{"id":263524,"date":"2023-10-09T07:36:00","date_gmt":"2023-10-09T04:36:00","guid":{"rendered":"https:\/\/inform.click\/10-innovadores-trucos-de-seguridad-de-wordpress-para-proteger-su-sitio-web\/"},"modified":"2023-10-09T07:36:00","modified_gmt":"2023-10-09T04:36:00","slug":"10-innovadores-trucos-de-seguridad-de-wordpress-para-proteger-su-sitio-web","status":"publish","type":"post","link":"https:\/\/inform.click\/es\/10-innovadores-trucos-de-seguridad-de-wordpress-para-proteger-su-sitio-web\/","title":{"rendered":"10 innovadores trucos de seguridad de WordPress para proteger su sitio web"},"content":{"rendered":"

\n Independientemente de si posee un blog personal o un sitio web comercial cr\u00edtico con datos confidenciales, debe hacer el debido \u00e9nfasis en protegerlo en la mayor medida posible. Para evitar que un visitante con intenciones maliciosas obtenga acceso a su sitio web, es vital preparar una lista de verificaci\u00f3n de seguridad y realizar auditor\u00edas de seguridad peri\u00f3dicas.\n<\/p>\n

\n Habiendo dicho eso, un sistema cien por ciento seguro es pr\u00e1cticamente imposible de configurar, ya que siempre existe la probabilidad de que surjan nuevas \u00abamenazas\u00bb de la nada. Si bien es posible que no sea posible erradicar por completo el riesgo de violaciones de seguridad, seguir un conjunto de mejores pr\u00e1cticas puede ayudarlo a minimizar las posibles vulnerabilidades.\n<\/p>\n

\n Cuando se trata de proteger un<\/a> sitio web de WordPress, tendr\u00e1 muchas opciones en lo que respecta a la disponibilidad de recursos. Hay un mont\u00f3n de consejos, ajustes y tutoriales publicados en una gran cantidad de sitios web y blogs. Sin embargo, cuando miras m\u00e1s de cerca, es posible que te decepciones por la falta de sustancia. Las medidas de seguridad de WordPress enumeradas en la mayor\u00eda de estos sitios web son de naturaleza muy b\u00e1sica. Ya sea actualizando a la versi\u00f3n m\u00e1s reciente de WordPress, programando copias de seguridad peri\u00f3dicas o usando una contrase\u00f1a de administrador de alta complejidad, es posible que ya haya implementado todas estas medidas fundamentales. Obviamente, la pregunta que te viene a la mente es \u00ab\u00bfQu\u00e9 sigue?\u00bb\n<\/p>\n

\n Este tutorial est\u00e1 destinado a dar una respuesta definitiva a su pregunta. Aqu\u00ed se analizan diez medidas de seguridad innovadoras que pueden ayudarlo a mantener el control de un sitio web de WordPress bajo su custodia segura. Sigamos ahora con los detalles.\n<\/p>\n

\n 1 Utilice la autenticaci\u00f3n de dos factores:
\n<\/h4>\n

\n Cuando implementa la autenticaci\u00f3n de dos factores, una persona que intente iniciar sesi\u00f3n en su panel de WordPress tendr\u00e1 que ingresar una OTP (contrase\u00f1a de un solo uso) generada aleatoriamente, adem\u00e1s del nombre de usuario y la contrase\u00f1a est\u00e1ndar. Las funciones criptogr\u00e1ficas se utilizan para generar OTP en tiempo real y se env\u00eda solo al destinatario deseado en un dispositivo de comunicaci\u00f3n a trav\u00e9s de una puerta de enlace segura. El tel\u00e9fono celular es el dispositivo de comunicaci\u00f3n m\u00e1s utilizado para este prop\u00f3sito.\n<\/p>\n

\n Entonces, incluso si un pirata inform\u00e1tico logra robar su nombre de usuario y contrase\u00f1a, no podr\u00e1 acceder a su panel de administraci\u00f3n de WordPress sin la contrase\u00f1a de un solo uso.\n<\/p>\n

\n \u00bfC\u00f3mo implementar la autenticaci\u00f3n de dos factores?<\/strong>\n<\/p>\n

\n Puede usar cualquier complemento de generaci\u00f3n de OTP para implementar la autenticaci\u00f3n de dos factores en su sitio web de WordPress. Tanto los complementos comerciales como los gratuitos est\u00e1n disponibles en el mercado. Dos complementos recomendados que est\u00e1n disponibles gratuitamente en el repositorio de WordPress son:\n<\/p>\n

    \n
  1. \n Autenticaci\u00f3n de dos factores<\/a>\n <\/li>\n
  2. \n Autenticaci\u00f3n de dos factores d\u00fao<\/a>\n <\/li>\n<\/ol>\n

    \n Ambos complementos son muy f\u00e1ciles de configurar incluso para un webmaster novato. La documentaci\u00f3n detallada sobre la instalaci\u00f3n y configuraci\u00f3n se puede encontrar en las respectivas p\u00e1ginas de complementos.\n<\/p>\n

    \n 2 Deshabilitar la edici\u00f3n de archivos de plantilla a trav\u00e9s del panel de WP
    \n<\/h4>\n

    \"\"<\/a><\/p>\n

    \n Un usuario de WordPress con acceso administrativo puede editar los archivos de plantilla de su sitio web navegando a Apariencia > Editor. En caso de que un visitante con intenciones maliciosas logre piratear su credencial de usuario administrador, tambi\u00e9n puede realizar las modificaciones deseadas en esos archivos directamente desde su panel de WordPress. Para evitar que esto ocurra, puede deshabilitar la edici\u00f3n de archivos desde el panel de WordPress.\n<\/p>\n

    \n \u00bfC\u00f3mo deshabilitar la edici\u00f3n de archivos de plantilla?<\/strong>\n<\/p>\n

    \n Para deshabilitar la edici\u00f3n de archivos a trav\u00e9s del editor del tablero, debe agregar una l\u00ednea de c\u00f3digo al archivo de configuraci\u00f3n de su sitio web de WordPress. Vaya al programa administrador de archivos disponible en el panel de control de su alojamiento y busque el directorio ra\u00edz. Abra el archivo wp-config.php en un editor de texto y agregue la siguiente l\u00ednea de c\u00f3digo en la parte inferior del archivo.\n<\/p>\n

    define( 'DISALLOW_FILE_EDIT', true );<\/code><\/pre>\n
    \n  3 Ocultar comentarios de error de inicio de sesi\u00f3n de los visitantes
    \n<\/h4>\n
    \"\"<\/a><\/p>\n
    \n  \u00bfPara qu\u00e9 sirve mostrar logs de errores a tus visitantes? Absolutamente nada. Cuando algo sale mal, solo usted, el usuario administrador, debe saberlo. Para empeorar las cosas, al hacer p\u00fablicos los comentarios de error, en realidad le est\u00e1 dando la pista suficiente a un visitante t\u00e9cnicamente experto para que intente piratear su sitio web.\n<\/p>\n
    \n  \u00bfC\u00f3mo dejar de mostrar comentarios de error?<\/strong>\n<\/p>\n
    \n  Existe un m\u00e9todo sencillo para evitar que los comentarios de error de inicio de sesi\u00f3n de WordPress se muestren p\u00fablicamente. Despu\u00e9s de iniciar sesi\u00f3n en su panel de administraci\u00f3n de WordPress, vaya a Apariencia > Editor. Abra el archivo functions.php del tema activo y coloque el siguiente fragmento de c\u00f3digo en cualquier lugar dentro del archivo.\n<\/p>\n
    add_filter('login_errors',create_function('$a', \"return null;\"));<\/code><\/pre>\n
    \n  4 Eliminar el usuario ‘admin'
    \n<\/h4>\n
    \"\"<\/a><\/p>\n
    \n  La cuenta de usuario administrativa predeterminada que se crea autom\u00e1ticamente en el momento de la instalaci\u00f3n de WordPress es ‘admin'. Tambi\u00e9n es el \u00e1rea m\u00e1s vulnerable en lo que respecta a la seguridad de WordPress, que los piratas inform\u00e1ticos explotan la mayor\u00eda de las veces. Por lo tanto, eliminar esta cuenta de ‘administrador' predeterminada y administrar su sitio web desde otra cuenta de administrador ‘pseudo' es una muy buena idea para mantener a raya a los piratas inform\u00e1ticos. Como m\u00ednimo, har\u00e1 la vida un poco m\u00e1s dif\u00edcil para cualquier hacker potencial.\n<\/p>\n
    \n  \u00bfC\u00f3mo eliminar el usuario ‘admin' predeterminado?<\/strong>\n<\/p>\n
    \n  Esta actividad se puede realizar en dos etapas diferentes como se describe a continuaci\u00f3n:\n<\/p>\n
      \n
    1. \n    Durante la instalaci\u00f3n de WordPress<\/strong>: si se trata de una nueva cuenta de alojamiento en la que desea crear su sitio web de WordPress, puede deshacerse del usuario ‘administrador' mientras instala WordPress. En la primera pantalla de instalaci\u00f3n, obtiene opciones configurables por el usuario. El nombre de usuario es uno de esos elementos que puede modificar. Antes de hacer clic en el bot\u00f3n ‘Instalar' ubicado en la parte inferior de la pantalla, simplemente reemplace el nombre de usuario predeterminado ‘admin' con el nombre que prefiera. Luego contin\u00fae con el proceso de instalaci\u00f3n como lo har\u00eda normalmente.\n  <\/li>\n
    2. \n    Para una instalaci\u00f3n de WordPress existente<\/strong>: cuando ya tiene un sitio web de WordPress existente, primero debe iniciar sesi\u00f3n con su cuenta de ‘administrador' y crear una nueva cuenta de usuario. Aseg\u00farese de proporcionar al nuevo usuario privilegios administrativos completos. A continuaci\u00f3n, cierre la sesi\u00f3n de la cuenta de administrador e inicie sesi\u00f3n de nuevo con la cuenta de usuario reci\u00e9n creada. Vaya a la pesta\u00f1a ‘Usuarios' en su tablero de WordPress y elimine la cuenta de usuario ‘administrador'. Ahora puede administrar su tablero con el usuario administrativo reci\u00e9n creado.\n  <\/li>\n<\/ol>\n
      \n  5 Ocultar n\u00famero de versi\u00f3n de WordPress
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  Cada versi\u00f3n de WordPress tiene algunas vulnerabilidades que generalmente se solucionan cuando se lanza la versi\u00f3n posterior. Si un pirata inform\u00e1tico logra identificar qu\u00e9 versi\u00f3n de WordPress est\u00e1 utilizando, puede asociarla f\u00e1cilmente con una debilidad conocida y explotarla para obtener el control de su sitio web. Para evitar tal escenario, puede indicarle al archivo de funciones de WordPress que no revele el n\u00famero de versi\u00f3n.\n<\/p>\n
      \n  \u00bfC\u00f3mo ocultar el n\u00famero de versi\u00f3n de WP?<\/strong>\n<\/p>\n
