¿Cómo asegurar un sitio de wordpress? – 10 métodos efectivos

¿Cómo asegurar el sitio de wordpress? Dedicas mucho tiempo y esfuerzo a crear tu sitio web, y probablemente hayas dedicado aún más tiempo y esfuerzo a mantenerlo actualizado. Su sitio web podría incluso ser necesario para su supervivencia: necesita esos hermosos dólares en efectivo para mantener su empresa a flote.

Entonces, pongámonos manos a la obra cuando se trata de seguridad.

WordPress es una gran plataforma segura desde el primer momento, pero hay mucho más que puede (¡y debe!) hacer para mantener su sitio a salvo de personas malintencionadas. Muchas de estas mejoras de seguridad son fáciles de implementar y se pueden completar en cuestión de minutos a mano. Otros solo requieren la instalación de un determinado complemento.

En este artículo, lo guiaré a través de diez formas alternativas para fortalecer las defensas de su fortaleza de WordPress. Pero primero, profundicemos un poco más en por qué la seguridad del sitio web es importante para usted.

Por qué es vital tomar medidas para proteger su sitio de WordPress

Elegir WordPress como su plataforma es un gran lugar para comenzar si desea desarrollar un sitio seguro (un obvio "no duh"). No solo es una plataforma versátil y poderosa para crear sitios web, sino que también es extremadamente segura desde el primer momento.

Debido a que los desarrolladores de WordPress están preocupados por la seguridad, se comprometen a "reforzar" la plataforma central en la mayor medida posible. También proporcionan actualizaciones y parches relacionados con la seguridad de forma regular, que se descargan e implementan automáticamente en su sitio. Como resultado, su sitio web estará bien preparado para manejar cualquier nuevo peligro que surja.

De hecho, ninguna plataforma puede garantizar una seguridad completa. Los piratas informáticos están trabajando arduamente para intentar ingresar incluso a los sitios web más seguros (¿si tan solo pudieran utilizar sus habilidades para el bien, amirite?) WordPress es lo suficientemente popular como para ser un objetivo regular porque impulsa más del 30% de Internet.

No hace falta decir que si los malos logran ingresar a su sitio, pueden causar mucho daño.

Pueden, por ejemplo, robar o comprometer información confidencial, instalar malware, modificar su sitio para satisfacer sus demandas o incluso eliminarlo por completo. Esto es malo tanto para usted como para sus usuarios, y si tiene un negocio, puede provocar la pérdida de ingresos y clientes.

Eso no es bueno en absoluto.

Es fundamental tomar precauciones adicionales para proteger su sitio web de WordPress. Querrás dedicar la misma cantidad de tiempo y atención a este proyecto que le dedicaste a la creación de tu sitio web en primer lugar (si no más). Afortunadamente, querido lector, existen muchas formas básicas y rápidas de fortalecer la seguridad de su sitio, así como algunas estrategias más avanzadas que quizás desee utilizar.

¿Cómo asegurar el sitio de wordpress?

10 ideas útiles para mantener su sitio más seguro y minimizar las posibilidades de que sea pirateado en el resto de este artículo. Además, te enviaré en la dirección correcta para cada estrategia.

No tiene que lograr todo lo que se encuentra en esta lista, aunque ciertamente puede hacerlo. Cuantas más acciones tome para proteger su sitio, es menos probable que enfrente una tragedia en el futuro.

1. Usa un host de calidad

Su proveedor de alojamiento web puede considerarse como la "calle" de su sitio web en Internet; es donde su sitio "vive".

La calidad de la base de operaciones de su sitio web es importante de muchas maneras, al igual que un buen distrito escolar es importante para el futuro de su hijo (eso dicen, me salió bien).

Una empresa de alojamiento de buena reputación puede afectar el funcionamiento de su sitio, el tamaño que puede expandir e incluso su clasificación en los motores de búsqueda. Los principales anfitriones brindan una amplia gama de funciones útiles, un excelente servicio al cliente y un servicio específico de la plataforma.

Su servidor web, como habrá anticipado, puede tener un impacto considerable en la seguridad de su sitio. Elegir un servicio de alojamiento confiable tiene varias ventajas de seguridad, que incluyen:

• Un buen host mantendrá su servicio, software y herramientas actualizados para responder a las amenazas más recientes y evitar violaciones de seguridad.
• Los servidores web ofrecen con frecuencia varias funciones de seguridad específicas, como certificados SSL/TLS y protección DDoS. También debe tener acceso a un Firewall de aplicaciones web (WAF), que lo ayudará a monitorear y bloquear las principales amenazas a su sitio web.
• Si lo piratean, es casi seguro que su proveedor web proporcionará un mecanismo para hacer una copia de seguridad de su sitio (y, en algunas circunstancias, incluso lo hará por usted), lo que le permitirá restaurar rápidamente una versión anterior estable.
• Si su host brinda soporte confiable las 24 horas, siempre tendrá a alguien a quien recurrir si tiene un problema relacionado con la seguridad.

Esta lista debería servir como un buen punto de partida para encontrar un host para su nuevo sitio web, o si está considerando cambiar de proveedor. Querrá elegir uno que tenga todas las características y funciones que necesita, así como un historial de confiabilidad y alto rendimiento.

DreamPress es un alojamiento específico de WordPress que es rápido, confiable, escalable y seguro. DreamPress viene con un certificado SSL/TLS preinstalado y un WAF dedicado con reglas diseñadas específicamente para proteger los sitios de WordPress y evitar intentos de piratería. Sin cargo adicional, también obtendrá copias de seguridad automáticas, soporte 24/7 de profesionales de WordPress y Jetpack Premium, un complemento que puede agregar una gran cantidad de protecciones de seguridad adicionales a su sitio.

Podrá relajarse sabiendo que su sitio está seguro con DreamPress. Si bien nuestro servicio de alojamiento se encarga de muchos de los siguientes procedimientos de mejora de la seguridad por usted, le recomendamos que siga leyendo para averiguar qué otras precauciones puede tomar.

¡Después de todo, niños, la seguridad es lo primero!

Alojamiento web sugerido: host azul

2. Cambie su sitio a HTTPS

Analicemos los certificados SSL/TLS con mayor detalle. Esto le permite actualizar su sitio a HTTPS (Protocolo de transferencia de hipertexto seguro), una versión más segura de HTTP. Incluso si nunca antes ha oído hablar de estos términos, son conceptos de seguridad vitales que debe comprender.

HTTP es el protocolo de transporte de datos entre su sitio web y cualquier navegador que intente acceder a él. Cuando un visitante hace clic en su página de inicio, este protocolo envía todo su contenido, medios y código del sitio web a la ubicación del visitante.

Si bien esto es indudablemente necesario, plantea algunos problemas de seguridad. Los malos actores pueden intentar interceptar datos en tránsito y utilizarlos por sus propios motivos nefastos.

¡Este es un problema que resuelve HTTPS! Logra lo mismo que HTTP, pero también encripta los datos de su sitio a medida que viaja del punto A al punto B, lo que dificulta el acceso.

Inicialmente, HTTPS se utilizó principalmente para sitios que manejaban datos confidenciales de clientes, como números de tarjetas de crédito. Sin embargo, se está volviendo más frecuente en todos los sitios, y grandes nombres como WordPress y Google han estado presionando para que se adopte ampliamente.

Necesitará un certificado SSL/TLS para convertir su sitio a HTTPS. Esto les dice a los navegadores que su sitio es legítimo y que los datos que contiene están debidamente protegidos. Ciertos sitios web, como Let's Encrypt, también le proporcionarán uno gratis.

Como parte de su paquete de hospedaje, un buen hospedaje generalmente incluirá un certificado SSL/TLS. De hecho, todos nuestros planes de alojamiento en DreamHost incluyen un certificado gratuito de Let's Encrypt.

Solo necesitará implementar HTTPS una vez que haya colocado un certificado SSL/TLS en su sitio. Su anfitrión puede encargarse de esto por usted, pero también es algo que usted puede manejar por su cuenta. Su sitio se construirá utilizando HTTPS desde el principio si elige DreamPress, la limusina de alojamiento. ¡Que empiecen los juegos!

