¿Qué es lo primero que haría cuando quisiera proteger su sitio de WordPress? Descubra los cinco complementos de seguridad principales, considere lo asequibles que son y luego continúe e instale uno. Hecho esto, ahora puedes sentarte y relajarte, ¿verdad? ¡Incorrecto!
El uso de un complemento de seguridad no garantiza la seguridad. La seguridad no es algo absoluto y nadie puede garantizar una seguridad completa. Lo mejor que podemos hacer es reducir el riesgo de un ataque. Y, contrariamente a la creencia popular, el propietario del sitio debe participar en la protección del sitio web. Saber qué debe hacer y qué no debe hacer es importante.
Si bien hay varias guías sobre lo que debe hacer para mantener seguro su sitio de WordPress, le ofrecemos una guía sobre lo que debe EVITAR en su lugar. Notará que los consejos aquí están en conflicto con la creencia general. Pero según nuestra experiencia, muchos consejos están desactualizados y ofrecen una falsa sensación de seguridad.
Si el tema de la seguridad de WordPress le molesta tanto como a nosotros, eche un vistazo a lo siguiente.
1. No use demasiados complementos de seguridad
Dada la amplia gama de complementos disponibles, con varios conjuntos de funciones, es tentador usar más de un complemento de seguridad de WordPress. Para ser honesto, es una exageración. Estar ansioso por la seguridad de su sitio es normal, pero debe preguntarse si realmente necesita más de un complemento de seguridad. ¿Cuáles son las características esenciales para los requisitos de su sitio? ¿Las características van a pisar los dedos de los demás?
Por ejemplo, podría surgir un conflicto cuando los complementos comiencen a modificar archivos como wp-config.php o htaccess. Los complementos pueden jugar fácilmente con estos archivos, pero no los modifican de una manera unánime. Esto podría crear conflictos y ralentizar su sitio web.
Con los sitios de WordPress, las cosas pueden salir mal de vez en cuando. Todo el mundo odia la temida Pantalla Blanca de la Muerte. Tener varios complementos que afecten profundamente a su sitio web puede dificultar los problemas de depuración. Ahora, si hubiera habido un solo complemento, encontrar y corregir la causa del error hubiera sido más fácil y menos complicado.
2. No cambie el prefijo de la base de datos
Hay varias formas en las que un sitio de WordPress puede verse comprometido. El pirata informático puede obtener acceso a la base de datos de un sitio mediante un ataque de inyección SQL. Se puede usar una vulnerabilidad en un complemento o tema para ingresar a la base de datos del sitio (por lo que le sugerimos que use un Complemento de copia de seguridad de la base de datos de WordPress para evitar un escollo similar). Un método popular para evitar que los piratas informáticos profundicen en su sitio es cambiando el prefijo de tabla predeterminado. Como puede ver en la imagen a continuación, en WordPress, el prefijo de tabla predeterminado es ‘wp_’. WordPress le permite cambiar el prefijo de la tabla (por ejemplo, ‘xzy_’) para ocultar ciertas tablas.
A primera vista, parece una buena idea. Si los piratas informáticos no conocen el nombre de la tabla, no pueden recuperar los datos de ella. Sin embargo, este es un razonamiento falso. Una vez que alguien hackea su base de datos, todavía hay formas de encontrar las tablas. Por lo tanto, cambiar los nombres del prefijo no sirve de nada. Además, modificar el prefijo predeterminado puede hacer que varios complementos se comporten mal.
Además, cambiar el prefijo de la base de datos en pleno vuelo es difícil de implementar y puede provocar que su sitio web se bloquee. Esto se debe a que hay muchos cambios que deben realizarse en todos los niveles. Cualquier error en el proceso resultará catastrófico para su sitio.
3. Evite ocultar su página de inicio de sesión
Siempre hay alguien que intenta ingresar a su sitio descifrando su contraseña. Durante los ataques de fuerza bruta, los piratas informáticos intentan iniciar sesión en su sitio web utilizando una combinación de nombres de usuario y contraseñas populares. Entonces, ¿qué pasa si ocultamos la página de inicio de sesión? Eso matará dos pájaros de un tiro, ¿verdad? El hacker no podría encontrar la página de inicio de sesión y se reducirá la carga en su servidor.
WordPress tiene una página de inicio de sesión predeterminada. La URL de la página suele tener este aspecto: example.com/wp-login.php. Una forma bien conocida de salvar su sitio web de un ataque de fuerza bruta es ocultar o cambiar la página de inicio de sesión predeterminada a algo más como example.com/mylogin.php. Aunque esto suena como un plan infalible, averigüemos qué tan efectivo es el método para mantener seguro su sitio de WordPress.
Reducción de la carga del servidor
Después de ocultar o cambiar la ubicación de su página de inicio de sesión, cada vez que alguien intente abrirla, se enfrentará a un error 404. Sin embargo, los intentos de inicio de sesión son un proceso pesado. Siempre que se carga la página de error 404, consume muchos de los recursos de su servidor. Y termina ralentizando su sitio web. Por lo tanto, la creencia común de que ocultar su página de inicio de sesión reducirá la carga en el servidor es incorrecta.
