Seguridad de WordPress: la guía definitiva para proteger su sitio de WordPress de los piratas informáticos en 2023

por Passy | Seguridad

¿Necesita encontrar consejos de seguridad de WordPress? Aquí está la guía experta sobre seguridad de WordPress para proteger sus sitios de los piratas informáticos en 2023 y más allá.

¿Sabías que en promedio, más de 30 nuevos sitios web son pirateados Cada día ?

Casi el 60% de los sitios de WordPress pirateados se debieron a complementos comprometidos.

sitios de wordpress pirateados

WordPress es un blanco fácil para los piratas informáticos debido a contraseñas débiles y vulnerabilidades de complementos.

La mayoría de los principiantes no saben cómo proteger sus sitios web y la mayoría de ellos ni siquiera piensan en proteger sus sitios de WordPress. Si eres uno de ellos, estás en peligro.

Hace algún tiempo, los piratas informáticos robaron algunos enlaces de los resultados de los motores de búsqueda. Se inyectó un script de puerta trasera malicioso en algunos de los archivos de mi blog para robar vínculos de retroceso. Esto fue muy doloroso para nosotros, no sólo porque costó mucho dinero, sino también porque finalmente provocó que las ventas del blog cayeran.

No fue hasta que ocurrió el ataque de seguridad en BlogPasCher que comenzamos a tomar más precauciones para proteger los sitios de WordPress.

Si también es una de esas personas que nunca se molestó en proteger los sitios de WordPress, deje de perder el tiempo y proteja sus sitios de WordPress lo antes posible. De lo contrario, los piratas informáticos también podrían robar los enlaces de su blog.

Dicho esto, este artículo detallado está escrito con el objetivo de proteger sus sitios de WordPress de los piratas informáticos que roban sus vínculos de retroceso, datos o contraseñas. Entremos en los detalles sin más preámbulos.

Indice

Cómo proteger sus sitios de WordPress de los piratas informáticos

consejos de seguridad para WordPress

Proteja sus sitios de WordPress contra malware y virus

Ésta es la razón por la que nuestro blog fue pirateado. Este fue un ataque de malware, que consistió en un script de puerta trasera insertado en uno de los archivos de nuestro blog para robar más de 100 enlaces. El problema ya está resuelto y mi blog está completamente protegido contra ataques.

Esto también puede suceder con su blog y nunca se sabe quién pirateará su sitio inyectando archivos incorrectos en las carpetas de su sitio web.

Le recomendamos encarecidamente que instale el complemento de seguridad antimalware de WordPress, ya que puede proteger sus sitios de WordPress contra todo malware y virus.

Este complemento ejecuta un análisis total de archivos de su sitio web para eliminar automáticamente todos los hilos de seguridad y scripts de puerta trasera (si tiene alguno). Esto también protegerá su blog de vulnerabilidades conocidas.

Estas son algunas de las características de este complemento de seguridad de WordPress.

  • Protege su blog contra amenazas conocidas.
  • También ayuda a prevenir vulnerabilidades de conexión.
  • Lo protege de scripts de puerta trasera.
  • Esto limitará el acceso de otras personas a los scripts .htaccess.
  • También brinda más protección a los exploits de Timthumb.

Si desea proteger sus blogs de ataques de malware, definitivamente debería instalar el complemento anterior.

Protegido contra ataques de fuerza bruta de WordPress

El ataque Bruce Force es la forma más fácil para que los piratas informáticos obtengan acceso a sus sitios de WordPress. Este es un ataque para adivinar contraseñas que generalmente tiene como objetivo robar todos sus datos o vínculos de retroceso de sus sitios.

Si no está preparado para luchar contra estos ataques, sus sitios de WordPress podrían ser pirateados fácilmente.

Esto es lo que parece;

ataques de fuerza bruta

Como dicen "más vale prevenir que curar", aquí hay algunas formas sencillas de proteger sus sitios de WordPress contra ataques de fuerza bruta. Puede evitarlos fácilmente implementando las siguientes técnicas.

  • Instale un complemento de seguridad (limite los intentos de inicio de sesión)
  • Utilice contraseñas más seguras
  • Cambie sus contraseñas con frecuencia (al menos una vez al mes)

Asegure su archivo .htaccess

El archivo .htaccess es uno de los archivos más complicados en la configuración de WordPress.

Si se hace correctamente, no necesita instalar ninguno de los complementos mencionados anteriormente y simplemente editando el archivo .htaccess puede salvar su sitio de WordPress de los piratas informáticos. Este es un archivo muy poderoso.

Pero no recomiendo a nadie (a menos que sepa lo que está haciendo) que edite el archivo porque puede reducir el tamaño de sus sitios de WordPress tan pronto como se abren.

Entonces, ¿cómo proteges tu archivo .htaccess?

Utilizando el complemento de seguridad BulletProof de WordPress. Nuevamente, esta es una herramienta gratuita para usuarios de WordPress, pero tiene un montón de funciones para proteger sus sitios de WP, así como proteger el archivo .htaccess.

