Saltar al contenido principal

La seguridad de WordPress es un tema candente en la blogósfera actualmente. Los recientes ataques de botnet en una gran cantidad de sitios de WordPress tienen a algunas personas luchando por recuperar sus valiosos datos y usted debería actuar rápidamente para fortalecer su seguridad de WordPress.

Luego están aquellos que pensaron en el futuro y tomaron medidas antes de que fuera necesario. Lo más probable es que no hayan experimentado ningún problema debido a que se convirtieron en un objetivo difícil.

El hecho es este: aún cuando no existe un sitio 100% seguro, se puede disminuir la probabilidad de ser pirateado dedicando una pequeña cantidad de tiempo a hacer que su sitio sea más seguro que el 99% de los demás. Con eso en mente, en esta publicación lo llevaré a través de de un proceso simple de cinco pasos que convertirá su sitio de un objetivo suave a una cookie realmente dura.

Paso 1: Actualiza todo

Los items obsoletos en su sitio representan riesgos potenciales de seguridad, dado que los piratas informáticos pueden utilizarlos para abrirse camino en el backend de su sitio. Por eso es tan importante mantener todo actualizado.

Y cuando digo todo, yo media todo:

  • El núcleo de WordPress
  • Temas
  • Complementos

Los temas y complementos desactivados al mismo tiempo deben mantenerse actualizados; su mera presencia en su sitio los convierte en un riesgo potencial para la seguridad, por lo que debe mantenerlos actualizados para fortalecer la seguridad de WordPress.

core-theme-and-plugin-updates-free-5066637

¿No inicias sesión con mucha frecuencia? No se preocupe, puede usar un complemento como el (*5*)Administrador de actualizaciones fácil para habilitar actualizaciones automáticas para su núcleo, tema y complementos de WordPress. Al mismo tiempo hay toneladas de configuraciones avanzadas integradas para personalizar sus actualizaciones y registros para ver qué se ha actualizado y cuándo.

Mucha gente llegará hasta aquí y posteriormente se detendrá, pero de hecho hay un paso más que debe tomar: debe considerar seriamente borrar cualquier tema y complemento de su sitio que no se haya actualizado recientemente. Puede monitorear fácilmente cuándo se actualizaron los complementos por última vez con el complemento Última actualización. Esto agrega la fecha de Última actualización a su lista de complementos en el back-end (que posiblemente debería mostrarse de forma predeterminada).

En términos generales, diría que cualquier complemento que no se haya actualizado en los últimos doce meses debe considerarse para su eliminación.

Paso 2: Haga una copia de seguridad de todo (y con regularidad)

Sé que es una sugerencia obvia, pero sería negligente por mi parte no incluir copias de seguridad de WordPress. El simple hecho es que pocas cosas (si es que hay alguna) son más importantes para la seguridad de su sitio.

Si su sitio está sujeto a un ataque realmente destructivo (que es siempre viable), su última línea de defensa es una copia de seguridad reciente. Esto significa que incluso si ocurriera lo peor, aún tendrá algo a lo que recurrir. Si tu no Mantenga copias de seguridad regulares, posteriormente, para ser franco, está jodido.

Existe una enorme cantidad de soluciones de respaldo, pero mi primera sugerencia sería elegir un proveedor de alojamiento que incluya respaldos automáticos dentro de su servicio. Si usted es víctima de un intento de piratería que daña su sitio, entonces debería encontrar que su proveedor es rápido para restaurar el sitio a su gloria anterior.

vaultpress-wp-security-3010253

Más allá de eso, las opciones de la crema de la cosecha son VaultPress y BackupBuddy. Cuestan dinero, pero mi consejo es Nunca escatima en su solución de respaldo. Personalmente, soy un usuario de VaultPress (del mismo modo que R Marketing Digital); ofrecen una solución de respaldo integral, así como funciones de seguridad adicionales.

Paso 3: cambie su nombre de usuario predeterminado

Si todavía está usando el perfil «administrador» predeterminado que venía empaquetado con su instalación de WordPress, ahora es el momento de cambiar.

¿Por qué? Debido a que el primer paso para cualquier intento de inicio de sesión por fuerza bruta es intentar iniciar sesión con el nombre de usuario «admin» y posteriormente ejecutar una enorme cantidad de intentos de contraseña para obtener la entrada. Si crea un nombre de usuario más exclusivo, detiene este intento de piratería en seco.

Cambiar de perfil y todo lo que está potencialmente asociado con él (transferir la propiedad de las publicaciones, etc.) puede parecer una tarea bastante abrumadora, pero es un paso importante para proteger su sitio y es mucho más fácil de lo que parece. Visite YouTube para obtener tutoriales si desea orientación adicional.

Paso 4: cree una contraseña segura única (y cámbiela normalmente)

La mayoría de las personas son lo suficientemente inteligentes en estos días como para entender que su contraseña no debe ser «contraseña». Lo que pueden no Lo que sabemos es que los intentos de hackeo por fuerza bruta intentarán un número asombroso de combinaciones de contraseñas en un intento de acceder a sitios web. Si su contraseña tiene sentido o es de alguna manera predecible (a modo de ejemplo, está formada por palabras reconocibles o patrones numéricos), su sitio está en riesgo.

En realidad, existen tres reglas de oro para la generación de contraseñas de mejores prácticas:

  1. Debe ser verdaderamente aleatorio y único
  2. Debe usarse solo una vez (dicho de otra forma, no en varios sitios)
  3. Debe cambiarse de forma periódica (a modo de ejemplo, al menos al menos una vez al mes)

Si sigue estas tres reglas, su sitio será mucho más seguro. En términos de generar contraseñas verdaderamente aleatorias, puede usar un generador en línea gratuito, como le recomiendo que se registre para obtener una cuenta gratuita con Ultimo pase y utilice ese servicio para (a) generar y (b) almacenar todas sus contraseñas.

Paso 5: Instale la protección del complemento

Existe una gran cantidad de complementos que pretenden aumentar la seguridad de su sitio. La mera elección puede ser abrumadora, pero voy a cortar la basura y recomendar lo que considero que es el complemento más simple y efectivo para su uso.

wordfence-security-firewall-mal-scan-5089337

Ese complemento es Wordfence: un complemento gratuito popular y altamente calificado. Incluye una amplia variedad de funciones de seguridad, que incluyen (pero no se limitan a):

  • Un cortafuegos
  • Protección de IP maliciosa
  • Escaneos de puerta trasera
  • Escaneos de malware
  • Seguridad de inicio de sesión mejorada

Aunque Wordfence es un modelo freemium y dispone de una versión de pago con más opciones, el plugin en sí y el servicio básico no le cuesta nada. Instalar esto en su sitio es una obviedad.


En realidad, solo estoy rascando la superficie aquí. Aunque llevar a la práctica las medidas de seguridad anteriores ayudará a fortalecer la seguridad de WordPress por encima de la gran mayoría de los demás, siempre hay más que puede hacer y siempre existe la posibilidad de que de todos modos te pirateen.

En esta publicación he cubierto formas simples de fortalecer la seguridad de WordPress. Si los ha implementado todos y todavía tiene ganas de más, le aconsejo que comience por consultar la página de seguridad oficial de WordPress en el (*5*)Códice de WordPress.org.

Ahora es su turno; me encantaría saber qué recomendaciones simples tiene para reforzar la seguridad de WordPress. Podrían ser simples consejos y trucos, sugerencias de complementos o incluso un servicio premium recomendado como el mencionado VaultPress. ¡Dispara en la sección de comentarios!

R Marketing Digital