Cómo hacer que sea más difícil piratear su sitio de WordPress

Bienvenido! volvemos de nuevo con este contenido que deseamos que te sea muy útil y solucione tus dudas ¡Comenzamos!

Si tiene un sitio de WordPress, lo más probable es que su sitio sea atacado por piratas informáticos todo el tiempo.

Buscan constantemente puntos débiles que les permitan entrar, ya sea un plugin o tema desactualizado o una contraseña fácil de descifrar. Una vez que están dentro, obviamente pueden causar estragos.

Solo para demostrar de lo que estoy hablando, esto es lo que dice mi panel de WordPress en este momento.

Es por eso que su sitio de WordPress debe ser absolutamente a prueba de balas. Estas son las mejores formas de hacerlo según mis conversaciones de consultoría con empresas.

Obtenga el mejor nombre de usuario y contraseña posibles

Si lo he visto una vez, lo he visto mil veces. Las personas configuran sitios web de WordPress con el nombre de usuario y la contraseña configurados en “admin” y luego se preguntan por qué fueron pirateados.

Su página de inicio de sesión es esencialmente la puerta principal de su sitio web. Por lo tanto, tiene sentido hacer que sea lo más difícil posible para que entre un intruso. No dejaría abierta la puerta principal de su casa, ¿verdad?

Muchos servidores web automatizarán la configuración de WordPress por usted y, cuando lo hagan, debe especificar un nombre de usuario diferente al de “admin”. Si usa “admin”, está haciendo el trabajo de un hacker demasiado fácil para ellos.

Obtenga un nombre de usuario que sea imposible de adivinar por otra persona. No utilice un nombre de usuario que utilice en otros lugares de Internet. Alguien solo tiene que buscarte en Google para encontrar esos nombres de usuario.

En cuanto a la contraseña, hágalo usted mismo un favor enorme y obtenga un administrador de contraseñas. Uno gratuito de código abierto que recomiendo es KeyPass. Luego, haga que su contraseña de WordPress tenga un mínimo de 30 caracteres con caracteres especiales agregados a la mezcla. Sí, eso es correcto. 30 caracteres.

Instalar un complemento anti-fuerza bruta

Para reforzar esa metáfora de la puerta, también tiene sentido agregar algunas cerraduras de seguridad. Para WordPress, en mi opinión, tiene cuatro opciones: Autenticador de Google, Authy, Bloqueo de inicio de sesión o reCAPTCHA.

Para ser claros, Google Authenticator y Authy hacen lo mismo. Obtiene un código en su teléfono inteligente y lo ingresa en la página de inicio de sesión. Sin él, se le niega la entrada.

Login Lockdown es un complemento que limita la cantidad de intentos de inicio de sesión incorrectos antes de que la dirección IP de la persona se bloquee durante un cierto período de tiempo que usted especifique. Incluso puede instalar esto junto con Authenticator para una seguridad súper duper.

reCAPTCHA no es mi favorito, pero es mejor que nada. Tampoco es infalible, ya que se ha roto antes. Pero como dije, mejor que nada. reCAPTCHA obliga al usuario a escribir una secuencia de palabras o hacer clic en determinadas imágenes.

Asegúrese de que todos los temas y plugins estén actualizados

El siguiente paso es asegurarse de que todos sus temas y plugins se actualicen de forma regular. Una vez más, un pirata informático puede utilizar cualquier vulnerabilidad, tanto conocida como desconocida, para explotar una entrada a un sitio.

Debe estar atento a la página “Actualizaciones” donde se enumeran todas las actualizaciones disponibles. Esto debe hacerse a diario. Puede encontrar la página Actualizaciones como una subpestaña en la pestaña Panel de control.

Deshabilitar los temas y plugins innecesarios

Así como debe mantener actualizados todos los temas y plugins, también debe deshabilitar los que no necesita.

No hay razón para mantener activos los temas y plugins no utilizados, y hacerlo solo aumenta el riesgo de que se descubra una vulnerabilidad lo suficientemente grande como para dejar entrar a un atacante. Por lo tanto, elimine todos los temas que no esté usando. Siempre se pueden reinstalar más tarde.

En cuanto a los plugins, elimínelos por completo o, al menos, desactívelos.

No permita que nadie cree cuentas de usuario

Si el sitio de WordPress está siendo utilizado por una empresa o un equipo de algún tipo, obviamente, las cuentas de usuario serán necesarias. Pero si es un solo usuario del sitio, no permita que nadie cree cuentas de usuario. Especialmente gente que no conoces.

Puede evitar que las personas hagan esto yendo a Configuración–> General. Desplácese hacia abajo hasta “Afiliación“Y desmarque”Cualquiera puede registrarse”.

Bajar a todos los demás usuarios autorizados

Si necesita dar cuentas de usuario a personas, asegúrese de que tengan la función de acceso adecuada.

Por ejemplo, la persona propietaria del sitio debe ser el administrador. Pero si alguien escribe como invitado en un blog para usted, solo debe figurar como Autor. No le dé a alguien privilegios elevados si no los necesita.

Solo ve a Usuarios–> Todos los usuarios y elige a qué persona quieres cambiar el rol. Luego elija del cuadro desplegable.

Detener el acceso total a los directorios con un archivo Index.HTML

Puede que no sepa esto, pero si crea un nuevo directorio en su sitio web, agregue archivos y no agregue un index.html archivo en él, todos los contenidos de ese directorio se pueden ver públicamente.

Para evitar que esto suceda, cree un archivo de texto en blanco y llámelo index.html. Luego cárguelo en el nuevo directorio. Cualquier intento de ver el directorio devolverá a la persona a la página de índice en blanco.

Obtenga un certificado SSL

Una de las mejores cosas que puede hacer por su sitio web es obtener un certificado SSL. Google ahora otorga mayor prioridad a los sitios SSL en los resultados de búsqueda y, por supuesto, también protege su sitio.

SSL simplemente asegura la conexión entre el navegador del usuario y el servidor web donde reside el sitio web. Por lo tanto, a los piratas informáticos les resulta extremadamente difícil entrar en la conexión y robar datos.

Hay dos formas de obtener un certificado SSL. Puede comprar uno, pero también puede obtener uno gratis de Vamos a cifrar. Muchos servidores web ahora ofrecen Let’s Encrypt como un servicio automatizado gratuito.

Haga una copia de seguridad de su sitio web de WordPress TODOS los días

Finalmente, si lo peor llega a suceder y usted ESTÁ hackeado, necesita una forma de que su sitio vuelva a estar en funcionamiento lo más rápido posible. Es por eso que necesita una copia de seguridad diaria de todos los archivos de instalación.

La solución más sencilla para esto es Jetpack, que está dirigido por las mismas personas que crearon WordPress. Por solo $ 3.50 al mes por un sitio, definitivamente es el más rentable.

Conclusión

Hay muchas otras formas de bloquear su sitio, pero muchas de ellas implican una codificación compleja o la instalación de plugins con opciones complejas. Si recién está comenzando con este tema, entonces es mejor cubrir los conceptos básicos primero, que es lo que he intentado cubrir aquí hoy.

Deja un comentario