Este complemento protege completamente su archivo .htaccess al proporcionarle un firewall de alternancia. Sin su permiso, nadie puede acceder a sus archivos raíz y también restringe el acceso al panel de administración. También puede evitar la exploración de directorios utilizando un firewall alrededor de su archivo .htaccess. Y este complemento hace precisamente eso.

Además de las funciones de seguridad anteriores, este complemento también le ayuda en las siguientes áreas.

  • Monitor de archivos en tiempo real (IDPS)
  • Sistema de detección de intrusiones (IDS) de DB Monitor
  • Copia de seguridad de la base de datos: copias de seguridad completas y parciales de la base de datos. Copias de seguridad de bases de datos manuales y programadas y copias de seguridad Zip por correo electrónico.
  • Complemento de firewall (IP Firewall): listas blancas automatizadas y actualización de direcciones IP en tiempo real
  • Cierre de sesión inactivo (ISL)
  • Caducidad de la cookie de autenticación (ACE)

Configurar firewalls de sitios web

Un firewall es una red de seguridad que protege sus computadoras y sitios web. Tener una configuración de firewall es esencial si desea fortalecer los niveles de seguridad de los archivos de su sitio web.

Cada firewall utiliza filtrado para filtrar todos los datos que llegan a sus servidores, redes y sitios web. También analiza los datos inspeccionando todos los archivos para que esté a salvo de ataques de piratería.

seguridad del cortafuegos

Si se pregunta cómo configurar un potente sistema de firewall en sus sitios de WordPress, hay un excelente complemento disponible llamado "Ninja Firewall".

Puedes descargar el complemento gratis aquí

Este complemento en sí es un firewall de aplicaciones web, un sistema de firewall independiente colocado frente a sus sitios de WordPress para proteger sus archivos.

Este complemento puede escanear, inspeccionar o rechazar todas las solicitudes HTTP enviadas a scripts PHP en sus sitios web protegiendo sus archivos contra malware u otras vulnerabilidades de seguridad.

Además de los scripts PHP codificados anteriormente, NinjaFirewall también filtrará los scripts de shell y las puertas traseras de los piratas informáticos.

Aquí hay algunas características sorprendentes de este complemento.

  • Este complemento es un firewall de aplicaciones web totalmente independiente. Esto funciona antes de que se cargue WordPress.
  • Dispone de un potente motor de filtrado.
  • Admite un amplio conjunto de codificaciones.
  • También cuenta con un escáner antimalware.
  • Bloquea/permite descargas, limpia los nombres de los archivos descargados.
  • Bloquea bots y escáneres sospechosos.
  • Oculta mensajes de error y notificación de PHP.

Realice copias de seguridad periódicas de los archivos de su sitio web

Crear copias de seguridad periódicas de su sitio web es clave para garantizar su seguridad.

En el peor de los casos, incluso si su sitio es pirateado, no tiene que preocuparse por perder todas las publicaciones, páginas, comentarios y enlaces de su blog.

Simplemente puede restaurar sus puntos de datos para recuperar todos esos datos. Aunque es posible que su sitio no haya sido pirateado o que simplemente pierda todos los datos durante los cambios de diseño de sus sitios, las copias de seguridad periódicas también pueden ser de gran ayuda.

Le recomendamos encarecidamente que comience a utilizar BackupBuddy. Es una herramienta premium para realizar copias de seguridad periódicas de todos los archivos de su sitio web y puede restaurarlos en cualquier momento en caso de pérdida de archivos.

Si estás buscando una opción gratuita, prueba BackWPup . Es un complemento gratuito útil para realizar copias de seguridad de todos sus archivos, incluidas sus bases de datos.

Este complemento guarda automáticamente su instalación completa, incluido /wp-content/, y la guarda en un servicio de respaldo externo como Dropbox, S3, FTP, etc.

Copia de seguridadWordPress También es otro excelente complemento (gratuito) de WordPress para realizar una copia de seguridad periódica de todos los archivos de su sitio web. Este complemento funciona en entornos de "host compartido" con poca memoria, por lo que la velocidad de su sitio no afectará mucho y también tiene opciones para que cada archivo de respaldo se envíe por correo electrónico a su buzón de recepción. También puede excluir algunos archivos de los que no desea hacer una copia de seguridad.

¿Entonces, Qué esperas? Asegúrese de utilizar uno de los complementos mencionados anteriormente para comenzar a realizar copias de seguridad de todos sus sitios. Recomendamos realizar copias de seguridad cada semana (como mínimo) para evitar arrepentimientos en el futuro.

Los 10 mejores complementos de seguridad de WordPress

WordPress es posiblemente el CMS más popular del mundo y lo utilizan millones de sitios web. WordPress es también la plataforma número uno más atacada por los piratas informáticos de todo el mundo.

Esta es la razón por la que siempre debes proteger tu sitio de WordPress contra todos los ataques de seguridad. Afortunadamente, hay una multitud de complementos de seguridad de WordPress disponibles que pueden ayudarlo a proteger fácilmente sus sitios.

Aquí hay una lista de los 10 mejores complementos de WordPress Consejos de seguridad (sin ningún orden en particular) que puede utilizar en 2023 para proteger su blog de los piratas informáticos.

