La mayor preocupación de los propietarios de sitios web es la seguridad y privacidad de sus sitios web. Sin embargo, no todos hacen lo necesario para evitar que los hackers entren en sus blogs o tiendas de comercio electrónico. Mantener tu sitio de WordPress seguro es vital para evitar que los ciberdelincuentes y el malware lo dañen. Lo último que deseas es despertarte un día para descubrir que perdiste todos tus datos y, lo que es peor, tu sitio en sí.
No se puede negar que WordPress es el CMS más popular hasta la fecha. Ofrece a los usuarios una gran cantidad de complementos y temas. La plataforma también es fácil de usar y puedes construir casi todos los tipos de sitios con ella.
Sin embargo, esta popularidad tiene un precio ya que los piratas informáticos a menudo se dirigen a sitios web de WordPress. Su software principal es altamente seguro y cientos de desarrolladores lo auditan periódicamente. Pero hay muchas maneras de mejorar aún más la seguridad de tu sitio, incluso si tienes dificultades técnicas.
Con eso en mente, aquí hay algunas medidas procesables que puedes hacer para proteger tu sitio web de WordPress contra cualquier vulnerabilidad de seguridad.
Implementar Secure Socket Layer (SSL)
Después de iniciar tu sitio web de WordPress, la implementación de SSL debe estar en la parte superior de tu lista de prioridades. El protocolo SSL es una forma de crear un túnel seguro entre servidores o dispositivos que operan en la web. Además, cambiarás la dirección de tu sitio web a HTTPS, lo que indica que es segura.
La falta de certificado SSL significa que todos los datos que se mueven dentro de tu sitio se presentan en texto plano, lo cual es bastante peligroso. Los hackers pueden interceptarlos fácilmente con poco o ningún esfuerzo.
Del mismo modo, también es crucial tener en cuenta que tener un sitio seguro puede afectar tu clasificación en Google. El popular motor de búsqueda siempre clasifica los sitios seguros y rápidos de WordPress en sus resultados de búsqueda.
Agregar inicio de sesión de autenticación de dos factores
Los usuarios deben pasar por un proceso de dos pasos antes de poder iniciar sesión con la autenticación de dos factores. Además de ingresar tu nombre de usuario y contraseña, también requiere que te autentiques a través de una aplicación o dispositivo por separado.
Los principales sitios web como Facebook y Google ahora ofrecen esta funcionalidad a sus cuentas. Del mismo modo, puede agregar esta función a tu sitio web de WordPress. Simplemente instala y activa el complemento para la autenticación de dos factores.
Una vez que lo actives, dirígete a la barra lateral de administración de WordPress y haz clic en el enlace «Autenticación de dos factores». Luego te pedirá que instales el complemento. Tras la instalación, abra una aplicación de autenticación en tu teléfono inteligente. Existen numerosas aplicaciones como esta disponibles para descargar en Google Play Store y App Store. Además, puedes encontrar muchos complementos de seguridad en línea para reforzar la protección de tu sitio.
Protege con contraseña tu página de inicio de sesión y administrador de WordPress
Los hackers generalmente pueden solicitar tu página de inicio de sesión y la carpeta wp-admin sin ningún tipo de limitación. Esto permite a esos cibercriminales piratear tu sitio con trucos bajo la manga o realizar ataques DDoS. Puedes bloquear este tipo de solicitudes de manera efectiva agregando más protección con contraseña en tu servidor.
Puedes proteger con contraseña manualmente o mediante el cPanel. Este último es el método más simple ya que la interfaz de cPanel es más fácil de usar.
Para agregar protección con contraseña a través de cPanel, sigue los pasos a continuación:
- Inicia sesión en tu cPanel y busca la pestaña Seguridad.
- Haz clic en el icono de Contraseña Proteger directorios.
- Aparecerá una caja de luz emergente, que te pedirá una ubicación de directorio. Haz clic en la raíz web.
- Una vez en la raíz web, navega hasta la carpeta / wp-admin y haz clic en ella.
- Aparecerá la pantalla de Configuración de seguridad. Simplemente marca la casilla junto a Proteger con contraseña este directorio.
- Luego, crea un usuario para el directorio.
Cuando intentes acceder o iniciar sesión en tu directorio wp-admin, verás un cuadro de autenticación que requiere tu nombre de usuario y contraseña.
Cambiar tu nombre de usuario administrador
La mayoría de los propietarios de sitios web no se molestan en cambiar el nombre de usuario predeterminado «admin» establecido por WordPress de manera predeterminada. Por lo general, este es el nombre de usuario que los piratas informáticos utilizan inicialmente cuando intentan penetrar en tu sitio web. Por eso es crucial cambiar tu nombre de usuario administrador.
