fbpx

Cómo mejorar la seguridad en WordPress


Seguridad en WordPress [Buenas practicas 2021]

La seguridad de un sitio web es lo más importante, WordPress es uno de los gestores de Sitios web más utilizado hoy en día, por ello es él más atacado por los hackers, utiliza estos 8 consejos para mejorar la seguridad de tu sitio web.

Mantener tu WordPress actualizado

Si quieres tener un sitio web limpio y libre de malware, es imprescindible mantener WordPress actualizado. Aunque puede parecer un consejo elemental, solo el 22% de todas las instalaciones de WordPress ejecutan la última versión.

WordPress implementó la característica de actualización automática en la versión 3.7, sin embargo, solo funciona para actualizaciones de seguridad menores. Por lo tanto, las actualizaciones principales deben hacerse manualmente.

Deshabilitar los informes de errores de PHP

Los informes de errores de PHP pueden ser útiles si estás desarrollando tu sitio web y quieres asegurarte de que todo funcione correctamente. Sin embargo, mostrarle los errores a todo el mundo es una grave falla de seguridad en WordPress.

Debes arreglar esto lo antes posible. No tengas miedo, no tienes que ser un programador para des habilitar los informes de errores de PHP para WordPress. Muchos proveedores de hosting tienen la opción de desactivar los informes de errores dentro del panel de control. Si no hay ninguno, simplemente agrega las siguientes líneas a tu archivo wp-config.php. Puedes usar el cliente FTP o el Administrador de archivos para editar el archivo wp-config.php.

error_reporting(0);
@ini_set(‘display_errors’, 0);

Limita los intentos de sesión en tu panel wp-admin

Siempre vamos a tener un curioso queriendo iniciar sesión en nuestro panel de WordPress y en la mayoría de los sitios podemos entrar con sitioweb.com/wp-admin, entonces siempre intentaran entrar usuarios que realmente no tienen ningún conocimiento y también expertos en la materia.

para cualquiera de los casos y para proteger nuestro panel debemos limitar los intentos de sesión, bloqueado por IP, si es necesario después de un intento o más como mejor nos parezca, para esto podemos usar el plugin:

  • Limit Login Attempts

Este plugin nos permite limitar el inicio de sesión bloqueado después de uno o dos intentos la IP de quien quiere iniciar sesión, los bloqueos van de 20 minutos a 24 horas después de tres intentos, todo esto se puede modificar de acuerdo a tus necesidades.

Hacer copias de seguridad con la mayor frecuencia posible

Hay bastantes formas de crear copias de seguridad. Por ejemplo, puedes descargar manualmente archivos de WordPress y exportar la base de datos o usar la herramienta de copias de seguridad de tu proveedor de hosting. Otra forma es usar plugins de WordPress. Los plugins de copia de seguridad de WordPress más populares son:

  • VaultPress
  • BackUpWordPress
  • BackupGuard

Incluso puedes automatizar el proceso de copias de seguridad y almacenar copias de seguridad de WordPress en Dropbox.

Desactivar la edición de archivos

Como sabrás, WordPress tiene un editor de archivos incorporado que permite editar archivos PHP. Si bien esta característica es muy útil, también puede hacer mucho daño. Si el atacante obtiene acceso a tu panel de administrador, lo primero que buscará es el Editor de archivos. Algunos usuarios de WordPress prefieren des habilitar completamente esta función. Se puede desactivar editando el archivo wp-config.php e incluyendo la siguiente línea de código:

define( 'DISALLOW_FILE_EDIT', true );

Eliminar temas y plugins no utilizados

Haz una limpieza de tu sitio de WordPress y elimina todos los plugins y temas no utilizados. Los hackers suelen buscar temas y plugins des habilitados y des actualizados (incluso los plugins oficiales de WordPress) y utilizarlos para obtener acceso a tu escritorio o cargar archivos maliciosos en tu servidor. Al eliminar plugins y temas que dejaste de utilizar (y probablemente olvidaste actualizar) hace mucho tiempo, reduces el riesgo y haces que el sitio de WordPress sea un poco más seguro.

No permitir el acceso al área de administrador de WordPress

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>

Ten en cuenta que debes cambiar XX.XX.XX.XXX por tu dirección IP. Si usas más de una conexión para administrar tu sitio de WordPress, asegúrate de incluir también todas las otras direcciones IP (no dudes en agregar todas las líneas de permiso que necesites). No se recomienda utilizar este código si tienes una dirección IP dinámica.

Deshabilitar la ejecución de PHP en carpetas específicas

A los atacantes les gusta cargar scripts de puerta trasera a la carpeta de carga de WordPress. De manera predeterminada, esta carpeta se usa para cargar solo archivos multimedia. Por lo tanto, no debería contener ningún archivo PHP. Puedes desactivar fácilmente la ejecución de PHP creando un nuevo archivo .htaccess en /wp-content/uploads/ con estas reglas:

<Files *.php>
deny from all
</Files>

Proteger el archivo wp-config.php

El archivo wp-config.php contiene la configuración del núcleo de WordPress y los detalles de la base de datos MySQL. Por lo tanto, es el archivo de WordPress más importante. Es por eso que es el objetivo principal de los hackers de WordPress. Sin embargo, puedes proteger fácilmente este archivo utilizando las reglas .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

Conclusión

WordPress es no de los creadores de sitios web mas popular con cada actualización va mejorando en su seguridad pero debemos hacer todo lo posible por mejorar la seguridad por nosotros mismos ya que podríamos estar siendo atacados actualmente, espero estos consejos te ayuden a tener mas seguridad en wordpress.

Preguntas? Comenta estoy para ayudarte

Cómo mejorar la seguridad en WordPress

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *