Blindar a nuestro sitio web contra ataques informáticos es más sencillo de lo que parece, ya que solamente necesitas conocer estos 8 tips de seguridad WordPress para que tu portal esté resguardado.
A continuación verás consejos con respecto al hosting, al lenguaje de programación que manejas en tu WP, datos de acceso adecuados, actualizaciones, plugins y más:
1- Invierte en WordPress Hosting Seguro
Cuando se trata de proteger WordPress, existe una seguridad a nivel de servidor web de la cual es responsable el host de WordPress. Es por eso que es muy importante que elijas uno en el que puedas confiar para tu negocio.
Endurecer el servidor es la clave para mantener un entorno WordPress completamente seguro, y para ello se necesitan varias capas de hardware y medidas de seguridad a nivel de software para garantizar que la infraestructura de TI de hosting de sitios WordPress sea capaz de defenderse frente a sofisticadas amenazas, tanto físicas como virtuales.
Los cortafuegos a nivel de servidor y los sistemas de detección de intrusos deben estar en su lugar antes de instalar WordPress en el servidor para mantenerlo bien protegido incluso durante la instalación de WordPress y las fases de construcción del sitio web.
2- Utiliza la última versión de PHP
PHP es la columna vertebral de tu sitio WordPress, y es por eso que usar su última versión en tu servidor es muy importante.
Cada versión principal de PHP está plenamente soportada durante dos años después de la fecha de emisión. Durante ese tiempo, errores y problemas de seguridad están solucionados y corregidos regularmente.
¿No sabes qué versión de PHP estás usando actualmente? La mayor parte de los hosts normalmente incluyen esto en la cabecera de solicitud en su sitio. Una manera rápida de verlo es ejecutar tu sitio en Pingdom, una de las herramientas más confiables para medir la velocidad de carga de páginas web o blogs.
Si trabajas con un host de WordPress que usa cPanel normalmente puedes cambiar entre versiones de PHP haciendo clic en “PHP Select” bajo la categoría de software.
3- Emplea nombres de usuario y contraseñas inteligentes
Según CBT Nuggets, esta es la lista de las contraseñas más populares robadas a lo largo del año 2016:
-Love
-Star
-Girl
-Angel
-Rock
-Miss
-Hell
-Mike
-Jhon
-Baby
Cómo pudiste ver, además de ser bastante obvias para muchos, no cuentan con ninguna seguridad. Para escoger una contraseña fuerte hay herramientas online como Strong Password Generator.
Por supuesto es importante utilizar contraseñas diferentes para cada sitio web y en términos de instalación de WordPress, nunca se debe usar el nombre de usuario “admin” predeterminado.
4- Usa siempre la última versión de WordPress y plugins
Otra forma muy importante de fortalecer la seguridad de tu WordPress es siempre mantenerlo actualizado, esto incluye el núcleo de WordPress y sus plugins, así obtendrás mejorarás de seguridad y correcciones de errores.
Para actualizar el núcleo WordPress se puede hacer clic en “Actualizaciones” en tu panel de control WordPress y luego en el botón “Actualizar ahora”.
También puedes actualizar WordPress manualmente al descargar la última versión y subiéndola a través de FTP, si no te sientes cómodo haciendo esto consulta primero con un desarrollador.
Para actualizar tus plugins de WordPress es un proceso muy similar a la actualización del núcleo WordPress. Para ello haz clic en “Actualizaciones” en el panel de control WordPress, selecciona los plugins que deseas actualizar y luego clic en “Actualizar plugins”.
Actualmente, hay una gran cantidad de recursos que te ayudarán a mantenerte al tanto de las últimas actualizaciones de seguridad WordPress y vulnerabilidades como son:
-WP Security Bloggers: Un impresionante recurso agregado de más de 20 fuentes de seguridad.
-WPScan Vulnerability Database: Catálogos de más de 5,000 vulnerabilidades de Núcleo WordPress, Plugin y Tema.
-Archivo Oficial de Seguridad WordPress (Official WordPress Security Archive)
5- Bloquea tu WordPress Admin
A veces, la estrategia popular de seguridad WordPress por anonimato es apropiadamente eficaz para un negocio online promedio y sitio WordPress.
¡Existen dos buenas maneras de hacerlo! La primera es cambiando la URL de inicio de sesión predeterminada de wp-admin y limitando los intentos de inicio de sesión, este pequeño truco sin duda puede ayudar a protegerte.
Para cambiar tu URL de inicio de sesión de WordPress recomendamos usar el plugin gratis WPS Hide login. Recuerda escoger algo único.
La segunda limitar los intentos de inicio de sesión. El plugin gratis de Cerber Limit Login Attempts es una excelente forma de configurar fácilmente las duraciones de bloqueo, los intentos de inicio de sesión y las listas blancas y negras de IP.
6- Saca ventaja de la autenticación de dos factores
No importa qué tan segura sea tu contraseña, siempre existe el riesgo de que alguien la descubra. La autenticación de dos factores implica un proceso de dos pasos en el que necesitas no sólo su contraseña para iniciar sesión, sino un segundo método.
Generalmente es un texto (SMS), una llamada telefónica o una contraseña de un sólo uso en función del tiempo (TOTP). En la mayoría de los casos, esto es 100% eficaz en la prevención de ataques de fuerza bruta a tu sitio WordPress.
Para ello puedes utilizar cualquiera de las aplicaciones de autenticador gratuitas en tu teléfono:
-Android Google Authenticator App.
-iPhone Google Authenticator App.
-Windows Phone Authenticator App.
7- Siempre usa respaldos
Las copias de seguridad son la única cosa que todo el mundo sabe que necesita pero no siempre toman en cuenta. No importa lo seguro que sea tu sitio, siempre se necesitará de respaldos en caso de que lo peor suceda.
Si su host no tiene copias de seguridad hay algunos servicios populares de WordPress y plugins que puedes utilizar para automatizar el proceso.
Los servicios de copia de seguridad de WordPress suelen tener una tarifa mensual baja, y así tendrías tus copias de seguridad en la nube. Igualmente los plugins de copia de seguridad WordPress te permiten tomar las copias de seguridad a través de FTP o integrarlas con una fuente de almacenamiento externa.
8- Protección DDoS
DDoS es un tipo de ataque en el que se utilizan sistemas múltiples para orientar un único sistema que causa un ataque de denegación de servicio (DoS).
Una de las mejores recomendaciones para protegerte es usar un servicio de seguridad de terceros de renombre como Cloudflare. Si estás ejecutando un negocio puede tener sentido invertir en sus planes premium.
Cloudflare es una de las mayores redes de protección DDoS del mundo. Su avanzada protección puede utilizarse para mitigar esos ataques de todas las formas y tamaños, incluidos aquellos que se dirigen a los protocolos UDP e ICMP, así como SYN / ACK, amplificación DNS y ataques de Capa 7.
Geniales estos consejos, claros y concisos. Estoy de acuerdo, cuidar la seguridad de nuestro WordPress podría ahorrarnos muchos problemas graves y molestos. Muchas gracias por el resumen (: