10 consejos poco conocidos y súper efectivos para asegurar su blog de WordPress
Lograr que un blog sea pirateado y perder años y años de trabajo de blog durante la noche es una triste realidad por la que la gente ha pasado. De hecho, las investigaciones muestran que 37,000 sitios web son pirateados cada día, y con WordPress alimentando aproximadamente el 25.4% de todos los sitios web, puede estar seguro de que una gran cantidad de blogs de WordPress son hackeados todos los días..
WordPress security es un juego de pelota completamente diferente; una vez que tienes un blog de WordPress, consejos como tener un nombre de usuario que sea difícil de adivinar y una contraseña tan difícil como la piedra ya no son suficientes. UNA tema de buggy único, el complemento incorrecto o un archivo protegido incorrectamente puede resultar en que tu blog sea hackeado de la noche a la mañana.
Ya sea que no tenga experiencia con WordPress o que haya estado usando la plataforma desde su existencia, este artículo tiene 10 maneras prácticas y efectivas para asegurar tu blog de WordPress que cualquiera puede implementar. No encontrará la mayoría de estos consejos en artículos populares sobre "cómo proteger su blog", pero podrían muy bien salvar su blog algún día.!
1. Deshabilite el Editor de Temas y Complementos de WordPress
WordPress tiene una característica útil que brinda a los propietarios de sitios una mayor flexibilidad al permitirles personalizar y editar sus temas y complementos directamente desde el panel de WordPress, pero esta característica ha sido la deshacer de la mayoría de los blogs..
Con esta característica, una un ligero error puede bloquear tu sitio y bloquearte tu propio sitio web. Los piratas informáticos pueden insertar fácilmente códigos maliciosos en su tema para darles acceso de puerta trasera a su sitio, o incluso controlar su sitio completamente, al obtener el control de una cuenta que tiene suficientes privilegios para usar el editor de temas y complementos..
Puede protegerse desactivando el plugin y el editor de temas, haciendo imposible modificar sus temas y complementos sin acceso a FTP.
Haga esto agregando el siguiente código a su archivo wp-config.php:
define ('DISALLOW_FILE_EDIT', true);
2. Habilitar la autenticación de dos factores
La autenticación de dos factores se está convirtiendo rápidamente en una de las formas más confiables de proteger sus cuentas en línea, y los sitios web más confiables insistirán en que sus usuarios lo habiliten.
Si bien WordPress no tiene necesariamente una autenticación de dos factores integrada, puedes habilitar la autenticación de dos factores en tu blog al instalar los siguientes complementos:
- Google Authenticator
- Authy
- Clave
- Rublon
3. Limitar los inicios de sesión según el número de intentos fallidos
Hay muchas maneras en que los piratas informáticos intentan obtener acceso a su blog, y una de las técnicas más comunes que se utilizan es un ataque de fuerza bruta: un pirata informático intenta una combinación de nombres de usuario y contraseñas, una y otra vez, hasta que pueda acceder con éxito. tu blog.
Por defecto, WordPress no está protegido contra este ataque. Al instalar complementos que limitan los inicios de sesión después de un cierto número de intentos fallidos de una IP particular, puede hacer que sea más difícil para los hackers acceder a su blog.
El plugin Jetpack Protect Module también puede protegerlo de los ataques de fuerza bruta.
4. Escanee regularmente su blog
Los archivos de temas, complementos, enlaces y otros elementos aparentemente inofensivos pueden usarse para obtener acceso a su blog. No espere hasta que su sitio web esté completamente infectado antes de tomar medidas. En su lugar, instale complementos de escaneo de seguridad para escanear regularmente su sitio web y notificarle si sus archivos cambian.
Un buen ejemplo de un complemento de escaneo de seguridad es Wordfence. Además de brindarte la opción de escanear manualmente / automáticamente tu blog de WordPress, también te notifica instantáneamente cuando una actividad sospechosa está ocurriendo en tu blog..
También envía información sobre comentarios potencialmente maliciosos, y compara tus archivos de tema y plugin con el repositorio de WordPress para Informarle si su versión de un plugin o tema ha sido modificada. y potencialmente puede servir como una puerta trasera para los hackers a su sitio.
Otros complementos de seguridad que pueden ayudarte a escanear tu blog en busca de malware y vulnerabilidades son:
- Escáner de seguridad Sucuri
- Acunetix WP Security
- Seguridad de iThemes (anteriormente conocida como "Mejor seguridad de WP")
5. Cambie su anfitrión
Si bien esto parece un consejo simplista, en realidad tiene mucho peso. La investigación muestra que el 41% de los sitios web de WordPress pirateados fueron hackeado a través de la vulnerabilidad de seguridad en su plataforma de alojamiento. Esto es mucho más que de otras fuentes, incluido tener una contraseña débil.
Su anfitrión puede jugar un papel importante en si será hackeado o no; asegúrate de que solo Opte por servidores web confiables que hayan superado la prueba del tiempo. y eso cumplir con las mejores prácticas de la industria.
6. Ocultar su número de versión de WordPress
Por defecto, WordPress muestra su número de versión de WordPress; Esto hace que sea fácil para WordPress realizar un seguimiento de cuántos blogs de WordPress están activos en todo el mundo. Sin embargo, esto también puede ser una gran fuente de problemas; hackers y bots pueden escanear la web en busca de blogs utilizando un número de versión de WordPress con una vulnerabilidad conocida, haciéndote un objetivo fácil.
Usted puede resolver este problema fácilmente ocultando su número de versión de WordPress. Para ocultar su número de versión de WordPress, simplemente agregue el siguiente código a su archivo functions.php:
add_filter ('the_generator', '__return_null');
7. Deshabilitar los informes de error de PHP
Cuando un complemento o tema no funciona bien en su blog de WordPress, los informes de errores de PHP pueden ayudar al mostrarle un mensaje que revela la causa del error. Sin embargo, en esta ventaja hay una desventaja: cuando se informa un error de PHP, Incluye la ruta completa del servidor del error, revelando información. que los hackers pueden usar contra ti.
Puedes protegerte por deshabilitar el informe de errores de PHP. Simplemente agregue el siguiente código a su archivo wp-config.php:
error_reporting (0); @ini_set ('display_errors', 0);
8. Trabaja en tus permisos de archivo de WordPress
Cuando se trata de evitar que su sitio de WordPress se aproveche de la seguridad, es esencial asegúrese de tener los permisos de archivo correctos. Esto hace que sea difícil para un pirata informático manipular complementos, temas o archivos en su servidor para controlar su sitio web.
Asegúrese de que WordPress carpeta los permisos se establecen en 755 o 750; expediente los permisos se establecen en 640 o 644; y que el permiso wp-config.php se establece en 600.
9. Asegurar copias de seguridad regulares
Incluso los sitios web grandes con un equipo de expertos en seguridad y consultores son pirateados, y si bien seguir las mejores prácticas puede hacer que su sitio web sea más fuerte que el 99.9% de los sitios web, las cosas aún se pueden romper.
La mejor seguridad que tienes contra los ataques de pirateo de WordPress es una buena copia de seguridad; asegúrese de hacer copias de seguridad de su sitio de forma regular, si es posible, diariamente. De esta manera, si su sitio web es hackeado, tendrá sus archivos en su lugar y puede restaurar las cosas inmediatamente.
Éstos son algunos de los mejores complementos de copia de seguridad de WordPress:
- BackUpWordPress
- ¡Listo! Apoyo
- VaultPress
- BackupBuddy
10. Limita el acceso a tu página de inicio de sesión
Cuando llegue el momento de empujar, es posible que tengas que tomar una acción drástica. Una forma muy confiable de proteger tu blog de intentos de hackeo es bloqueando por completo el acceso a su página wp-admin y wp-login.php.
Esto solo se recomienda si Usa una dirección IP que no cambie (¡No quieres bloquearte de tu blog!). Aún puede usar esta opción si usa más de una dirección IP pero mantiene un registro de esas direcciones.
Para limitar el acceso a su página de inicio de sesión, agregue el siguiente código a su archivo .htaccess:
RewriteEngine en RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [O] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! ^ Su La dirección IP 1 $ RewriteCond% REMOTE_ADDR! ^ Su dirección IP 2 $ RewriteCond% REMOTE_ADDR! ^ Su dirección IP 3 $ RewriteCond% REMOTE_ADDR! ^ Su dirección IP 4 $ RewriteCond% REMOTE_ADDR! ^ Su dirección IP 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Asegúrate de editar Su dirección IP 1 a través de Su dirección IP 5 con las diferentes direcciones IP a las que desea dar acceso; simplemente puede agregar o eliminar una línea para permitir o evitar que más direcciones IP accedan a su sitio.
Conclusión
Por supuesto, no debe ignorar los consejos básicos de seguridad, como no usar un nombre de usuario predecible, tener una contraseña segura, actualizar su instalación de WordPress regularmente, etc. Sin embargo, los anteriores son algunos consejos de seguridad poco conocidos, a menudo ignorados que pueden hacer que su El blog de WordPress es un poco más seguro..
Nota del editor: Esta publicación de invitado está escrita para Hongkiat.com por John Stevens. John es Un experto en WordPress y hosting. Es el fundador y CEO de HostingFacts.com, Un portal donde él revisa y califica los hosts de la web según el rendimiento..