Una de las cosas más importantes que puede hacer al crear un sitio de WordPress es asegurarse de que sea seguro. Si bien nunca puede aumentar la seguridad del sitio al 100%, ciertamente puede disparar al 99% y puede lograrlo mediante la promulgación de medidas, tanto grandes como pequeñas, que tengan en cuenta todos los puntos de acceso de su sitio y sus vulnerabilidades.
Es posible que algunos de ustedes ya piensen que su sitio es bastante seguro. Y eso es genial, pero ¿por qué no tomarse un par de minutos y repasar esta lista que he reunido de cosas que buscar con respecto a la seguridad del sitio de WordPress? Se marchará con un plan de acción o se sentirá más seguro de sus medidas existentes, y ambas cosas son buenas.
Aquí hay 10 cosas que debe buscar o prestar atención para asegurarse de que su sitio sea lo más seguro posible.
1. Limite la accesibilidad del panel
Cuando alguien tiene acceso a su panel de WordPress, puede agregar nuevas publicaciones y páginas, cargar archivos y cambiar su configuración. Una persona sin experiencia podría cometer un error sin darse cuenta. O bien, la intención podría ser más maliciosa. Independientemente, solo debe dar acceso a su panel de control a aquellos en quienes confíe.
Puede incluir su dirección IP en la lista blanca para restringir el acceso a su panel de control a cualquier persona que no esté en su IP, lo que puede reducir en gran medida los intentos de piratería. Por supuesto, siempre deberá acceder al administrador de su sitio desde la misma IP.
Para hacer esto, agregue un nuevo.htaccess archivo a su wp-admin carpeta luego agregue este código:
order deny,
allow
allow from YOUR IP ADDRESS
deny from all
Y si desea proteger su tema y complementos de la edición por parte de usuarios no autorizados, puede agregue este código para usted wp-config.php expediente:
define( 'DISALLOW_FILE_EDIT', true );
2. Bloquear la navegación de directorios
Probablemente ya sepa que los sitios web están configurados para que los archivos estén contenidos en carpetas en un servidor. Por lo general, alguien puede examinar el contenido de cada carpeta o directorio, lo que podría dejarlo expuesto a intentos de piratería maliciosa. Sin embargo, puede hacer que el contenido de ciertas carpetas no sea visible para el público en general. Esta es una táctica de oscuridad y, aunque no hará que su sitio sea 100% seguro, les brinda a los piratas informáticos menos información con la que trabajar y menos información es lo que desea.
Para bloquear la exploración del directorio, abra su.htaccess archivo de nuevo e inserte el siguiente código en la parte inferior:
Options -Indexes
¡Eso es todo al respecto!
3. Eliminar la información de la versión de WordPress
Temas de WordPress utilizados para generar automáticamente el número de versión de WordPress que está utilizando en el <cabeza> etiqueta del sitio. Sin embargo, el propio WordPress ahora inserta esta información y, si bien es útil que WordPress sepa al analizar quién está usando qué, dejar esta información para que esté disponible para cualquiera que eche un vistazo a su código es un peligro para la seguridad.
¿Por qué? Porque darle a un pirata informático el número de versión directamente facilita su trabajo. ¡Y no querrás facilitar el trabajo de un hacker! En su lugar, simplemente inserte este código en el functions.php archivo para su tema:
function remove_wp_version() {
return '';
}
<span style="line-height: 1.8em;">add_filter( 'the_generator', 'remove_wp_version' );
Esto eliminará el número de versión y agregará otra capa de seguridad a su sitio.
4. Evalúe su nombre de usuario y contraseña
Ha escuchado este consejo una y otra vez, pero realmente, realmente necesita escucharlo. Elegir un nombre de usuario y una contraseña difíciles es importante para la seguridad general de su sitio. En primer lugar, nunca use «admin» como su nombre de usuario. Dado que es el nombre de usuario más popular para WordPress, dejarlo igual es como dar a los piratas informáticos la mitad de sus datos.
En segundo lugar, utilice una serie de números, letras y símbolos para su contraseña. Básicamente, hacer que sea imposible de adivinar para un humano y extremadamente difícil de descifrar para una máquina.
5. Realice copias de seguridad periódicas del sitio
Muchas personas ponen los ojos en blanco cuando escuchan que necesitan hacer copias de seguridad de sus sitios con frecuencia. No porque no entiendan que es importante; más bien, porque la idea de realizar una copia de seguridad de un sitio completo es agotadora. Mucha gente simplemente no quiere dedicar tiempo y esfuerzo al proyecto.
Afortunadamente, las copias de seguridad se pueden automatizar completamente en estos días y en realidad son una solución inteligente porque se pueden programar con anticipación. De esa manera, nunca más se olvidará de hacer una copia de seguridad de su sitio. los Códice de WordPress tiene instrucciones detalladas, o puede usar nuestra guía sobre cómo hacer una copia de seguridad de su sitio de WordPress. O puede optar por una solución basada en complementos (Backup Buddy y VaultPress son dos opciones que hemos usado antes aquí en Themelocal).
6. Mantenga su sitio actualizado
Los piratas informáticos idean nuevas estrategias para destruir sitios web a diario. Por lo tanto, ejecutar una versión desactualizada de WordPress es solo buscar problemas, especialmente porque WordPress publica las fallas y los agujeros de seguridad en versiones anteriores tan pronto como se lanza una nueva versión, como se ve en la foto de arriba. Asegúrese siempre de que su sitio esté ejecutando la última versión para una seguridad óptima.
7. Elija temas seguros
También es importante seleccionar temas que tengan buena reputación. Aquellos hechos por desarrolladores menos reputados o que no tienen el código más limpio podrían abrir su sitio a vulnerabilidades de seguridad una vez instaladas. Lea las reseñas de los temas antes de instalarlos y, si está comprando un tema premium, siempre compre uno en un sitio conocido.
Del mismo modo, instale siempre las actualizaciones de temas cuando estén disponibles. Lo que se dijo anteriormente sobre mantener actualizados los archivos centrales de WordPress también se aplica aquí.
8. Elija complementos seguros
Lo que dije anteriormente sobre los temas también se aplica a los complementos. Aunque es probable que el consejo sea doblemente cierto para los complementos, ya que a veces pueden contener malware o código malicioso. No descargue un complemento de un desarrollador que no reconoce y siempre instale actualizaciones cuando estén disponibles para mantener la seguridad del sitio.
9. Proteja sus archivos
Uno de los archivos más importantes de todo su sitio de WordPress es el wp-config.php expediente. Almacena un tono de datos sobre su sitio, incluye detalles sobre su base de datos y la configuración del sitio en su conjunto. Un pirata informático con la base de conocimientos adecuada podría cambiar todo lo relacionado con su sitio solo con la información de este archivo. Entonces, como puedes imaginar, es importante protegerlo.
Afortunadamente, puede hacerlo con una solución relativamente simple. Todo lo que necesita hacer es agregar el siguiente fragmento de código a su .htaccess archivo justo debajo de donde dice # FIN WordPress:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
10. Elija el proveedor de alojamiento adecuado
Gran parte de la seguridad de su sitio se reduce al proveedor de alojamiento de WordPress que elija. Si bien no puedo decirle qué host es mejor, hay demasiadas variables que considerar para discutir en este artículo, puedo decirle que leer reseñas es imperativo para tomar una decisión inteligente. Asegúrese de evaluar la seguridad de un host, las soluciones de respaldo y el tipo de servidor antes de tomar una decisión final.
Recordar: el host que seleccione jugará un papel directo en la rapidez con la que se carga su sitio, su tiempo de actividad y la seguridad de sus datos públicos y privados. No es una decisión que deba tomarse a la ligera.
Conclusión
Esta lista no está completa de ninguna manera, pero definitivamente debería brindarle un lugar completo para comenzar en términos de identificar posibles agujeros de seguridad y promulgar soluciones para proteger su sitio de los piratas informáticos. También puede pagar y seguir este Guía de seguridad de WordPress para obtener consejos más sencillos para proteger su sitio de WordPress. También debería tener el beneficio de brindarle un poco más de tranquilidad. Después de todo, es típico invertir cientos de horas en el desarrollo y la implementación de un sitio web. Protegerlo es imperativo.
¿Qué medidas toma para proteger su sitio? ¿Prefieres adoptar un enfoque manual o utilizar soluciones basadas en complementos? ¡Háznoslo saber en los comentarios!
