Seguridad de WordPress: 24 consejos para proteger su sitio web de los piratas informáticos

La seguridad de WordPress debe ser la primera prioridad al administrar un sitio web. Usted diseña su sitio web, publica contenido, vende productos en línea, pero si no toma en serio la seguridad de WordPress, su sitio puede ser pirateado en cualquier momento.

Todos los días, 30,000 sitios web son pirateados y más de 2,000 sitios web son incluidos en la lista negra de Google. No eres una excepción. Si un sitio web del gobierno puede ser pirateado, ¿por qué no el tuyo?

Una mañana, te despertaste y ves que tu sitio de WordPress es inaccesible y ves mensajes aleatorios como,

" su sitio web ha sido pirateado por xyz ": el sitio está pirateado

“ el sitio que se encuentra a continuación contiene malware ” – incluido en la lista negra de Google

Esto es lo peor que podría enfrentar con su sitio web.

Pero, ¿por qué WordPress?

WordPress impulsa más del 31% (80 millones) del total de sitios web en la web. Según W3Techs, WordPress tiene el 60% de la cuota de mercado de CMS más que otras plataformas, lo cual es una razón bastante sólida para atraer a los piratas informáticos.

Pero no se asuste. Reforzar la seguridad de WordPress es muy fácil y tú también puedes hacerlo.

En este artículo, compartiré los 24 mejores consejos de seguridad de WordPress para proteger su sitio web de piratas informáticos y malware.

"¿Por qué no hacer que la puerta de tu palacio desaparezca antes de que la descubran?" – WPMyWeb

Problemas comunes de seguridad de WordPress

Antes de profundizar en las mejores prácticas de seguridad de WordPress, primero comprendamos algunos problemas comunes de seguridad de WordPress.

Muchos usuarios creen que WordPress no es una plataforma segura para usar en un negocio, lo cual no es cierto en absoluto. Esto se debe a la falta de conocimiento de la seguridad de WordPress, la mala administración del sistema, el uso de complementos y software obsoletos de WordPress, etc.

Muchos principiantes de WordPress asumen que crear un sitio web es el final y que no requiere ningún mantenimiento de seguridad. Así es como estás dejando tu sitio vulnerable.

Una vez que los piratas informáticos encuentran vulnerabilidad en su sitio, pueden explotar fácilmente su sitio.

Veamos algunos de los problemas de seguridad comunes de WordPress.

1. Ataques de fuerza bruta:

En el ataque de fuerza bruta, se utiliza un script automatizado para generar varias combinaciones de nombres de usuario y contraseñas. Hacker usa la página de inicio de sesión de WordPress para ejecutar un ataque de fuerza bruta.

Si está utilizando un nombre de usuario y una contraseña simples, podría ser la próxima víctima de este ataque.

2. Secuencias de comandos entre sitios (XSS):

Cross Site Scripting es un tipo de ataque en el que los atacantes inyectan un código/secuencia de comandos malicioso en un sitio web de confianza. Este método de piratería es totalmente invisible para los usuarios que navegan por el sitio web.

Estos scripts maliciosos se cargan de forma anónima y roban información del navegador de los usuarios. Incluso si un usuario ingresa datos en cualquier formulario, los datos podrían ser robados.

3. Inyecciones SQL:

WordPress utiliza una base de datos MySQL para almacenar información del blog.

La inyección de SQL ocurre cuando los piratas informáticos obtienen acceso a la base de datos de WordPress. Al piratear la base de datos de WordPress, los piratas informáticos pueden crear una nueva cuenta de administrador con acceso completo a su sitio.

También pueden insertar datos en su base de datos MySQL y agregar enlaces a sitios web maliciosos o de spam.

4. Puertas traseras:

Por el nombre "Puerta trasera", puede entender lo que significa.

Backdoor es un método de piratería que permite a los piratas informáticos ingresar a un sitio web sin pasar por el proceso de autenticación normal e incluso sin ser detectados por el propietario del sitio web.

Después de piratear un sitio web, los piratas generalmente dejan su huella, de modo que pueden volver a acceder al sitio web incluso si se elimina el pirateo.

5. Trucos farmacéuticos:

WordPress Pharma hacks es un tipo de spam de sitios web que llena los resultados del motor de búsqueda con contenido de farmacia spam que está prohibido en la web como Viagra, Nexium, Cialis, etc.

A diferencia de otros hacks de WordPress, los resultados de los hacks farmacéuticos solo son visibles para los motores de búsqueda. Por lo tanto, no puede detectar el truco simplemente viendo su sitio web o el código fuente.

Ve a Google y escribe sitio:dominio.com. Si los resultados de la búsqueda muestran el contenido de su sitio web (no contenido de farmacia), entonces su sitio no se ve afectado por piratería farmacéutica.

El objetivo de este truco es explotar sus páginas más valiosas anulando la etiqueta del título con enlaces dañinos. Sin mencionar que, si no inspecciona el asunto temprano, los motores de búsqueda como Google, Bing pueden incluir su sitio web en la lista negra por proporcionar contenido malicioso.

6. Redireccionamientos maliciosos:

El redireccionamiento malicioso de WordPress es un tipo de pirateo en el que los visitantes de su sitio son redirigidos automáticamente a sitios de spam como juegos de azar, pornografía, sitios de citas. Este truco ocurre cuando se inyecta un código malicioso en el archivo o la base de datos de su sitio web.

Si su sitio redirige a los visitantes a sitios ilegales o maliciosos, es posible que Google lo incluya en la lista negra.

¿Por qué la seguridad de WordPress es importante?

Su sitio web representa su marca, su negocio y, lo que es más importante, el primer contacto con sus clientes.

Probablemente le tomó varios años con muchos esfuerzos mantener su negocio y hacer crecer su tráfico. Tu audiencia ama tus artículos y confía en tus productos, por eso se mantienen en contacto contigo.