Para comprar un certificado SSL haga clic aquí

3. Cree credenciales de inicio de sesión seguras

Esto hace que sea más difícil para un extraño espeluznante obtener acceso a su sitio web. Sin duda, ha elegido nombres de usuario y contraseñas seguros para otras cuentas en Internet, por lo que no es un gran problema hacer lo mismo para su sitio web de WordPress.

Se le dará la opción de establecer un nombre de usuario y una contraseña de inicio de sesión cuando cree su sitio. El nombre de usuario será admin por defecto, pero puedes cambiarlo si quieres (y probablemente deberías hacerlo). Sin embargo, como hay varias formas para que las personas descubran su inicio de sesión de WordPress, puede elegir la opción predeterminada si lo desea.

Su contraseña, por otro lado, es fundamental y debe elegir una segura. Se ha producido un cambio de sentido reciente sobre cómo elegir una contraseña segura, con el consejo de una frase simple de cuatro palabras que eclipsa la combinación tradicional de letras, números y símbolos aleatorios. Es una técnica que existe desde hace un tiempo en algunos círculos.

Si toda esta charla sobre contraseñas le da vueltas la cabeza, le recomendamos que utilice el propio generador de contraseñas de WordPress, que genera una contraseña (casi) impenetrable directamente en el back-end de WordPress. Simplemente tome nota de sus credenciales en un lugar seguro, como un administrador de contraseñas encriptadas, para que no las olvide.

Todavía puede actualizar sus credenciales de inicio de sesión si ya creó su sitio y utilizó credenciales menos que ideales al principio. Puede cambiar su nombre de usuario creando una nueva cuenta, dándole el estado de administrador y asignándole todas sus cosas antes de eliminar la anterior.

Para cambiar su contraseña, vaya a Usuarios > Todos los usuarios en su panel de administración de WordPress, haga clic en su nombre de usuario y luego cámbielo en la pantalla Editar usuario.

4. Habilite un firewall de aplicaciones web

Probablemente conozca el concepto de firewall, que es un programa que ayuda a proteger su computadora de varios tipos de ataques maliciosos. Es casi seguro que tiene un firewall instalado en su PC. Un cortafuegos de aplicaciones web (WAF) es un tipo de cortafuegos diseñado específicamente para proteger sitios web. Se pueden proteger servidores, sitios web particulares o grandes grupos de sitios web.

Un firewall de aplicaciones web (WAF) en su sitio de WordPress actuará como un firewall entre su sitio y el resto de Internet. Un cortafuegos vigila comportamientos sospechosos, detecta ataques, virus y otros sucesos no deseados, y bloquea cualquier cosa que considere peligrosa. #victorioso

Si ha elegido nuestro paquete DreamPress, no necesitará instalar un firewall adicional. DreamPress viene con un firewall de aplicaciones web (WAF) incorporado que escaneará su sitio en busca de riesgos y evitará que personas y programas no autorizados obtengan acceso. No es necesario que realice ninguna acción.

Nuestro servicio interno de detección de malware, DreamShield, también está disponible a través de DreamHost. Escanearemos su sitio semanalmente en busca de código peligroso si habilita DreamShield en su cuenta de alojamiento. Si descubrimos algo cuestionable, le enviaremos un correo electrónico de inmediato.

5. Implementar la autenticación de dos factores

Hay un enfoque más para cubrir antes de continuar: autenticación de dos factores (que también se conoce como autenticación de dos pasos y una variedad de otros nombres similares). La palabra se refiere al proceso de dos pasos que deberá seguir para iniciar sesión en su sitio web. Esto toma un poco más de tiempo de su parte, pero contribuye en gran medida a evitar que los piratas informáticos ingresen a su sistema.

La autenticación de dos factores implica confirmar su inicio de sesión con un teléfono inteligente u otro dispositivo. Para comenzar, vaya a su sitio de WordPress e inicie sesión con su nombre de usuario y contraseña. Se enviará un código único a su dispositivo móvil, que debe ingresar para completar el proceso de inicio de sesión. Esto le permite autenticar su identidad al demostrar que tiene acceso exclusivo a algo que posee, como un teléfono o una tableta.

La autenticación de dos factores, como muchas otras funciones de WordPress, es fácil de configurar mediante un complemento. La autenticación de dos factores es una buena opción porque fue diseñada por desarrolladores de renombre, es compatible con Google Authenticator y le permite integrar fácilmente esta funcionalidad en su sitio web.

Otra opción es el complemento Two-Factor, que es conocido por su confiabilidad y fue desarrollado principalmente por desarrolladores principales de WordPress. La curva de aprendizaje es un poco empinada, pero hará el trabajo y es muy seguro, como con cualquier complemento en su categoría. También puede consultar la solución premium similar a Clef de Jetpack si está preparado para gastar un poco de dinero.

Independientemente del camino que elija, asegúrese de consultar con su equipo con anticipación si es necesario, ya que necesitará sus números de teléfono y otros detalles para comenzar. Su página de inicio de sesión ahora está protegida y lista para usar.

6. Agregue nuevos complementos y temas con cuidado (y actualícelos con frecuencia)

Uno de los mejores aspectos de utilizar WordPress es la disponibilidad inmediata de temas y complementos. Con estas útiles herramientas, puede personalizar la apariencia de su sitio y agregar casi cualquier característica o funcionalidad que pueda imaginar.

Sin embargo, no todos los complementos y temas son iguales.

Los desarrolladores que no son cuidadosos o carecen del conocimiento necesario pueden producir complementos que no son confiables, inseguros o simplemente malos. Pueden emplear técnicas de codificación de mala calidad que expongan fallas de seguridad que los piratas informáticos podrían explotar fácilmente, o pueden interferir sin saberlo con funciones críticas.

Todo esto significa que debe tener mucho cuidado con los temas y complementos que instala en su sitio web. Cada uno debe ser examinado minuciosamente para verificar que sea una alternativa confiable que no dañará su sitio web ni causará problemas. Hay numerosas consideraciones que hacer, sin embargo, las siguientes pautas pueden ayudarlo a seleccionar herramientas de alta calidad:

• Mire las reseñas y calificaciones de los clientes para ver si otros han tenido una experiencia positiva con el complemento o el tema en cuestión.
• Verifique si el complemento o el tema se ha actualizado recientemente. Si han pasado más de seis meses, existe una buena posibilidad de que no sea tan seguro como podría ser.
• Instale nuevos complementos y temas uno a la vez, para que sepa qué salió mal si algo sale mal. Además, haga una copia de seguridad de su sitio antes de realizar cualquier cambio.
• Los complementos y temas deben obtenerse de fuentes acreditadas, como los directorios de complementos y temas de WordPress.org, ThemeForest y CodeCanyon, y sitios web de desarrolladores acreditados.

Finalmente, una vez que haya agregado los complementos y temas que desea a su sitio, su trabajo no habrá terminado.

También deberá mantenerlos actualizados para asegurarse de que funcionen juntos de manera efectiva y estén protegidos de los peligros más recientes. Afortunadamente, esto es simple: simplemente vaya a su panel de control de WordPress, busque las notificaciones rojas que indican que hay temas y/o complementos con actualizaciones disponibles y haga clic en actualizar ahora al lado de cada uno.

También puede actualizar todos sus complementos a la vez eligiéndolos todos y haciendo clic en el botón de actualización, que se puede encontrar aquí o en el panel de WordPress. Esta es una opción más rápida, pero tenga en cuenta que actualizarlos todos a la vez puede hacer que el diagnóstico de cualquier problema que se desarrolle como resultado de los cambios sea más complejo. Esto no debería ser un problema si solo usa complementos y temas confiables.