Sigue estos pasos sobre cómo cambiar y crear un nombre de usuario administrador de tu sitio web de WordPress:
- Ve a Usuarios y haz clic en Agregar nuevo.
- Elige un nombre de usuario y contraseña fuertes y sólidos.
- Establece el rol de administrador.
- Haz clic en el botón Agregar nuevo usuario.
Antes de eliminar tu antiguo usuario administrador, no olvides asignar cada contenido al nuevo.
Crear una cuenta de editor o colaborador
Considera crear una cuenta para un editor o colaborador para llevar las cosas un paso más allá. Puedes usar la cuenta al agregar nuevos artículos o publicaciones a tu sitio web de WP. Los privilegios de administrador de editores y colaboradores son limitados. Como resultado, hacer este paso adicional hará que sea más difícil para los ciberdelincuentes dañar tu sitio.
Deshabilite las opciones de navegación e indexación de tu directorio
Los Cyberpunks pueden usar la exploración de tu directorio para verificar si tienes archivos con algunas vulnerabilidades. Pueden usar estos archivos para su ventaja y obtener acceso a tu sitio.
Además, otras personas también pueden usar la exploración de directorios para ver la información de tu sitio, incluidos archivos, estructura de directorios y copiar imágenes. Por lo tanto, es vital desactivar la navegación e indexación de tu directorio.
Aquí te explicamos cómo hacerlo:
- Conéctate a tu sitio web de WP a través del administrador de archivos con cPanel o FTP.
- Ve al directorio raíz de tu sitio y busca el archivo .htaccess.
- A continuación, agrega la línea Opciones Todos-Índices al final del archivo .htaccess.
- El último paso es guardar y cargar el archivo .htaccess de nuevo en tu sitio WP.
Cambiar el prefijo de su base de datos de WordPress
WordPress emplea wp_ como prefijo predeterminado para cada tabla en su base de datos. A los piratas informáticos les resultará más fácil adivinar el nombre de tu tabla si tu sitio web utiliza este prefijo de base de datos predeterminado. Por esta razón, se recomienda cambiarlo.
Sin embargo, ten en cuenta que si no tienes las habilidades de codificación adecuadas para ello, no continúes con ello. Un error, y puedes romper tu sitio web. Así que asegúrate de realizar este paso complejo solo si tienes un conocimiento profundo de la codificación.
Deshabilitar XML-RPC en WordPress
WordPress 3.5 habilita XML-RPC de forma predeterminada, ya que te permite conectar tu sitio web con complementos y aplicaciones móviles. XML-RPC es bastante poderoso, lo que también puede aumentar significativamente cualquier ataque de fuerza bruta. Es por eso que también es uno de los protocolos favoritos que los hackers de WordPress abusan.
Pueden usarlo para ejecutar numerosos comandos al mismo tiempo para acceder fácilmente a tu sitio web. Para evitar que esto suceda, puedes deshabilitar la función aplicando uno de estos pasos:
WordPress 3.5 habilita XML-RPC de forma predeterminada, ya que te permite conectar tu sitio web con complementos y aplicaciones móviles. XML-RPC es bastante poderoso, lo que también puede aumentar significativamente cualquier ataque de fuerza bruta. Es por eso que también es uno de los protocolos favoritos que los hackers de WordPress abusan.
Pueden usarlo para ejecutar numerosos comandos al mismo tiempo para acceder fácilmente a tu sitio web. Para evitar que esto suceda, puedes deshabilitar la función aplicando uno de estos pasos:
- Use un complemento para deshabilitar XML-RPC.
- Deshabilite todas las solicitudes xmlrpc.php del archivo .htaccess incluso antes de pasar la solicitud en WordPress.
Simplemente pega la línea de códigos a continuación en el archivo .htaccess:
No olvides proteger tu computadora
Tal vez te preguntes por qué necesitas proteger tu computadora. Bueno, es tan simple como lo que usas al acceder y actualizar tu sitio WP. Si tus archivos en tu computadora están infectados con virus, también puede infectar tu sitio al cargar esos archivos infectados en tu sitio.
Por lo tanto, para evitar que cualquier virus se infiltre en tu computadora o computadora portátil, asegúrate de evitar la conexión WiFi pública al acceder a tu sitio web. Además, no olvides instalar un excelente software antivirus y mantenerlo actualizado en todo momento.
No es necesario temer a los ciberataques este 2020 siempre que tomes las medidas necesarias para reforzar la seguridad y la privacidad de tu sitio web de WordPress.
Neothek ofrece servicios de web hosting, registro de dominios, correo electrónico, certificados SSL, diseño de páginas web y diseño gráfico.