Si su sitio de WordPress no es seguro, hay muchas maneras en que tanto su sitio como sus clientes se verán afectados. Los piratas informáticos pueden robar información personal del usuario, contraseñas, detalles de tarjetas de crédito, información de transacciones y pueden distribuir malware a sus usuarios.

Si su sitio es pirateado, notará que su tráfico está disminuyendo drásticamente. Además, Google incluirá en la lista negra su sitio web.

Según el blog de Google, la cantidad de sitios web pirateados aumentó aproximadamente un 20 % en 2016 en comparación con 2015.

En un estudio, Securi informa que Google incluye en la lista negra más de 10,000 sitios web todos los días.

Si se toma en serio su negocio, debe prestar especial atención a la seguridad de WordPress.

La mejor guía de seguridad de WordPress

1. Obtenga un buen alojamiento de WordPress
2. Mantener la versión de WordPress actualizada
3. No use ningún tema o complemento anulado / agrietado
4. Utilice contraseñas seguras
5. Agregar autenticación de dos factores (2FA)
6. Cambiar la URL de inicio de sesión de WordPress
7. Límite de intentos de inicio de sesión
8. Haga una copia de seguridad de su sitio regularmente
9. Use un complemento de seguridad de WordPress
10. Cerrar sesión automáticamente de usuarios inactivos
11. Agregar preguntas de seguridad a la página de inicio de sesión de WordPress
12. Cambiar el nombre de usuario predeterminado "admin"
13. Asignar usuarios al rol más bajo posible
14. Supervisar los cambios de archivos y las actividades de los usuarios
15. Instalar certificado SSL
16. Eliminar temas y complementos no utilizados
17. Deshabilitar la edición de archivos en el panel de WordPress
18. Proteger con contraseña la página de inicio de sesión de WordPress
19. Deshabilitar la exploración de directorios
20. Elimina tu número de versión de WordPress
21. Cambiar el prefijo de la tabla de la base de datos de WordPress
22. Use solo temas y complementos confiables de WordPress
23. Deshabilitar el informe de errores de PHP
24. Agregue encabezados HTTP seguros a WordPress

¿Listo? Empecemos.

1. Obtenga un buen alojamiento de WordPress

El alojamiento de WordPress juega un papel importante cuando se trata de mejorar la seguridad de WordPress.

Usted está pagando por el servicio de alojamiento y su sitio web permanece bajo su control. Por lo tanto, debe tener cuidado antes de elegir un buen alojamiento de WordPress para su sitio web.

El alojamiento compartido como A2Hosting, Bluehost, etc. es la mejor opción de alojamiento para ejecutar un blog de poco tráfico. Pero en el alojamiento compartido, siempre habrá una posibilidad de contaminación entre sitios.

La contaminación entre sitios ocurre cuando un pirata informático puede acceder al servidor web a través de un sitio web vulnerable y luego explotar todos los demás sitios web en el mismo servidor web.

Recomendamos utilizar un proveedor de alojamiento de WordPress administrado. Las empresas de alojamiento de WordPress administrado brindan opciones de seguridad de múltiples capas para sitios web. Sus plataformas de alojamiento son altamente seguras y ofrecen escaneo diario de malware y previenen ataques externos. Si, de todos modos, encuentran malware en su servidor, asumen la responsabilidad y lo eliminan al instante.

También ofrecen copias de seguridad diarias, certificado SSL gratuito, soporte experto las 24 horas, los 7 días de la semana.

Recomendamos la empresa de alojamiento de WordPress administrada por WPEngine. Ofrecen múltiples capas de seguridad para proteger su sitio de WordPress. Con su plan, obtendrá copias de seguridad diarias, SSL gratis, CDN global y soporte experto las 24 horas, los 7 días de la semana.

Visite WPEngine . [Código de descuento añadido en este enlace]

Volver arriba

2. Mantén actualizada la versión de WordPress

Mantener su sitio de WordPress actualizado es una buena práctica de seguridad para fortalecer su seguridad de WordPress. Esta actualización incluye la versión de WordPress, complementos y temas.

En un estudio reciente, Securi analizó que el 56% del total de sitios web infectados con WordPress todavía estaban desactualizados. Si eres uno de ellos, estás en peligro.

Todos los días se descubren nuevas vulnerabilidades y no hay forma de detenerlas. El software y los complementos obsoletos pueden contener vulnerabilidades que los piratas informáticos pueden usar para explotar un sitio.

Con cada actualización, los desarrolladores incluyen nuevas funciones, solucionan agujeros de seguridad, corrigen errores, etc. Al igual que el software de WordPress, también debe actualizar sus temas y complementos de WordPress.

Lo bueno es que WordPress implementa automáticamente sus actualizaciones y notifica a sus usuarios.

Actualizar la versión, los complementos y los temas de WordPress es muy fácil y puede hacerlo a través de su panel de administración de WordPress.

¿Cómo actualizar WordPress, complementos y temas?

Primero inicie sesión en su panel de WordPress y vaya a Panel de control> Actualizaciones . Allí puedes ver si hay una nueva actualización disponible.

Nota: antes de actualizar su versión de WordPress, realice una copia de seguridad completa de sus archivos y base de datos. En caso de que ocurra un error, puede restaurar fácilmente su sitio a la versión anterior. Puede hacer una copia de seguridad y restaurar fácilmente su sitio usando BlogVault con solo un clic.

Desde la página, puede ver "Hay una versión actualizada de WordPress disponible" . Haga clic en el botón Actualizar ahora para actualizar su versión de WordPress, este proceso puede tardar unos segundos.

Una vez que se complete la actualización, desplácese hacia abajo para actualizar sus complementos de WordPress. Le recomendamos que actualice los complementos uno por uno. Primero, seleccione un complemento y haga clic en Actualizar complementos .

De manera similar, actualice sus temas a continuación.

Sin embargo, el proceso de actualización es un poco complicado para algunos usuarios, especialmente para aquellos que no son expertos en tecnología.