Antes de continuar, es importante tener en cuenta que también debe mantener WordPress actualizado. Los parches más pequeños y las actualizaciones de seguridad se aplicarán automáticamente, pero es posible que los cambios importantes deban implementarse manualmente (nuevamente, esto es muy simple de hacer). Esto debería ser evidente, pero DreamHost se encarga de estas actualizaciones por ti, así que no tendrás que hacerlo tú.

Recuerda que mantener WordPress, o cualquiera de tus temas o plugins, desactualizados es un peligro que debes evitar.

7. Configure sus permisos de archivo

Un conjunto de carpetas y archivos contienen gran parte de la información, los datos y el contenido de su sitio de WordPress. Cada uno tiene un nivel de permisos y está estructurado en un marco jerárquico. Los permisos en un archivo o carpeta de WordPress controlan quién puede verlo y modificarlo, y se pueden configurar para permitir que cualquiera, solo usted o casi cualquier cosa intermedia.

En WordPress, los permisos de archivo están representados por un número de tres dígitos, y cada dígito tiene un significado diferente. El primer dígito representa un usuario individual (el propietario del sitio), el segundo dígito representa un grupo (por ejemplo, los miembros de su sitio) y el tercer número representa el planeta entero. El número en sí indica que el usuario, el grupo o el mundo entero:

• 0: No tiene permiso para ver el archivo.
• 1: El archivo solo se puede ejecutar.
• 2: El archivo se puede editar.
• 3: El archivo se puede editar y ejecutar.
• 4: El archivo se puede leer.
• 5: El archivo se puede leer y ejecutar.
• 6: El archivo se puede leer y editar.
• 7: El archivo se puede leer, editar y ejecutar.

Por lo tanto, si un archivo tiene un nivel de permisos de 640, implica que el usuario principal puede leerlo y editarlo, el grupo puede leerlo pero no modificarlo y nadie más puede acceder a él. Esto puede parecer demasiado complicado, pero es fundamental garantizar que cada individuo solo tenga acceso a los archivos y carpetas de su sitio que desea que tengan.

WordPress sugiere otorgar permisos de directorios de 755 y permisos de archivos de 644. Estarás bien si cumples con estas reglas, aunque puedes crear cualquier combinación que elijas. Solo tenga en cuenta que nadie debe tener más acceso del que necesita, especialmente a los archivos críticos.

También debe tener en cuenta que la mejor configuración de permisos variará según su servicio de alojamiento, por lo que debe preguntarle a su anfitrión qué recomienda.

Nota: el cambio de sus niveles de permisos debe hacerse con precaución; los números incorrectos (como el temido 777) harán que su sitio no esté disponible.

8. Mantenga bajo el número de usuarios en su sitio

No necesita preocuparse por este paso si está ejecutando su sitio de WordPress usted mismo. Solo asegúrese de que nadie más tenga acceso a su sitio para que sea el único que pueda hacer actualizaciones.

Muchos humanos, por otro lado, disfrutan interactuando con otros y eventualmente agregarán más de un usuario a su sitio web. Es posible que desee permitir que otros autores agreguen contenido o que necesite ayuda para editar y administrar su sitio. También es posible que tenga un equipo completo de usuarios que ingresen regularmente a su sitio de WordPress y realicen modificaciones por su cuenta.

Esto puede ser ventajoso en una variedad de formas y, a veces, incluso es necesario. Sin embargo, es un posible problema de seguridad.

Cuantas más personas invite a su sitio, más probable es que alguien cometa un error de dedo gordo o cause problemas simplemente por ser un imbécil. Como resultado, es una buena idea mantener el número de usuarios de su sitio lo más bajo posible y, al mismo tiempo, permitir que se expanda. Intente mantener al mínimo la cantidad de administradores y otras funciones de usuario con privilegios elevados.

Aquí hay un par de ideas más:

• Limite los permisos de cada usuario a solo aquellos que son necesarios para ejecutar su trabajo. Obviamente, se debe alentar a los usuarios a que elijan contraseñas seguras (¿recuerdan el número 3?).
• Si es posible, mantenga un administrador y un pequeño número de editores.
• Permitir que los usuarios que hayan abandonado el sitio o que ya no necesiten acceso sean expulsados.
• Considere instalar Miembros, un complemento que le brinda una interfaz de usuario para el sistema de funciones y capacidades de WordPress.