1. Seguridad Wordfence

Es uno de los complementos de seguridad de WordPress más descargados y populares. Incluye un firewall de punto final y un escáner de malware para proteger sus sitios de WordPress.

El beneficio de su firewall es que identifica y bloquea el tráfico malicioso para que pueda evitar el tráfico y los clics incorrectos (lo que puede resultar especialmente útil si utiliza anuncios de AdSense en su sitio).

Y también le ofrece un escáner de malware integrado que bloquea las solicitudes que contienen código o contenido malicioso. Con este complemento también puedes prevenir ataques de fuerza bruta limitando los intentos de inicio de sesión.

2. iThemes Security

iThemes Security, anteriormente conocido como Better WP Security, es otro complemento de seguridad más popular utilizado por millones de personas en todo el mundo, ya que le ofrece más de 30 formas de proteger sus sitios de WordPress.

Le brinda un montón de funciones, incluida la capacidad de prevenir ataques de fuerza bruta, escanear su sitio en busca de problemas de seguridad, cambiar las URL para las áreas del panel de WordPress, incluido el inicio de sesión, la administración y la lista continúa.

Es importante destacar que también le ayuda a detectar cualquier error 404 oculto en su sitio web que afecte su SEO, incluido vínculos de retroceso tóxicos e imágenes faltantes, etc.

3. Todo en uno WP Seguridad y Firewall

Este complemento de seguridad le brinda una amplia gama de funciones de seguridad junto con un firewall para evitar ataques maliciosos en su sitio y también ofrece una función de limitación de intentos de inicio de sesión.

Así es como se ve el backend de este complemento;

complemento wpsecurity

All in one WP Security detecta fácilmente si hay una cuenta de usuario que tiene el nombre de usuario predeterminado "admin" y cambia fácilmente el nombre de usuario al valor de su elección para una mayor seguridad.

También puede hacer una copia de seguridad fácilmente de sus archivos .htaccess y wp-config.php originales si necesita usarlos para restaurar la funcionalidad rota de sus sitios web de WordPress.

4. Seguridad a prueba de balas

Este complemento puede considerarse como un complemento de seguridad todo en uno que le brinda un montón de funciones de seguridad que incluyen escáner de malware, firewall, seguridad de inicio de sesión, copia de seguridad de bases de datos, antispam, etc. y también le ofrece un asistente de configuración con un solo clic para configurar esto fácilmente. complemento en sus sitios de WordPress.

Con este complemento, puede acceder fácilmente a su .htaccess y configurar estos archivos, y puede usar la copia de seguridad de su base de datos para realizar copias de seguridad parciales o completas de sus sitios web de WordPress.

En general, este es un excelente complemento incluso para principiantes que buscan un complemento de seguridad todo en uno fácil de usar para proteger sus sitios.

5. Sucuri Seguridad

Sucuri Security es otro complemento de seguridad de WordPress más eficaz que le ayuda a realizar auditorías, escaneo de malware, refuerzo de seguridad, etc. en sus sitios de WordPress.

cortafuegos seguro

Hay un montón de amenazas de seguridad que puedes evitar usando este complemento, ya que te brinda excelentes funciones como

  • Auditoría de actividades de seguridad.
  • Monitoreo de integridad de archivos
  • Escaneo remoto de malware
  • Monitoreo de lista negra
  • Fortalecimiento efectivo de la seguridad, etc.

La mejor parte es que si su sitio es pirateado por algún motivo, este complemento le ofrece tomar medidas de seguridad después del pirateo, que incluye una sección para ayudarlo a repasar las 3 cosas importantes que debe hacer después de un compromiso.

6. Autenticación de dos factores de UpdraftPlus

Es el complemento de autenticación de 2 factores más popular para WordPress con más de 2 millones de descargas activas y también está desarrollado a partir del complemento número uno de WordPress llamado UpdraftPlus.

Si la autenticación de dos factores está habilitada en su sitio, necesitará un código de un solo uso para iniciar sesión. Este complemento admite los protocolos TOTP + HOTP estándar y también admite Google Authenticator, Authy, etc.

También muestra códigos QR gráficos para escanearlos fácilmente en aplicaciones de su teléfono o tableta. Entonces, si desea agregar pasos adicionales para iniciar sesión en su panel de WordPress, un complemento de autenticación de dos factores como este es esencial.

7. Acceso restringido al sitio

Si desea limitar el acceso a su sitio a los visitantes que hayan iniciado sesión o accedan al sitio desde un conjunto específico de direcciones IP, puede utilizar este complemento.

Este complemento es especialmente útil para sitios web de varios autores o si aaceptar publicaciones de invitados un montón de otros usuarios que necesitan acceder a su sitio para publicar estas publicaciones. También puede utilizar este complemento para enviar visitantes restringidos a la página de inicio de sesión, redirigirlos o ver una publicación o página; literalmente, tendrá control total sobre su sitio.

Puede personalizar fácilmente la ubicación de redireccionamiento o enviarlos a la misma ruta solicitada y configurar el código de estado HTTP y la lista continúa.