Algunos proveedores de alojamiento de WordPress administrados como SiteGround, Kinsta, FlyWheel brindan una función de actualización automática . Entonces, si tiene una agenda ocupada o es perezoso para actualizar, esto podría ser útil.

Lea también, Cómo actualizar manualmente la versión, los complementos y los temas de WordPress

Volver arriba

3. Nunca utilices temas y complementos anulados o agrietados

No es de extrañar que los complementos y temas premium incluyan más funciones y se vean profesionales. Pero ninguno de los productos premium es gratuito. Viene con un precio y después de comprar cualquier producto premium, los usuarios deben ingresar la clave del producto para activar el producto.

Sin embargo, hay muchos sitios web maliciosos disponibles que ofrecen temas y complementos premium de forma gratuita. Esos temas y complementos descifrados no requieren una clave de serie para activarse y nunca se actualizan.

Esto es lo que quiero decir:

Esos temas y complementos anulados son muy peligrosos para su sitio. Los piratas informáticos inyectan especialmente códigos maliciosos en él y crean una puerta trasera en su sitio. Para que puedan acceder fácilmente a su sitio web y piratear su sitio web, incluida la base de datos.

Por lo tanto, nunca use temas y complementos de WordPress anulados o descifrados.

Recomendamos encarecidamente que solo descargue temas o complementos gratuitos solo de WordPress.org.

Entendemos que el tema o complemento gratuito tiene funciones muy limitadas. Pero esos temas o complementos gratuitos son seguros de usar y se actualizan periódicamente.

Lea también, 7 mejores temas de blogs premium para WordPress

Volver arriba

4. Usa contraseñas seguras

Una contraseña es una clave principal para acceder a su sitio de WordPress. Si es simple y breve, los piratas informáticos pueden descifrar fácilmente su contraseña. Más del 80% de las infracciones relacionadas con la piratería ocurren debido a una contraseña débil o una contraseña robada.

En un estudio reciente, SplashData reveló las 100 peores contraseñas de 2017.

Aquí hay algunos de ellos:

1. 123456
2. clave
3. 12345678
4. QWERTY
5. 12345
6. 123456789
7. Déjame entrar
8. 1234567
9. fútbol
10. te quiero
11. administración
12. bienvenidos
13. mono (jajaja)

Si su contraseña es simple como la anterior, cámbiela inmediatamente. Una contraseña segura debe tener al menos 10 dígitos y contener mayúsculas, minúsculas, números y caracteres especiales.

Puede usar una herramienta de generación de contraseñas en línea para crear instantáneamente miles de contraseñas seguras.

También es necesario que guardes la contraseña en tu ordenador.

Para hacerlo más fácil, puede usar el software de administración de contraseñas para administrar todas sus contraseñas como LastPass, Dashlane, etc.

Aplicar contraseña segura a los usuarios

De forma predeterminada, WordPress no viene con una función que evite que los usuarios ingresen contraseñas débiles. La mayoría de las veces, los usuarios establecen una contraseña débil para su cuenta y apenas la cambian.

Si está ejecutando un blog de WordPress multiusuario, debe obligar a los usuarios a usar una contraseña segura.

Para facilitar este proceso, puede usar un complemento. Instale y active el complemento Force Strong Passwords y listo. Esto evitará que los usuarios e incluso el administrador ingresen una contraseña débil.

Volver arriba

5. Agregar autenticación de dos factores (2FA)

Otro método simple para fortalecer la seguridad de WordPress es agregar autenticación de dos factores (2FA) a su página de inicio de sesión de WordPress. Básicamente, la autenticación de dos factores o la verificación de dos pasos es un proceso de seguridad que requiere dos métodos para verificar su identidad.

De manera predeterminada, generalmente ingresamos el nombre de usuario y la contraseña para iniciar sesión en un sitio web. Al agregar la autenticación de dos factores, necesitará un proceso de verificación adicional, como una aplicación de teléfono inteligente para aprobar el proceso de autenticación.

Entonces, si alguien conoce su nombre de usuario y contraseña, necesita su teléfono inteligente para obtener el código de verificación para iniciar sesión en su sitio.

Al agregar la autenticación de dos factores, no solo protege su página de inicio de sesión de WordPress, sino que también evita los ataques de fuerza bruta.

Puede habilitar la autenticación de dos factores fácilmente utilizando el complemento de WordPress del autenticador de dos factores de Google.

Una vez activado, ve a Usuarios > Perfil de usuario y activa el plugin.

Luego, descargue la aplicación de autenticación de Google desde su teléfono y escanee el código de barras o ingrese el código secreto (vea la captura de pantalla anterior) desde su sitio para agregar su sitio web.

Una vez agregado, cierre sesión en su sitio. En la página de inicio de sesión, verá un campo adicional donde debe ingresar el código de verificación de la aplicación móvil Google Authenticator.

Para obtener instrucciones detalladas, consulte la guía sobre cómo agregar la autenticación de dos factores de Google en la página de inicio de sesión de WordPress.

Volver arriba

6. Cambiar la URL de la página de inicio de sesión de WordPress

De manera predeterminada, cualquiera puede acceder a su página de inicio de sesión simplemente agregando "wp-admin" o "wp-login.php" al final de su nombre de dominio, como: "domain.com/wp-admin" o "domain.com/ wp-login.php” .

¡Adivina qué! Los piratas informáticos pueden ejecutar un ataque de fuerza bruta utilizando su página de inicio de sesión. Si está utilizando una contraseña muy simple, los piratas informáticos pueden descifrar fácilmente su contraseña e ingresar a su sitio web.

Pero, ¿y si no saben dónde atacar? Sí, lo has adivinado bien.

Si oculta o cambia el nombre de la URL de su página de inicio de sesión, los piratas informáticos no podrán ejecutar un ataque de fuerza bruta.

En WordPress, puede ocultar o cambiar el nombre de su página de inicio de sesión fácilmente mediante un complemento. Desde la galería de complementos de WordPress, instale y active el complemento WPS Hide Login.

