Los administradores de los sitios web deben preocuparse por la seguridad de sus sitios web con WordPress.
La razón de la preocupación no es infundada. Las violaciones de datos han expuesto 4.100 millones de registros en la primera mitad de 2019, mientras que el 71% de las violaciones fueron motivadas por ganancias financieras.
Aún así, encontramos sitios web con niveles de seguridad bajos o mínimos. ¿Faltan las habilidades, o no son conscientes de los pasos que deben tomar para garantizar la seguridad de los sitios web? Sea lo que sea, los sitios web deben ser seguros para evitar el acceso no autorizado y la manipulación de datos.
Ahora, WordPress cubre alrededor del 60% de todos los sitios basados en CMS y los hackers tratan de explotar las vulnerabilidades de los plug-ins. Se convierte en una necesidad instalar salvaguardas para protegerse de los hackers. Discutiremos varias formas de asegurar su sitio de WordPress.
Asegurando el sitio web de WordPress
La única manera de asegurar su sitio web es instalar las salvaguardas y tener una estrategia para mantener el sitio seguro. Estos son los pasos que deben tomar para garantizar la seguridad de su sitio web:
Limpiar el núcleo del sitio web en una actualización inmediata. Mantener una actualización periódica. Instalar las habilidades en cada nivel del sitio web. Proteger los datos con palabras clave y contraseñas, etc. Hacer buena comunicación con los usuarios y la comunidad.
1) Limpiar el núcleo del sitio web en una actualización inmediata
El núcleo de WordPress es la parte que siempre es la más vulnerable de todo WordPress, no importa lo bien que se puede proteger o cuidado que se le dé al resto del sitio web, sin embargo, si no limpia el núcleo, cualquier hacker puede acceder a él incluso si apunta al resto del sitio web con gran facilidad. Para limpiar el núcleo del sitio web, lo primero que hay que hacer es acceder a la página de administración del WordPress y actualizarlo desde su página de administración.
2) Mantener una actualización periódica
Una vez que se instala WordPress, se debería mantener una actualización periódica, esto le permite limpiar los archivos y mejorar la seguridad. Para ello, accede a la página de administración del WordPress:
Por último, recuerde tener un backup al menos cada 15 días en caso de que necesite restaurarlo.
3) Instalar las habilidades en cada nivel del sitio web
Es fundamental tener las habilidades instaladas en todos los niveles para garantizar su seguridad. Estas habilidades van desde las herramientas básicas como el sistema de archivos o archivos de su calendario hasta el todo funcional para protegerse contra ataques especiales como los ataques SQLmap o XSS con Burp Suite.
Obtener un certificado SSL
El primer paso para asegurar su sitio web es obtener un certificado SSL. Por ejemplo, si desea asegurar un dominio, deberá optar por un solo dominio, si desea incluir varios dominios y subdominios, puede elegir un certificado SSL wildcard multidominio. Al pasar a una plataforma HTTPS se asegurará que la comunicación entre el navegador del visitante y el servidor web esté encriptada. Esto significa que ningún tercero puede tener acceso no autorizado a la comunicación.
Como medida de precaución, los sitios de comercio electrónico deben adherirse a las directrices del PCI-DSS que les exigen instalar procedimientos de seguridad estrictos. Estos sitios web deben pasar al protocolo HTTPS mediante la obtención de un certificado SSL.
El paso a la plataforma HTTPS también es esencial, ya que los navegadores web como Chrome penalizan a los sitios web no HTTPS marcándolos como «No seguros». Los sitios web HTTPS también tienen preferencia en la clasificación de los motores de búsqueda.
Actualizar las versiones de WordPress, Temas y Plugins
WordPress es la plataforma elegida por los hackers para utilizar las vulnerabilidades de los plug-ins y los temas. Los estudios sugieren que más del 70% de los sitios web de WordPress son vulnerables a los ciberataques. WordPress es un software de código abierto que cualquiera puede usar, hacer cambios y redistribuir su código fuente. Y ser de código abierto tiene sus desafíos de seguridad. Por lo tanto, se vuelve esencial actualizar su WordPress a medida que una nueva versión esté disponible.
Del mismo modo, debes actualizar los temas y plug-ins siempre que estén disponibles. Siempre opte por los de pago, ya que puede estar seguro de un soporte oportuno y actualizaciones a intervalos regulares. Aún así, puedes configurar notificaciones que te avisen cuando haya alguna actualización.
Vigilar la página de acceso
La página de inicio de sesión de tu sitio web WordPress está sujeta a ciberataques, principalmente a ataques de fuerza bruta. Debes tener en cuenta las mejores prácticas para el uso de contraseñas. Un nombre de usuario y una contraseña débil son como mantener tu casillero del banco desbloqueado. Debes asegurarte de que el nombre de usuario no sea el identificador de correo electrónico oficial de ningún empleado, ya que así le resulta más fácil al hacker. Además, la contraseña no debe ser usada para otros accesos. Siempre mantén un registro de las personas que entran en el back-end de tu sitio. Puedes usar un administrador de contraseñas para finalizar las contraseñas por ti. Además, cambia la contraseña periódicamente, idealmente cada tres meses más o menos.
