22 consejos para evitar que su blog de Wordpress sea pirateado

Cómo evitar que su sitio web de WordPress sea pirateado

Ya sea que use o no medidas de seguridad dentro de su sitio web o blog en este momento o no, el hecho es…

Los bloggers sensatos se toman en serio la seguridad del sitio web y hacen todo lo posible para evitar que su blog de WordPress sea pirateado.

La seguridad en línea es un problema muy real.

Muchas personas se olvidan de actualizar los complementos y no usan la última versión de WordPress. No hacer esto puede significar un desastre si no ha tomado medidas para evitar que su blog sea pirateado.

Perder el contenido de su blog o sitio web puede destruir un negocio, una reputación o simplemente la presencia en línea que ha estado tratando de ampliar; ¡imagínese tener un blog que tenía cientos de publicaciones, comentarios e incluso enlaces de afiliados solo para descubrir que ha sido destruido al día siguiente! No es un sentimiento agradable. Sin embargo, hay formas de hacer que la seguridad de su sitio web sea más fuerte que mejor.

Puede agregar complementos, actualizar el marco de su blog, básicamente, hay muchas maneras de hacer que su blog o sitio web sea seguro. Entonces, para ayudarlo, he escrito este breve pero informativo artículo. Espero que ayude a algunos de ustedes.

Esta publicación fue elaborada por mí mismo, por supuesto, pero también por mi genial amigo bloguero, Julius, que dirige And Break. Echa un vistazo a su blog para mis grandes consejos.

Cómo evitar que su sitio de WordPress sea pirateado

Haz una copia de seguridad de tu blog

Antes de realizar cualquier cambio en su blog, asegúrese de hacer una copia de seguridad de su blog. El problema con la mayoría de los complementos gratuitos es que no hacen una copia de seguridad de todos sus datos. Por ejemplo, si su blog de WordPress se elimina y restaura la copia de seguridad desde un complemento gratuito, aún habrá perdido una gran cantidad de sus datos, como las imágenes, ya que no están respaldados con estos complementos. Es por eso que recomendaría usar Backup Buddy, que realiza una copia de seguridad de su blog completo de WordPress y le permite restaurarlo fácilmente en un momento posterior.

Si tiene dudas sobre si su blog podría ser pirateado, asegúrese de echar un vistazo a Backup Buddy.

Utilice contraseñas seguras

Las contraseñas seguras son esenciales para los usuarios con muchos privilegios, como los administradores. Sin ellos, tu blog será vulnerable a ataques de fuerza bruta. Esencialmente, estos son ataques en los que el atacante intenta adivinar la contraseña revisando muchas contraseñas: combinaciones de usuarios. Si usa contraseñas seguras, las posibilidades de éxito de los ataques de fuerza bruta se vuelven extremadamente bajas.

Aquí hay algunos consejos sobre lo que deben incluir las contraseñas seguras:

• use al menos 1-2 números use mayúsculas y minúsculas
• utilice caracteres especiales como !@#…

Tampoco debe usar contraseñas como su fecha de nacimiento o pasatiempos suyos. Este tipo de contraseñas son muy inseguras ya que los piratas informáticos pueden encontrar información personal fácilmente.

Otro paso importante que debe tomar es tener muchas contraseñas diferentes. Es bueno tener una sola contraseña y acceder a todo a través de ella, pero imagina lo que sucede si alguien conoce esta contraseña. Básicamente puede acceder a todas sus cuentas.

Por esa razón, use muchas contraseñas diferentes.

Manténgase al día con parches y actualizaciones

Este es otro paso vital para asegurar tu blog. Los parches y las actualizaciones se crean para corregir agujeros de seguridad y agregar funcionalidad al software. No hay razón para no instalarlos.

Esencialmente, también debe mantenerse informado sobre los cambios en WordPress y las vulnerabilidades en general. Por lo tanto, le aconsejo que siga estos dos feeds:

• Desarrollo WordPress
• BlogSeguridad.net

El primero es el feed de desarrollo de WordPress donde se publican los nuevos lanzamientos y las últimas actualizaciones de WordPress. El otro es el feed de BlogSecurity.net. Estos tipos a menudo publican vulnerabilidades existentes en los complementos de WordPress o en WordPress mismo.

Usa SSH en lugar de FTP

FTP en general no es tan seguro como la gente piensa que es. Sus credenciales de FTP generalmente no están encriptadas y son fáciles de capturar.