Una vez activado, ve a Ajustes > General y en la parte inferior, podrás encontrar la opción Ocultar inicio de sesión de WP .

Simplemente cambie la URL de inicio de sesión "iniciar sesión" por otra que sea difícil de adivinar y haga clic en Guardar cambios .

Una vez hecho esto, marque la nueva página de inicio de sesión y listo.

Volver arriba

7. Limite los intentos de inicio de sesión

De forma predeterminada, WordPress no limita el número de intentos de inicio de sesión a través del formulario de inicio de sesión. Eso significa que cualquier persona que conozca su URL de inicio de sesión puede probar la función de inicio de sesión tantas veces como quiera. De esta manera, los piratas informáticos ejecutan un ataque de fuerza bruta para descifrar su "nombre de usuario" y "contraseña" para acceder a su sitio web.

Al limitar los intentos de inicio de sesión, puede fortalecer la seguridad de WordPress y proteger su página de inicio de sesión de ataques de fuerza bruta.

Puede establecer un número máximo de intentos de inicio de sesión incorrectos que un usuario puede realizar desde la misma dirección IP. Si el usuario excede los límites, la IP del usuario será bloqueada por un tiempo determinado.

Para limitar los intentos de inicio de sesión en WordPress, instale el complemento Login LockDown. Una vez activado, ve a Ajustes > Login LockDown para configurar el plugin.

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo limitar los intentos de inicio de sesión en WordPress

Volver arriba

8. Haga una copia de seguridad de su sitio con regularidad

Las copias de seguridad son como Time Machine. Si lo tiene, su sitio web es seguro.

Sin embargo, las copias de seguridad del sitio web no protegen su sitio de los piratas informáticos, pero lo ayudan a recuperarlo.

Por ejemplo, si algo sale mal con su sitio durante la actualización o su sitio web es pirateado, ¿cómo arreglará su sitio nuevamente? Probablemente pierda su sitio.

Pero si tiene copias de seguridad de su sitio, puede restaurar fácilmente su sitio antes del punto en que fue pirateado o colapsado.

Es por eso que le recomendamos encarecidamente que utilice un complemento de copia de seguridad confiable de WordPress. Sin embargo, muchas empresas de hosting ofrecen copias de seguridad gratuitas del sitio web, pero pueden garantizar la disponibilidad de su sitio si se produce una falla catastrófica. Por lo tanto, debe guardar las copias de seguridad en una ubicación remota como Google Drive, Amazon S3, Dropbox, etc.

Afortunadamente, esto se puede hacer usando BlogVault o BackUpBuddy WordPress Backup Plugin. Ambos ofrecen copias de seguridad diarias y restauración con un solo clic. También puede crear un sitio de prueba sin costo adicional.

Volver arriba

9. Use el complemento de seguridad de WordPress

Lo siguiente que necesita para fortalecer su seguridad de WordPress es un complemento de seguridad. Hay muchos complementos de seguridad de WordPress disponibles que bloquearán su sitio de piratas informáticos y malware.

Los complementos de seguridad de WordPress detectarán y eliminarán el malware si está presente en su sitio. Además, monitorean la actividad del usuario en tiempo real, te notifican si algo ha cambiado, si un complemento contiene malware, bloquean el tráfico de spam y mucho más.

Recomendamos el complemento de seguridad Securi WordPress. Securi Security ofrece un tipo diferente de características de seguridad, como auditoría de actividad de seguridad, monitoreo de sitios web, firewall de sitios web y muchos más.

Lo mejor de Securi es que si su sitio es pirateado o incluido en la lista negra de Google mientras usa su servicio, garantizan que lo arreglarán.

La mayoría de los expertos en seguridad de WordPress cobran más de $300 por reparar un sitio pirateado, mientras que usted obtendrá todos los servicios de seguridad por solo $199 al año. Es una buena inversión para reforzar la seguridad de WordPress.

Volver arriba

10. Cerrar sesión automáticamente de usuarios inactivos

Si un usuario permanece inactivo o inactivo en su sitio durante demasiado tiempo, esto puede provocar un ataque de fuerza bruta.

Cuando un usuario permanece inactivo durante demasiado tiempo, los piratas informáticos pueden usar cookies o un método de secuestro de sesión para obtener acceso no autorizado a su sitio web. Es por eso que la mayoría de los sitios web relacionados con la educación y las finanzas, como los sitios web de bancos y pasarelas de pago, utilizan la función de tiempo de espera de la sesión del usuario. Entonces, cuando un usuario sale de la página y no interactúa después de un período de tiempo, el sitio web automáticamente cierra la sesión del usuario inactivo.

La misma función que puede agregar a su sitio de WordPress para mejorar su seguridad de WordPress. Agregar automáticamente el cierre de sesión de usuarios inactivos en WordPress es extremadamente simple. Todo lo que necesitas para instalar un plugin.

Primero, descargue e instale el complemento de WordPress de cierre de sesión inactivo. Luego actívelo y vaya a Configuración> Cerrar sesión inactivo para configurar el complemento.

Desde la configuración, puede cambiar el tiempo de inactividad. Entonces, después del tiempo, todos los usuarios en su sitio se cerrarán automáticamente.

También puede cambiar el mensaje de tiempo de espera inactivo y modificar otras configuraciones si es necesario.

Una vez hecho esto, haga clic en Guardar cambios para almacenar la configuración.

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo cerrar automáticamente la sesión de los usuarios inactivos en WordPress

Volver arriba

11. Agregar preguntas de seguridad a la página de inicio de sesión de WordPress

Al agregar preguntas de seguridad a su página de inicio de sesión de WordPress, no solo protegerá su página de inicio de sesión de WordPress sino que también fortalecerá la seguridad de WordPress.

La pregunta de seguridad agrega una capa adicional de seguridad para autenticar aún más su identidad durante el inicio de sesión. Esto es muy útil si está ejecutando un blog de WordPress de varios autores.

Si alguno de sus usuarios o su contraseña ha sido robado, entonces la pregunta de seguridad puede salvarle la vida.

Porque el nombre de usuario y la contraseña se pueden piratear fácilmente, pero optar por la pregunta y la respuesta de seguridad correctas es casi imposible. De esta manera, puede proteger su página de inicio de sesión de WordPress de piratas informáticos y ataques de fuerza bruta.

Para agregar una pregunta de seguridad en la página de inicio de sesión de WordPress, instale el complemento WP Security Question.

Una vez activado, vaya a Preguntas de seguridad de WP > Configuración del complemento para configurar el complemento.

De forma predeterminada, el complemento tiene muchas preguntas comunes agregadas. Pero puede agregar o eliminar cualquier pregunta de seguridad de la lista.

En la parte inferior, puede habilitar la pregunta de seguridad en la página de inicio de sesión, registro y página de contraseña olvidada. Después de configurar el complemento, no olvide hacer clic en Guardar configuración .

Nota: Solo los usuarios nuevos pueden configurar su pregunta y respuesta de seguridad durante el registro. Por lo tanto, los usuarios registrados deben configurar manualmente su propia pregunta y respuesta de seguridad. También puede establecer una pregunta de seguridad y una respuesta para ellos. Esto se puede hacer desde la página de perfil de usuario .

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo agregar preguntas de seguridad a la página de inicio de sesión de WordPress

Volver arriba

12. Cambie el nombre de usuario "Administrador" predeterminado

Después de instalar WordPress, puedes cambiar tu contraseña tantas veces como quieras. Pero, ¿puedes cambiar tu nombre de usuario una vez que esté configurado? No, ¿verdad?

Por defecto, WordPress no permite a los usuarios cambiar el nombre de usuario. Pero, ¿por qué deberías cambiarlo?

Si está utilizando un nombre de usuario muy común como "admin", los piratas informáticos pueden ejecutar la conexión de fuerza bruta con la ayuda de su nombre de usuario.

Pero no se asuste. Hay varias formas de cambiar tu WordPress fácilmente.

Sin embargo, para facilitar el proceso, utilizaremos un complemento. Primero, descargue e instale el complemento de cambio de nombre de usuario. Luego vaya a Usuarios> Su perfil y busque la opción de nombre de usuario. Allí encontrarás la opción “ Cambiar nombre de usuario ”.

Haga clic en el botón Cambiar nombre de usuario e ingrese su nuevo nombre de usuario. Una vez hecho esto, haz clic en Actualizar perfil .

Si desea cambiar su nombre de usuario manualmente (sin complemento), consulte el artículo 3 formas diferentes de cambiar el nombre de usuario de WordPress.

Volver arriba

13. Asigne usuarios al rol más bajo posible

Si está ejecutando un sitio de WordPress de varios autores, debe tener cuidado antes de asignar un rol a un usuario.

Muchas veces, los propietarios de sitios de WordPress asignan un rol de usuario más alto a los nuevos usuarios, de esta manera les otorga todos los privilegios a los usuarios y, como resultado, cualquier usuario puede realizar cualquier tarea que desee.

Por ejemplo, si no sabe qué función de usuario de Editor puede realizar y asigna la función a un usuario normal, entonces el usuario puede eliminar todas sus publicaciones, editar enlaces, crear publicaciones de spam, agregar enlaces maliciosos en su blog. publicaciones Así es como un usuario puede arruinar fácilmente su sitio web.

De forma predeterminada, WordPress viene con 5 roles de usuario diferentes.

• Administrador
• Editor
• Autor
• Contribuyente
• Abonado

1. Administrador: los administradores son el rol de usuario más poderoso en un sitio de WordPress. Pueden crear, editar y eliminar una cuenta de usuario, pueden realizar cualquier tarea en el panel de administración de WordPress, tener control sobre todo el área de contenido y también moderar los comentarios.
2. Editor: los usuarios con el rol de Editor tienen el control total sobre todo el contenido. Pueden crear, editar y eliminar cualquier publicación, incluidas las publicaciones creadas por otros usuarios. También pueden moderar comentarios y modificar enlaces.
3. Autor: los autores solo pueden publicar, editar o eliminar sus propias publicaciones. Pueden cargar archivos multimedia para usar en sus publicaciones. Pueden ver los comentarios, pero no pueden aprobarlos ni eliminarlos.
4. Colaborador: los usuarios con el rol de Colaborador solo pueden escribir, editar o eliminar su propia publicación no publicada, pero no pueden publicar su propia publicación.
5. Suscriptor: los suscriptores solo pueden editar la información de su cuenta, incluida la contraseña, pero no tienen acceso al contenido ni a la configuración del sitio. Tienen las capacidades más bajas en un sitio de WordPress.

Al comprender los roles de usuario de WordPress, puede administrarlos fácilmente sin ningún riesgo.

También le recomendamos que configure el Rol predeterminado de nuevo usuario como Suscriptor. Vaya a Configuración> Configuración general y desde su conjunto Nuevo rol predeterminado de usuario - Suscriptor y haga clic en Guardar cambios .

Para obtener más detalles, lea la Guía para principiantes sobre funciones y capacidades de usuario de WordPress

Volver arriba

14. Supervise los cambios de archivos y las actividades de los usuarios

Otra forma inteligente de fortalecer la seguridad de WordPress es monitorear las actividades de los usuarios y los cambios de archivos.

Si está ejecutando un sitio de WordPress para múltiples usuarios, debe realizar un seguimiento del comportamiento del usuario para comprender mejor cuáles son sus actividades en todo su sitio de WordPress.

¿Quién sabe si un usuario está haciendo algún trabajo sospechoso o está intentando piratear su sitio web? ¿Cómo puedes saber eso?

La única forma de rastrear las actividades de los usuarios y los cambios en los archivos es mediante el uso de un complemento de WordPress de actividad del usuario. Al usar un complemento de actividad de usuario en WordPress, puede:

• ver quién está conectado y qué están haciendo en tiempo real
• cuando un usuario inicia y cierra sesión
• cuántas veces un usuario intentó iniciar sesión pero falló

Además, si un editor realizó algún cambio en una publicación o página sin su permiso, puede encontrarlo fácilmente y revertirlo. Lo bueno de un complemento de actividad del usuario es que le envía instantáneamente una notificación por correo electrónico si algo sale mal.

WP Security Audit Log es el mejor complemento para monitorear las actividades de los usuarios y los cambios de archivos en tiempo real. Aquí hay una captura de pantalla debajo de cómo funciona el complemento.

Lea también, 5 mejores complementos para monitorear la actividad del usuario en WordPress (complementos alternativos)

Volver arriba

15. Implementar SSL y HTTPS

La seguridad de WordPress no se puede mejorar sin un certificado SSL. Un SSL (Secure Socket Layer) es la columna vertebral de la seguridad del sitio web.

SSL es una tecnología de seguridad estándar que crea enlaces cifrados entre un servidor y un navegador web en una comunicación en línea, como una transacción en línea. Entonces, todos los datos confidenciales como contraseñas, detalles de tarjetas de crédito, etc. pasan a través de enlaces encriptados.

Si tiene un negocio en línea o un blog donde acepta pagos, entonces un certificado SSL es imprescindible. Mantendrá los datos de su cliente a salvo de los piratas informáticos. Para las tiendas en línea o los sitios de WooCommerce, los costos del certificado SSL cuestan alrededor de $ 20- $ 170.

En caso de que esté ejecutando un blog de WordPress, entonces no necesita un certificado SSL pagado. Si está utilizando alojamiento cPanel como SiteGround, WPEngine, puede instalar el certificado SSL de forma gratuita con solo un clic.

Primero, inicie sesión en su cuenta cPanel de alojamiento y navegue hasta Seguridad . (Aquí hay una captura de pantalla a continuación de SiteGround alojando cPanel).

Vaya al Administrador de SSL/TLS y haga clic en Instalar certificado SSL . Desde la página, seleccione su dominio y haga clic en Autocompletar por dominio . El proceso es automático por lo que no necesitas editar ni modificar nada.

Ahora haga clic en el botón Instalar certificado para finalizar el proceso de configuración.

Una vez hecho esto, inicie sesión en su panel de administración de WordPress para modificar la URL de su sitio. Vaya a Configuración> General y agregue reemplazar HTTP con HTTPS antes de la URL de su sitio. Aquí hay una captura de pantalla a continuación.

Una vez actualizado, haga clic en Guardar cambios .

Cómo redirigir HTTP a HTTPS en WordPress

Si ha instalado correctamente el certificado SSL, entonces se puede acceder a su sitio con HTTPS.

Pero si alguien escribe solo el nombre de su sitio web (es decir, dominio.com) en la barra de direcciones del navegador, entonces el sitio puede mostrar el mensaje " La conexión no es segura ". Eso significa que su sitio es accesible con HTTP.

Para solucionar el problema, debe forzar HTTPS en WordPress, por lo que su sitio solo se cargará con HTTPS. Puede forzar HTTPS fácilmente en WordPress.

Primero inicie sesión en su cPanel de alojamiento y vaya a la carpeta raíz de su sitio web y busque el archivo .htaccess . Edite el archivo .htaccess y al final agregue el siguiente código.

Motor de reescritura encendido
RewriteCond %{HTTPS} de descuento
Regla de reescritura ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Guarda el archivo y listo. Ahora solo se puede acceder a su sitio web con HTTPS.

Si su proveedor de alojamiento web no proporciona un certificado SSL gratuito, puede instalar un certificado SSL manualmente. Aquí está la guía sobre cómo instalar un certificado SSL gratuito.

Volver arriba

16. Eliminar temas y complementos no utilizados

Cuando se trata de fortalecer la seguridad de WordPress, no debemos ignorar ningún pequeño paso que pueda hacer que su sitio sea vulnerable.

La mayoría de las veces, los propietarios de sitios de WordPress instalan diferentes temas y complementos para probar qué tema se ve mejor en su sitio o qué complemento tiene más funcionalidad. Está bien. Pero mantener esos temas y complementos no utilizados hace que su sitio sea vulnerable.

Porque mantener muchos temas y complementos de WordPress necesita actualizarse regularmente como el que está utilizando. Si no los actualiza, se vuelven vulnerables y los piratas informáticos pueden explotar fácilmente su sitio a través de los temas y complementos vulnerables. Además, mantener tantos temas y complementos hace que el sitio de WordPress sea más lento.

Por lo tanto, siempre debe eliminar los temas y complementos no utilizados para mejorar el rendimiento del sitio y la seguridad de WordPress.

Para eliminar un complemento no utilizado, vaya a Complementos> Complementos instalados . Luego busque el complemento que ya no necesita. Primero, desactive el complemento y haga clic en Eliminar .

Del mismo modo, para eliminar un tema, ve a Apariencia > Temas y haz clic en Detalles del tema . Luego, en la parte inferior del lado derecho, haz clic en Eliminar .

Volver arriba

17. Deshabilitar la edición de archivos en el panel de WordPress

De forma predeterminada, WordPress permite a los usuarios editar archivos de temas y complementos directamente desde el panel de control de WordPress. Esta es una opción útil para los usuarios que con frecuencia necesitan editar el tema y el archivo del complemento.

Sin embargo, mantener esta función habilitada puede ser un grave problema de seguridad. Si los piratas informáticos acceden a su sitio web, generalmente dejan su huella al inyectar un código malicioso en los archivos del sitio web. Si su función de edición de archivos de WordPress está habilitada, los piratas informáticos pueden inyectar fácilmente código malicioso en su tema o archivo de complemento que usted desconoce.

Para mejorar la seguridad de WordPress, debe deshabilitar la función de edición de archivos desde su panel de control de WordPress. Deshabilitar el tema de WordPress y el editor de complementos en WordPress es un proceso muy fácil.

Primero, debe iniciar sesión en su cuenta cPanel de alojamiento e ir a la carpeta raíz de su sitio de WordPress. Desde allí, busque wp-config.php. Haga clic en editar y agregue el siguiente código al final.

define ('DESHACER_ARCHIVO_EDITAR', verdadero);

Ahora guarde el archivo y actualice su tablero de WordPress. Verás que la opción de editor de temas y complementos ha desaparecido. Con este pequeño truco, puedes mejorar fácilmente la seguridad de WordPress.

Lea la guía detallada sobre cómo deshabilitar el editor de temas y complementos en WordPress

Volver arriba

18. Proteger con contraseña la página de inicio de sesión de WordPress

Otra excelente manera de mejorar la seguridad de WordPress es proteger con contraseña la página de inicio de sesión de WordPress.

Al proteger con contraseña su inicio de sesión de WordPress (/wp-login.php) o la página de administración (/wp-admin), puede evitar que los piratas informáticos accedan a su página de inicio de sesión porque requiere una contraseña para acceder a la página de inicio de sesión. Una vez habilitada esta función, su sitio solicitará a todos los usuarios que accedan a la página de inicio de sesión una ventana de nombre de usuario y contraseña. En resumen, todos los usuarios deben iniciar sesión dos veces con un nombre de usuario y una contraseña diferentes antes de acceder a su panel de administración de WordPress.

Al hacerlo, puede fortalecer su seguridad de WordPress y agregar una capa adicional de seguridad a su página de inicio de sesión.

Lea nuestra guía detallada sobre cómo proteger con contraseña la página de inicio de sesión de WordPress.

Volver arriba

19. Deshabilitar la exploración de directorios en WordPress

De forma predeterminada, la mayoría de los servidores web como Apache, NGINX y LiteSpeed ​​permiten a cualquier usuario navegar por los directorios que contienen archivos y carpetas de WordPress. También pueden ver qué tema y complementos está utilizando y saber más sobre la estructura de su sitio web.

Esta información puede hacer que su sitio de WordPress sea vulnerable y ayudar a un pirata informático cuando intente comprometer su sitio.

Para mejorar la seguridad de WordPress, le recomendamos que deshabilite esta opción. Para deshabilitar la exploración de directorios en WordPress, simplemente agregue la siguiente línea a su archivo .htacces .

Opciones Todos -Índices

Para obtener instrucciones detalladas, lea nuestra guía sobre cómo deshabilitar la exploración de directorios en WordPress

Volver arriba

20. Elimina tu versión de WordPress

De forma predeterminada, WordPress agrega automáticamente metaetiquetas en diferentes ubicaciones que muestran la versión de WordPress que está utilizando.

Aquí está la cosa: si los piratas informáticos saben que está ejecutando una versión obsoleta de WordPress, pueden explotar su sitio a través de las vulnerabilidades conocidas que están presentes en la versión anterior de WordPress.

Así que es mejor que elimines tu versión de WordPress para mejorar la seguridad de WordPress. Hay varios lugares donde WordPress agrega las etiquetas meta como, en el tablero de WordPress, en el encabezado, en estilo y javascript y en la fuente RSS.

Eliminando la versión de WordPress del encabezado y RSS

Para eliminar la versión del encabezado y RSS, agregue la siguiente línea al final de su archivo functions.php .

función remove_wordpress_version() {
devolver '';
}
add_filter('el_generador', 'remove_wordpress_version');

Eliminando el número de versión de WordPress de Scripts y CSS

Para eliminar la versión de WordPress del CSS y los scripts, agregue la siguiente línea al final de su archivo functions.php .

// Elija el número de versión de scripts y estilos
función remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
devolver $origen;
}
add_filter('style_loader_src', 'remove_version_from_style_js');
add_filter('script_loader_src', 'remove_version_from_style_js');

Una vez hecho esto, guarde el archivo functions.php .

Eso es todo. Con este sencillo truco, seguro que puedes mejorar la seguridad de tu WordPress. Sin embargo, siempre le recomendamos que actualice regularmente su versión de WordPress, así como el tema y los complementos.

Para obtener instrucciones detalladas, lea nuestra guía sobre cómo ocultar o eliminar la versión de WordPress

Volver arriba

21. Cambiar el prefijo de la tabla de la base de datos de WordPress

Durante la instalación de WordPress, le pregunta si desea utilizar un prefijo de base de datos diferente. Por lo general, omitimos este paso, por lo que WordPress usa automáticamente (WP_) como prefijo de tabla de base de datos predeterminado. Te recomendamos cambiarlo por algo fuerte y único.

El uso del prefijo predeterminado (WP_) hace que su base de datos de WordPress sea susceptible a ataques de inyección SQL. Dichos ataques se pueden prevenir cambiando el prefijo de la base de datos (WP_) a algo único.

Después de instalar WordPress, puede cambiar fácilmente el prefijo de la tabla de la base de datos predeterminada utilizando complementos o manualmente. Los complementos como BackupBuddy, Brozzme DB Prefix le permiten cambiar el prefijo de la tabla con solo un clic.

Por el bien del tutorial, muestro cómo cambiarlo usando el complemento Brozzme DB Prefix.

Nota: Antes de hacer algo con su base de datos, asegúrese de hacer una copia de seguridad de su sitio y base de datos. En caso de que algo salga mal, puede restaurar su sitio.

Primero, instale y active el complemento Brozzme DB Prefix. Desde su tablero de WordPress, vaya a Herramientas> Prefijo DB e ingrese un nuevo nombre único para el prefijo de la base de datos.

Una vez ingresado su nuevo prefijo, haga clic en Cambiar prefijo DB .

Para el proceso manual, lea cómo cambiar el prefijo de la tabla de la base de datos usando phpMyAdmin

Volver arriba

22. Use solo complementos de WordPress confiables

WordPress viene con más de 48,000 complementos. Eso no significa que todos los complementos sean útiles y seguros de usar.

Porque hay muchos complementos disponibles en la galería de complementos de WordPress que no se actualizan desde hace mucho tiempo y, por lo general, se vuelven vulnerables. Además, no obtendrá ningún soporte si el complemento rompe su sitio.

Antes de usar cualquier complemento gratuito, debe verificar dos cosas importantes:

• Verifique cuándo se actualizó por última vez el complemento: si el complemento no se actualiza con frecuencia o el desarrollador del complemento ya no lo mantiene, entonces debe evitar el complemento.

• Verifique si el complemento tiene calificaciones positivas máximas: Lo siguiente que debe verificar es si el complemento tiene calificaciones positivas o negativas máximas. Si el complemento tiene calificaciones negativas máximas, no debe usarlo.

También puede consultar la página de Reseñas y soporte del complemento para ver lo que otros usuarios dicen sobre el complemento.

Pero no te preocupes. Hay muchos complementos similares disponibles que puede encontrar en la galería de complementos de WordPress.

Si desea utilizar un complemento premium, entonces no necesita preocuparse por eso. Los complementos premium se actualizan regularmente y obtendrá soporte las 24 horas del desarrollador del complemento.

Volver arriba

23. Deshabilitar el informe de errores de PHP

Otra excelente manera de fortalecer la seguridad de WordPress es deshabilitar el informe de errores de PHP en WordPress. Muchas veces, cuando instala un complemento o tema desactualizado, es posible que vea la advertencia de error de PHP.

Sin embargo, puede hacer que su sitio sea vulnerable si los piratas informáticos lo obtienen, ya que muestra el código y la ubicación del archivo. Para minimizar el riesgo, puede deshabilitar el informe de errores de PHP en WordPress.

Deshabilitar la advertencia de error de PHP en WordPress es muy fácil. Primero, edite su archivo wp-config.php y busque la línea que tiene este código:

define('WP_DEBUG', falso);

Es posible que vea "verdadero" en lugar de "falso". Ahora reemplace la línea con el siguiente código.

ini_set('mostrar_errores','Desactivado');
ini_set('error_reporting', E_ALL );
define('WP_DEBUG', falso);
define('WP_DEBUG_DISPLAY', falso);

Guarda el archivo y listo.

También le recomendamos que utilice complementos actualizados y bien calificados para evitar este tipo de problemas.

Volver arriba

24. Agregue encabezados HTTP seguros a WordPress

Otra excelente manera de fortalecer la seguridad de WordPress es agregar encabezados seguros HTTP a su sitio de WordPress.

Cuando alguien accede a su sitio web, el navegador realiza una solicitud a su servidor web. Luego, el servidor web responde con las solicitudes junto con los encabezados HTTP. Estos encabezados HTTP pasan información como codificación de contenido, control de caché, tipo de contenido, conexión, etc.

Al agregar encabezados de respuesta HTTP seguros, puede mejorar la seguridad de WordPress y también evitar ataques y vulnerabilidades de seguridad.

Aquí están los encabezados HTTP a continuación:

• HTTP Strict Transport Security (HSTS) : HTTP Strict Transport Security (HSTS) obliga al navegador web a usar solo conexiones seguras (HTTPS) cuando se comunica con un sitio web. Esto evita la piratería del protocolo SSL, el secuestro de cookies, la eliminación de SSL, etc.
• X-Frame-Options : X-Frame-Options es un tipo de encabezado HTTP que especifica si un navegador puede o no mostrar un sitio web en un marco. Esto evita los ataques de secuestro de clics y garantiza que su sitio web no se incruste en otros sitios web mediante <frame>.
• Protección X-XSS : la protección X-XSS es una característica integrada de los navegadores Internet Explorer, Google Chrome, Firefox y Safari que bloquean la carga de las páginas si se ha insertado un script malicioso desde una entrada del usuario.
• X-Content-Type-Options : X-Content-Type-Options es un tipo de encabezado de respuesta HTTP con el valor nosniff que evita que los navegadores web MIME detecten una respuesta del tipo de contenido declarado.
• Referrer-Policy: la política de referencia es un encabezado de respuesta HTTP que evita la fuga de referencia entre dominios.

Para agregar encabezados seguros HTTP en WordPress, simplemente agregue las siguientes líneas de código en su archivo .htaccess .

Encabezado establecido Strict-Transport-Security "max-age=31536000" env=HTTPS
El encabezado siempre agrega X-Frame-Options SAMEORIGIN
Conjunto de encabezado X-XSS-Protection "1; modo = bloque"
Conjunto de encabezado X-Content-Type-Options nosniff
Encabezado Referrer-Policy: no-referrer-when-downgrade

Ahora vaya a securityheaders.com para verificar si los códigos funcionan o no. No hemos agregado "Política de seguridad de contenido" porque puede dañar su sitio. Sin embargo, es suficiente para que su sitio de WordPress sea seguro.

Volver arriba

Conclusión

Hay muchas maneras en que puede fortalecer la seguridad de WordPress , como: usar un alojamiento de WordPress administrado, usar contraseñas seguras para las cuentas, monitorear las actividades de los usuarios, usar un complemento de seguridad de WordPress, implementar SSL y HTTPS y muchos más.

Reforzar la seguridad de WordPress no es ciencia espacial. Puede proteger fácilmente su sitio de WordPress implementando las mejores prácticas de seguridad de WordPress que compartimos en este artículo. Al implementarlos, no solo protegerá su sitio de WordPress, sino que también evitará que los piratas informáticos accedan a su sitio.

Una vez hecho esto, no tendrá que preocuparse por la seguridad de su WordPress. Además, puede ser más productivo y libre de tensión.

AHORA es tu turno . Lea el artículo detenidamente e impleméntelos en su sitio. Estarás feliz de haberlo hecho.

¿Nos hemos perdido algún consejo importante de seguridad de WordPress para mencionar aquí? no dude en hacérnoslo saber en la sección de comentarios.

Infografía de seguridad de WordPress