8. Inicio de sesión

¿Quiere prevenir ataques de fuerza bruta? ¿Quiere agregar autenticación de dos pasos para iniciar sesión en su sitio web para mayor seguridad? Luego use este complemento, ya que bloquea la conexión a la dirección IP una vez que alcanza el número máximo de intentos permitidos (también puede establecer los límites máximos).

Además, puede incluir direcciones IP en la lista negra o blanca para iniciar sesión utilizando este complemento y este complemento le brinda una amplia gama de funciones que incluyen autenticación de 2 factores, reCAPTCHA, contraseña de inicio de sesión inalámbrico, etc. para mejorar la seguridad de su sitio web de WordPress.

También es uno de los complementos de seguridad de WP más populares descargados por casi un millón de personas y también le ofrece funciones como cambiar el nombre de la página de inicio de sesión de WP, la URL de administrador, etc.

9. Ocultar página de inicio de sesión

La mayoría de los piratas informáticos prueban muchas formas diferentes de iniciar sesión en su sitio web y también utilizan técnicas para encontrar sus datos de inicio de sesión a través de su página de inicio de sesión, URL de administrador de WP, etc.

Este complemento le ayuda a cambiar el nombre de wp-login.php de forma segura y cierra el acceso al panel de administración de WordPress. La buena noticia es que no cambia el código de su sitio, no cambia el nombre de los archivos ni realiza ningún cambio en la configuración de su servidor.

Puede hacer un montón de cosas, incluido ocultar wp-login.php, wp-signup.php y bloquear el acceso, ocultar el directorio de administración de WP y bloquear el acceso, y también le permite cambiar fácilmente el nombre de la URL de inicio de sesión.

10. Ninja seguridad

Este complemento realiza comprobaciones de seguridad en su sitio web para detectar si existen vulnerabilidades de seguridad en su sitio.

También le ayuda a prevenir ataques de exploits de día 0, optimizar y acelerar sus bases de datos, verificar si el núcleo de WordPress está actualizado, verificar si las actualizaciones automáticas del núcleo de WordPress están habilitadas, verificar si los complementos están actualizados, etc.

Lo mejor de todo es que este complemento ejecuta instantáneamente más de 50 pruebas de seguridad y descubre problemas que ni siquiera sabía que existían para que pueda aumentar fácilmente la seguridad de sus sitios de WordPress. En general, es un complemento que ahorra tiempo para proteger su sitio de amenazas a la seguridad.

Los 3 sitios de alojamiento de WordPress más seguros

Una de las mejores y más sencillas formas de proteger sus sitios de WordPress es invertir en un servidor web seguro. Sí, este es un consejo claro y sencillo.

Hace unos años estábamos alojados en HostGator (es una mierda en cuanto a seguridad y la atención al cliente también es patética) y nuestro sitio fue pirateado. Fue entonces cuando pasamos al alojamiento WPX.

Aunque es un poco caro en comparación con HostGator, hasta ahora no hemos encontrado ningún problema de seguridad. Por eso le recomendamos encarecidamente que invierta en un alojamiento seguro.

Aquí están los 3 sitios de alojamiento de WordPress más seguros para todo tipo de presupuestos.

Hablemos de cada uno de ellos para que pueda elegir el que mejor se adapte a su presupuesto y a las necesidades de su sitio web para proteger su sitio de WordPress de todos los ataques de piratas informáticos y malware.

1. Alojamiento WPX

alojamiento WPX es el mismo host que utilizamos actualmente y estamos muy contentos con sus características de seguridad y su alojamiento en la nube es lo que le brinda velocidades de sitio web súper rápidas.

¿Por qué debería utilizar el alojamiento WPX?

El alojamiento WPX le ofrece una garantía "arreglada para usted".

Una de las principales razones para invertir en un proveedor de alojamiento web como WPX hosting es que le ofrecen un servicio increíble llamado garantía "arreglado para usted". Por ejemplo, si tiene un problema técnico en su sitio web, puede comunicarse con su equipo de soporte y ellos resolverán el problema instantáneamente, GRATIS.

La buena noticia es que su sistema de soporte (chat en vivo) es extremadamente rápido y responde a tus consultas. en 30 segundos (Sí, escuchaste bien). Explique su problema y ellos se encargarán de solucionarlo y reparar su sitio de forma gratuita.

¿Cuánto cuesta el alojamiento WPX?

El alojamiento WPX le ofrece 3 planes de precios que se enumeran a continuación.

  1. Empresa  : Este es el plan básico de alojamiento WPX que le cuesta $24,99 por mes (o sólo $20,83 si paga anualmente) y puede alojar hasta 5 sitios web con un ancho de banda de 100 GB y 10 GB de espacio en disco.
  2. Profesional  : Este es el plan de alojamiento WPX más recomendado que le cuesta $49,99 por mes (o solo $41,58 si paga anualmente) y puede alojar hasta 15 sitios web. con 200 GB de ancho de banda y 20 GB de espacio en disco
  3. Élite: Le cuesta $99 por mes (o solo $83,25 si paga anualmente) y puede alojar hasta 35 sitios web con ancho de banda ilimitado y 40 GB de espacio en disco.

2. WPEngine 

WPEngine le ofrece "alojamiento administrado para WordPress" y esta es la razón por la cual todos los sitios alojados en su plataforma se cargan extremadamente más rápido. Además, WPEngine es conocido por brindar seguridad sólida a todos los sitios alojados en él.

¿Por qué debería utilizar el alojamiento WPEngine?

El alojamiento WPEngine le ofrece un análisis en profundidad.

Si su sitio web se ve afectado por malware, el equipo de atención al cliente de WPEngine realizará un escaneo exhaustivo y una limpieza de malware para ayudarlo a volver a estar en funcionamiento.

WPEngine también actualiza automáticamente todos los sitios de WordPress alojados en su plataforma para que no tenga que preocuparse por instalar la última versión de WordPress en su sitio.

¿Cuánto cuesta el alojamiento WPEngine?

Hay 4 planes de precios ofrecidos por WP Engine, que se enumeran a continuación.

1. Inicio  cuesta $30 por mes (puedes ahorrar $90 obteniendo 3 meses gratis con pago anticipado anual) e incluye:

  • 1 instalación de WordPress
  • 25 visitas al mes
  • 50 GB de ancho de banda
  • 10 GB de almacenamiento local

2. Profesional  : Este es el plan de hosting más recomendado por WPEngine, que cuesta $58 por mes (puedes ahorrar $177 obteniendo 3 meses gratis con prepago anual) e incluye:

  • 3 instalaciones de WordPress
  • 75 visitas al mes
  • 125 GB de ancho de banda
  • 15 GB de almacenamiento local

3. Crecimiento : Este plan de WPEngine cuesta $115 por mes (puede ahorrar $345 obteniendo 3 meses gratis con pago anticipado anual) e incluye:

  • 10 instalaciones de WordPress
  • 100 visitas al mes
  • 200 GB de ancho de banda
  • 20 GB de almacenamiento local

4. Escala  : Este es el plan de alojamiento avanzado de WPEngine que cuesta $290 por mes (puede ahorrar $870 obteniendo 3 meses gratis con un prepago anual) e incluye:

  • 30 instalaciones de WordPress
  • 400 visitas al mes
  • 400 GB de ancho de banda
  • 50 GB de almacenamiento local

3. Kinsta 

Si está buscando un alojamiento web altamente seguro con la máxima velocidad y rendimiento, el alojamiento Kinsta es para usted. 

Kinsta ofrece potentes funciones de alojamiento como copias de seguridad gratuitas, protección de nivel empresarial de Cloudflare, atención al cliente experta las 24 horas, los 24 días de la semana, migraciones ilimitadas y gratuitas de sitios web y mucho más.

Lea nuestra reseña honesta por Kinsta para saber más sobre este alojamiento web junto con sus ventajas, desventajas, características, etc.

¿Por qué debería utilizar el alojamiento Kinsta?

El hosting de Kinsta ofrece una amplia gama de características de seguridad, que incluyen:

  • Copias de seguridad automatizadas
  • Protección DDoS de Cloudflare y SSL gratuito
  • Autenticación de dos factores que puedes habilitar para mayor seguridad

El hosting Kinsta también ofrece protocolos SFTP/SSH. Básicamente, SSH (Secure Shell) es un protocolo de red que permite el acceso remoto seguro a través de una conexión cifrada. 

De esta manera, puede administrar fácilmente todos los archivos y carpetas de su sitio web y realizar otras tareas como cambiar sus permisos, editar archivos directamente en el servidor, etc.

El acceso SSH también le ayuda a prevenir fácilmente ataques de fuerza bruta a su sitio web, ya que a menudo se llevan a cabo en el usuario raíz de un servidor. Al hacer que el usuario root sea inaccesible a través de SSH, puedes prevenir fácilmente este tipo de ataques.

Kinsta también ofrece una increíble garantía de tiempo de actividad de más del 99,9%.

disponibilidad de Kinsta

¿Cuánto cuesta el alojamiento en Kinsta?

El hosting de Kinsta ofrece varias opciones de precios que se enumeran a continuación.

  • El plan Starter le cuesta $35 por mes y proporciona 1 instalación de WordPress. Este plan puede manejar hasta 25 visitas, ofrece 000 GB de espacio en disco y proporciona SSL y CDN gratuitos.
  • El plan Pro le cuesta $70 por mes y ofrece 2 instalaciones de WordPress, maneja hasta 50 visitas, ofrece 000 GB de espacio y proporciona SSL y CDN gratuitos.
  • Los planes comerciales vienen en cuatro niveles de precios diferentes y el precio comienza en $115 por mes, donde puede obtener de 30 a 60 GB de almacenamiento SSD, de 1 a 4 migraciones de sitios gratuitas y de 50 a 400 GB de ancho de banda de servidor. 
  • Los planes empresariales también vienen en cuatro opciones de precios desde $ 675 por mes y le brindan de 600 a 1 GB de ancho de banda del servidor. Puede administrar de 500 a 60 sitios de WordPress y obtendrá de 150 a 100 GB de ancho de banda del servidor. SSD de 250 GB almacenamiento.

Kinsta también ofrece una garantía de devolución de dinero de 30 días y sin contratos a largo plazo. Esto significa que puedes obtener un reembolso completo si cancelas tu cuenta de hosting con Kinsta dentro de los 30 días.

Lista de verificación de seguridad de WordPress de 8 puntos

Si desea proteger sus sitios de WordPress contra piratería, asegúrese de utilizar y seguir la siguiente lista de verificación de seguridad de WordPress de 8 puntos porque cubre casi todo.

  1. Actualiza WordPress periódicamente
  2. Actualiza tus temas y complementos
  3. Haga copias de seguridad de su sitio web con frecuencia
  4. Limite los intentos de inicio de sesión para proteger el inicio de sesión
  5. Instalar un complemento de seguridad
  6. Cree una URL de inicio de sesión de WordPress personalizada
  7. Mueva su sitio de WordPress a https
  8. Utilice un host seguro

Hablemos brevemente sobre los elementos anteriores para que pueda comprender mejor y utilizar esta lista de verificación de seguridad de WordPress de manera efectiva.

Nota IMPORTANTE: asegúrese de hacer siempre una copia de seguridad de sus archivos antes de actualizar complementos, WordPress, temas, etc. De esta manera, si sucede algo horrible, aún puedes restaurarlos sin perder ningún dato o contenido de tu blog.

1. Actualice WordPress periódicamente: De vez en cuando, WordPress lanza nuevas actualizaciones que son útiles para solucionar amenazas de seguridad comunes y otras cosas. Por eso siempre es mejor actualizar a la última versión de WordPress.

Hay pocos servidores web como WPX hosting, WPEngine, etc. que actualizan su sitio web cada vez que se lanza una nueva versión de WordPress (para que no tenga que preocuparse por actualizarlas manualmente). O simplemente puedes elegir alojamiento optimizado para WordPress desde servidores web como Bluehost para beneficiarse de las actualizaciones automáticas de WordPress.

2. Actualice sus temas y complementos: La mayoría de nosotros utilizamos muchos temas y complementos en nuestros sitios de WordPress y muchos de ellos se actualizan periódicamente. Siempre es mejor actualizar a sus últimas versiones porque la mayoría de estos complementos y temas se actualizan para corregir errores y amenazas de seguridad.

3. Realice copias de seguridad periódicas de su sitio web: Hay muchos Complementos de copia de seguridad disponibles para WordPress como VaultPress (complemento de copia de seguridad de versión premium que utilizamos en BlogPasCher) o BackupBuddy, que puede ayudarle fácilmente a realizar copias de seguridad periódicas de su sitio.

De esta manera, si pierde datos accidentalmente, podrá recuperar fácilmente todos sus archivos. Hay servidores web como WPX, Kinsta, WPEngine que realizan copias de seguridad periódicas, por lo que es posible que desees considerarlos si deseas realizar copias de seguridad periódicas y gratuitas.

4. Limite los intentos de inicio de sesión para proteger la conexión: La mayoría de los ataques a sitios de WordPress se deben a contraseñas débiles, ya que los piratas informáticos intentan adivinar sus contraseñas (o utilizan herramientas para adivinar sus contraseñas) para iniciar sesión en su sitio.

Es por eso que limitar los intentos de inicio de sesión desde el panel de inicio de sesión de WP le brinda seguridad adicional, ya que puede limitar la cantidad de ataques de fuerza bruta. Puede hacerlo fácilmente instalando algunos complementos de seguridad ya mencionados anteriormente.

5. Instale un complemento de seguridad: Ya hemos analizado los 10 mejores complementos de seguridad de WordPress anteriormente (en caso de que se lo haya perdido, vuelva a leer esta sección) y elija 1 o 2 de los mejores complementos para proteger sus sitios de WordPress. piratas.

6. Cree una URL de inicio de sesión de WordPress personalizada: No utilice la URL de inicio de sesión personalizada predeterminada de WordPress.

Todos sabemos que, de forma predeterminada, todos los sitios de WordPress utilizan estructuras de URL idénticas para esta página. Si el dominio de su sitio web es www.example.com, por ejemplo, puede iniciar sesión visitando www.example.com/wp-login.php o www.example.com/wp-admin.

Pero esta es la forma más sencilla de permitir que los piratas informáticos inicien sesión en su sitio utilizando el sistema de inicio de sesión URL predeterminado. En su lugar, utilice complementos como WPX hide login para cambiar fácilmente su URL de inicio de sesión por la que desee.

7. Mueva su sitio de WordPress a https: La versión Https es útil para cifrar información confidencial transferida entre el navegador y los servidores de alojamiento.

Debe instalar certificados SSL si desea mover su sitio de WordPress de la versión http a la versión https segura. Hay pocos servidores web como WPX hosting, Kinsta, Bluehost, etc. que proporcionan certificados SSL de forma gratuita.

O simplemente puede utilizar sitios como CloudFlare para obtener certificados SSL gratuitos. No solo podrá mover su sitio de http a https con el CDN gratuito de Cloudflare, sino que también aumentará el rendimiento y la velocidad de carga de su sitio web.

