Consejos y trucos webSeguridad WEBWeb y WordPress

10 innovadores trucos de seguridad de WordPress para proteger su sitio web

44

Independientemente de si posee un blog personal o un sitio web comercial crítico con datos confidenciales, debe hacer el debido énfasis en protegerlo en la mayor medida posible. Para evitar que un visitante con intenciones maliciosas obtenga acceso a su sitio web, es vital preparar una lista de verificación de seguridad y realizar auditorías de seguridad periódicas.

Habiendo dicho eso, un sistema cien por ciento seguro es prácticamente imposible de configurar, ya que siempre existe la probabilidad de que surjan nuevas «amenazas» de la nada. Si bien es posible que no sea posible erradicar por completo el riesgo de violaciones de seguridad, seguir un conjunto de mejores prácticas puede ayudarlo a minimizar las posibles vulnerabilidades.

Cuando se trata de proteger un sitio web de WordPress, tendrá muchas opciones en lo que respecta a la disponibilidad de recursos. Hay un montón de consejos, ajustes y tutoriales publicados en una gran cantidad de sitios web y blogs. Sin embargo, cuando miras más de cerca, es posible que te decepciones por la falta de sustancia. Las medidas de seguridad de WordPress enumeradas en la mayoría de estos sitios web son de naturaleza muy básica. Ya sea actualizando a la versión más reciente de WordPress, programando copias de seguridad periódicas o usando una contraseña de administrador de alta complejidad, es posible que ya haya implementado todas estas medidas fundamentales. Obviamente, la pregunta que te viene a la mente es «¿Qué sigue?»

Este tutorial está destinado a dar una respuesta definitiva a su pregunta. Aquí se analizan diez medidas de seguridad innovadoras que pueden ayudarlo a mantener el control de un sitio web de WordPress bajo su custodia segura. Sigamos ahora con los detalles.

Содержание показать

1 Utilice la autenticación de dos factores:

Cuando implementa la autenticación de dos factores, una persona que intente iniciar sesión en su panel de WordPress tendrá que ingresar una OTP (contraseña de un solo uso) generada aleatoriamente, además del nombre de usuario y la contraseña estándar. Las funciones criptográficas se utilizan para generar OTP en tiempo real y se envía solo al destinatario deseado en un dispositivo de comunicación a través de una puerta de enlace segura. El teléfono celular es el dispositivo de comunicación más utilizado para este propósito.

Entonces, incluso si un pirata informático logra robar su nombre de usuario y contraseña, no podrá acceder a su panel de administración de WordPress sin la contraseña de un solo uso.

¿Cómo implementar la autenticación de dos factores?

Puede usar cualquier complemento de generación de OTP para implementar la autenticación de dos factores en su sitio web de WordPress. Tanto los complementos comerciales como los gratuitos están disponibles en el mercado. Dos complementos recomendados que están disponibles gratuitamente en el repositorio de WordPress son:

  1. Autenticación de dos factores
  2. Autenticación de dos factores dúo

Ambos complementos son muy fáciles de configurar incluso para un webmaster novato. La documentación detallada sobre la instalación y configuración se puede encontrar en las respectivas páginas de complementos.

2 Deshabilitar la edición de archivos de plantilla a través del panel de WP

Un usuario de WordPress con acceso administrativo puede editar los archivos de plantilla de su sitio web navegando a Apariencia > Editor. En caso de que un visitante con intenciones maliciosas logre piratear su credencial de usuario administrador, también puede realizar las modificaciones deseadas en esos archivos directamente desde su panel de WordPress. Para evitar que esto ocurra, puede deshabilitar la edición de archivos desde el panel de WordPress.

¿Cómo deshabilitar la edición de archivos de plantilla?

Para deshabilitar la edición de archivos a través del editor del tablero, debe agregar una línea de código al archivo de configuración de su sitio web de WordPress. Vaya al programa administrador de archivos disponible en el panel de control de su alojamiento y busque el directorio raíz. Abra el archivo wp-config.php en un editor de texto y agregue la siguiente línea de código en la parte inferior del archivo. 

define( 'DISALLOW_FILE_EDIT', true );

3 Ocultar comentarios de error de inicio de sesión de los visitantes

¿Para qué sirve mostrar logs de errores a tus visitantes? Absolutamente nada. Cuando algo sale mal, solo usted, el usuario administrador, debe saberlo. Para empeorar las cosas, al hacer públicos los comentarios de error, en realidad le está dando la pista suficiente a un visitante técnicamente experto para que intente piratear su sitio web.

