Descubre cómo puedes proteger tu sitio web basado en WordPress frente a los piratas informáticos.

6 formas de proteger tu sitio web de WordPress de los piratas informáticos

WordPress es una de las plataformas más fáciles que puede utilizar para crear un sitio web. Si bien existen otras plataformas de creación de sitios web en línea como Wix, Shopify y 1 & 1, Wordpress le brinda el mayor control sin dejar de ser un editor WYSIWYG. Pero hay un problema con el que casi todos los sitios web de WordPress tienen que lidiar  ... ¡Hackers!

Ahora bien, ¿por qué querrían los piratas informáticos entrar en su sitio web? Puede pensar que, después de todo, no es un sitio web de Fortune 500 ... pero aquí hay algunas razones rápidas:

  • Almacene archivos ilegales.
  • Almacene virus y malware.
  • Botnet
  • SEO de Blackhat

¿Quieres ser parte de eso? ¡Absolutamente no! Todas esas son actividades ilegales y su sitio web de WordPress podría ser vulnerable a los piratas informáticos que buscan realizar una o todas esas actividades desde su cuenta de alojamiento.

Entonces, ¿qué puede hacer para proteger su sitio web de WordPress de los piratas informáticos? A continuación, repasaremos algunas cosas que puede hacer para proteger su sitio web y mantener alejados a los piratas informáticos.

Como descargo de responsabilidad, los piratas informáticos buscan objetivos fáciles. Lo que estos consejos harán es dificultar el acceso no autorizado a su sitio web. Es posible que estos métodos no detengan un intento de piratería informática dirigida .

Detener el ataque de fuerza bruta

Los piratas informáticos generalmente tienen acceso a su nombre de usuario a través de las entradas de su blog ( la etiqueta de autor ). Lo que significa que solo deben preocuparse por descifrar su contraseña. Y hay pocas formas en las que pueden hacer esto. Un método es un ataque basado en diccionario en el que usan una lista de contraseñas para intentar descifrar su contraseña ( razón por la cual no debe usar palabras ). El otro método es pura fuerza bruta en el que intentan descifrar su contraseña utilizando un secuenciador para recorrer todas las iteraciones posibles hasta encontrar una coincidencia.

Los ataques de fuerza bruta funcionan muy bien para contraseñas cortas / débiles. Para verificar la seguridad de su contraseña, puede usar The Password Meter para ver dónde puntúa su contraseña. Una puntuación más alta significa que será más difícil que un ataque de fuerza bruta tenga éxito.

Wordpress de contraseña débil

(Ejemplo de una contraseña débil).

Por supuesto, puede hacer más para proteger realmente su sitio web de Wordpress. Puede instalar un complemento como el complemento iThemes Security (antes Better WP Security) para bloquear los intentos de fuerza bruta. Detectará intentos de inicio de sesión no autorizados y bloqueará la IP para que no realice múltiples intentos ( que puede limitar usted mismo ).

Si un pirata informático intenta iniciar sesión varias veces, el complemento colocará una prohibición temporal en la IP del pirata informático y no tendrá acceso a la página de inicio de sesión durante un cierto período de tiempo. Recuerde, el objetivo es ponérselo más difícil para que se vayan a otra parte; esto lo hace más difícil para el pirata informático y, por lo general, se irán a otra parte .

Utilice la autenticación de dos factores (2FA)

2FA es una excelente manera de evitar que los piratas informáticos permanezcan en su sitio web. El mejor sistema 2FA incorpora una contraseña segura junto con otra fuente de confirmación, como un teléfono o un código de verificación por correo electrónico. Si necesita saber cuánto tiempo puede tomar descifrar su contraseña, use esta herramienta para ver qué tan rápido se puede adivinar su contraseña a través de un ataque de fuerza bruta.

Protección de fuerza bruta Wordpress

Puede usar el complemento de autenticación de Google con su sitio web de Wordpress y hará un buen trabajo para mantener a raya a los piratas informáticos.

Cambiar el nombre de su URL de inicio de sesión

Si los piratas informáticos saben dónde está su URL de inicio de sesión ( también conocida como su puerta ), entonces sabrán por dónde entrar.  La mayoría de las instalaciones de WordPress utilizan wp-login.php o wp-admin como puerta de entrada, y los piratas informáticos lo saben.

Pero, ¿qué pasa si cambia el wp-login.phpno_accesso el wp-adminsecret_portalEs mucho más difícil para un pirata informático encontrar su página de inicio de sesión ahora y ha reducido la probabilidad de que sigan intentando encontrar una forma de entrar.