Una alternativa muy segura a FTP es SSH. SSH utiliza un algoritmo sencillo para cifrar todos los datos enviados a través de él, incluidos los archivos. ¡Lea esta historia y es posible que cambie de opinión sobre el uso de FTP para cargar!

Usar temas de WordPress compatibles

La mayoría de la gente piensa que los temas de WordPress en sí mismos no representan un riesgo para la seguridad, pero algunos sí. Los temas pueden representar un riesgo de seguridad porque no todos los desarrolladores web saben cómo escribir código seguro.

Por esta razón, es bueno quedarse con un tema que sea compatible y actualizado de vez en cuando. Los temas de WordPress compatibles generalmente están disponibles por algo de dinero, pero es mejor prevenir que curar. Estos temas pagos se llaman temas premium. Dichos temas son ofrecidos por sitios web como Woo Themes o Thesis.

Otra ventaja de las plantillas profesionales es que cuando tienes problemas, tienes un lugar al que puedes acudir.

Escanear complementos en busca de virus después de la descarga

Hoy en día, puede descargar fácilmente complementos e instalarlos en segundos en su blog. Pero debe tener cuidado con el tipo de extensiones que descarga. Los complementos pueden contener código malicioso. Debido a esto, tiene sentido buscar malware justo después de descargarlo.

Especialmente debe hacer eso con los complementos que descargó en algunos lugares que no sean el directorio de complementos de WordPress.

Para esta tarea, lo mejor es utilizar un software antivirus. Los sistemas operativos más nuevos comprueban automáticamente si hay virus después de descargar archivos. Si usa un sistema operativo antiguo, le recomendaría escanear su directorio de descargas una vez a la semana o justo después de descargar archivos nuevos.

Cambiar el prefijo de la tabla de la base de datos

Para que su base de datos sea más segura, debe cambiar el prefijo de la tabla de su base de datos. El prefijo predeterminado es wp_ y debe cambiarse a algo diferente, algo más complicado y más difícil de adivinar como 5rt30k_ .

Ahí es donde WP Security Scan es útil, ya que lo hará por usted. Debe instalar el complemento WP Security de todos modos, ya que le mostrará los posibles riesgos de seguridad en su blog.

Limite el acceso al directorio de contenido de Wp

Wp-content es un importante directorio de Wordpress. Los usuarios solo deberían poder acceder a ciertos tipos de archivos dentro de este directorio. Estos tipos de archivos incluyen imágenes ( .jpeg , .gif , .png ), Javascript ( .js ), CSS ( .css ) y XML ( .xml ).

Por lo tanto, tiene sentido prohibir el acceso a todos los demás tipos de datos. El siguiente código permitirá el acceso a imágenes, Javascript, CSS y archivos XML, pero no permitirá el acceso a ningún otro dato. El siguiente código debe colocarse en el archivo .htaccess dentro de la carpeta wp-content .

Orden denegar, permitir
Negar todo
<Archivos ~ “.(xml|css|jpe?g|png|gif|js)$”>
Permitir de todos
</Archivos>

Eso es todo lo que necesitas hacer.

Asegure wp-config.php

Wp-config.php es un archivo muy importante ya que contiene toda la información de acceso y claves que son vitales para asegurar tu blog. Podemos asegurar el archivo agregando estas líneas al archivo .htaccess en el directorio raíz de WordPress (donde está el archivo wp-config ):

# proteger wp-config.php
<archivos wp-config.php>
Orden denegar, permitir
Negar todo
</archivos>

Este código niega a todos el acceso al archivo wp-config.php .

Sin búsqueda de directorio

Otro cambio vital relacionado con la seguridad de WordPress es prohibir que las personas naveguen por la estructura de directorios de su sitio web. Si desea ver cómo se ve esto, simplemente ingrese "índice de" en Google y Google enumerará todos los sitios web que permiten la navegación de directorios.

Para detener este comportamiento, todo lo que tiene que hacer es agregar la línea de código de abajo a su archivo .htaccess en el directorio raíz de WordPress.

Opciones Todos -Índices

Esto detendrá el comportamiento de una vez por todas.

Evite que los motores de búsqueda indexen la sección de administración

Los rastreadores de los motores de búsqueda indexan casi todos los contenidos siempre que se les indique que no lo hagan. Su sección de administración indexada en los motores de búsqueda puede ser una gran amenaza para la seguridad.

