Consejos de seguridad de WordPress para el profano: proteja su inicio de sesión de WordPress y otras prácticas de seguridad

Artículo escrito por: Timothy Shim
  • WordPress
  • Actualizado: sep 02, 2020

Desde que se introdujo por primera vez hace más de dos décadas, WordPress ha crecido (y ha crecido) y ahora puede ser nombrado de manera segura como el sistema de administración de contenido más popular del mundo. Hoy, más de una cuarta parte De los sitios web que existen se ejecutan en WordPress.

Sin embargo, desde tiempos inmemoriales, cuanto más popular es algo, más gente quiere aprovechar para obtener medios infames. Basta con mirar a Microsoft Windows y la Gran cantidad de malware, virus y otros exploits. Diseñado para apuntar solo a este sistema operativo específico.

Las versiones de 10 WordPress con la mayoría de las vulnerabilidades (fuente). La investigación en 2017 identificó 74 versiones diferentes de WordPress en Alexa Top 1 millón de sitios web; 11 de estas versiones no son válidas, por ejemplo, la versión 6.6.6 (fuente).

¿Por qué tu blog de WordPress es un objetivo valioso?

En caso de que se esté preguntando por qué demonios un pirata informático querría controlar su blog de WordPress, hay varias razones, entre ellas:

  • Usándolo para enviar en secreto correos electrónicos no deseados
  • Robar sus datos, como una lista de correo o información de tarjeta de crédito
  • Agregando su sitio a una botnet que pueden usar más tarde

Afortunadamente, WordPress es una plataforma que le ofrece una multitud de oportunidades para defenderse. Después de haber ayudado a configurar y administrar varios sitios web y blogs, me gustaría compartir con ustedes algunas de las cosas más básicas que puede hacer para ayudar a proteger su sitio de WordPress.

Estos son algunos consejos de seguridad procesables de 10 que puede utilizar.

Asegure su página de inicio de sesión de WordPress

La protección de su página de inicio de sesión no se puede lograr con ninguna técnica específica, pero ciertamente hay pasos y complementos de seguridad gratuitos Puede tomar para hacer que cualquier ataque sea menos probable que tenga éxito.

La página de inicio de sesión de su sitio es sin duda una de las páginas más vulnerables de su sitio web, así que comencemos a hacer que la página de inicio de sesión de su sitio de WordPress sea un poco más segura.

1. Elija un buen nombre de usuario administrador

Usa nombres de usuario inusuales. Anteriormente con WordPress, tenía que comenzar con un nombre de usuario administrador predeterminado, pero ya no es así. Aún así, la mayoría de los nuevos administradores web usan el nombre de usuario predeterminado y necesitan cambiar su nombre de usuario. Puedes usar Admin Renamer Extended para cambiar su nombre de usuario de administrador.

Las páginas de inicio de sesión de fuerza bruta son una de las formas comunes de ataques web a los que es probable que se enfrente su sitio web. Si tiene una contraseña o un nombre de usuario fáciles de adivinar, es casi seguro que su sitio web no será solo un objetivo, sino eventualmente una víctima. Por experiencia, la mayoría de los intentos de pirateo de sitios intentan iniciar sesión con tres opciones principales de nombres de usuario. Los dos primeros son siempre 'admin' o 'administrador', mientras que el tercero generalmente se basa en su nombre de dominio.

Por ejemplo, si su sitio es crazymonkey33.com, el pirata informático podría intentar iniciar sesión con 'crazymonkey33'.

No es Buena idea.

2. Asegúrate de usar una contraseña segura

A estas alturas, probablemente piense que la gente sabría usar contraseñas seguras y complejas para proteger su cuenta, pero todavía hay muchos que piensan que la "contraseña" es excelente.

Datos Splash compiló una lista de contraseñas de uso frecuente en 2018. Contraseña por rango en términos de uso.

  1. 123456
  2. contraseña
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sol
  9. QWERTY
  10. te amo

Si utiliza una de esas contraseñas y su sitio web recibe algún tipo de tráfico, es muy probable que su sitio web sea retirado tarde o temprano.

Una contraseña segura incluirá una mezcla de:

  • Caracteres en mayúsculas y minúsculas
  • Ser alfanumérico (AZ y az)
  • Incluir un carácter especial (!, @, #, $, Etc.)
  • Al menos 8 caracteres de longitud

Cuanto más aleatoria sea su contraseña, más segura será. Pruebe este generador de contraseñas aleatorias si tiene problemas para encontrar uno. https://passwordsgenerator.net/

3. Implemente un reCaptcha

Quita los bots de tu blog de WP.

reCaptcha fue diseñado para evitar que las herramientas automatizadas trabajen en un sitio. Por supuesto, dada la complejidad de las herramientas de hacking de hoy en día, estas pueden omitirse con bastante facilidad, pero al menos existe una capa adicional de seguridad.

Existen una serie de complementos reCaptcha Puede usarlo con su instalación que funcionará prácticamente de forma inmediata.

4. Utilice la autenticación de dos factores (2FA)

2FA es un método de autenticación que requiere una verificación en su inicio de sesión. Por ejemplo, una vez que haya iniciado sesión con su nombre de usuario y contraseña, el sistema puede enviar un SMS a su teléfono móvil o enviarlo por correo electrónico con un código que debe ingresar para verificar su identidad.

Este método de autenticación ofrece una buena protección y es utilizado por muchos bancos e instituciones financieras en la actualidad. Una vez más, esta necesidad se puede satisfacer fácilmente con un Complemento 2FA.

Vea cómo miniOrange (un complemento de 2FA) funciona con el inicio de sesión de WordPress en el siguiente video.

T

5. Cambie el nombre de su URL de inicio de sesión

La mayoría de los hackers intentarán iniciar sesión a través de la página de inicio de sesión predeterminada de WordPress, que generalmente es algo así como

sample.com/wp-admin.

Para agregar otra capa de protección, cambie la URL de la página de inicio de sesión de forma rápida y sin esfuerzo con una herramienta como WPS Hide Login.

6. Limite el número de intentos de inicio de sesión

Esta es una técnica increíblemente sencilla para detener los ataques de fuerza bruta en su página de inicio de sesión. Un ataque de fuerza bruta funciona intentando obtener su nombre de usuario y contraseña correctamente al intentar múltiples combinaciones una y otra vez.

Si se realiza un seguimiento de la IP particular que está perpetrando el ataque, entonces puede bloquear los intentos de forzados brutos repetidos y mantener su sitio seguro. Esta es también la razón por la que los ataques DDOS globales se producen con varias direcciones IP con diferentes orígenes de ataque, para poner a los servicios de alojamiento y la seguridad del sitio web por sorpresa.

Login LockDown y Solución de seguridad de inicio de sesión ambos ofrecen excelentes soluciones para proteger las páginas de inicio de sesión de su sitio web. Realizan un seguimiento de las direcciones IP y limitan el número de intentos de inicio de sesión para proteger su sitio web.

Endurecer el muro de seguridad del sitio

Hemos discutido varias tácticas para proteger su página de inicio de sesión de WordPress; los pasos mencionados anteriormente son los conceptos básicos que puede hacer. También debe tener en cuenta que algunos servidores web imponen algunas de estas prácticas de seguridad a sus usuarios. Existen otras prácticas de seguridad que puede implementar en sus sitios.

7. Protege tu directorio wp-admin

Agregue una capa adicional de seguridad a su directorio de host.

El directorio wp-admin es el corazón de su instalación de WordPress. Como protección adicional, la contraseña protege este directorio.

Para hacerlo, deberá iniciar sesión en el panel de control de su cuenta de alojamiento. Si estás usando cPanel or Plesk, la opción que estás buscando es 'Directorios protegidos por contraseña".

Alternativamente, puede proteger con contraseña un directorio ajustando sus archivos .htaccess y .htpasswds. La guía detallada paso a paso y un generador de código están disponibles de forma gratuita en Unidad dinámica.

Tenga en cuenta que proteger con contraseña su carpeta wp-admin romper público AJAX para WordPress - Deberá permitir permisos para administrar ajax a través de .htaccess para evitar errores en el sitio.

8. Utiliza SSL para cifrar datos

HTTP vs conexión HTTPS (Fuente: Sucuri)

Aparte del sitio en sí, también querrá salvaguardar la conexión entre usted y el servidor y aquí es donde SSL entra para cifrar sus comunicaciones. Al tener una conexión cifrada, los piratas no podrán interceptar datos (como su contraseña) cuando se está comunicando con su servidor.

Aparte de esto, también es una buena práctica implementar SSL ahora, ya que los motores de búsqueda están penalizando cada vez más los sitios que consideran "no seguros".

Para bloggers individuales y pequeñas empresas, un SSL gratuito y compartido, que generalmente puede obtener de su proveedor de alojamiento, EncriptemosCloudflare - suele ser más que suficiente. Para las empresas que procesan el pago de los clientes, es mejor que comprar un certificado SSL dedicado desde su servidor web o una autoridad de certificación (CA).

Obtenga más información sobre SSL en nuestro completo Guía AZ de SSL.

9. Haga uso de una red de distribución de contenido (CDN)

Si bien esto podría no salvar su sitio de ser pirateado, ayuda a mitigar los ataques maliciosos contra él. Algunos hackers pretenden derribar sitios web, haciéndolos inaccesibles para el público. Un CDN ayudará a amortiguar el golpe de un Denegación de servicio distribuido Ataque en su sitio.

Aparte de eso, también ayuda a acelerar un poco tu sitio al almacenar en caché algún contenido. Para explorar esta opción, mire hacia Cloudflare como ejemplo. Cloudflare ofrece servicios de CDN en niveles de precios de varios niveles, por lo que incluso puede usar las funciones básicas de forma gratuita.

Más información sobre cómo funciona Cloudflare y las ventajas de usar el servicio.

10. Asegúrese de que TODO su software esté actualizado

No importa cuán bueno o caro sea el software, siempre habrá nuevas debilidades encontradas que podrían dejarlos abiertos para ser explotados. WordPress no es una excepción y el equipo lanza constantemente nuevas versiones con correcciones y actualizaciones.

Los piratas informáticos casi siempre buscan aprovechar la debilidad y una vulnerabilidad conocida que no se ha solucionado es simplemente pedir problemas. Esto es el doble para los complementos que a menudo son creados por compañías mucho más pequeñas con menos recursos.

Si está utilizando complementos, asegúrese de que las actualizaciones se publiquen regularmente, o considere buscar complementos populares con una funcionalidad similar que se mantiene actualizada.

Dicho esto, NO te recomiendo que uses Actualizaciones automáticas de WordPress y Plugin, especialmente si estás ejecutando un sitio en vivo. Algunas actualizaciones pueden causar problemas, ya sea internamente o por conflictos con otros complementos y configuraciones.

Idealmente, cree un entorno de prueba que refleje su sitio en vivo y pruebe las actualizaciones allí. Una vez que esté seguro de que todo funciona bien, puede aplicar la actualización al sitio en vivo.

Los paneles de control como Plesk le dan la opción de crear un clon de sitio para este propósito.

11. Copia de seguridad, copia de seguridad y copia de seguridad!

No importa qué medidas de seguridad o qué tan cauteloso seas, los accidentes ocurren. Ahórrese un aplastante dolor de corazón y cientos de horas de trabajo simplemente asegurándose de contar con los servicios de respaldo adecuados.

Normalmente, su proveedor de alojamiento web incluirá al menos algunas características básicas de respaldo, pero si está paranoico como yo, siempre asegúrese de realizar sus propios respaldos independientes. La copia de seguridad no es tan simple como copiar solo algunos archivos, sino que también tiene en cuenta la información de su base de datos.

Busque una solución de respaldo que haya sido probada y probada. Incluso una pequeña inversión vale la pena para ahorrar en las lágrimas en caso de emergencia. Algo como BackupBuddy Puede ayudarlo a guardar todo, incluyendo su base de datos de una sola vez.

12. ¡Su servidor web cuenta!

Aunque tradicionalmente las empresas de alojamiento web simplemente ofrecían espacio para alojar nuestros sitios web, los tiempos han cambiado. Proveedores de alojamiento web, comprender las vulnerabilidades, han intensificado para aumentar la seguridad y muchos ofrecen servicios de valor agregado para complementar su alojamiento web.

Toma por ejemplo HostGator, uno de los nombres más establecidos en el juego. Además de las funciones básicas de Cloudflare, HostGator (al precio de $ 10 + / mes) también incluye protección libre de spam, eliminación automática de malware, copias de seguridad automatizadas, privacidad de dominio y más.

Proveedor de alojamiento de WordPress gestionado, Kinsta, crea firewalls de hardware y monitorea activamente sus servidores en busca de malware y ataques DDoS con su sistema personalizado.

Si esto es algo que todavía no se te ha ocurrido, te recomiendo que veas qué funciones de seguridad ofrece tu host y las compare con las que están disponibles actualmente.

Para una lista completa puede revisar La compilación de WHSR de los mejores servidores web aquí.

¿Ahora que?

Antes de ejecutar Wild y comenzar a navegar por Internet en pánico, busque un millón y una de soluciones de seguridad: respire hondo. Como con todo lo demás, alguien ya te habrá ayudado a entrar en pánico y buscará una solución.

Incluso si implementas tantas soluciones de seguridad como puedas encontrar, estás seguro ¿estás seguro?

Aquí es donde algo como Ninja seguridad entra, lo que te ayuda a sondear tu sitio en busca de debilidades.

Demostración rápida: Cómo funciona Security Ninja.

Hay un par de razones convincentes para usar algo como Security Ninja, pero permítame decirle que es una herramienta que recomendaría usar en varias etapas de su viaje para asegurar su sitio.

Primero, ejecútelo en su sitio web 'tal como está', antes de realizar cambios. Deje que el plugin toque y produzca su sitio antes de darle los resultados.

Luego, basándose en esos resultados, trabaje para asegurar su sitio. Security Ninja realiza más pruebas de 50 para probar sus defensas. Incluso después de haber realizado los cambios, ejecútelo nuevamente (y cada vez que haya cambios en el sitio o actualizaciones de complementos) solo para probar su sitio.

Si esto le parece demasiado trabajo, Security Ninja también viene con una gran cantidad de módulos adicionales (versión pro, sitio único $ 29) que puede ayudarte a solucionar los problemas que encuentra.

Algunas otras características clave en estos módulos incluyen:

  • Escanee archivos principales de WP para identificar archivos problemáticos
  • Restaurar archivos modificados con un clic
  • Reparar actualizaciones automáticas de WP rotas
  • Prohibir 600 millones de direcciones IP incorrectas recopiladas de millones de sitios atacados
  • Lista de actualizaciones automáticas, sin necesidad de mantenimiento ni trabajo manual
  • Proteja el formulario de inicio de sesión de ataques de fuerza bruta

Consideraciones finales

Si bien todo esto puede parecer un poco excesivo para el usuario promedio de WordPress, le aseguro que todo esto (y más) es necesario. Ignorar las estadísticas de piratería en todo el mundo y otras cosas por un tiempo, permítame compartir con usted cierta información personal en uno de los sitios más oscuros que ayudo a administrar.

Originalmente comenzó como un sitio de biografía simple, creé www.timothyshim.com. Obviamente, fue algo que configuré y la mayoría de las veces lo dejo solo, simplemente como un punto de referencia. En cada período de un mes, este sitio que Básicamente no hace nada y no recoge datos., caras sobre ataques 30 - una combinación de fuerza bruta y complejos.

Todo lo que necesita es que uno de ellos tenga éxito y yo tendría una realmente mal día.

Acerca de Timothy Shim

Timothy Shim es escritor, editor y experto en tecnología. Comenzando su carrera en el campo de la tecnología de la información, rápidamente encontró su camino en la impresión y desde entonces ha trabajado con títulos de medios internacionales, regionales y nacionales, incluidos ComputerWorld, PC.com, Business Today y The Asian Banker. Su experiencia se encuentra en el campo de la tecnología tanto desde el punto de vista del consumidor como desde el de la empresa.