9. Seguimiento de la actividad de su área de administración

Es una buena idea realizar un seguimiento de lo que hacen sus usuarios en el sitio si tiene muchos de ellos. El seguimiento de la actividad en su área de administración de WordPress puede ayudarlo a identificar cuándo otros usuarios están haciendo cosas que no deberían, así como si los usuarios ilegales han adquirido acceso.

Cuando se realiza una alteración extraña o se instala algo sospechoso, querrá poder averiguar quién es el responsable. Los complementos se encargarán de todo.

Deberá encontrar una solución a medida porque la mayoría de los principales complementos de seguridad no incluyen esta función de fábrica. Simple History, que crea un registro simplificado y fácil de entender de cambios y eventos importantes en su sitio si desea adoptar un enfoque de no intervención, hace honor a su nombre al generar un registro simplificado y fácil de entender de cambios y eventos esenciales en su sitio.

El registro de auditoría de seguridad de WP, que realiza un seguimiento de casi todo lo que sucede en su sitio y ofrece muchos complementos premium útiles, es otra opción para funciones de seguimiento más complejas.

Es una buena idea revisar el registro en busca de algo fuera de lo común una vez que haya instalado un complemento adecuado. Revise la actividad más reciente si sucede algo inesperado en su sitio o si aparecen errores de forma inesperada.

10. Haga una copia de seguridad de su sitio con regularidad

Si dijera que existe un enfoque único para proteger su sitio web de todas las amenazas, estaría mintiendo. Incluso si sigue todas las recomendaciones de esta lista, aún existe el peligro de que su sitio web sea pirateado.

Los hackers son maestros en su oficio.

Todo lo que tienes que hacer ahora es vencerlos en su propio juego. Un plan de seguridad completo implica pensar en lo que hará si sucede lo peor, incluso mientras trabaja para evitarlo.

La mejor y más fácil estrategia para proteger su sitio en caso de un desastre es realizar una copia de seguridad con regularidad. Puede restaurar su sitio al estado en el que estaba antes de que fuera pirateado o dañado si tiene una copia de seguridad reciente. Esto lo ayudará a resolver el problema y continuar lo más rápido posible.

Naturalmente, querrá tener cuidado con la forma en que construye y usa las copias de seguridad. Las siguientes sugerencias son un excelente lugar para comenzar:

• Mantenga muchas copias de seguridad a mano. Debido a que su copia de seguridad más reciente podría tener fallas que aún no ha visto, es una regla general inteligente tener al menos tres copias de seguridad recientes a mano en todo momento.
• Las copias de seguridad deben mantenerse en una variedad de lugares, incluido el almacenamiento en la nube y los discos duros convencionales.
• Cree y mantenga un programa de copia de seguridad regular. Aunque hay muchos consejos confiables que puede seguir, la frecuencia y el momento dependen totalmente de usted.

Siempre es una buena idea hacer una copia de seguridad adicional de su sitio antes de realizar cambios en él, además de su plan de copia de seguridad habitual. Entonces (empuje, empujón) asegúrese de tener una copia de seguridad reciente antes de aplicar cualquiera de estos enfoques de mejora de la seguridad.

Seguridad de WordPress: palabras finales

Un hecho real: si su sitio web es pirateado, pasará horas (¡si no días!) reparando el daño. Es posible que pierda datos de forma permanente o que su información personal (o, peor aún, los datos de sus clientes) se vea comprometida.

Es por eso que debes dedicar una gran cantidad de tiempo y esfuerzo para que nunca se presente tal circunstancia. De lo contrario, al intentar restaurar el daño, es probable que pierda negocios y dinero en efectivo.

Estos diez consejos de seguridad de WordPress deberían ser de ayuda. Algunos de los cambios son menores. Otros, como cambiar a HTTPS o agregar un certificado SSL, tienen un impacto en todo su sitio. También querrá asegurarse de que su sitio esté alojado en un servidor seguro de WordPress.