10 consejos de seguridad poco conocidos para proteger sitios de WordPress

Introducción

Que te hackeen un blog y perder años y años de bloguear durante la noche es una triste realidad por la que realmente puedes pasar. De hecho, investigaciones muestran que 37,000 sitios web son hackeados todos los días.

Por si no lo sabías, WordPress está detrás de aproximadamente el 25.4% de todos los sitios web. Por ende, puedes estar seguro de que una gran cantidad de sitios de WordPress son hackeados todos los días.

La seguridad de WordPress es un juego al que debes prestar mucha atención. una vez que posees un blog de WordPress, debe seguir consejos muy triviales, pero de suma importancia. Aunque a veces, tener un nombre de usuario y contraseñas difíciles de adivinar no son suficientes.

Un solo tema con errores, el plugin incorrecto o un archivo protegido incorrectamente puede hacer que tu blog sea hackeado.

Este articulo te será útil, así no tengas experiencia con WordPress o, aunque hayas estado usando la plataforma desde su existencia.  Aquí te mencionaremos 10 formas prácticas y eficaces de asegurar tu blog de WordPress que cualquiera puede implementar.

No encontrarás la mayoría de estos consejos en artículos populares de “cómo proteger tu blog”, ¡pero podrían salvar tu blog algún día!

1. Deshabilitar el tema de WordPress y el editor de plugins

WordPress tiene una característica útil que brinda a los propietarios de sitios más flexibilidad al permitirles personalizar y editar sus temas y plugins. Lo puedes hacer directamente desde el panel de control de WordPress, pero esta característica ha sido la destrucción de muchos blogs.

Con esta característica, un pequeño error puede desactivar tu sitio y bloquearte de tu propio sitio web. Los ciberdelincuentes pueden insertar fácilmente código malicioso en tu tema para darles acceso de puerta trasera a tu sitio. Incluso pueden tomar el control de tu sitio por completo. Esto lo pueden lograr al obtener el control de una cuenta que tiene suficientes privilegios para usar el editor de temas y plugins.

Puedes protegerte deshabilitando el editor de temas y plugins, lo que hace imposible modificar tus temas y plugins sin acceso FTP.

Haz esto agregando el siguiente código a tu archivo wp-config.php:

2. Habilitar la autenticación de dos factores

La autenticación de dos factores se convirtió rápidamente en una de las formas más confiables para proteger tus cuentas en línea. Por ello, los sitios web más confiables insisten en que sus usuarios la habiliten.

Si bien WordPress no necesariamente tiene una autenticación de dos factores incorporada, puedes habilitar la autenticación de dos factores en tu blog instalando los siguientes plugins:

3. Limitar los inicios de sesión en función del número de intentos fallidos

Hay muchas maneras en que los ciberdelincuentes intentan obtener acceso a tu blog, y una de las técnicas más comunes utilizadas es un ataque de fuerza bruta.  El ciberdelincuente intenta una combinación de nombres de usuario y contraseñas, una y otra vez, hasta que pueda acceder con éxito a tu blog.

Por defecto, WordPress no está protegido contra este tipo de ataque. Pero puedes instalar plugins que limitan los inicios de sesión después de un cierto número de intentos fallidos de una IP en particular. Puedes hacer que sea mucho más difícil para los hackers obtener acceso a tu blog.

El plugin Jetpack Protect Module también puede protegerte de ataques de fuerza bruta.

4. Escanear regularmente tu blog

Los archivos de temas, plugins, enlaces y otros elementos aparentemente inofensivos se pueden utilizar para obtener acceso a tu blog. No esperes hasta que tu sitio web esté completamente infectado antes de tomar medidas.

Por ello, debes instalar plugins de seguridad que escanean regularmente tu sitio web y te notifican si tus archivos cambian.

Un buen ejemplo de un plugin de escaneo de seguridad es Wordfence. Además de darte la opción de escanear manual o automáticamente tu blog de WordPress, también te notifica instantáneamente cuando hay actividad sospechosa en tu blog.

También envía información sobre comentarios potencialmente maliciosos, y compara el tema y los archivos de plugins con el repositorio de WordPress. Lo anterior para informarte si tu versión de un plugin o tema se ha modificado. Estos pueden servir como una puerta trasera para los ciberdelincuentes en tu sitio.

Otros complementos de seguridad que pueden ayudarte a escanear tu blog en busca de malware y exploits son:

5. Cambiar tu proveedor de alojamiento web

Si bien esto parece un consejo simplista, en realidad tiene mucho peso. Investigaciones muestran que el 41% de los sitios web de WordPress vulnerados fueron hackeados a través de vulnerabilidades de seguridad en su plataforma de alojamiento. Esto es mucho más que de otras fuentes, incluso tener una contraseña débil.

Tu hosting puede desempeñar un papel importante en si serás hackeado o no. Asegúrate de elegir solo servidores web confiables que hayan superado la prueba del tiempo y que cumplan con las mejores prácticas de la industria.

6. Ocultar el número de versión de WordPress

Por defecto, WordPress muestra su número de versión. Esto facilita a WordPress hacer un seguimiento de cuántos blogs de WordPress están activos en todo el mundo. Sin embargo, esto también puede ser una gran fuente de problemas.

Los ciberdelincuentes y los bots pueden escanear la web en busca de blogs utilizando un número de versión de WordPress con una vulnerabilidad conocida. Esto lo que lo convierte en un objetivo fácil.

Puedes resolver fácilmente este problema ocultando el número de versión de WordPress. Para ocultar el número de versión de WordPress, simplemente agrega el siguiente código a tu archivo functions.php:

7. Deshabilitar los informes de error de PHP

Cuando un plugin o un tema no funciona bien en tu blog de WordPress, los informes de error de PHP pueden ayudarte. Estos muestran un mensaje que revela la causa del error.

Sin embargo, esta ventaja es una desventaja: cuando se informa un error de PHP, incluye la ruta completa del servidor del error. Esto revela información que los hackers pueden usar en tu contra.

Puedes protegerte deshabilitando los informes de errores de PHP. Simplemente agrega el siguiente código a su archivo wp-config.php:

8. Trabajar en tus permisos de archivos de WordPress

Cuando se trata de evitar que tu sitio de WordPress tenga vulnerabilidades de seguridad, es esencial asegurarte de tener los permisos de archivo correctos. Esto dificulta que un hacker manipule plugins, temas o archivos en tu servidor para tomar el control de tu sitio web.

Asegúrate de que los permisos de carpeta de WordPress estén configurados en 755 o 750. Los permisos de archivo se deben establecer en 640 o 644; y los permisos de wp-config.php deben establecerse en 600.

9. Realizar copias de seguridad regularmente

Incluso los grandes sitios web con un equipo de expertos en seguridad y consultores son hackeados. Si bien las mejores prácticas pueden hacer que tu sitio web sea más fuerte que otros sitios web, las cosas aún pueden salir mal.

La mejor seguridad que tienes contra los ataques de hacking de WordPress es una buena copia de seguridad. Asegúrate de realizar copias de seguridad de tu sitio de manera regular, si es posible, diariamente. De esta manera, si tu sitio web es hackeado, tiene tus archivos en su lugar y puedes restaurar las cosas de inmediato.

Estos son algunos de los mejores plugins de copias de seguridad de WordPress:

10. Limitar el acceso a tu página de inicio de sesión

Cuando se trata de protegerte, es posible que debas tomar alguna medida drástica. Una forma muy confiable de proteger tu blog de intentos de hacking es bloqueando completamente el acceso a tu página wp-admin y wp-login.php.

Esto solo se recomienda si usas una dirección IP que no cambia (¡no deseas bloquear tu blog!). Todavía puedes usar esta opción si usas más de una dirección IP, pero realizas un seguimiento de esas direcciones.

Para limitar el acceso a tu página de inicio de sesión, debes agregar el siguiente código a tu archivo .htaccess:

Asegúrate de editar desde Your IP address 1 Your IP address 5 con las diferentes direcciones IP a las que deseas dar acceso. Simplemente puedes agregar o eliminar una línea para permitir o evitar que más IP accedan a tu sitio.

Conclusión

Por supuesto, no debes ignorar los consejos básicos de seguridad. Entre estos el no usar un nombre de usuario predecible, tener una contraseña segura, actualizar tu instalación de WordPress regularmente, etc. No obstante, los que mencionamos aquí son algunos consejos de seguridad poco conocidos y a menudo ignorados. Si los pones en práctica pueden hacer que tu Blog de WordPress sea un poco más seguro.