Por lo tanto, es bueno mantener a los rastreadores alejados de todos los directorios de WordPress. La forma más fácil de hacerlo es crear un archivo robots.txt en su directorio raíz. Luego coloque el siguiente código en el archivo:

No permitir: /wp-*

Asegure su directorio de complementos

Los complementos que utiliza pueden decirle mucho a un usuario malicioso sobre su sitio web, por lo que es aconsejable ocultarlos.

Puede ocultar fácilmente los complementos. En primer lugar, abra un editor de texto y simplemente cree un archivo vacío llamado index.html . Luego cargue este archivo en su directorio wp-content/plugins/ .

Eliminar la cuenta de administrador predeterminada

Al eliminar la cuenta de administrador , los usuarios maliciosos no conocen su nombre de usuario tan fácilmente. Como cada instalación de WordPress viene con una cuenta de administrador, a los piratas informáticos les resultará más fácil ingresar a su cuenta, ya que ya conocen el nombre de usuario.

No puede eliminar su cuenta de administrador de inmediato si no tiene una nueva cuenta de administrador, así que siga estos pasos:

1. Cree una nueva cuenta de administrador (con un nombre de usuario que sea más difícil de adivinar)
2. Cerrar sesión
3. Inicie sesión con la nueva cuenta y contraseña de administrador
4. Eliminar la cuenta antigua

Cambiar los derechos de acceso predeterminados para los usuarios

Los derechos de acceso predeterminados son bastante seguros, pero si desea estar seguro y tener más control sobre los derechos que tiene cada usuario en su blog, entonces esto es esencial.

Es bastante simple configurarlo. Todo lo que tienes que hacer es:

1. Descargue el complemento Administrador de roles
2. Súbelo a tu blog de WordPress
3. activarlo

Luego ve a la sección Usuarios de tu blog. Allí puede configurar el complemento Administrador de roles para que se adapte a sus necesidades.

Eliminar cuentas de usuario inactivas

Las cuentas de usuario inactivas son molestas y también un riesgo de seguridad. Algunas personas eligen contraseñas débiles cuando se registran en tu blog. Si la cuenta está inactiva pero aún está en su blog, los usuarios maliciosos podrían usar esta cuenta para obtener acceso a su blog.

Por lo tanto, lo mejor que puede hacer es simplemente eliminar las cuentas de usuario inactivas en WordPress (aunque debe asegurarse de que no rompa nada). Para hacer eso, vaya a su tablero de WordPress y haga clic en Usuarios . Esto lo lleva a la página donde se enumerarán todos los usuarios.

Luego continúe y elimine los que sabe que están inactivos.

Agregar claves de autenticación de WordPress a wp-config.php

Agregar claves de WordPress es otra medida de seguridad importante. Estas claves deben ser aleatorias y funcionar como sales para las cookies de WordPress, asegurando así un mejor cifrado de los datos del usuario.

Utilice el generador de claves de Wordpress para generar estas claves y simplemente reemplace, en el archivo wp-config.php , las líneas a continuación con las generadas:

define('AUTH_KEY', 'ponga su frase única aquí');
define('SECURE_AUTH_KEY', 'ponga su frase única aquí');
define('LOGGED_IN_KEY', 'ponga su frase única aquí');
define('NONCE_KEY', 'ponga su frase única aquí');

Eso es en realidad todo lo que tienes que hacer.

Evite que el blog de WordPress sea pirateado : instale un firewall de WordPress

Existe un complemento llamado WordPress Firewall 2 que en realidad protege su blog de piratas informáticos maliciosos. Lo que hace es alertarte cada vez que alguien intenta hackear tu blog. Por supuesto, también bloqueará el intento del hacker.

El problema de este plugin es que hace demasiado bien su trabajo. Eso significa que, por lo general, también te impide realizar cambios en tu blog. Si edita su archivo de tema de WordPress y luego hace clic en Guardar, el complemento Firewall lo bloqueará. Esto también me sucedió al usar el complemento Smush.it manualmente.

Esto es extremadamente molesto, pero al menos te muestra que el complemento realmente funciona. Lo único que puede hacer si desea editar archivos como estos es deshabilitar el complemento y volver a habilitarlo más tarde.

Suelte la cadena de versión de Wordpress

<metacontenido=”Wordpress 2.5″ />

La cadena de versión que WordPress agrega automáticamente a su tema es importante porque le brinda a un usuario malintencionado información sobre si un blog está parcheado o no. Si se trata de una versión desactualizada, el atacante comenzará inmediatamente a buscar agujeros de seguridad que se hicieron públicos sobre esa versión específica de WordPress.

WordPress generalmente agrega automáticamente esta cadena de versión a su tema. La línea de código a continuación le indicará a WordPress que no agregue la cadena de versión a su encabezado. Todo lo que tiene que hacer es agregar el código a su archivo functions.php .

<?php remove_action('wp_head', 'wp_generator'); ?>

Ahora eche un vistazo al código fuente de su sitio web. Si la metaetiqueta del generador todavía está allí, entonces debe verificar si su header.php contiene esa línea:

<meta name=”generator” content=”WordPress <?php bloginfo('version'); ?>” />

Si ese es el caso, continúe y elimínelo.

Evite que el blog de WordPress sea pirateado: use siempre HTTPS cuando inicie sesión en su panel de control

HTTPS es la versión segura de HTTP. Cuando utilice HTTPS, sus datos, es decir, contraseñas y nombres de usuario, no se envían en texto sin cifrar, sino que se cifran. Esto hace que sea más difícil para las personas interceptar y decodificar correctamente su contraseña y nombre de usuario.

Si desea usar HTTPS al iniciar sesión en su panel de WordPress, puede usar uno de los códigos a continuación y agregarlos a wp-config.php .

define('FORCE_SSL_LOGIN', verdadero);

El código anterior obliga a WordPress a usar SSL al iniciar sesión en su panel de administración, pero solo al iniciar sesión. No impone el uso de SSL mientras usa su panel de control.

En lugar de hacer esto manualmente, también puede simplemente agregar un complemento como WordPress HTTPS (SSL)

Para evitar que el blog de WordPress sea pirateado: bloquee los intentos de acceso al directorio wp-admin

La carpeta wp-admin es uno de los directorios más importantes de tu blog. Puede acceder a su tablero a través de él. Bloquear el acceso de otras personas a este directorio es un paso esencial para asegurar su blog.

Puede hacerlo creando un archivo .htaccess en el directorio wp-admin . Agregue el código a continuación, pero cambie las direcciones IP por las suyas. Si no sabe cuál es su dirección IP, simplemente visite WhatIsMyIP.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Control de acceso"
Tipo de autenticación básico
orden denegar, permitir
Negar todo
# dirección IP de casa de la lista blanca
permitir desde 64.233.169.99
# dirección IP de trabajo en la lista blanca
permitir desde 69.147.114.210
permitir desde 199.239.136.200

No tiene sentido usar este código si tienes muchas personas escribiendo en tu blog, especialmente si cambian constantemente. El problema es que siempre necesita agregar/eliminar direcciones IP, en función de quién necesita acceder a su blog en ese momento.

Otro inconveniente es cuando su proveedor de Internet le asigna una dirección IP dinámica, lo que significa que su dirección IP cambia constantemente. Si ese es el caso, no agregue el código al archivo .htaccess .

Para evitar que el blog de WordPress sea pirateado: restrinja la cantidad de intentos fallidos de inicio de sesión de WordPress

Restringir el número de intentos fallidos evita que los usuarios utilicen técnicas de fuerza bruta en su cuenta de WordPress. Un ataque de fuerza bruta es un intento de averiguar la contraseña del usuario probando todas las contraseñas posibles.

Como contramedida, hay complementos que bloquean automáticamente a un usuario durante una hora si se equivocó en la contraseña tres veces seguidas. Login Lockdown es uno de estos complementos de WordPress.

Ocultar errores de inicio de sesión en el panel

¿Alguna vez ha notado que cuando intenta iniciar sesión con un nombre de usuario existente y una contraseña incorrecta, recibe un mensaje que dice Error: Contraseña incorrecta ? Si inicia sesión con un nombre de usuario inexistente y alguna contraseña, aparece un mensaje diferente que informa Error: Nombre de usuario no válido .

Esto ayuda a los usuarios maliciosos a descubrir qué tipo de nombres de usuario existen.

Por lo tanto, le aconsejo que agregue la siguiente línea a su archivo functions.php :

add_filter('login_errors',create_function('$a', “return null;”));

Cada vez que ocurra un error ahora aparecerá una línea en blanco. Pruébalo.

Artículo recomendado: 10 formas de mejorar la seguridad de los blogs