La seguridad web debe ser una preocupación constante y permanente para todos los sitios web. Independientemente de las precauciones que haya tomado, siempre hay margen de mejora. Esto se debe a que no existe la seguridad infalible. Agregue a eso, los piratas informáticos están al acecho las 24 horas, los 7 días de la semana, por lo que debe estar en guardia constantemente. El alojamiento, las contraseñas débiles, las versiones anteriores de WordPress o los temas / complementos dudosos son los posibles puntos de entrada para que los bots ingresen a su sitio.
Una forma en que puede dificultar las cosas para los piratas informáticos es aumentando la protección de su página de inicio de sesión o administrador de WordPress. Es la puerta de entrada a su sitio web, y puede detener la mayor parte de las travesuras justo en la puerta, reforzando la seguridad en esta página.
Algunas formas en las que puede proteger su página de administrador,
Cambie el nombre de usuario
El nombre de usuario predeterminado en WordPress es «Admin» y los bots lo saben. Ahora, si pueden adivinar tu contraseña, literalmente les has entregado una invitación para ingresar. Así que cambie su nombre de usuario a algo único e imposible de adivinar. Por ejemplo, para New York Soccer Club, «NY Soccer» no es un nombre de usuario adecuado.
Puede cambiar el nombre de usuario siguiendo estos sencillos pasos,
- Inicie sesión en WordPress con su cuenta de usuario de administrador existente.
- Agregue un nuevo usuario haciendo clic en Usuarios> Agregar nuevo.
- Elija «Administrador» como función para este nuevo usuario. Elija un nombre de usuario único aquí, ya que este usuario recién agregado se convertirá en el nuevo usuario administrador.
- Cierre la sesión de la antigua cuenta de usuario «Admin».
- Inicie sesión nuevamente con el nuevo nombre de usuario único que creó.
- Elimina el usuario «Admin» original. Deberá reasignar todas sus publicaciones antiguas del antiguo usuario «Administrador» al nuevo usuario.
También puede cambiar el nombre de usuario accediendo a phpMyAdmin. Lea sobre esto en SiteGround.
Contraseña segura
Cambiar el nombre de usuario es solo la mitad del camino. Fortalece tu contraseña para que los bots no puedan adivinarla. Los cumpleaños, el nombre de la mascota, el deportista favorito se pueden adivinar correctamente. Los ataques de fuerza bruta son solo intentos frecuentes y repetidos de adivinar la contraseña mediante prueba y error. Y seguramente tendrán éxito si la contraseña es débil. Por lo tanto, las contraseñas seguras son importantes.
Lo ideal es que una contraseña segura utilice una combinación de números y letras, tanto en mayúsculas como en minúsculas. Agregue un símbolo o dos como ‘!’ o ‘@’. WordPress ofrece la opción de generar una contraseña segura, y también puede usarla. O toma la ayuda de un Generador de contraseñas. Compruebe si su contraseña es segura en ¿Qué tan segura es mi contraseña?. Y cambie la contraseña de forma regular.
¿Le resulta difícil recordar la contraseña? Echa un vistazo a los administradores de contraseñas como Ultimo pase, DashLane, KeePass, 1 contraseña y RoboForm. Un administrador de contraseñas almacena todas sus contraseñas de forma cifrada y puede acceder a él desde cualquier dispositivo.
Si no he hecho mi caso para una contraseña segura, este informe de SplashData enumerar las peores contraseñas de 2015 quizás pueda persuadirlo.
Limitar el acceso de usuarios
Si eres el único que accede al administrador, este no es para ti. Pero si permite que varios usuarios accedan al backend, debe mantener un control estricto sobre sus privilegios. Permitir acceso y privilegios solo a las áreas y en la medida que sea necesario para el desempeño de sus tareas.
No solo eso, también se debe exigir a los usuarios de su sitio que utilicen contraseñas seguras. Para garantizar esto, puede instalar el Forzar contraseñas seguras enchufar. Este complemento permite a los usuarios acceder al sitio solo si han configurado una contraseña segura para ellos mismos. O puede mirar la Solución de seguridad de inicio de sesión, que también examina y aplica la seguridad de la contraseña, sin molestar a los usuarios genuinos.
Limitar los intentos de inicio de sesión
Los bots ingresan a su sitio probando varias combinaciones de nombre de usuario y contraseña. Pueden necesitar muchos intentos antes de que puedan entrar. Si limitamos el número de intentos que se pueden realizar desde una única IP, podemos reducir drásticamente las posibilidades de que los bots obtengan acceso.
Hay un complemento especializado que puede realizar esta tarea:
- Limitar los intentos de inicio de sesión – Limita la tasa de intentos de inicio de sesión para cada IP. Es un complemento de uso común, aunque no se ha actualizado durante mucho tiempo.
- Protección de inicio de sesión de fuerza bruta – Protege su sitio web contra ataques de fuerza bruta utilizando .htaccess.
- Jetpack Protect – Para proteger los sitios web de WordPress de los ataques de bots.
También vale la pena señalar que algunos servidores web ofrecen esta función incorporada. WP Engine, por ejemplo, agregó esto a su plataforma de alojamiento a principios de 2015 para hacer que los sitios web que alojan sean más seguros (además de su SSL gratuito, autenticación de dos factores, copias de seguridad automatizadas, múltiples firewalls, escaneo de malware y más).