URL alternativa no es difícil de adivinar
Parte del éxito de WordPress como CMS se debe a los complementos que facilitan las modificaciones en un sitio web. No es sorprendente que una forma popular de ocultar una página de inicio de sesión de un sitio sea mediante el uso de un complemento. Estos complementos vienen con un conjunto de URL de inicio de sesión alternativas predeterminadas como xzy.com/wplogin.php, etc. Hemos sido entrenados para usar la configuración predeterminada. Una vez que instalamos el complemento y cambiamos nuestra URL, no le damos mucha importancia. Pero solo hay tantas URL que un complemento puede ofrecer. No es demasiado difícil encontrar estas URL de inicio de sesión preestablecidas. Por lo tanto, el uso de una URL alternativa puede resultar ineficaz en la mayoría de los casos.
Problemas de usabilidad
La belleza de WordPress es que es fácil de usar. Es una plataforma familiar. Para un sitio con una multitud de usuarios, cambiar u ocultar la página de inicio de sesión podría plantear ciertos problemas. Varias veces nos hemos encontrado con publicaciones en foros de WordPress donde los usuarios no pueden acceder a un sitio debido a un cambio en la URL de inicio de sesión. En la mayoría de los casos, los cambios se realizaron utilizando un complemento y los usuarios no fueron conscientes de la situación que causaba el caos.
4. No bloquee las direcciones IP manualmente
Si tiene un complemento de seguridad instalado en su sitio, se le notificará cada vez que alguien intente iniciar sesión en su sitio web. Puede obtener fácilmente la IP enviando esas solicitudes maliciosas y bloquearlos usando el archivo .htaccess. Es un trabajo manual intensivo y no una práctica muy conveniente.
No es fácil de usar
Una persona no técnica que intente modificar los archivos .htaccess es una receta para el desastre. Un sistema de gestión de contenido como WordPress tiene un formato muy estricto. Incluso el uso de las herramientas más populares como FTP / SFTP es muy arriesgado. Un error menor o una ubicación incorrecta del comando pueden hacer que el sitio se bloquee.
Demasiadas direcciones IP para bloquear
Para evitar ser incluidos en la lista negra, los piratas informáticos utilizan direcciones IP de todo el mundo. Anteriormente, discutimos sobre el bloqueo manual de direcciones IP que constantemente intentan ingresar a su sitio. El trabajo (como hemos mencionado antes) requiere mucho tiempo y esfuerzo, pero no es exactamente un uso del tiempo muy eficiente. Pero si usa alguno de los mejores complementos de seguridad de WordPress, por ejemplo, Malcare, puede automatizar el proceso de bloqueo. Dichos complementos de seguridad se encargan de todas las lagunas de seguridad de WP.
5. Ocultar WordPress
Existe la suposición general de que ocultar su CMS dificulta que las personas con malas intenciones entren en su sitio. ¿Y si pudiéramos ocultar el hecho de que su sitio web se ejecuta en WordPress? Eso protegería su sitio de los piratas informáticos que desean explotar vulnerabilidades comunes. Una forma fácil de hacer esto es (lo adivinó) usando un complemento. Pero el método falla cuando a los piratas informáticos no les importa en qué plataforma se ejecuta su sitio web. Además, hay una multitud de formas de averiguar si un sitio se ejecuta en WordPress.
Además de utilizar un complemento, se puede optar por realizar el trabajo manualmente. Pero es un proceso que requiere mucho tiempo. Una sola actualización de WordPress puede deshacer todo su trabajo en unos pocos segundos. Lo que significa que tendría que repetir el proceso una y otra vez o evitar las actualizaciones de WP. Saltarse las actualizaciones de WordPress es como abrir la puerta de entrada para que un pirata informático entre directamente en su casa.
6. La protección con contraseña de wp-admin no funciona
La página de inicio de sesión predeterminada de WordPress (que se ve así: example.com/wp-admin) es una puerta de entrada a su sitio. Una página de inicio de sesión típica se parece a la imagen de abajo.
Aquí deberá usar sus credenciales para acceder al panel de WordPress. La protección con contraseña de la página de inicio de sesión ayuda a ocultar o proteger esta puerta de enlace al tablero. Es una buena idea, pero no sin lagunas.
Imagen cortesía: LookLinux
En primer lugar, es difícil mantener o incluso cambiar la contraseña, si la pierde. Además de ser ineficaces para proporcionar seguridad adicional, dichas modificaciones en su sitio pueden resultar muy peligrosas. Por ejemplo, cuando protege con contraseña la página de administración, una solicitud como /wp-admin/admin-ajax.php no puede eludir la protección. Hay complementos que podrían depender de la funcionalidad Ajax de su sitio. Y cuando no pueden acceder a esta funcionalidad, comienzan a comportarse mal. Por lo tanto, esto puede hacer que el sitio web se rompa.
A ti
Si tiene alguna pregunta o sugerencia sobre lo que debe evitar para proteger su sitio de WordPress, háganoslo saber en los comentarios.