Supervise sus archivos

Hay ocasiones en las que una infracción no se puede ver visiblemente desde el sitio web. Pero los archivos de su servidor pueden contar una historia completamente diferente. Si un pirata informático ha violado su sistema, podría estar almacenando todo tipo de archivos ilegales y / o maliciosos en su servidor. Y debido a que no se muestra nada en la interfaz, no lo sabría, a menos que ...  Puede instalar el complemento de Wordfence para monitorear todos los cambios en sus archivos y alertarlo cada vez que se realiza un cambio.

Si sabe que usted o su equipo no han realizado cambios en el sitio web, es muy probable que se haya producido una infracción. Una vez que se ha producido una infracción, debe ejecutar una auditoría de seguridad, encontrar la infracción, cambiar los nombres de usuario y las contraseñas, eliminar la vulnerabilidad, parchear el sistema y restaurar la copia de seguridad.

Copia de seguridad de todo con regularidad

Si un sitio web ha sido pirateado, debe volver a una copia limpia de su sitio web antes de que fuera pirateado. Si no ha hecho una copia de seguridad de su sitio web, podría tener algunos dolores de cabeza importantes. En general, limpiar el daño que ha dejado un pirata informático es casi imposible, especialmente en un momento de escasez de tiempo . Si su sitio web es su "pan y mantequilla", estar inactivo durante días no es una opción. Pero sin una copia de seguridad, tendrá que empezar desde cero. Con una copia de seguridad, puede estar en funcionamiento en cuestión de minutos (a veces, horas ).

Incluso cuando restaure una copia de seguridad, aún necesita averiguar cómo el hacker violó su sistema al realizar una auditoría de seguridad.

Proteja el archivo wp-config

El archivo wp-config contiene toda la información sobre su instalación de WordPress, dónde se almacenan los archivos, prefijos de la base de datos y mucho más. Aquí es donde un hacker puede causar MUCHO daño. La mayoría de las instalaciones de WordPress se realizan en el nivel ROOT y esto es un GRAN riesgo de seguridad. En cambio, las instalaciones de WordPress deben realizarse bajo el nivel ROOT.

Luego, el archivo wp-config debe moverse hacia arriba fuera de la dirección de WordPress y colocarse en el nivel ROOT. Hacer esto protegerá su archivo wp-config de los piratas informáticos y dificultará el acceso no autorizado a su servidor.

Están pasando muchas cosas aquí, ¿verdad? ¡Incorrecto! De hecho, esta es una breve lista de sugerencias para ayudarlo a bloquear su sitio web de WordPress. Hay mucho más que puedes hacer que ni siquiera mencionamos.

Si todo eso parece llevar mucho tiempo, entonces quizás deba considerar la subcontratación de sus necesidades de seguridad de WordPress.

Deja que alguien más se ocupe de ello

Para muchos propietarios de sitios web, esto es demasiado para tratar. Es por eso que utilizan un proveedor de servicios de seguridad todo en uno como Bulletproof al que pueden subcontratar sus responsabilidades de protección de datos para , además, sus pruebas de vulnerabilidad, pruebas de penetración y monitoreo de amenazas, así como una plétora de otras medidas de seguridad. servicios relacionados.

Como propietario de una empresa, puede ganar mucho más cuando se centra en sus clientes, no cuando intenta mantener alejados a los piratas informáticos. Y si bien puede ahorrar un poco al hacer todo usted mismo, tendría que preguntarse si está haciendo el mejor uso de su tiempo y dinero .

Asegurar su sitio web de Wordpress

Los piratas informáticos ven a WordPress, Magento, Wix, 1 & 1, Shopify y otras plataformas de creación en línea como un objetivo fácil. La mayoría de los propietarios de sitios web no están familiarizados con la seguridad y dejan sus puertas abiertas de par en par.

Pero no eres como la mayoría de los propietarios de sitios web. Ahora comprende lo que se debe hacer para hacer la vida más difícil a los piratas informáticos. Recuerde, el objetivo es ralentizarlos para que se vayan a otra parte. Aun así, aún puede convertirse en un objetivo por razones desconocidas. Y si un pirata informático decide que quiere acceder a su servidor, ¿tiene lo necesario para mantenerlo fuera?

Esté siempre dispuesto a aceptar que es posible que no sepa lo suficiente y que la subcontratación de sus necesidades de seguridad valga la pena. De cualquier manera, el objetivo es proteger su sitio web y hacerlo poco atractivo para un pirata informático. Siguiendo estos consejos, debería poder hacer precisamente eso.


Jimmy es un escritor independiente y el propietario de GuildofBloggers.com. Ha contribuido a varios sitios web de renombre como SEMRush, SeachEnginePeople y Business.com.

Conviertete en un programador más sociable

Patrocinadores