      \n  Por lo general, el n\u00famero de versi\u00f3n de WordPress se inserta en el archivo de encabezado de su tema a trav\u00e9s de la funci\u00f3n ‘wp-head()'. Sin embargo, eliminar la funci\u00f3n no es una soluci\u00f3n, ya que algunos de los complementos que ha instalado tambi\u00e9n pueden usar la misma funci\u00f3n. En cambio, una mejor alternativa es agregar el siguiente fragmento de c\u00f3digo a su archivo functions.php.\n<\/p>\n
      remove_action('ks29so_head','ks29so_generator');<\/code><\/pre>\n
      \n  6 Bloquear el acceso a los bots
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  Los bots son herramientas automatizadas programadas por computadora utilizadas por piratas inform\u00e1ticos para tomar el control de su sitio web. Estos programas automatizados tambi\u00e9n pueden utilizar sus recursos de alojamiento web para realizar otras actividades en nombre del pirata inform\u00e1tico. Al evitar que los bots obtengan acceso a sus p\u00e1ginas web y directorios, puede reforzar su control sobre la administraci\u00f3n del sitio web.\n<\/p>\n
      \n  \u00bfC\u00f3mo evitar que los bots accedan a su sitio web?<\/strong>\n<\/p>\n
      \n  La reescritura de mods es un remedio eficaz para bloquear el acceso de bots. Usando cualquier programa de edici\u00f3n de texto, abra el .htaccess<\/code>archivo \u00bb presente dentro de su directorio ra\u00edz de WordPress. Despl\u00e1cese hacia abajo hasta la parte inferior del archivo, inserte el fragmento de c\u00f3digo mencionado a continuaci\u00f3n y luego guarde el archivo en la misma ubicaci\u00f3n. Aseg\u00farese de no cambiar el nombre del archivo.\n<\/p>\n
      SetEnvIfNoCase User-Agent ^$ keep_out\nSetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out\nSetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out\nSetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out\nOrder Allow,Deny\nAllow from all\nDeny from env=keep_out<\/code><\/pre>\n
      \n  7 Utilice los permisos de archivo\/carpeta adecuados
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  Los permisos de archivo no son m\u00e1s que un m\u00e9todo de restricci\u00f3n de acceso. Usando los par\u00e1metros de permiso de archivo adecuados, puede evitar que los visitantes accedan a archivos de configuraci\u00f3n importantes que residen en su directorio de instalaci\u00f3n de WordPress.\n<\/p>\n
      \n  \u00bfC\u00f3mo implementar la restricci\u00f3n de acceso?<\/strong>\n<\/p>\n
      \n  A continuaci\u00f3n se enumeran las configuraciones recomendadas de permisos de archivos y carpetas para su sitio web de WordPress:\n<\/p>\n
      \n  El valor CHMOD para todos los archivos de datos debe establecerse en 644.\n<\/p>\n
      \n  El valor CHMOD para todas las carpetas y subcarpetas debe establecerse en 755.\n<\/p>\n
      \n  El valor CHMOD para el archivo de configuraci\u00f3n de WordPress (wp-config.php) debe establecerse en 640.\n<\/p>\n
      \n  8 L\u00edmite de intentos de inicio de sesi\u00f3n de usuario:
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  Con toda probabilidad, se espera que un pirata inform\u00e1tico use diferentes combinaciones de nombre de usuario y contrase\u00f1a para ingresar a su panel de administraci\u00f3n de WordPress. A menos que haya un l\u00edmite en el n\u00famero de intentos fallidos de inicio de sesi\u00f3n, un pirata inform\u00e1tico puede continuar tanto tiempo como sea necesario para encontrar la combinaci\u00f3n correcta de nombre de usuario y contrase\u00f1a.\n<\/p>\n
      \n  \u00bfC\u00f3mo limitar los intentos de inicio de sesi\u00f3n?<\/strong>\n<\/p>\n
      \n  La forma m\u00e1s sencilla de limitar los intentos de inicio de sesi\u00f3n del usuario es utilizar un complemento de c\u00f3digo abierto, Limitar intentos de inicio de sesi\u00f3n. Se puede descargar libremente desde el repositorio de complementos de WordPress. Despu\u00e9s de instalar y activar el complemento, puede especificar la cantidad de inicios de sesi\u00f3n fallidos que un usuario puede intentar durante un cierto per\u00edodo de tiempo.\n<\/p>\n
      \n  9 Usar el modo SSL para las sesiones de inicio de sesi\u00f3n
      \n<\/h4>\n
      \n  Forzar su sitio web de WordPress al modo SSL para iniciar sesi\u00f3n garantiza una transferencia de datos segura entre el navegador web del usuario y su servidor. El navegador web encripta el nombre de usuario y la contrase\u00f1a antes de enviarlo a su sistema de servidor a trav\u00e9s de un canal seguro cuando se usa SSL.\n<\/p>\n