8. Utilice un host seguro: Ya hemos hablado de los 3 servidores web altamente seguros para WordPress, incluidos WP Engine, WPX hosting y Kinsta. Al utilizar estos servidores web seguros, definitivamente puede mejorar la seguridad general de sus sitios de WordPress, ya que toman precauciones de seguridad como monitoreo frecuente de la red, acceso SSH, protección contra malware, etc.

Manténgase a salvo de las amenazas de seguridad más comunes de WordPress

WordPress tiene sus propias amenazas y vulnerabilidades de seguridad, incluidas las siguientes.

  • Intentos de inicio de sesión por fuerza bruta
  • Redirecciones maliciosas
  • Secuencias de comandos entre sitios (XSS)
  • Servicio denegado

Si desea proteger su WordPress de los piratas informáticos, debe estar atento a solucionar las amenazas de seguridad de WordPress mencionadas anteriormente. Entonces, hablemos brevemente sobre estas vulnerabilidades de WordPress para mantener seguro su sitio de WordPress en 2023 y más allá.

Servicio denegado

Una denegación de servicio (ataque DDoS) es uno de los ciberataques más comunes llevados a cabo por piratas informáticos para obtener acceso a un sitio donde los atacantes intentan impedir que usuarios legítimos accedan al servicio.

Esto es lo que parece;

ataques DDOS

Los piratas informáticos suelen enviar un montón de mensajes aleatorios pidiendo a la red o al servidor que autentique solicitudes con direcciones de retorno no válidas. De esta manera tendrán acceso a su sitio.

La mejor manera de prevenir este tipo de ataques es crear un firewall alrededor de su sitio y puede consultar nuestra sección de mejores complementos de seguridad (mencionada anteriormente) para crear firewalls fácilmente utilizando algunos complementos.

Redirecciones maliciosas

Las redirecciones maliciosas simplemente significan que los piratas informáticos o atacantes obtienen acceso a su sitio web y modifican sus páginas para redirigir a otros sitios web (que son de su propiedad o que aprueban). De esta manera, no sólo pierdes tu tráfico, sino también tus ventas si estos ataques se llevan a cabo en las páginas de ventas de tu sitio.

De hecho, nos enfrentamos a este problema hace más de 3 años cuando nuestro blog estaba alojado en HostGator. Su equipo de atención al cliente no pudo ayudarnos de todos modos y fue entonces cuando migramos al alojamiento WPX y solucionaron este problema de redirecciones maliciosas en un día.

La mejor manera de resolver este problema (o evitar que se produzca un problema de redireccionamiento malicioso en su sitio web) es crear un firewall y escanear en busca de malware con frecuencia. También puede utilizar servidores web como el alojamiento WPX para que este tipo de problema ni siquiera ocurra.

Secuencias de comandos entre sitios (XSS)

Las secuencias de comandos entre sitios (XSS) son un tipo de vulnerabilidad de seguridad en la que los atacantes inyectan secuencias de comandos del lado del cliente en páginas web y esto se encuentra principalmente en aplicaciones y complementos web.

La mejor manera de resolver este problema es crear un firewall, instalar un software antivirus en su PC (o computadora portátil) y proteger sus bases de datos.

Intentos de inicio de sesión por fuerza bruta

Un ataque de fuerza bruta es prueba y error y uno de los métodos más populares para descifrar contraseñas que se utilizan para acceder a su sitio web de WordPress.

Lo sepas o no, alrededor del 80% de las filtraciones de datos confirmadas se deben a contraseñas débiles o robadas. Esta es la razón por la que siempre debes asegurarte de que tus contraseñas de inicio de sesión de WordPress sean realmente seguras y difíciles de adivinar.

La mejor manera de evitar estos intentos de inicio de sesión por fuerza bruta es limitar los intentos de "inicio de sesión no válido" y utilizar contraseñas más seguras. Cambie sus contraseñas de inicio de sesión periódicamente para mayor seguridad.

Otras 3 cosas esenciales que hicimos en BlogPasCher después del ataque de seguridad

Estos son algunos de los pasos más importantes que hemos tomado en BlogPasCher para protegerlo de los piratas informáticos.

1. Abandonamos HostGator y cambiamos al hosting WPX

El alojamiento de HostGator apesta. No aprecian a sus clientes cuando más necesitan ayuda. También les importa menos garantizar la seguridad de los sitios alojados en sus servidores. Si buscas un alojamiento confiable y seguro, ni siquiera pienses en HostGator.

Actualizamos al alojamiento WPX y son increíbles. También garantizan la seguridad total del sitio, así como copias de seguridad diarias. Recomendamos encarecidamente consultar sus planes de alojamiento si desea un servicio de alojamiento seguro, rápido y confiable.

2. Empezamos a usar VaultPress

La razón por la que utiliza VaultPress es porque es sin duda una de las mejores herramientas para realizar copias de seguridad y proteger su sitio de WordPress de los piratas informáticos.

Si utiliza VaultPress, estará a salvo de piratas informáticos, fallos del host, virus, errores de usuario, ataques de malware y exploits. Esto es muy útil para realizar copias de seguridad en tiempo real y también para análisis de seguridad automatizados.

3. Prueba el sucuri

Sucuri es una gran plataforma para proteger sus sitios de WordPress contra todo tipo de ataques. Cuando BlogPasCher sufrió un ataque de seguridad, muchos chicos lo recomendaron.

Entonces, si estás buscando una herramienta pacífica que te salve de varios ataques de WordPress, prueba Sucuri. Este es el equipo de seguridad número uno para proteger sus sitios contra piratas informáticos, malware, listas negras, ataques DDos y más.

Preguntas frecuentes sobre seguridad de WordPress en 2023

Aquí hay algunas preguntas importantes sobre la seguridad de WordPress para proteger sus sitios web en 2023 y más allá.

1. ¿Cuáles son los problemas de seguridad más comunes de WordPress?

Si bien hay un montón de vulnerabilidades de seguridad en la mayoría de los sitios de WordPress, estos son los problemas de seguridad más comunes de WordPress.

  • Ataques de fuerza bruta (que ocurren principalmente debido a herramientas para adivinar y decodificar contraseñas)
  • Ataques de malware (donde los piratas informáticos instalan código malicioso en los archivos de su sitio web para desviar el tráfico de su sitio web a otros sitios, como sitios para adultos, sitios de juegos de apuestas, spam de sitios de juegos de apuestas, etc.)
  • Inyecciones SQL (donde los piratas informáticos obtienen acceso a las bases de datos de su sitio web para insertar datos maliciosos en sus bases de datos)
  • Secuencias de comandos entre sitios (esto sucede principalmente debido a los complementos de WordPress, así que asegúrese de instalar solo complementos de desarrolladores confiables con un historial comprobado)

2. ¿Cuáles son los mejores trucos y consejos de seguridad de WordPress para 2023?

Aquí hay 3 trucos y consejos rápidos de seguridad de WordPress que puede utilizar en 2023.

  • Opte por temas premium de WordPress en lugar de temas gratuitos
  • Utilice un host seguro como WPX Hosting, ya que toma fuertes precauciones de seguridad y ofrece características como "arreglado para usted" garantizado en caso de ataques cibernéticos en su sitio.
  • Instale un firewall para su propia computadora (y no descargue aplicaciones, archivos, etc. de sitios no autorizados)

Lire: Las mejores herramientas de marketing de afiliados para blogueros en 2023

Aquí hay algunas formas simples pero efectivas de proteger un blog de WordPress en 2023.

  • Realice copias de seguridad periódicas de su sitio web (es mejor tener un servidor como WPEngine, WPX que realiza copias de seguridad de su sitio automáticamente o puede usar herramientas premium como VaultPress, BackupBuddy)
  • Instalar un complemento de seguridad
  • Limite sus intentos de inicio de sesión
  • Cambie su inicio de sesión de administrador de WP predeterminado a otra cosa
  • Utilice contraseñas más seguras y cámbielas con frecuencia para mayor seguridad (para evitar ataques de fuerza bruta)

4. ¿Cuál es el mejor complemento de seguridad para WordPress?

Ya hemos mencionado 10 de los mejores complementos de seguridad de WordPress en el mismo artículo (asegúrate de revisarlos todos). Si todavía tienes curiosidad, aquí tienes los 3 mejores complementos de seguridad que puedes considerar.

  • iTemas de seguridad
  • Seguridad Sucuri
  • Seguridad de Wordfence

5. ¿Cómo realizar análisis de seguridad de WordPress para encontrar vulnerabilidades de WordPress?

Lo mejor de usar WordPress es que le brinda algunos complementos excelentes para escanear fácilmente sus sitios de WordPress y ver si hay vulnerabilidades. Aquí hay algunos escáneres de vulnerabilidades de WordPress para realizar análisis de seguridad de WordPress en 2023.

  • Complemento WPScan
  • Sucuri (uno de los complementos más utilizados para escanear malware)
  • WP Sec (este es un gran sitio web para escanear todo su sitio en busca de análisis automatizados de WordPress)

Explore más recursos de blogs:

Reflexiones finales sobre cómo proteger su sitio de WordPress de los piratas informáticos

Cada ataque de seguridad de WordPress es diferente. Los piratas informáticos pueden acceder a sus sitios de diferentes formas, como adivinar contraseñas, insertar códigos maliciosos en sus archivos, ataques de fuerza bruta, etc.

Por lo tanto, siempre debe estar preparado para todos los ataques para proteger sus sitios de WordPress contra piratas informáticos o intrusos. Nunca se sabe quién pirateará o secuestrará los archivos de su sitio web.

Realizar copias de seguridad, proteger sus sitios web de códigos maliciosos, instalar las herramientas de seguridad más esenciales como la seguridad BulletProof y la seguridad iThemes puede ahorrarle mucho tiempo, dinero y esfuerzo. NUNCA tomes la seguridad de tu WordPress a la ligera, porque más vale prevenir que curar.

Así que asegúrese de implementar los consejos de seguridad de WordPress mencionados en esta guía para aumentar la seguridad de sus sitios de WordPress.

Publicar el comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados con *

Este sitio usa Akismet para reducir los no deseados. Obtenga más información sobre cómo se utilizan sus datos de comentarios.