¿Cómo dejar de mostrar comentarios de error?

Existe un método sencillo para evitar que los comentarios de error de inicio de sesión de WordPress se muestren públicamente. Después de iniciar sesión en su panel de administración de WordPress, vaya a Apariencia > Editor. Abra el archivo functions.php del tema activo y coloque el siguiente fragmento de código en cualquier lugar dentro del archivo. 

add_filter('login_errors',create_function('$a', "return null;"));

4 Eliminar el usuario ‘admin’

La cuenta de usuario administrativa predeterminada que se crea automáticamente en el momento de la instalación de WordPress es ‘admin’. También es el área más vulnerable en lo que respecta a la seguridad de WordPress, que los piratas informáticos explotan la mayoría de las veces. Por lo tanto, eliminar esta cuenta de ‘administrador’ predeterminada y administrar su sitio web desde otra cuenta de administrador ‘pseudo’ es una muy buena idea para mantener a raya a los piratas informáticos. Como mínimo, hará la vida un poco más difícil para cualquier hacker potencial.

¿Cómo eliminar el usuario ‘admin’ predeterminado?

Esta actividad se puede realizar en dos etapas diferentes como se describe a continuación:

  1. Durante la instalación de WordPress: si se trata de una nueva cuenta de alojamiento en la que desea crear su sitio web de WordPress, puede deshacerse del usuario ‘administrador’ mientras instala WordPress. En la primera pantalla de instalación, obtiene opciones configurables por el usuario. El nombre de usuario es uno de esos elementos que puede modificar. Antes de hacer clic en el botón ‘Instalar’ ubicado en la parte inferior de la pantalla, simplemente reemplace el nombre de usuario predeterminado ‘admin’ con el nombre que prefiera. Luego continúe con el proceso de instalación como lo haría normalmente.
  2. Para una instalación de WordPress existente: cuando ya tiene un sitio web de WordPress existente, primero debe iniciar sesión con su cuenta de ‘administrador’ y crear una nueva cuenta de usuario. Asegúrese de proporcionar al nuevo usuario privilegios administrativos completos. A continuación, cierre la sesión de la cuenta de administrador e inicie sesión de nuevo con la cuenta de usuario recién creada. Vaya a la pestaña ‘Usuarios’ en su tablero de WordPress y elimine la cuenta de usuario ‘administrador’. Ahora puede administrar su tablero con el usuario administrativo recién creado.

5 Ocultar número de versión de WordPress

Cada versión de WordPress tiene algunas vulnerabilidades que generalmente se solucionan cuando se lanza la versión posterior. Si un pirata informático logra identificar qué versión de WordPress está utilizando, puede asociarla fácilmente con una debilidad conocida y explotarla para obtener el control de su sitio web. Para evitar tal escenario, puede indicarle al archivo de funciones de WordPress que no revele el número de versión.

¿Cómo ocultar el número de versión de WP?

Por lo general, el número de versión de WordPress se inserta en el archivo de encabezado de su tema a través de la función ‘wp-head()’. Sin embargo, eliminar la función no es una solución, ya que algunos de los complementos que ha instalado también pueden usar la misma función. En cambio, una mejor alternativa es agregar el siguiente fragmento de código a su archivo functions.php. 

remove_action('ks29so_head','ks29so_generator');

6 Bloquear el acceso a los bots

Los bots son herramientas automatizadas programadas por computadora utilizadas por piratas informáticos para tomar el control de su sitio web. Estos programas automatizados también pueden utilizar sus recursos de alojamiento web para realizar otras actividades en nombre del pirata informático. Al evitar que los bots obtengan acceso a sus páginas web y directorios, puede reforzar su control sobre la administración del sitio web.

¿Cómo evitar que los bots accedan a su sitio web?

La reescritura de mods es un remedio eficaz para bloquear el acceso de bots. Usando cualquier programa de edición de texto, abra el .htaccessarchivo » presente dentro de su directorio raíz de WordPress. Desplácese hacia abajo hasta la parte inferior del archivo, inserte el fragmento de código mencionado a continuación y luego guarde el archivo en la misma ubicación. Asegúrese de no cambiar el nombre del archivo. 

SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_out

7 Utilice los permisos de archivo/carpeta adecuados

Los permisos de archivo no son más que un método de restricción de acceso. Usando los parámetros de permiso de archivo adecuados, puede evitar que los visitantes accedan a archivos de configuración importantes que residen en su directorio de instalación de WordPress.

¿Cómo implementar la restricción de acceso?

A continuación se enumeran las configuraciones recomendadas de permisos de archivos y carpetas para su sitio web de WordPress:

El valor CHMOD para todos los archivos de datos debe establecerse en 644.

El valor CHMOD para todas las carpetas y subcarpetas debe establecerse en 755.

El valor CHMOD para el archivo de configuración de WordPress (wp-config.php) debe establecerse en 640.

8 Límite de intentos de inicio de sesión de usuario:

Con toda probabilidad, se espera que un pirata informático use diferentes combinaciones de nombre de usuario y contraseña para ingresar a su panel de administración de WordPress. A menos que haya un límite en el número de intentos fallidos de inicio de sesión, un pirata informático puede continuar tanto tiempo como sea necesario para encontrar la combinación correcta de nombre de usuario y contraseña.

¿Cómo limitar los intentos de inicio de sesión?

La forma más sencilla de limitar los intentos de inicio de sesión del usuario es utilizar un complemento de código abierto, Limitar intentos de inicio de sesión. Se puede descargar libremente desde el repositorio de complementos de WordPress. Después de instalar y activar el complemento, puede especificar la cantidad de inicios de sesión fallidos que un usuario puede intentar durante un cierto período de tiempo.

9 Usar el modo SSL para las sesiones de inicio de sesión

Forzar su sitio web de WordPress al modo SSL para iniciar sesión garantiza una transferencia de datos segura entre el navegador web del usuario y su servidor. El navegador web encripta el nombre de usuario y la contraseña antes de enviarlo a su sistema de servidor a través de un canal seguro cuando se usa SSL.

¿Cómo usar el modo SSL para todos los inicios de sesión?

En primer lugar, debe tener un certificado SSL válido instalado en su servidor web. Para forzar el modo SSL para todos los inicios de sesión de los usuarios, debe definir las preferencias de inicio de sesión de SSL en su archivo de configuración de WordPress (wp-config.php). Puede forzar el modo SSL solo para el usuario administrador o habilitar esta función para todos los inicios de sesión. Vaya a su directorio raíz y abra el archivo wp-config.php. A continuación, agregue cualquiera de los fragmentos de código proporcionados a continuación según sus requisitos.

Solo para sesiones de inicio de sesión de administrador: 

define('FORCE_SSL_ADMIN', true);

Para todas las sesiones de inicio de sesión de usuario: 

define('FORCE_SSL_LOGIN', true);

10 Deshabilitar el acceso a la carpeta ‘wp-content’

Todas las imágenes y archivos multimedia que carga en su sitio web de WordPress se almacenan dentro de la carpeta ‘wp-content’. También contiene todos los archivos de complementos. Los piratas informáticos pueden usarlo como punto de entrada para inyectar elementos dañinos en su sitio web. Otra actividad poco ética que se puede realizar a través del mismo canal es el robo de ancho de banda. Por lo tanto, es muy recomendable que bloquee el acceso público a este directorio.

¿Cómo deshabilitar el acceso a archivos multimedia y complementos?

Puede agregar una regla a su .htaccessarchivo para evitar el acceso a todos los tipos de archivos disponibles dentro de la carpeta ‘wp-content’. Tenga en cuenta que los archivos CSS y JavaScript, junto con las imágenes (jpg, png, gif), corren el mayor riesgo de ser explotados por los piratas informáticos. 

Order Allow,Deny
Deny from all

Allow from all

Conclusión:

Con cada día que pasa, los piratas informáticos están inventando nuevas técnicas para tomar el control de su sitio web y su negocio. No tiene sentido apegarse a lo que los ‘otros’ han estado haciendo durante mucho tiempo. Para eliminar la posibilidad de que su sitio web de WordPress sea pirateado, debe estar un paso por encima y ser más inteligente que su némesis.

Fuente de grabación: instantshift.com
También podría gustarte Más del autor

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More