actualizados. Verá un mensaje para actualizar a la versión más reciente para evitar vulnerabilidades de software.
  • Verifique la versión de PHP: asegúrese de que su servidor esté ejecutando la última versión de PHP.
  • Eliminar la versión de WordPress: le permite eliminar la versión de su CMS para que no se muestre públicamente, de modo que los piratas informáticos no puedan ver si su versión de WordPress está desactualizada.
  • Bloquear archivos PHP en el directorio de carga: su directorio de carga almacena archivos que no necesitan usar PHP para ejecutarse. Esto deshabilitará la ejecución de archivos PHP dentro de su directorio de carga. Tenga en cuenta que ciertos complementos usan PHP, así que pruebe esta medida antes de agregarla.
  • Bloquear archivos PHP en el directorio WP-CONTENT: coloca un archivo .htaccess dentro del contenido de wp para bloquear cualquier acceso externo.
  • Bloquear archivos PHP en el directorio WP-INCLUDES: coloca un archivo .htaccess dentro de wp-includes para bloquear cualquier acceso externo.
  • Fuga de información: busca cualquier archivo readme.html en su sitio que contenga la versión de WordPress de su sitio y lo elimina.
  • Cuenta de administrador predeterminada: comprueba si la cuenta principal utiliza 'admin' como nombre de usuario. Al cambiar este nombre, puede evitar que los piratas informáticos descubran qué cuenta tiene los privilegios más altos.
  • Editor de complementos y temas: si un pirata informático ha entrado en su sitio, este es un objetivo muy común para acceder al código de su sitio web. Habilitar esta opción deshabilitará el complemento y el editor de temas. De esa manera, otros usuarios no pueden acceder y modificar archivos confidenciales a través de su administrador de WordPress.
  • Activar el actualizador automático de claves secretas: al actualizar sus claves de seguridad, se cerrará la sesión de todos los usuarios y se eliminarán las cookies existentes. Esto reducirá las posibilidades de que los piratas informáticos hagan un mal uso de las sesiones del navegador.

Para habilitar una opción, seleccione el botón 'Aplicar endurecimiento' al lado. Y si desea deshacerlo o eliminar la función de endurecimiento, haga clic en el mismo botón que ahora dice 'Revertir endurecimiento'.

Debajo de esta lista, también verá una opción para permitir archivos PHP bloqueados.

A veces, los complementos y los temas necesitan acceso a ciertos archivos y carpetas que ha bloqueado. Esto le permitirá agregar de forma selectiva las rutas de archivo que están permitidas para que pueda mantener la seguridad y brindar acceso solo a fuentes confiables.

Eso es todo. Es así de fácil fortalecer su sitio de WordPress con Sucuri.

Ahora, aparte de lo que Sucuri tiene para ofrecer, hay ciertas medidas que debe tomar por su cuenta para asegurarse de que su sitio web sea seguro.

Mejores prácticas para fortalecer su sitio de WordPress

El paso más importante que debe tomar para proteger su sitio es instalar un complemento de seguridad . Estos complementos escanearán y monitorearán su sitio web regularmente para que reciba una alerta si encuentran algo sospechoso. Estos son los principales complementos que recomendamos:

  • Sucuri
  • iThemes Security
  • BulletProof Security
  • SiteLock
  • MalCare

Además de esto, puede seguir las prácticas a continuación para asegurarse de que su sitio esté siempre seguro.

1. Elija un alojamiento web seguro

Su sitio web vive en un servidor que está a cargo de su proveedor de alojamiento web. Si su host no ha asegurado sus servidores lo suficientemente bien, los piratas informáticos pueden encontrar la forma de ingresar a su sitio.

Los propietarios de sitios web principiantes tienden a elegir planes de alojamiento compartido baratos para comenzar y rara vez miran las medidas de seguridad adoptadas por el host.

Recomendamos utilizar una plataforma de alojamiento seguro desde el principio porque los piratas informáticos atacan sitios grandes y pequeños. Encuentran formas maliciosas de usar cualquier sitio que piratean.

Nuestro proveedor de alojamiento web preferido que también recomienda WordPress es Bluehost .

Puede comenzar por tan solo $ 2.75 por mes usando nuestro cupón Bluehost . Además, obtendrá un dominio y un certificado SSL gratuitos durante un año.

Otra gran opción segura es Siteground .

Estos hosts tienen infraestructuras robustas y siempre están monitoreando la red en busca de amenazas. También ofrecen protección contra ataques DDoS para que pueda estar seguro de que los piratas informáticos no pueden atacar su servidor.

2. Instalar un Certificado SSL

Su sitio web envía constantemente datos de un lado a otro entre navegadores y servidores. Los piratas informáticos intentan interceptar estos datos mientras están en tránsito y robarlos.

La mejor manera de prevenir esta vulnerabilidad es mediante el uso de un certificado SSL. SSL (Secure Sockets Layer) habilitará una conexión encriptada. Esto significa que nadie puede leer ni modificar todos los datos enviados mientras se envían entre dos sistemas.

Cuando use SSL, verá que su sitio web tiene un candado en la barra de direcciones junto con HTTPS y no HTTP:

Puede obtener un certificado SSL con su proveedor de alojamiento web. Por ejemplo, Bluehost ofrece un certificado SSL gratuito con todos sus planes de alojamiento web. De lo contrario, puede usar un complemento como Really Simple SSL para instalarlo en su sitio.

3. Proteja su página de inicio de sesión

Uno de los puntos de entrada más fáciles para los piratas informáticos es la página de inicio de sesión de su sitio web. El nombre de usuario y la contraseña a menudo no son suficientes para detenerlos. Los piratas informáticos utilizan un método llamado ataques de fuerza bruta para adivinar sus credenciales y simplemente iniciar sesión.

Así que esta es una de las áreas más importantes para asegurar. Esto es lo que puede hacer:

  • Haga cumplir las credenciales seguras en todo momento: asegúrese de usar un nombre de usuario único que no sea "admin" o su propio nombre porque los piratas informáticos pueden adivinarlo fácilmente. En cuanto a las contraseñas, recomendamos usar frases de contraseña con letras, números y símbolos que dificulten su descifrado.

    Cuando configure su contraseña, WordPress le dirá si es débil, media o fuerte para que sepa si necesita mejorar la seguridad de su contraseña.

  • Caducan las contraseñas regularmente: debe cambiar su contraseña con regularidad, pero sabemos con qué frecuencia nos olvidamos de hacerlo. Una forma fácil de evitar esto es instalar el complemento Expire User Passwords .

    Obligará automáticamente a todos los usuarios de su sitio a cambiar las contraseñas periódicamente antes de que puedan volver a iniciar sesión.

  • Limite los intentos de inicio de sesión: en un ataque de fuerza bruta, los piratas informáticos envían bots a su sitio para probar miles de combinaciones de inicio de sesión hasta que obtienen la correcta. Si limita los intentos de inicio de sesión, tendrán que detenerse después de 3 intentos

    Puede habilitar esto con complementos de seguridad como Sucuri y MalCare o puede usar el complemento Limitar intentos de inicio de sesión en su sitio.

  • Use la autenticación de 2 factores: esto agrega un proceso de verificación de 2 pasos a su inicio de sesión en el que debe proporcionar un código de acceso único que se le envía en tiempo real a través de un SMS, correo electrónico o aplicación de autenticación.

    Esto significa que un usuario tendrá que verificarse a sí mismo en tiempo real, lo que dificultará enormemente el acceso de los piratas informáticos.

  • Agregar autenticación HTTP: la autenticación HTTP oculta su página de inicio de sesión y muestra una página en blanco con un cuadro de inicio de sesión. Deberá ingresar sus credenciales HTTP para acceder a la página de inicio de sesión.

    Esta medida es más extrema y necesitarás acceder a tu hosting cPanel para agregarlo a tu sitio. Si nunca ha usado cPanel antes, no se preocupe. Le mostraremos cómo hacerlo en unos simples pasos.

    Inicie sesión en su cuenta de alojamiento web, acceda a cPanel y busque 'Privacidad del directorio' .

    Dentro, desde la lista de carpetas, ubique la carpeta wp-admin y edítela.

    En la página siguiente, primero, habilite la opción 'Proteger este directorio con contraseña' . Ahora cPanel le pedirá que agregue un nombre de usuario y una contraseña.

