Cómo hacer que sea más difícil para alguien piratear su sitio de WordPress

Si tiene un sitio de WordPress, es probable que los piratas informáticos lo ataquen todo el tiempo.

Buscan constantemente debilidades que les permitan entrar, ya sea un plugin o un tema desactualizado o una contraseña fácil de descifrar. Una vez que están dentro, obviamente pueden causar estragos.

Solo para demostrar de lo que estoy hablando, esto es lo que dice mi panel de WordPress en este momento.

Es por eso que su sitio de WordPress debe ser absolutamente a prueba de balas. Estas son las mejores formas de hacerlo según mis conversaciones de consultoría con empresas.

Obtenga el mejor nombre de usuario y contraseña posibles

Si lo he visto una vez, lo he visto mil veces. Las personas configuran sitios web de WordPress con el nombre de usuario y la contraseña configurados en “admin” y luego se preguntan por qué fueron pirateados.

Su página de inicio de sesión es esencialmente la puerta principal de su sitio web. Por lo tanto, tiene sentido dificultar al máximo la entrada de un intruso. No dejaría abierta la puerta principal de su casa, ¿verdad?

Muchos servidores web automatizarán la configuración de WordPress para usted y cuando lo hagan, debe especificar un nombre de usuario diferente al de “admin”. Si usa “admin”, está haciendo que el trabajo de un hacker sea demasiado fácil para ellos.

Obtenga un nombre de usuario que sea imposible de adivinar por otra persona. No utilice un nombre de usuario que utilice en otros lugares de Internet. Alguien solo tiene que buscarte en Google para encontrar esos nombres de usuario.

En cuanto a la contraseña, hágalo usted mismo un favor enorme y obtenga un administrador de contraseñas. Uno de código abierto gratuito que recomiendo es KeyPass. Luego, haga que su contraseña de WordPress tenga un mínimo de 30 caracteres con caracteres especiales agregados a la mezcla. Sí, eso es correcto. 30 caracteres.

Instalar un complemento anti-fuerza bruta

Para reforzar esa metáfora de la puerta, también tiene sentido agregar algunas cerraduras de seguridad. Para WordPress, en mi opinión, tiene cuatro opciones: Autenticador de Google, Authy, Bloqueo de inicio de sesión o reCAPTCHA.

Para ser claros, Google Authenticator y Authy hacen lo mismo. Obtiene un código en su teléfono inteligente y lo ingresa en la página de inicio de sesión. Sin él, se le niega la entrada.

Login Lockdown es un complemento que limita el número de intentos de inicio de sesión incorrectos antes de que se bloquee la dirección IP de la persona durante un período de tiempo determinado. Incluso puede instalar esto junto con Authenticator para una seguridad súper duper.

reCAPTCHA no es mi favorito, pero es mejor que nada. Tampoco es infalible, ya que se ha roto antes. Pero como dije, mejor que nada. reCAPTCHA obliga al usuario a escribir una secuencia de palabras o hacer clic en determinadas imágenes.

Asegúrese de que todos los temas y complementos estén actualizados

El siguiente paso es asegurarse de que todos sus temas y complementos se actualicen de forma regular. Una vez más, un pirata informático puede utilizar cualquier vulnerabilidad, tanto conocida como desconocida, para explotar una vía de acceso a un sitio.

Debe estar atento a la página de “Actualizaciones” donde se enumeran todas las actualizaciones disponibles. Esto debe hacerse a diario. Puede encontrar la página Actualizaciones como una subpestaña en la pestaña Panel de control.

Deshabilite los temas y complementos innecesarios

Así como debe mantener actualizados todos los temas y complementos, también debe deshabilitar los que no necesita.

No hay razón para mantener activos los temas y complementos no utilizados, y hacerlo solo aumenta el riesgo de que se descubra una vulnerabilidad lo suficientemente grande como para permitir la entrada de un atacante. Por lo tanto, elimine todos los temas que no esté usando. Siempre se pueden reinstalar más tarde.

En cuanto a los complementos, elimínelos por completo o, al menos, desactívelos.

No permita que nadie cree cuentas de usuario

Si el sitio de WordPress está siendo utilizado por una empresa o un equipo de algún tipo, entonces obviamente las cuentas de usuario serán necesarias. Pero si es un solo usuario del sitio, no permita que nadie cree cuentas de usuario. Especialmente gente que no conoces.

Puede evitar que la gente haga esto yendo a Configuración–> General. Desplácese hacia abajo hasta “Afiliación“Y desmarque”Cualquiera puede registrarse”.

Bajar de categoría a todos los demás usuarios autorizados

Si necesita dar cuentas de usuario a personas, asegúrese de que tengan la función de acceso adecuada.

Por ejemplo, la persona propietaria del sitio debe ser el administrador. Pero si alguien escribe como invitado en un blog para usted, solo debe figurar como Autor. No le dé a alguien privilegios elevados si no los necesita.

Solo ve a Usuarios–> Todos los usuarios y elija a qué persona desea cambiar el rol. Luego elija del cuadro desplegable.

Detener el acceso total a directorios con un archivo Index.HTML

Puede que no sepa esto, pero si crea un nuevo directorio en su sitio web, agregue archivos y no agregue un index.html archivo en él, todos los contenidos de ese directorio se pueden ver públicamente.

Para evitar que esto suceda, cree un archivo de texto en blanco y llámelo index.html. Luego cárguelo en el nuevo directorio. Cualquier intento de ver el directorio devolverá a la persona a la página de índice en blanco.

Obtenga un certificado SSL

Una de las mejores cosas que puede hacer por su sitio web es obtener un certificado SSL. Google ahora otorga mayor prioridad a los sitios SSL en los resultados de búsqueda y, por supuesto, también protege su sitio.

SSL simplemente asegura la conexión entre el navegador del usuario y el servidor web donde reside el sitio web. Por lo tanto, a los piratas informáticos les resulta extremadamente difícil entrar en la conexión y robar datos.

Hay dos formas de obtener un certificado SSL. Puede comprar uno, pero también puede obtener uno gratis de Vamos a cifrar. Muchos servidores web ofrecen ahora Let’s Encrypt como un servicio automatizado gratuito.

Haga una copia de seguridad de su sitio web de WordPress TODOS los días

Finalmente, si lo peor llega a suceder y usted ESTÁ hackeado, necesita una manera de que su sitio vuelva a estar en funcionamiento lo más rápido posible. Es por eso que necesita una copia de seguridad diaria de todos los archivos de instalación.

La solución más sencilla para esto es Jetpack, que está dirigido por las mismas personas que crearon WordPress. Por solo $ 3.50 al mes por un sitio, definitivamente es el más rentable.

Conclusión

Hay muchas otras formas de bloquear su sitio, pero muchas de ellas implican una codificación compleja o la instalación de complementos con opciones complejas. Si recién está comenzando con este tema, entonces es mejor cubrir los conceptos básicos primero, que es lo que he intentado cubrir aquí hoy.

Santiago
Los ordenadores siempre han sido una gran parte de mi vida. Decidí crear este sitio para plasmar todo lo aprendido durante tantos años trasteando con estás maquinas. Cuando no estoy editando mi web, me dedico a reparar aerogeneradores.

Deja un comentario