Seguridad en WordPress: ¿cómo proteger y asegurar tu sitio web?

Tic, tac. Tic, tac. Tic, tac. Con cada segundo que pasa en tu reloj, Se han registrado 2.800 ataques dirigidos a sitios web de WordPress..

¿Te han hackeado la página web? Probablemente pienses que solo les pasa a los demás. Y entonces, un día, te pasa a ti.

Afortunadamente, existen soluciones para evitar esto, aunque ningún sitio web puede garantizar una protección del 100%.

Al final de este artículo, sabrá cómo fortalecer la seguridad de su sitio WordPress, gracias a 15 consejos prácticos y detallados, con capturas de pantalla que los ilustran..

¿Es WordPress un CMS seguro?

Con una cuota de mercado del 65%.WordPress es el CMS (sistema de gestión de contenidos) más utilizado en todo el planeta, muy por delante de sus principales competidores Shopify (4,4%) y Wix (2%).

Quizás aún más revelador: el 43% de los 10 millones de sitios web más visitados de Internet funcionan con WordPress.

De esta posición dominante surge un inconveniente importante: debido a su amplia adopción por creadores de sitios web de WordPressEste CMS es objeto de numerosos ataques maliciosos.

A pesar de esto, Sigue siendo un CMS seguro. En su análisis de las vulnerabilidades dentro del ecosistema de WordPressEl experto en seguridad Patchstack informa que El 96% de las vulnerabilidades de seguridad se originan en código de terceros. (extensiones y temas de terceros), en comparación con el 4% dentro del núcleo de WordPress. 

En total, se cree que los complementos son responsables del 82% de las vulnerabilidades identificadas, y los piratas informáticos suelen aprovecharlos para inyectar contenido malicioso en su código.

WordFence va más allá. indicando que la amenaza de seguridad más extendida para la seguridad de WordPress proviene del malware originado en plugins y temas pirateados (estamos hablando de complementos pirateados, en inglés).

Este tipo de extensiones y temas son muy solicitados por los webmasters que no desean pagar por la(s) versión(es) premium de un tema o extensión.

Además, más allá de los temas y las extensiones, también surgen problemas de seguridad debido a las malas prácticas de los administradores web.

¿Qué tipo de ataques puede sufrir un sitio web de WordPress?

Como puede ver, WordPress sigue siendo un objetivo principal para los hackers y otros bots (los robots) malicioso. 

Estas amenazas lo atacan de diversas maneras. En su informe de seguridad citado anteriormente, WordFence Security identifica los siguientes cinco ataques comunes:

1. ataques de recorrido de directorios (ataques de recorrido de directorios) representan la amenaza más extendida, siendo responsables del 43% de las vulnerabilidades detectadas.
2. inyecciones SQL (21%), que se dirigen a su base de datos.
3. Descarga de archivos maliciosos (% 11).
4. El script de sitio a sitio (8%). Con el secuencias de comandos entre sitios (o XSS), se inyecta código malicioso en el contenido de sus páginas.
5. Vulnerabilidades de omisión de autenticación (Omisión de autenticación, 3%), que explotan un mecanismo de autenticación (por ejemplo, inicio de sesión en un sitio web) que es demasiado débil.

Y, por desgracia, las amenazas no terminan ahí. Las siguientes vulnerabilidades también pueden afectar a un sitio de WordPress:

• Las backdoors (puertas traseras), que dan acceso remoto a su sitio sin que usted se dé cuenta.
• Intentos de conexión por fuerza bruta (ataques de fuerza bruta). Aquí, los bots intentan conectarse a su sitio web probando diferentes combinaciones de contraseñas y nombres de usuario.
• Redirecciones maliciosas, a páginas no autorizadas.
• ataques de denegación de servicio (Ataque de denegación de servicio (DoS)), que hacen que su sitio no esté disponible, por ejemplo, bloqueando su servidor.
• Las trucos farmacéuticosque redirigen su sitio a páginas que venden productos farmacéuticos como Viagra, por ejemplo.

Enfin, El libro blanco dedicado a la seguridad en WordPress indica que un "Configuración de seguridad incorrecta", el"exposición de datos sensibles", o incluso ataques de tipo CSRF (Falsificación de solicitud entre sitios) representan amenazas potenciales para su sitio de WordPress.

¿Por qué es necesario proteger un sitio de WordPress?

Dados todos estos riesgos de ataque, es importante reforzar la seguridad de tu sitio web de WordPress. Auditoría completa de WordPress Le permitirá identificar las vulnerabilidades de seguridad existentes e implementar las mejores prácticas para proteger su sitio web.
De hecho, un sitio web pirateado tiene varias consecuencias negativas: 

• Es una pérdida de tiempo solucionar el problema de seguridad.Esta es la queja más frecuente entre las víctimas de piratería informática. Según los resultados de una investigación de SucuriDebido a este tiempo perdido, no puedes dedicarte a tareas de mayor valor añadido que generen negocio.
• Daños a la imagen de su marcaNingún usuario de internet disfruta visitando un sitio web pirateado. No inspira confianza y los disuade de volver en el futuro. Tu reputación y la de tu equipo también se ven afectadas.
• Una degradación de la experiencia del usuario (UX). Un visitante valora poder encontrar de forma fácil y rápida lo que busca en un sitio web. Si este aspecto no se cumple, es probable que el usuario recurra a la competencia.
• Un impacto negativo en su posicionamiento orgánico en los motores de búsqueda. (SEO). El acceso a un sitio no seguro puede ser bloqueado por los motores de búsqueda, especialmente Google. Google incluso puede eliminar su sitio web de su SERP (página de resultados del motor de búsqueda) si usted es víctima de spam de SEO (spamdexing, en inglés).
• Una disminución en sus ingresosSi eres autónomo o una agencia web especializada en WordPressSi ofreces productos y/o servicios en una tienda online como WooCommerce, ya no podrás realizar ventas cuando tu sitio web se vuelva inaccesible. 
• Una amenaza a su información personalUn pirata informático puede comprometer su sitio web para robar su información personal y los datos bancarios de sus clientes y miembros del equipo. Corre el riesgo de que le pidan un rescate (ransomware) y también a un posible robo de su identidad.

Lamentablemente, los ataques informáticos no solo les ocurren a los demás. Sin embargo, no hay motivo para alarmarse. 

Ahora, descubre cómo proteger adecuadamente tu sitio de WordPress utilizando consejos probados y las mejores prácticas.

15 consejos para proteger tu sitio de WordPress

Utilice HTTPS

Probablemente, lo primero que hay que hacer para reforzar la seguridad de WordPress es usar el protocolo HTTPS (Protocolo de transferencia de hipertexto seguro (Protocolo seguro de transferencia de hipertexto).

Tal y como se indica en la documentación de Google.HTTPS "protege la integridad y la confidencialidad de los datos durante la transferencia de información entre el ordenador del usuario y el sitio web".

Su uso es predominante. HTTPS ofrece tranquilidad al demostrar que la conexión a su sitio es segura., mostrando un candado en la barra de direcciones de su navegador.

Por lo tanto, es fundamental garantizar la protección de los datos que circulan en su sitio web (bancarios, personales), especialmente si vende en línea.

Por el contrario, los sitios no seguros (que utilizan HTTP) son "penalizados" por los principales navegadores (Chrome, Firefox, Safari, Opera), que muestran un mensaje de advertencia cuando un visitante intenta acceder a ellos:

Para cambiar tu sitio de WordPress a HTTPS, Primero debe obtener un certificado SSL. (Secure Sockets Layer (Secure Socket Layer). Este certificado es el que permite que el famoso candado se muestre en tu navegador.

La mayoría de los proveedores de alojamiento ofrecen uno gratis en su paquete, generalmente a través de La autoridad de certificación Let's Encrypt.

Para activar este certificado, vaya a la interfaz de su alojamiento en la sección de seguridad:

Para finalizar la protección de un sitio WordPress con HTTPS, Recuerda implementar redirecciones 301. y para resolver posibles problemas de contenido mixto (contenido siempre cargado a través de HTTP y no HTTPS). La extensión SSL muy simple Incluso puede encargarse de esto automáticamente. 

Elige contraseñas seguras

La cifra es asombrosa. Durante la primera mitad de 2021, 86 mil millones de ataques de contraseñas fueron bloqueados por la herramienta WPScan. 

Los ataques automatizados de este tipo están aumentando constantemente, particularmente porque son una forma bastante sencilla de un pirata informático para acceder a su sitio.

Para proteger WordPress, comienza por dificultar la labor del software malicioso y los bots. evitando contraseñas que sean demasiado obvias para adivinar.

Algunos ejemplos son: "123456", "123456789", "qwerty", "password", "111111" y "iloveyou". Las contraseñas más fáciles y rápidas de descifrar. 

Para protegerse, aplique las siguientes buenas prácticas: 

• No elijas contraseñas relacionadas con tu mascota.Tu familia, tu fecha de nacimiento, tu nombre, tu apellido, tus hijos, colores, coches o incluso países. En resumen, conviene evitar cualquier cosa demasiado obvia.
• Utilice números, caracteres especiales, letras mayúsculas y minúsculas.  en tu contraseña. ¿Un ejemplo de contraseña segura? Xuiop5209MLoP654$M*
• Tu contraseña de WordPress debe ser única. : no debe utilizarlo para conectarse a otras herramientas o aplicaciones.
• Evite las palabras que se encuentran en el diccionario., objetivos de "ataques de diccionario", precisamente.
• Para crear contraseñas seguras, usarun generador gratuitoo un administrador remunerado más completo como Dashlane ou 1Password. 
• Transfiere tus contraseñas de forma segura por correo electrónico. con un servicio como Una Vez.

Por extensión, una contraseña suele implicar un nombre de usuario. En este sentido, nunca uses el nombre de usuario "admin"; ¡es demasiado fácil de adivinar! 

Instala plugins de seguridad para WordPress

Reforzar la seguridad de WordPress implica entonces el uso de plugins de seguridad. Esto se puede hacer de dos maneras.

El primer enfoque consiste en utilizar complementos adaptados a un caso de uso específico:

• Limite los intentos de inicio de sesión recargados combatiendo ataques de fuerza bruta.
• Cortafuegos para barbacoa Protege específicamente tu sitio web contra ataques de inyección SQL.
• Login Lockdown Limita el número de intentos de inicio de sesión para la administración de WordPress.   

Esta lista no es exhaustiva y te ofrece una primera impresión de lo que puedes hacer. Estas extensiones serán muy efectivas, pero si quieres usarlas juntas, tendrás que activarlas una por una. 

Para facilitarte las cosas, existe una segunda manera de hacerlo: Instala un plugin de seguridad gratuito y de propósito general para WordPress..

Esta caja de herramientas contendrá varias soluciones de seguridad en una sola, por lo que no tendrá que activar diferentes complementos. 

En este sentido, existen tres actores principales y muy fuertes en el ecosistema de WordPress: 

• iThemes Security.
• Seguridad WordFence.
• Sucuri.

Las tres ofrecen la ventaja de tener versiones gratuitas. Por lo demás, sus características son bastante similares.

Por ejemplo, usted se beneficiará de la protección contra ataques de fuerza bruta., un escáner de seguridad, bloqueo de direcciones IP y usuarios, autenticación de dos factores, actualizaciones de claves secretas de WordPress, configuración de permisos de archivos, etc. 

Para decidir, consulta los detalles de las opciones que se ofrecen y ten en cuenta tu presupuesto: algunas funciones importantes solo están disponibles con la versión Pro de la extensión en cuestión.

Por ejemplo, WordFence ofrece un cortafuegos (Firewall de aplicaciones web, WAF) desde su versión gratuita, mientras que Sucuri solo lo ofrece en su versión premium.

Actualiza tu sitio de WordPress con regularidad.

Utilizar un plugin de terceros sigue siendo muy importante para reforzar la seguridad de tu instalación de WordPress, pero no será suficiente, como podrías sospechar.

También tendrás que involucrarte, empezando por actualizar regularmente tu sitio de WordPress, para Utiliza la última versión del núcleo de WordPress, tus plugins y tus temas..

Para ello, WordPress cuenta con un mecanismo muy práctico: te notifica automáticamente en tu panel de control en cuanto hay una actualización disponible. 

Ve al menú Panel de control > Actualizaciones para obtener una visión general de lo que aún necesitas hacer. 

Haz clic en la casilla correspondiente a la extensión o tema que te interese y, a continuación, en el botón "Actualizar extensiones":

Realizar actualizaciones es crucial para garantizar Mantenimiento de sitios web WordPress Esto nos permite corregir los errores y fallos de seguridad detectados, al tiempo que garantizamos que su sitio web siga funcionando de forma eficiente.

Le recomendamos que preste atención a dos cosas: 

• Al actualizar a una nueva versión principal de WordPress, Espere unos días antes de proceder con la actualización de su back officeDe hecho, los errores suelen corregirse a las pocas horas o días de la implementación. Lo mejor es esperar un poco para evitar incompatibilidades.
• Recuerda hacer una copia de seguridad de WordPress antes de realizar una actualización importante del núcleo de WordPress. (por ejemplo, actualizar de WordPress 5.8 a WordPress 5.9). Encontrará más detalles al respecto en el siguiente consejo.

Además, actualiza tu versión de PHP a una versión reciente. Si tu proveedor de alojamiento web utiliza la interfaz cPanel, puedes hacerlo en la sección "Software" seleccionando "Seleccionar una versión de PHP".

Realiza copias de seguridad de tu sitio web con frecuencia.

Así que aquí tienes una excelente práctica para webmasters para proteger WordPress: ¡haz copias de seguridad tan a menudo como sea posible!

Una copia de seguridad incluye guardar tus archivos y tu base de datos.Este último elemento es la parte más importante de tu sitio WordPress, ya que muestra todo su contenido (entradas, páginas, comentarios, opciones, etc.). ¡No lo olvides al configurarlo!

Tener copias de seguridad de tu sitio WordPress te permitirá restaurarlo en caso de un ataque informático. 

Puedes hacer una copia de seguridad de tu sitio web utilizando un cliente FTP (Protocolo de Transferencia de Archivos) me gusta FilezillaSin embargo, la operación sigue siendo técnica y peligrosa si no se es un técnico experimentado. 

En definitiva, el método más sencillo para un principiante es activar un plugin de copia de seguridad específico, que se encargará de todo automáticamente.

El más popular en el directorio oficial se llama UpdraftPlusEs muy fácil de configurar y permite programar las copias de seguridad y exportarlas a servicios de terceros como Google Drive, Dropbox o Amazon S3.

Otros puntos a favor: UpdraftPlus permite restaurar una copia de seguridad desde la interfaz del plugin, y su versión gratuita es bastante completa para empezar.

Además de un plugin de seguridad para WordPress, asegúrate de usar también un módulo de copias de seguridad que ofrezca tu proveedor de hosting (si lo ofrece). De esta forma, matarás dos pájaros de un tiro.

Elija un alojamiento seguro

Hablando de proveedores de alojamiento web, estos también desempeñan un papel importante en la seguridad de tu sitio web de WordPress. 

Debe ofrecer un nivel de seguridad suficiente para minimizar el riesgo de ataques maliciosos. "La configuración del sistema operativo y del servidor web subyacente que aloja el software es igualmente importante para mantener la seguridad de las aplicaciones de WordPress."Así lo explica la guía de seguridad de WordPress al respecto.

¿Qué características debe tener un buen y seguro servicio de alojamiento web? Para elegir el adecuado, tenga en cuenta lo siguiente: 

• su notoriedadUn proveedor de alojamiento web sólido que lleva varios años en el mercado suele ser más fiable.
  Consulta las opiniones de los clientes e investiga en grupos y foros especializados para hacerte una mejor idea del proveedor de alojamiento web que estás considerando.
• Su uso de buenas prácticas de seguridad : presencia de un cortafuegos y antivirus para proteger sus servidores, actualizaciones y copias de seguridad periódicas, uso de las últimas versiones de software, soporte SSL, análisis de malware.
  Lee atentamente los sitios web de los proveedores de alojamiento web que te llamen la atención para descubrir esta información.
• La calidad de su servicio al clientePriorice la asistencia técnica receptiva, disponible las 24 horas del día, los 24 días de la semana, en caso de problemas.

Idealmente, un proveedor de alojamiento dedicado o específico para WordPress suele ser preferible en términos de seguridad al alojamiento compartido. Con el alojamiento compartido, compartes los recursos de ancho de banda con otros sitios web. Si cada sitio no está aislado, también te verás afectado si un sitio infectado en tu servidor es hackeado.
Sin embargo, el alojamiento dedicado o especializado será más caro que el alojamiento compartido.

Proteger la página de inicio de sesión de administrador de WordPress

Desde el principio de este artículo, hemos hablado de los intentos de conexión con la administración de WordPress, algo que los bots maliciosos adoran.

Cabe mencionar que WordPress los "atrae" haciendo que la página del formulario de inicio de sesión sea visible y accesible públicamente de dos maneras: 

• mysite.com/wp-admin
• mi sitio.com/wp-login.php

Esto funciona en cualquier sitio de WordPress, a menos que su administrador web haya cambiado la URL de la página del formulario de inicio de sesión para reforzar su protección.

Esta operación se puede realizar de forma muy sencilla utilizando la extensión gratuita. WPS Hide Login.

Tal como se indica en su descripción en el directorio oficial,"El directorio wp-admin y la página wp-login.php se vuelven inaccesibles, por lo que debe agregarlos a sus marcadores o recordar la URL." para poder iniciar sesión.

Aquí te explicamos cómo proceder. Una vez activada la extensión, ve a Ajustes > WPS Hide Login.

cambio la babosa Su URL de inicio de sesión ingresando algo complejo, por ejemplo, combinando números y letras: 

Utilice la autenticación de dos factores.

Para reforzar la seguridad de la conexión a su interfaz de administración (admin), habilite la autenticación de dos factores. 

El principio de este mecanismo es simple: después de ingresar su nombre de usuario y contraseña, Es necesario validar el acceso a su sitio web mediante un código de verificación enviado a su teléfono inteligente o tableta.. 

Este es el sistema que se utiliza actualmente en la mayoría de los sitios de comercio electrónico al realizar una compra. Para aceptar el pago, tu banco te pide que lo confirmes a través de su aplicación o SMS.

Existen varios plugins gratuitos de WordPress que permiten implementar la autenticación de dos factores: 

• Autenticación de dos factores.
• WP2FA.
• Autenticador de Google de miniOrange.

Independientemente del método que elija, deberá escanear un código QR para autenticarse:

Bloquear spam

Ahora hablemos del spam. En WordPress, se presenta principalmente en forma de comentarios no deseados que pueden contener código malicioso y enlaces a sitios web poco fiables.

Para reforzar la seguridad de tu sitio web, protégete contra esta plaga activando la extensión Akismet, que viene instalada por defecto en todas las instalaciones de WordPress.

Esta función filtrará la gran mayoría de los comentarios no deseados y le evitará tener que aprobar cientos de comentarios de spam al día.

Para el resto, aplique la siguiente configuración a la configuración de sus comentarios: 

• Como administrador, aprueba siempre los comentarios manualmente.
• Solicita al autor del comentario que proporcione su nombre y dirección de correo electrónico.
• Si es necesario, también puedes cerrar los comentarios en artículos con más de X días de antigüedad (tú decides la duración).

Para hacer todo esto, ve a Configuración > Comentarios, como puedes ver en la captura de pantalla a continuación:

Para combatir eficazmente el spam, una buena práctica es instalar un sistema CAPTCHA en tu sitio web para distinguir a los humanos de los bots. Para ello, activa una de las siguientes dos extensiones: reCaptcha por BestWebSoft ou Iniciar sesión Sin Captcha reCAPTCHATambién puedes integrarlo directamente. El sistema reCAPTCHA gratuito de Google, pero esto requiere un mínimo de conocimientos de programación.

Mejorar la seguridad del archivo wp-config.php

Sin más preámbulos, continuemos con esta descripción general de la seguridad de WordPress hablando ahora de un archivo clave: wp-config.phpEste último elemento, ubicado en la raíz de su sitio, gestiona su configuración.

Por defecto, incluye directrices para mejorar la seguridad de tu sitio WordPress, pero nada te impide ir aún más allá añadiendo código adicional.

Aquí tienes algunas cosas que puedes hacer:

Actualizar las claves de seguridad de WordPress

Estos se utilizan, en particular, para cifrar las cookies de sus usuarios. Reemplace los predeterminados ofreciendo aleatoriamente nuevos utilizando esta herramienta gratuita.

Verifique el prefijo de las tablas de su base de datos.

Por defecto, WordPress ofrece el prefijo wp_ durante cada nueva instalación del CMS… pero Esta es una mala práctica de seguridad porque este prefijo es fácilmente detectable por un pirata informático..

Para evitar problemas, lo mejor es cambiarlo con cada nueva instalación. Si ya es demasiado tarde, deberá cambiar este prefijo en wp-config.php.

No olvides hacer esto en cada tabla de tu base de datos utilizando el script de búsqueda y reemplazo de base de datos.

Para un principiante, la opción más fácil y menos arriesgada es usar una extensión como Complemento de herramientas y prefijos de base de datos BrozzmePero ten cuidado, asegúrate de hacer una copia de seguridad de tu sitio web con antelación.

Restringir el acceso a los editores de archivos

Por último, puedes proteger la forma en que se editan los archivos de tu plugin y tema simplemente prohibiendo la edición de archivos en el panel de administración de WordPress.

Esta sencilla línea de código deshabilitará los menús de "Editar" en su panel de administración. :

define('DISALLOW_FILE_EDIT',true);

Protegiendo su sitio web mediante el archivo .htaccess

Después del archivo wp-config.phpAhora, veamos otro archivo estratégico para garantizar la seguridad de WordPress: el archivo .htaccess.

Este es un archivo de configuración del servidor Apache, utilizado por la mayoría de los proveedores de alojamiento web. Es muy probable que también lo sea en tu caso.

Le .htaccess Puede resultar muy útil en términos de SEO, para combatir el spam y, por lo tanto, para reforzar la seguridad.

Sin embargo, debe manipularlo con cuidado: El más mínimo error de sintaxis dentro del mismo puede desencadenar la visualización de un erreur 500Por ejemplo, y hacer que su sitio sea inaccesible.

Si no estás seguro de ti mismo (esto también se aplica a wp-config.php), absténgase de hacerlo o recurra a un equipo de profesionales para que le ayuden.

¿Quieres probarlo por tu cuenta? Estos fragmentos de código podrían interesarte:

• Options All -Indexes Te permite desactivar la visualización del contenido del directorio de tu sitio en un navegador.
• <files .htaccess>
order allow,deny 
deny from all 
</files>
  protege el acceso al archivo .htaccess.
• <files wp-config.php>
order allow,deny 
deny from all 
</files>
  protege el acceso al archivo wp-config.php.
  

Oculta tu versión de WordPress

Por defecto, WordPress muestra la versión que está utilizando en su código. Por lo tanto, cualquiera puede acceder a ella y comprobar si tu sitio está actualizado o si utiliza una versión obsoleta del CMS.

Los hackers pueden utilizar esta información pública para descubrir qué vulnerabilidades de seguridad conocidas existen en su sitio web y explotarlas para perjudicarle.

Para limitar su ámbito de acción, puedes ocultar tu versión de WordPress añadiendo esta línea de código a tu archivo. functions.php :

remove_action("wp_head", "wp_generator");

Para comprobar que la visualización de la versión ha desaparecido, actualice la página. Haga clic con el botón derecho en Google Chrome y seleccione "Ver código fuente de la página". 

Utilizando el atajo de teclado Ctrl + F (PC) o Cmd + F (Mac), busca la palabra "generator". No deberías encontrar nada. Si encuentras algo, se mostrará la siguiente línea de código:

Enfin, eliminar el archivo readme.html ubicado en la raíz de su sitio, ya que también contiene su número de versión.

Comprobar los derechos de acceso a archivos y directorios

Hablando de archivos, es fundamental controlar sus derechos de acceso, así como los de sus directorios, para proteger tu sitio de WordPress.

Por defecto, es posible asignar permisos de lectura, escritura y ejecución a sus archivos y directorios.

Obviamente, si un permiso está configurado incorrectamente, los piratas informáticos podrían aprovecharse de ello para obtener acceso y realizar acciones maliciosas. 

En lo que respecta a los derechos de acceso a archivos y carpetas (permisos), La documentación de WordPress recomienda lo siguiente: : 

• Todos los directorios deben tener permisos establecidos en 755 o 750.
• Todos los archivos deben tener permisos 644 o 640. Una excepción: wp-config.php, que debe tener permisos 440 o 400 para evitar que otros usuarios del servidor puedan leerlo.
• Nunca se deben otorgar permisos 777 a un directorio.

Para comprobar si tus archivos y directorios tienen los permisos correctos, inicia sesión en tu cliente FTP y, a continuación, consulta la columna "Derechos de acceso".

Si algo no funciona correctamente, haga clic con el botón derecho en el archivo o directorio en cuestión y, a continuación, cambie sus permisos seleccionando "Derechos de acceso al archivo".

Prioriza la instalación de plugins y temas desde el directorio oficial.

Hemos hablado mucho sobre plugins y temas a lo largo de este artículo, y probablemente hayas notado que siempre recomendamos extensiones de... Directorio oficial de WordPress.

Más allá de la asombrosa cantidad de extensiones que ofrece (casi 60.000), el directorio oficial ofrece una ventaja en términos de seguridad.

Tanto para extensiones como para temas, todos "son revisados ​​manualmente por voluntarios antes de ser publicados en el repositorio".Así lo afirma el informe técnico dedicado a la seguridad en WordPress.

Aunque WordPress especifica que esto no garantiza "que estén libres de fallos de seguridad"Este primer filtro sigue siendo bastante útil.

Este nivel de verificación no siempre se aplica a las tiendas de terceros. Por lo tanto, tenga cuidado al buscar temas o extensiones.

Concéntrese en tiendas físicas establecidas con buena reputación y/o en plataformas sólidas, como ThemeForest para los temas o de CodeCanyon para plugins de WordPress.

¿Ya no necesitas una extensión o tema en tu panel de administración? Desactívalos y luego elimínalos para limitar los riesgos de seguridad.

Ser un webmaster vigilante

Por último, el último consejo es principalmente de carácter general, aplicable tanto a WordPress como a la navegación por internet: mantente alerta.

Vierta oculta:

• No abras correos electrónicos que parezcan sospechosos. para evitar cualquier riesgo de phishing (phishing,).
• Cree un acceso independiente para cada usuario. Las personas que puedan colaborar en tu sitio web (autónomos, miembros del equipo, etc.) no deben tener tus credenciales de acceso, aunque parezca más sencillo y rápido.
• Defina los roles adecuados Dependiendo de las acciones que cada usuario deba realizar. Por ejemplo, un escritor no necesita ser administrador de su sitio.
• Evite permitir descargas de archivos. en su sitio.
• Limpie su base de datos con regularidad., por ejemplo, utilizando una extensión multitarea como WP Rocket.
• Activar el modo de mantenimiento cuando sea apropiado, por ejemplo, al realizar una actualización a gran escala.

Seguridad de WordPress: un resumen

La seguridad de un sitio web de WordPress debe ser una prioridad para todos los webmasters. Si bien ningún sitio web es infalible, implementar los consejos y las mejores prácticas que se presentan en este artículo le ayudará a reducir significativamente el riesgo de sufrir un ataque informático. 

En este punto, Un sitio web pirateado puede presentar ciertas características que deberían alarmarte. : 

• Se vuelve imposible conectarse a él.
• Los hipervínculos de tus páginas redirigen a sitios de terceros que desconoces (por ejemplo, contenido para adultos).
• Se están añadiendo nuevos usuarios a tu sitio web sin tu permiso.
• Tu navegador o Google te avisa de que tu sitio web ha sido pirateado.

Ante la duda, actúe con rapidez. El impacto en sus ingresos, posicionamiento SEO, imagen de marca y experiencia de usuario puede ser desastroso.

¿Necesitas ayuda para proteger o actualizar un sitio de WordPress que ha sido víctima de un ataque?

El equipo de expertos de WP Maintenance está disponible los 7 días de la semana para brindarle asistencia personalizada. Contáctenos para más información.