10 Actionable WordPress consejos de seguridad para el Layman

Artículo escrito por:
  • WordPress
  • Actualizado: Jun 06, 2018

Desde que se introdujo por primera vez hace más de dos décadas, WordPress ha crecido (y ha crecido) y ahora puede ser nombrado de manera segura como el sistema de administración de contenido más popular del mundo. Hoy, más de una cuarta parte De los sitios web que existen se ejecutan en WordPress.

Sin embargo, desde tiempos inmemoriales, cuanto más popular es algo, más gente quiere aprovechar para obtener medios infames. Basta con mirar a Microsoft Windows y la Gran cantidad de malware, virus y otros exploits. Diseñado para apuntar solo a este sistema operativo específico.

Las versiones de 10 WordPress con la mayoría de las vulnerabilidades (fuente). La investigación en 2017 identificó 74 diferentes versiones de WordPress en Alexa Top 1 millones de sitios web; 11 de estas versiones no es válido, por ejemplo, la versión 6.6.6 (fuente).

¿Por qué tu blog de WordPress es un objetivo valioso?

En caso de que se esté preguntando por qué demonios un pirata informático querría controlar su blog de WordPress, hay varias razones, entre ellas:

  • Usándolo para enviar en secreto correos electrónicos no deseados
  • Robar sus datos, como una lista de correo o información de tarjeta de crédito
  • Agregando su sitio a una botnet que pueden usar más tarde

Afortunadamente, WordPress es una plataforma que le ofrece una multitud de oportunidades para defenderse. Después de haber ayudado a configurar y administrar varios sitios web y blogs, me gustaría compartir con ustedes algunas de las cosas más básicas que puede hacer para ayudar a proteger su sitio de WordPress.

Estos son algunos consejos de seguridad procesables de 10 que puede utilizar.

Consejo #1. Elija un buen nombre de usuario de administrador

Por experiencia, la mayoría de los intentos de hackeo del sitio intentan iniciar sesión con tres opciones principales de nombres de usuario. Los dos primeros son siempre "admin" o "administrador", mientras que el tercero generalmente se basa en su nombre de dominio.

Por ejemplo, si su sitio es crazymonkey33.com, el pirata informático podría intentar iniciar sesión con 'crazymonkey33'.

No es Buena idea.

Propina #2. Asegúrate de usar una contraseña segura

A estas alturas, probablemente piense que la gente sabría usar contraseñas seguras y complejas para proteger su cuenta, pero todavía hay muchos que piensan que la "contraseña" es excelente.

Una contraseña segura incluirá una mezcla de:

  • Caracteres en mayúsculas y minúsculas
  • Ser alfanumérico (AZ y az)
  • Incluir un carácter especial (!, @, #, $, Etc.)
  • Al menos 8 caracteres de longitud

Cuanto más aleatoria sea su contraseña, más segura será. Pruebe este generador de contraseñas aleatorias si tiene problemas para encontrar uno. https://passwordsgenerator.net/

Consejo #3. Implementar un reCaptcha

Quita los bots de tu blog de WP.

reCaptcha fue diseñado para evitar que las herramientas automatizadas trabajen en un sitio. Por supuesto, dada la complejidad de las herramientas de hacking de hoy en día, estas pueden omitirse con bastante facilidad, pero al menos existe una capa adicional de seguridad.

Existen una serie de complementos reCaptcha Puede usarlo con su instalación que funcionará prácticamente de forma inmediata.

Consejo #4. Utilice la autenticación de dos factores (2FA)

2FA es un método de autenticación que requiere una verificación en su inicio de sesión. Por ejemplo, una vez que haya iniciado sesión con su nombre de usuario y contraseña, el sistema puede enviar un SMS a su teléfono móvil o enviarlo por correo electrónico con un código que debe ingresar para verificar su identidad.

Este método de autenticación ofrece una buena protección y es utilizado por muchos bancos e instituciones financieras en la actualidad. Una vez más, esta necesidad se puede satisfacer fácilmente con un Complemento 2FA.

Vea cómo miniOrange (un complemento de 2FA) funciona con el inicio de sesión de WordPress en el siguiente video.

T

Consejo #5. Renombra tu URL de inicio de sesión

La mayoría de los piratas informáticos intentarán iniciar sesión a través de la página de inicio de sesión predeterminada de wordpress, que suele ser algo así como sample.com/wp-admin.

Para agregar otra capa de protección, cambie la URL de la página de inicio de sesión de forma rápida y sin esfuerzo con una herramienta como WPS Hide Login.

Sugerencia #6. Protege tu directorio wp-admin

Agregue una capa adicional de seguridad a su directorio de host.

El directorio wp-admin es el corazón de su instalación de WordPress. Como protección adicional, la contraseña protege este directorio.

Para hacerlo, deberá iniciar sesión en el panel de control de su cuenta de alojamiento. Si estás usando cPanel or Plesk, la opción que estás buscando es 'Directorios protegidos por contraseña'.

Propina #7. Utiliza SSL para cifrar datos

HTTP vs conexión HTTPS (Fuente: Sucuri)

Aparte del sitio en sí, también querrá salvaguardar la conexión entre usted y el servidor y aquí es donde SSL entra para cifrar sus comunicaciones. Al tener una conexión cifrada, los piratas no podrán interceptar datos (como su contraseña) cuando se está comunicando con su servidor.

Aparte de esto, también es una buena práctica implementar SSL ahora, ya que los motores de búsqueda están penalizando cada vez más los sitios que consideran "no seguros".

Obtenga más información sobre SSL en nuestro completo Guía AZ de SSL.

Consejo #8. Asegúrese de que TODO su software esté actualizado

No importa cuán bueno o caro sea el software, siempre habrá nuevas debilidades encontradas que podrían dejarlos abiertos para ser explotados. WordPress no es una excepción y el equipo lanza constantemente nuevas versiones con correcciones y actualizaciones.

Los piratas informáticos casi siempre buscan aprovechar la debilidad y una vulnerabilidad conocida que no se ha solucionado es simplemente pedir problemas. Esto es el doble para los complementos que a menudo son creados por compañías mucho más pequeñas con menos recursos.

Si está usando complementos, asegúrese de que las actualizaciones se publiquen regularmente o considere encontrar uno con una funcionalidad similar que se mantenga actualizada.

Dicho esto, NO te recomiendo que uses Actualizaciones automáticas de WordPress y Plugin, especialmente si estás ejecutando un sitio en vivo. Algunas actualizaciones pueden causar problemas, ya sea internamente o por conflictos con otros complementos y configuraciones.

Idealmente, cree un entorno de prueba que refleje su sitio en vivo y pruebe las actualizaciones allí. Una vez que esté seguro de que todo funciona bien, puede aplicar la actualización al sitio en vivo.

Los paneles de control como Plesk le dan la opción de crear un clon de sitio para este propósito.

Consejo #9. Hacer uso de una red de distribución de contenido (CDN)

Si bien es posible que esto no evite que su sitio sea hackeado, ayuda a mitigar los ataques malintencionados. Algunos piratas informáticos intentan derribar sitios web, haciéndolos inaccesibles para el público. Un CDN ayudará a amortiguar el golpe de un ataque de denegación de servicio distribuido en su sitio.

Aparte de eso, también ayuda a acelerar un poco su sitio al almacenar en caché algunos contenidos. Para explorar esta opción, mira hacia CloudFlare como ejemplo. CloudFlare ofrece servicios de CDN en niveles de precios de múltiples niveles, por lo que incluso puede usar funciones básicas de forma gratuita. https://www.cloudflare.com

Consejo #10. Copia de seguridad, copia de seguridad y copia de seguridad!

No importa qué medidas de seguridad o qué tan cauteloso seas, los accidentes ocurren. Ahórrese un aplastante dolor de corazón y cientos de horas de trabajo simplemente asegurándose de contar con los servicios de respaldo adecuados.

Normalmente, su proveedor de alojamiento web incluirá al menos algunas características básicas de respaldo, pero si está paranoico como yo, siempre asegúrese de realizar sus propios respaldos independientes. La copia de seguridad no es tan simple como copiar solo algunos archivos, sino que también tiene en cuenta la información de su base de datos.

Busque una solución de respaldo que haya sido probada y probada. Incluso una pequeña inversión vale la pena para ahorrar en las lágrimas en caso de emergencia. Algo como BackupBuddy Puede ayudarlo a guardar todo, incluyendo su base de datos de una sola vez.

Consejo extra: ¡Su proveedor de alojamiento web cuenta!

Aunque tradicionalmente, las empresas de alojamiento web simplemente nos ofrecieron un espacio para alojar nuestros sitios web, los tiempos han cambiado. Los proveedores de alojamiento web, reconociendo la necesidad urgente de mayor seguridad, han aumentado, y muchos ofrecen servicios de valor agregado para complementar su alojamiento web.

Toma por ejemplo HostGator, uno de los nombres más establecidos en el juego. Además de las funciones básicas de Cloudflare, HostGator (al precio de $ 10 + / mes) también incluye protección libre de spam, eliminación automática de malware, copias de seguridad automatizadas, privacidad de dominio y más.

Proveedor de alojamiento de WordPress gestionado, Kinsta, crea firewalls de hardware y monitorea activamente sus servidores en busca de malware y ataques DDoS con su sistema personalizado.

Si esto es algo que todavía no se te ha ocurrido, te recomiendo que veas qué funciones de seguridad ofrece tu host y las compare con las que están disponibles actualmente.

Para una lista completa puede revisar La compilación de hosts web de WHSR aquí.

¿Ahora que?

Antes de ejecutar Wild y comenzar a navegar por Internet en pánico, busque un millón y una de soluciones de seguridad: respire hondo. Como con todo lo demás, alguien ya te habrá ayudado a entrar en pánico y buscará una solución.

Incluso si implementas tantas soluciones de seguridad como puedas encontrar, estás seguro ¿estás seguro?

Aquí es donde algo como Ninja seguridad entra, lo que te ayuda a sondear tu sitio en busca de debilidades.

Demostración rápida: Cómo funciona Security Ninja.

Hay un par de razones convincentes para usar algo como Security Ninja, pero permítame decirle que es una herramienta que recomendaría usar en varias etapas de su viaje para asegurar su sitio.

Primero, ejecútelo en su sitio web 'tal como está', antes de realizar cambios. Deje que el plugin toque y produzca su sitio antes de darle los resultados.

Luego, basándose en esos resultados, trabaje para asegurar su sitio. Security Ninja realiza más pruebas de 50 para probar sus defensas. Incluso después de haber realizado los cambios, ejecútelo nuevamente (y cada vez que haya cambios en el sitio o actualizaciones de complementos) solo para probar su sitio.

Si esto le parece demasiado trabajo, Security Ninja también viene con una gran cantidad de módulos adicionales (versión pro, sitio único $ 29) que puede ayudarte a solucionar los problemas que encuentra.

Algunas otras características clave en estos módulos incluyen:

  • Escanear archivos básicos de WP para identificar archivos problemáticos
  • Restaurar archivos modificados con un solo clic
  • Arreglar actualizaciones automáticas WP rotas
  • Prohibir 600 millones de direcciones IP incorrectas recopiladas de millones de sitios atacados
  • Lista de actualizaciones automáticas, sin necesidad de mantenimiento o trabajo manual
  • Proteger el formulario de inicio de sesión de los ataques de fuerza bruta

Consideraciones finales

Si bien todo esto puede parecer un poco excesivo para el usuario promedio de WordPress, le aseguro que todo esto (y más) es necesario. Ignorar las estadísticas de piratería en todo el mundo y otras cosas por un tiempo, permítame compartir con usted cierta información personal en uno de los sitios más oscuros que ayudo a administrar.

Originalmente comenzó como un sitio de biografía simple, creé www.timothyshim.com. Obviamente, fue algo que configuré y la mayoría de las veces lo dejo solo, simplemente como un punto de referencia. En cada período de un mes, este sitio que Básicamente no hace nada y no recoge datos., caras sobre ataques 30 - una combinación de fuerza bruta y complejos.

Todo lo que necesita es que uno de ellos tenga éxito y yo tendría una de verdad mal día.

Acerca de Timothy Shim

Timothy Shim es escritor, editor y experto en tecnología. Comenzando su carrera en el campo de la tecnología de la información, rápidamente encontró su camino en la impresión y desde entonces ha trabajado con títulos de medios internacionales, regionales y nacionales, incluidos ComputerWorld, PC.com, Business Today y The Asian Banker. Su experiencia se encuentra en el campo de la tecnología tanto desde el punto de vista del consumidor como desde el de la empresa.