Cambiar su URL de inicio de sesión
La URL para iniciar sesión en todos los sitios web de WordPress es, de forma predeterminada, la URL principal de su sitio seguida de wp-login.php o wp-admin – por ejemplo, mywebsite.com/wp-login.php. Los piratas informáticos lo saben, y si puede cambiar esta URL, les será más difícil ingresar a su sitio web.
Puedes instalar Proteger WP-Admin para cambiar la URL de su panel de administración y bloquear los enlaces predeterminados. Puedes cambiarlo a lo que quieras, como mywebsite.com/allow_admin_access. Cuando una consulta para mywebsite.com/wp-login.php o mywebsite.com/wp-admin, llega al sitio, será redirigido a la página de inicio. Y solo se permitirá la URL personalizada en el panel de administración.
Una forma totalmente confiable de proteger su página de administración es bloquear completamente el acceso a su wp-admin y wp-login.php página. Pero esto solo se puede emplear si usa una dirección IP que no cambia. De lo contrario, corre el riesgo de quedar bloqueado en su sitio web. Si puede realizar un seguimiento de varias direcciones IP, aún puede seguir adelante y adoptar esta opción.
También puede restringir el acceso a su wp-login.php archivo utilizando la autenticación básica HTTP. Esta es una capa externa de seguridad que un usuario debe superar para llegar a la página de inicio de sesión. Deberá generar un archivo .htpasswd para enumerar todos los nombres de usuario autorizados y sus respectivas contraseñas cifradas. También se puede lanzar un ataque de fuerza bruta contra la autenticación básica HTTP, pero los piratas informáticos tendrán el doble de esfuerzo para romper ambas capas.
Agregue SSL a su sitio web
SSL es una tecnología de seguridad estándar. HTTP es el protocolo de transferencia de hipertexto para la transferencia de datos entre un servidor y un navegador. La versión segura de HTTP es HTTPS, la «S» que significa seguro. Juntos verifican la identidad del sitio web al usuario y le aseguran al usuario la confidencialidad entre el sitio web y el navegador del usuario.
Una vez que haya configurado SSL / HTTPS, el servidor encripta los datos y solo el navegador del usuario puede descifrarlos. Para cualquier tercero no deseado, los datos no tendrán ningún sentido y solo aparecerán como una cadena de caracteres. Como beneficio adicional, encontrará que Google favorece HTTPS al clasificar sitios web.
Es posible que obtener un certificado SSL ya no sea opcional, especialmente si está utilizando el navegador Chrome. Esto se debe a que Google está en camino de marcar todos los sitios que no son HTTPS como «no seguros».
Hoy en día, todos los sitios que no son HTTPS son simplemente neutrales en cuanto a la indicación del estado de SSL, pero eso cambiará en enero de 2017. Todos los sitios web que necesiten contraseñas o recopilen información de tarjetas de crédito deben volverse seguros o riesgo de ser etiquetado como no seguro por Google.
Hay muchas empresas como Comodo, DigiCert, y SSL.com ofreciendo servicios de certificación. Los certificados se pueden adquirir sin demasiado costo de SSLMate y gratis de Vamos a cifrar. Algunos proveedores de servicios de alojamiento ofrecen SSL gratuito con sus planes de alojamiento. Puede obtener más información sobre la instalación de SSL en nuestra guía HTTPS y SSL gratuita.
Autenticación de dos factores
La autenticación de dos factores es una de las formas más seguras de proteger su sitio web de los piratas informáticos. Funciona además del nombre de usuario / contraseña estándar que ya tiene. Una vez que haya ingresado estas credenciales, se genera un código en un dispositivo que tiene, a menudo su teléfono inteligente. Solo cuando ingresa este código, obtiene acceso al sitio.
Muchos complementos gratuitos y premium están disponibles para su instalación en su sitio web. Este método de seguridad existe desde hace bastante tiempo, pero ahora se aplica cada vez más al acceso a sitios web. Puede leer más sobre la autenticación de dos factores en nuestra publicación anterior.
Complementos de seguridad
Muchos sitios web instalan complementos que se encargan de la seguridad de WordPress de manera integral. Incluyen protección de firewall, escaneo de malware, listas negras y listas blancas de IP, monitoreo de la actividad del usuario, registro de auditoría y, en general, refuerzan la seguridad general. Están disponibles tanto las opciones gratuitas como las premium.
Algunos complementos que incluyen protección de inicio de sesión,
- Wordfence – Refuerza contraseñas seguras y previene ataques de fuerza bruta.
- iThemes: combate los ataques automatizados y limita el número de intentos de inicio de sesión. También implementa credenciales de usuario más estrictas.
- Seguridad y cortafuegos todo en uno – Evita los ataques de fuerza bruta y permite el bloqueo de nivel de IP, bloqueando a un usuario después de un período de tiempo específico. Otras características de protección de inicio de sesión incluyen bloqueo de inicio de sesión y listas blancas y listas negras de direcciones IP.
- Seguridad a prueba de balas – Protección de inicio de sesión y fuerza bruta.
- McAfee Secure: ofrece múltiples capas de protección, incluida una marca de sitio confiable, escaneo de malware y cobertura de protección de identidad para tiendas de comercio electrónico (un activo enorme).
Pensamientos finales
Los métodos enumerados en esta publicación son en su mayoría formas simples, pero altamente efectivas, en las que puede evitar que los bots, el malware y los creadores de travesuras entren en su sitio web. También puede agregar captchas u otras pequeñas pruebas para verificar si el intento de inicio de sesión es de un humano y evitar los bots. Si necesita más consejos sobre la seguridad de WordPress, lea lo que Freddy tiene que decir en esta publicación.