Plugins de WordPress que deberías usar
https://wordpress.org/news/category/security/
http://www.htaccesstools.com/htpasswd-generator/
Usar un Hosting de confianza
Al seleccionar tu alojamiento web de confianza, ten en cuenta la reputación del proveedor de servicios. Es otra forma en que los hackers pueden llegar a tu sitio web. Los anfitriones web de renombre tienen medidas de seguridad adecuadas para prevenir cualquier vulnerabilidad. Tienen controles de acceso adecuados y tienen redes infalibles completas con un antivirus actualizado junto con un cortafuegos y un sistema de prevención de intrusiones.
Como ventaja adicional, también puede aprovechar los beneficios de los servidores replicados en una ubicación geográfica diferente. Antes de firmar el acuerdo, siempre debe incluir una cláusula que establezca que se deben realizar auditorías periódicas por parte de terceros para evaluar los procesos de seguridad en vigor.
Utilizar la autenticación de dos factores
Como una capa más de seguridad, puedes habilitar la autenticación de dos factores para tu sitio web. El administrador puede decidir los dos componentes diferentes del proceso de autenticación. La primera etapa es la contraseña y la que podría ser una pregunta secreta. De lo contrario, podría ser un código secreto que se envía a tu teléfono. Necesitas introducir tu número de teléfono inteligente para permitir que te envíen el SMS. Esto asegurará que sólo la persona interesada pueda entrar en el sitio.
Usar contraseñas fuertes
La mayoría de las palabras clave requieren que el usuario introduzca una contraseña fuerte al crear su perfil. Por razones de seguridad, su contraseña debe ser una combinación de letras minúsculas, mayúsculas, dígitos y caracteres especiales. Puede optar por contraseñas largas como medida de seguridad adicional.
El hecho de tener una contraseña fuerte evita los ataques brutales lanzados por los hackers. También puede tener una función que muestre la fuerza de la contraseña seleccionada por los usuarios. También debe utilizar un administrador de contraseñas para seleccionar una contraseña adecuada para usted y también actuar como almacén de múltiples credenciales de usuario.
Desactivar la edición de archivos
Cualquiera que tenga credenciales de administrador en su sitio web tendrá la autoridad para editar los archivos del sitio web. Pueden editar todos los archivos y carpetas y también pueden actuar sobre los temas y plug-ins. Esto se puede hacer a través del editor que permite editar el sitio web cuando está en vivo. Para evitar cambios no autorizados en el sitio web, debe desactivar la función de edición de archivos en el sitio de WordPress. Ninguna persona puede hacer cambios en los archivos una vez que la función está desactivada.
Cambiar el prefijo de la base de datos
Para todas las tablas de la base de datos, WordPress utiliza el prefijo «wp_». Si tienes una contraseña fácil, los hackers entrarán en el sitio web. Del mismo modo, si no haces cambios en el nombre de la base de datos, los hackers pueden causar estragos a través de ataques de inyección SQL. Por lo tanto, debe cambiar el prefijo de la base de datos.
El prefijo de la base de datos puede cambiarse por cualquier otro término. En caso de que ya hayas instalado WordPress con el prefijo predeterminado, hay plug-ins para cambiarlo. iThemes Security y WP-DBManager son los que te ayudarán.
Ocultar los archivos wp-config.php y .htaccess
El wp-config contiene información crucial sobre la instalación y es un archivo importante en el directorio raíz. La necesidad de proteger es inmensa para proteger el núcleo del sitio. Puedes ocultar el archivo moviéndolo a un nivel superior en el directorio raíz.
Te sorprenderá saber que si creas un nuevo directorio sin tener el archivo index.html, los visitantes pueden tener fácilmente un listado de directorio de todo lo que hay en él. Se sugiere deshabilitar el listado de directorios con el archivo .htaccess.
Hacer copias de seguridad frecuentes del sitio web
Su equipo de IT debe tener la política de hacer copias de seguridad del sitio web a intervalos frecuentes. En caso de que haya alguna infracción grave, puede tener el sitio web en funcionamiento sin problemas si hay una copia de seguridad adecuada en el sitio.
También puede tomar la ayuda de los plug-ins; UpdraftPlus, BackupBuddy, VaultPress, etc. Antes de elegir un plug-in, compruebe cuál puede encriptar su base de datos también. Los que permiten una fácil restauración, copias de seguridad automáticas, etc. deben ser elegidos.
El riesgo de cualquier sitio de WordPress por parte de los hackers es inmenso. A medida que la tecnología crece, los hackers también obtienen acceso a las últimas innovaciones e intentan obtener acceso no autorizado al sitio web para sus nefastas actividades. Se sugiere que las empresas adopten soluciones infalibles para evitar que los hackers accedan a sus sitios. En este artículo se mencionan otras formas de asegurar el sitio web. Es muy importante mantenerse al día con las medidas de seguridad cibernética.