      \n  \u00bfC\u00f3mo usar el modo SSL para todos los inicios de sesi\u00f3n?<\/strong>\n<\/p>\n
      \n  En primer lugar, debe tener un certificado SSL v\u00e1lido instalado en su servidor web. Para forzar el modo SSL para todos los inicios de sesi\u00f3n de los usuarios, debe definir las preferencias de inicio de sesi\u00f3n de SSL en su archivo de configuraci\u00f3n de WordPress (wp-config.php). Puede forzar el modo SSL solo para el usuario administrador o habilitar esta funci\u00f3n para todos los inicios de sesi\u00f3n. Vaya a su directorio ra\u00edz y abra el archivo wp-config.php. A continuaci\u00f3n, agregue cualquiera de los fragmentos de c\u00f3digo proporcionados a continuaci\u00f3n seg\u00fan sus requisitos.\n<\/p>\n
      \n  Solo para sesiones de inicio de sesi\u00f3n de administrador:\n<\/p>\n
      define('FORCE_SSL_ADMIN', true);<\/code><\/pre>\n
      \n  Para todas las sesiones de inicio de sesi\u00f3n de usuario:\n<\/p>\n
      define('FORCE_SSL_LOGIN', true);<\/code><\/pre>\n
      \n  10 Deshabilitar el acceso a la carpeta ‘wp-content'
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  Todas las im\u00e1genes y archivos multimedia que carga en su sitio web de WordPress se almacenan dentro de la carpeta ‘wp-content'. Tambi\u00e9n contiene todos los archivos de complementos. Los piratas inform\u00e1ticos pueden usarlo como punto de entrada para inyectar elementos da\u00f1inos en su sitio web. Otra actividad poco \u00e9tica que se puede realizar a trav\u00e9s del mismo canal es el robo de ancho de banda. Por lo tanto, es muy recomendable que bloquee el acceso p\u00fablico a este directorio.\n<\/p>\n
      \n  \u00bfC\u00f3mo deshabilitar el acceso a archivos multimedia y complementos?<\/strong>\n<\/p>\n
      \n  Puede agregar una regla a su .htaccess<\/code>archivo para evitar el acceso a todos los tipos de archivos disponibles dentro de la carpeta ‘wp-content'. Tenga en cuenta que los archivos CSS y JavaScript, junto con las im\u00e1genes (jpg, png, gif), corren el mayor riesgo de ser explotados por los piratas inform\u00e1ticos.\n<\/p>\n
      Order Allow,Deny\nDeny from all\n\nAllow from all<\/code><\/pre>\n
      \n  Conclusi\u00f3n:\n<\/p>\n
      \n  Con cada d\u00eda que pasa, los piratas inform\u00e1ticos est\u00e1n inventando nuevas t\u00e9cnicas para tomar el control de su sitio web y su negocio. No tiene sentido apegarse a lo que los ‘otros' han estado haciendo durante mucho tiempo. Para eliminar la posibilidad de que su sitio web de WordPress sea pirateado, debe estar un paso por encima y ser m\u00e1s inteligente que su n\u00e9mesis.\n<\/p>\n<\/p>\n
      \n  Fuente de grabaci\u00f3n: instantshift.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
      Independientemente de si posee un blog personal o un sitio web comercial cr\u00edtico con datos confidenciales, debe hacer el debido \u00e9nfasis en protegerlo en la mayor medida posible. Para evitar que un visitante con intenciones maliciosas obtenga acceso a su sitio web, es vital preparar una lista de verificaci\u00f3n de seguridad y realizar auditor\u00edas de seguridad peri\u00f3dicas. Habiendo dicho eso, un sistema cien por ciento seguro es pr\u00e1cticamente imposible de configurar, ya que siempre existe la probabilidad de que surjan nuevas \u00abamenazas\u00bb de la nada. Si bien es posible que no sea posible erradicar por completo el riesgo de violaciones de seguridad, siguiendo un conjunto de mejores…<\/p>\n","protected":false},"author":1,"featured_media":143442,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[151,112,60],"tags":[],"class_list":["post-263524","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-consejos-y-trucos-web","category-seguridad-web","category-web-y-wordpress"],"_links":{"self":[{"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/posts\/263524","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/comments?post=263524"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/posts\/263524\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/media\/143442"}],"wp:attachment":[{"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/media?parent=263524"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/categories?post=263524"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/tags?post=263524"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}