La seguridad de WordPress es un tema candente en la blogosfera en este momento. Los recientes ataques de botnets en una gran cantidad de sitios de WordPress tienen a algunas personas luchando por recuperar sus valiosos datos y usted debería actuar rápidamente para fortalecer su seguridad de WordPress.
Luego están aquellos que pensaron en el futuro y tomaron medidas antes de que fuera necesario. Lo más probable es que no hayan experimentado ningún problema porque se convirtieron en un objetivo difícil.
El hecho es este: si bien no existe un sitio 100% seguro, se puede reducir la probabilidad de ser pirateado si se dedica una pequeña cantidad de tiempo a hacer que su sitio sea más seguro que el 99% de los demás. Con eso en mente, en esta publicación lo llevaré a través de un proceso simple de cinco pasos que hará que su sitio pase de ser un objetivo suave a una cookie realmente dura.
Paso 1: Actualiza todo
Los elementos obsoletos en su sitio representan riesgos potenciales de seguridad, ya que los piratas informáticos pueden utilizarlos para abrirse camino en el backend de su sitio. Por eso es tan importante mantener todo actualizado.
Y cuando digo todo, yo significar todo:
- El núcleo de WordPress
- Temas
- Complementos
Los temas y complementos desactivados también deben mantenerse actualizados; su mera presencia en su sitio los convierte en un riesgo potencial para la seguridad, por lo que debe mantenerlos actualizados para fortalecer la seguridad de WordPress.
¿No inicias sesión con mucha frecuencia? No se preocupe, puede usar un complemento como el Administrador de actualizaciones fácil para habilitar actualizaciones automáticas para su núcleo, tema y complementos de WordPress. También hay toneladas de configuraciones avanzadas integradas para personalizar sus actualizaciones y registros para ver qué se ha actualizado y cuándo.
Mucha gente llegará hasta aquí y luego se detendrá, pero de hecho hay un paso más que debe tomar: debe considerar seriamente eliminar cualquier tema y complemento de su sitio que no se haya actualizado recientemente. Puede monitorear fácilmente cuándo se actualizaron los complementos por última vez con el complemento Última actualización. Esto agrega la fecha de Última actualización a su lista de complementos en el back-end (que posiblemente debería mostrarse de forma predeterminada).
En términos generales, diría que cualquier complemento que no se haya actualizado en los últimos doce meses debe considerarse para su eliminación.
Paso 2: Haga una copia de seguridad de todo (y con regularidad)
Sé que es una sugerencia obvia, pero sería negligente por mi parte no incluir copias de seguridad de WordPress. El simple hecho es que pocas cosas (si es que hay alguna) son más importantes para la seguridad de su sitio.
Si su sitio está sujeto a un ataque realmente destructivo (que es siempre posible), su última línea de defensa es una copia de seguridad reciente. Esto significa que incluso si ocurriera lo peor, aún tendrá algo a lo que recurrir. Si tu no Mantenga copias de seguridad periódicas, luego, para ser franco, está jodido.
Existe una enorme cantidad de soluciones de respaldo, pero mi primera sugerencia sería elegir un proveedor de alojamiento que incluya respaldos automáticos dentro de su servicio. Si usted es víctima de un intento de piratería que daña su sitio, entonces debería encontrar que su proveedor es rápido para restaurar el sitio a su gloria anterior.
Más allá de eso, las opciones de la crema de la cosecha son VaultPress y BackupBuddy. Cuestan dinero, pero mi consejo es Nunca escatima en su solución de respaldo. Personalmente, soy un usuario de VaultPress (al igual que Themelocal): ofrecen una solución de respaldo integral, así como funciones de seguridad adicionales.
Paso 3: cambie su nombre de usuario predeterminado
Si todavía está usando el perfil de «administrador» predeterminado que venía empaquetado con su instalación de WordPress, ahora es el momento de cambiar.
¿Por qué? Debido a que el primer paso para cualquier intento de inicio de sesión por fuerza bruta es intentar iniciar sesión con el nombre de usuario «admin» y luego ejecutar una enorme cantidad de intentos de contraseña para ingresar. Si crea un nombre de usuario más exclusivo, detiene este intento de piratería en seco.
Cambiar de perfil y todo lo que está potencialmente asociado con él (transferir la propiedad de las publicaciones, etc.) puede parecer una tarea bastante abrumadora, pero es un paso importante para proteger su sitio y es mucho más fácil de lo que parece. Visite YouTube para obtener tutoriales si desea orientación adicional.
Paso 4: cree una contraseña segura única (y cámbiela con regularidad)
La mayoría de las personas son lo suficientemente inteligentes en estos días como para saber que su contraseña no debe ser «contraseña». Lo que pueden no Lo que sabemos es que los intentos de hackeo por fuerza bruta intentarán una asombrosa cantidad de combinaciones de contraseñas en un intento de acceder a sitios web. Si su contraseña tiene sentido o es de alguna manera predecible (por ejemplo, está formada por palabras reconocibles o patrones numéricos), su sitio está en riesgo.
En realidad, existen tres reglas de oro para la generación de contraseñas de mejores prácticas:
- Debe ser verdaderamente aleatorio y único
- Debe usarse solo una vez (es decir, no en varios sitios)
- Debe cambiarse periódicamente (por ejemplo, una vez al mes)
Si sigue estas tres reglas, su sitio será mucho más seguro. En términos de generar contraseñas verdaderamente aleatorias, puede usar un generador en línea gratuito, como le recomiendo que se registre para obtener una cuenta gratuita con Ultimo pase y use ese servicio para (a) generar y (b) almacenar todas sus contraseñas.
Paso 5: Instale la protección del complemento
Existe una gran cantidad de complementos que afirman aumentar la seguridad de su sitio. La mera elección puede ser abrumadora, pero voy a cortar la basura y recomendar lo que considero que es el complemento más simple y efectivo para su uso.
Ese complemento es Wordfence: un complemento gratuito popular y altamente calificado. Incluye una amplia variedad de funciones de seguridad, que incluyen (pero no se limitan a):
- Un cortafuegos
- Protección de IP maliciosa
- Escaneos de puerta trasera
- Escaneos de malware
- Seguridad de inicio de sesión mejorada
Aunque Wordfence es un modelo freemium y tiene una versión de pago con más opciones, el plugin en sí y el servicio básico no le cuesta nada. Instalar esto en su sitio es una obviedad.
En realidad, solo estoy rascando la superficie aquí. Aunque implementar las medidas de seguridad anteriores ayudará a fortalecer la seguridad de WordPress por encima de la gran mayoría de los demás, siempre hay más que puede hacer y siempre existe la posibilidad de que todavía te puedan piratear de todos modos.
En esta publicación he cubierto formas sencillas de reforzar la seguridad de WordPress. Si los ha implementado todos y todavía tiene ganas de más, le aconsejo que comience por consultar la página de seguridad oficial de WordPress en el Códice de WordPress.org.
Ahora es su turno; me encantaría saber qué recomendaciones simples tiene para reforzar la seguridad de WordPress. Podrían ser simples consejos y trucos, sugerencias de complementos o incluso un servicio premium recomendado como el mencionado VaultPress. ¡Dispara en la sección de comentarios!
