parallax background

Guía de seguridad para paginas WordPress.

9 HERRAMIENTAS QUE TODO DISEÑADOR WEB DEBE CONOCER
julio 5, 2017
Nosotros
agosto 17, 2017

E l proceso de hacer mas seguro un sitio web se refiere a menudo como «endurecimiento del sitio». Y tiene sentido. Después de todo, el proceso es como añadir refuerzos a su castillo. Se trata de reforzar las puertas y poner miradores en cada torre. Pero ese término no siempre le permite darse cuenta de los detalles que van a mejorar la seguridad del sitio.

Incluso si has hecho casi nada para mejorar la seguridad de tu sitio, es probable que tengas al menos una familiaridad superficial con algunas tácticas populares. También es probable que haya oído hablar de un complemento o dos que pueden hacer el trabajo. No vamos a hablar de esas cosas hoy, sin embargo.

Este artículo va a centrarse más directamente en las formas en que puede proteger el administrador de su sitio, y más específicamente que eso, las maneras que no se discuten una y otra vez en cada lista por ahí. Porque la seguridad es muy importante.

     ¿Sabía usted que el 73% de los sitios populares que usan WordPress fueron considerados «vulnerables» en 2013?

O que de los 10 plugins más vulnerables, cinco eran plugins comerciales disponibles para su compra? Peor aún, uno de esos cinco plugins era en realidad un plugin de seguridad, lo cual es bastante horrible.

Mientras que la instalación principal de WordPress es muy fácil de usar y relativamente segura, cuanto más se añada encima de ella a través de complementos, temas y código personalizado, más probable es que sea hackeada. Y cuanto más usuarios agregues, la probabilidad aumenta aún más. Eso con malas noticias para individuos y negocios, por igual.

Con esto en mente, pasemos un tiempo explorando esta modesta guía de seguridad  para  el backend de su sitio y así  asegurar que su información (y la de sus clientes) permanezca segura.

Sé que muchos de los pasos que se van a enumerar a continuación podrán parecer demasiado obvios y básicos para algunos usuarios avanzados, sin embargo  incluso si eres un profesional de WordPress, tener esta lista de chequeo  puede ser útil en el proceso de desarrollo web. Así que sin mas introducciones, aquí están los aspectos mas importantes y básicos para la seguridad de tu sitio WordPress.

1.Mantén actualizado WordPress a su ultima version

Algo tan simple puede tener un gran impacto en la seguridad del sitio. Cada vez que inicie sesión en el panel de control y vea el banner «Actualización disponible», haga clic en él y actualice su sitio. Si le preocupa que algo se rompa, haga una copia de seguridad antes de instalarlo. Lo importante es que lo haga, y con regularidad. La información sobre los agujeros de seguridad que se fijaron de la versión anterior ya está disponible para el público, lo que significa que un sitio desactualizado es aún más vulnerable.

2.Mantén actualizados los complementos y los temas.

Así como debe actualizar regularmente el núcleo de WordPress, también debe actualizar complementos y temas. Cada complemento y tema instalado en su sitio es como una puerta trasera en el backend de su sitio. A menos que esté debidamente protegido (revisado minuciosamente, actualizado regularmente, etc.), los complementos y temas son como una puerta abierta a su información personal.

3.Elimine cualquier complemento o tema que no esté utilizando.

A lo largo de la misma línea de pensamiento como lo que se menciona anteriormente, deshacerse de cualquier complemento o temas que no necesita reducir la probabilidad de ser hackeado. Si no los está utilizando, no va a querer actualizarlos, por lo que es una idea mucho mejor eliminarlos. Leer: Desactivar plugins no es suficiente; Debe hacer clic en «Eliminar».

4.Solo descargue plugins y temas de fuentes conocidas.

Cuando se puede, la descarga de complementos y temas de WordPress.org es en realidad su mejor apuesta ya que se han examinado a fondo antes de ser admisible para el Directorio Temático o Directorio de Plugins. Si quieres un tema premium o un complemento, solo puedes descargarlos de fuentes acreditadas como Themeforest o de un sitio web de desarrolladores muy respetado.

5.Cambiar permisos de archivo.

Evite configurar directorios con permisos 777. Debe optar por 755 o 750, en su lugar, de acuerdo con WordPress.org. Mientras estás en él, establece los archivos a 640 o 644 y wp-config.php a 600.

6.No utilice «admin» como nombre de usuario.

Si ya ha instalado WordPress usando «admin» como su nombre de usuario o algo muy simple, puede cambiarlo introduciendo una consulta SQL en PHPMyAdmin o siguiendo las instrucciones establecidas en nuestro último artículo sobre el tema.

7.Cambia tu contraseña a menudo (y hagalo bien).

Las cadenas aleatorias de letras y números son las mejores. Si no le apetece encontrar algo manualmente, puede usar un generador de contraseñas para llevar a cabo la tarea como Norton Password Generator o Strong Password Generator. Las contraseñas se han dado el tratamiento especial para la próxima versión de WordPress 4.3 y por fuerte por defecto. Asegúrese de que sus usuarios establezcan nombres de usuario y contraseñas sólidos. Está todo bien y bien si crea un buen nombre de usuario y contraseña, pero si sus usuarios no, sus esfuerzos personales no importa y su sitio será tan vulnerable.

8.Agregue la autenticación en dos pasos

Una buena manera de prevenir ataques de fuerza bruta es configurar la autenticación en dos pasos. Esto significa que se requiere una contraseña más un código de autorización que se envía a su teléfono para iniciar sesión en su sitio. A menudo, el segundo código de inicio de sesión se envía a través de SMS. Se pueden usar varios complementos para agregar esta función, incluida Clef, autenticador de Google y autenticación de dos factores Duo.

9.Instale un firewall en su computadora.

Es un paso más, sí, pero fácil de hacer. Y una vez instalado ofrece otra capa de protección contra los hackers y las brechas de seguridad. Algunos proveedores de software de cortafuegos para comprobar hacia fuera incluyen Comodo, Norton Internet Security y ZoneAlarm Free Firewall.

10.Limitar los inicios de sesión.

El ataque de fuerza bruta es la táctica # 1 para los hackers. Si los dejas, intentarán ingresar a tu sitio una y otra vez hasta que rompan tu contraseña. Es por eso que se llama «fuerza bruta» porque el ataque es implacable. Sin embargo, hay complementos que le permiten limitar el número de veces que una persona de una IP específica puede intentar iniciar sesión dentro de un período de tiempo asignado. El usuario está restringido de intentar iniciar sesión de nuevo durante un período de tiempo determinado. Login LockDown es ideal para ofrecer esta función, pero otros complementos que ofrecen un conjunto completo de características de seguridad suelen incluir limitaciones de inicio de sesión como iThemes Security y Sucuri Security.

11.Limitar el acceso de usuarios.

A veces la seguridad del sitio se ejecuta a través del escurridor debido a algo muy simple: la concesión de acceso a demasiadas personas. Una buena regla general es sólo conceder acceso a aquellos que absolutamente lo necesitan y aún así, sólo les dan el mínimo de permisos para completar sus tareas asignadas. Dar todos los permisos administrativos de sus contribuyentes es sólo pedir problemas.

12.Haga una copia de seguridad de su sitio.

No sólo quiero decir de vez en cuando. Me refiero a previsiblemente en un horario. Las copias de seguridad programadas son una parte esencial de la estrategia de seguridad de cualquier sitio, ya que garantiza que si su sitio está comprometido, podrá restaurarlo a una versión anterior al daño con facilidad. Elija una solución automatizada como VaultPress, BlogVault, BackupBuddy o WordPress Backup para Dropbox para copias de seguridad simples y con opciones de restauración incorporadas.

13.Compruebe la autenticidad de los temas y lleve a cabo análisis de seguridad.

Así como instalar un software antivirus en su computadora para buscar malware, también debe instalar un escáner en WordPress. Un escáner de seguridad comprobará si hay código malicioso en sus complementos, archivos principales y complementos para asegurarse de que no se ha manipulado nada. Existen varios escáneres que tal vez desee considerar la posibilidad de incluir Sucuri Sitecheck, CodeGuard, Verificador de autenticidad de temas y AntiVirus.

Tips Avanzados

Ahora que nos hemos acostumbrado a las cosas que ya debe saber sobre la seguridad de un sitio web de WordPress, podemos pasar a algunas de las cosas más oscuras, así como aquellos que usted podría no haber pensado aún. Pero primero, asegúrese de crear un tema secundario antes de realizar cualquier cambio en su archivo functions.php.

 

 

Continuara…