    Asegúrese de guardar su configuración antes de salir de esta página. Ahora su directorio de administración de WordPress está protegido con contraseña.

    Cuando abra su página de wp-admin, verá un aviso de inicio de sesión para ingresar el nombre de usuario y la contraseña que acaba de crear.

  • Restringir el acceso a la página de inicio de sesión: puede permitir que solo los usuarios de confianza accedan a su URL de wp-admin. Se bloqueará automáticamente a todos los demás usuarios para que no vean esta página, y mucho menos para que intenten iniciar sesión. Si está utilizando Sucuri, en la pestaña Control de acceso de su tablero, puede agregar direcciones IP en la lista blanca.

    Al marcar esta casilla, Sucuri permitirá automáticamente que solo sus usuarios de confianza accedan a la página de inicio de sesión.

4. Usa formularios seguros

Los formularios no seguros son un blanco fácil para los piratas informáticos. Simplemente ingresan código malicioso en los campos de su formulario.

Cuando se envía el formulario, el código se envía a la base de datos de su sitio web para su procesamiento. Esto permitirá a los piratas informáticos infectar su sitio o acceder a su base de datos, y desde allí, pueden crear estragos.

Puede asegurarse de que esto no suceda utilizando formularios web que son seguros. WPForms es el creador de formularios de WordPress n.º 1 que tiene seguridad integrada para que no tengas que hacer nada.

Cada formulario que crea viene con la protección antispam ya habilitada.

Y si desea agregar capas adicionales de protección, WPForms le permite habilitar CAPTCHA en sus formularios.

NoCaptcha avanzado y Captcha invisible

Esto significa que un usuario tendrá que resolver un pequeño rompecabezas o marcar una casilla para demostrar que es humano.

5. Establecer permisos de roles de usuario

Si tiene varios usuarios trabajando en su sitio de WordPress, puede limitar los permisos que tienen según su rol.

Esto no significa que no confíe en su equipo, simplemente significa que si los piratas informáticos acceden a su cuenta, estarán limitados en lo que pueden hacer.

WordPress te permite crear roles para:

  • Superadministrador
  • Administrador
  • Editor
  • Autor
  • Contribuyente
  • Abonado

Los roles más poderosos con pases de acceso total son superadministrador y administrador. Recomendamos tener la menor cantidad posible de administradores.

6. Usuarios inactivos de cierre de sesión automático

Otro truco que usan los piratas informáticos es secuestrar sesiones de navegación y robar cookies. Esto les permite acceder a su sitio a través de una cuenta de usuario activa sin que usted lo sepa.

La mejor manera de evitar esto es cerrar periódicamente la sesión de los usuarios inactivos.

Muchos complementos de seguridad tienen una función de cierre de sesión inactivo o puede usar el complemento de cierre de sesión inactivo .

7. Actualice su sitio web regularmente

Los complementos, los temas e incluso su instalación de WordPress reciben actualizaciones regularmente. Los verá dentro de su tablero de WordPress cuando estén disponibles:

Las actualizaciones suelen incluir correcciones de errores, nuevas funciones y mejoras en el software. Y a veces, llevan parches de seguridad.

Esto significa que se encontró una vulnerabilidad en el software que los piratas informáticos pueden usar para atacar su sitio. Cuando los desarrolladores detectan estos fallos, los corrigen y lanzan una nueva versión que eliminará la vulnerabilidad.

Todo lo que tienes que hacer es actualizarlo por tu parte. Puede ver si una actualización incluye un parche de seguridad consultando los detalles de la actualización.

ver los detalles de la versión de la actualización

Si ve que es una actualización de seguridad, ejecútela inmediatamente para evitar cualquier riesgo.

Si le preocupa que las actualizaciones puedan dañar su sitio, puede probar la actualización en un sitio provisional y luego ejecutarla en su sitio en vivo.

Con eso, ha abordado todas las medidas de refuerzo que puede agregar a su sitio.

A pesar de las medidas de seguridad más fuertes, hay posibilidades de que las cosas salgan mal, incluidos los errores humanos. La mejor manera de estar preparado es manteniendo una copia de seguridad de su sitio. Puede configurar copias de seguridad automáticas utilizando un complemento de copia de seguridad como UpdraftPlus . 

Eso es todo lo que tenemos para ti hoy.