Como protexer WordPress en 10 pasos sinxelos

Como protexer o seu sitio web de WordPress

¿Sabe que se intentan máis de 90,000 hacks cada minuto nos sitios de WordPress a nivel mundial? Ben, se tes un sitio web con WordPress, esa estatística debería preocuparte. Non importa se estás a dirixir unha pequena empresa. Os hackers non discriminan en función do tamaño ou importancia dos sitios web. Só buscan calquera vulnerabilidade que poida ser aproveitada para o seu proveito.

Quizais te preguntes: por que os hackers apuntan a sitios de WordPress en primeiro lugar? Que gañan entregándose a actividades tan nefastas? 

Descubrímonos

Por que os hackers apuntan aos sitios de WordPress?

Sexa en WordPress ou calquera outra plataforma; ningún sitio web está a salvo dos hackers. Sendo o máis popular plataforma CMS, Os sitios de WordPress son os favoritos dos hackers. Isto é o que fan:

  • Descubre novas vulnerabilidades de seguridade, que son relativamente máis fáciles de atopar en sitios máis pequenos. Unha vez que o pirata informático coñece calquera debilidade ou vulnerabilidade, pode utilizar o seu coñecemento para dirixirse a sitios web máis grandes e causar máis danos.
  • Redirecciona o tráfico entrante a sitios web non solicitados. Esta é unha razón común para dirixirse a sitios con moito tráfico, polo que un sitio web auténtico pode perder a todos os seus usuarios por outro sitio sospeitoso.
  • Gañar cartos ou xerar ingresos desde a venda de produtos de contrabando en sitios xenuínos ou a través de variantes de malware como ransomware ou criptografía.
  • Acceda a intelectuais ou datos confidenciais como datos de clientes, datos de empresas privadas ou rexistros financeiros da empresa. Os hackers poden vender estes datos roubados por diñeiro ou usalos para calquera vantaxe competitiva inxusta.

Agora que sabemos como os hackers poden beneficiarse dun hack ou compromiso con éxito, imos discutir os dez métodos probados de protexer un sitio de WordPress.

10 métodos comprobados para protexer o seu sitio

Afortunadamente para WordPress, hai varios métodos que pode usar para aumentar a seguridade do sitio web. A mellor parte destes métodos é que a maioría deles non son complexos e poden ser implementados por calquera usuario novato de WordPress. Entón, imos comezar. 

Paso 1: actualice o seu núcleo de WordPress, complementos e temas

As versións obsoletas de WordPress, xunto con antigos complementos e temas están entre as razóns máis comúns para que os sitios de WordPress sexan pirateados. Os hackers adoitan explotar erros relacionados coa seguridade en versións anteriores de WordPress e complementos / temas que aínda se executan na maioría dos sitios de WordPress.

A mellor protección contra esta ameaza é actualizar regularmente a súa versión Core WordPress xunto coa actualización ás últimas versións dos complementos / temas instalados. Para iso, habilita a funcionalidade "Actualización automática" na túa conta de administrador de WordPress ou fai un balance de todos os teus complementos / temas instalados actualmente.

Paso 2: usa a protección contra firewall 

Os hackers frecuentemente despregan bots automatizados ou solicitudes de IP para acceder aos sitios de WordPress. Se teñen éxito con este método, os hackers poden causar o máximo dano en calquera sitio. Os cortalumes de sitios web están construídos para identificar as solicitudes IP de enderezos IP sospeitosos e bloquear esas solicitudes incluso antes de que cheguen ao servidor web.

cortalumes
Devasa. Concepto de seguridade da información. Concepto de tecnoloxía aislado en branco

 Pode implementar protección firewall para o seu sitio web optando por:

  • Firewalls incorporados - da súa empresa de hospedaxe web
  • Firewalls baseados na nube - aloxado en plataformas externas na nube
  • Firewalls baseados en complementos - que se pode instalar no teu sitio de WordPress

Paso 3: dixitalizar e eliminar calquera malware

Os piratas informáticos seguen chegando con variantes de malware innovadoras para comprometer un sitio. Aínda que algúns programas maliciosos poden causar un dano considerable ao instante e paralizar completamente o seu sitio web, outros son máis complexos e son difíciles de detectar incluso durante días ou semanas. 

A mellor protección contra o malware é escanear regularmente o seu sitio web completo para detectar infeccións. Principais complementos de seguridade de WordPress como MalCare e WordFence son bos para a detección precoz e a limpeza de malware. Estes complementos de seguridade son fáciles de instalar e executar incluso para usuarios non técnicos.

malware

Paso 4: use un servidor web seguro e fiable 

Ademais de versións e complementos / temas obsoletos de WordPress, a configuración de aloxamento web ten unha importante palabra na seguridade do seu sitio web. Por exemplo, os hackers adoitan dirixirse a sitios web nunha plataforma de aloxamento compartida que comparte o mesmo servidor entre varios sitios web. Aínda que o aloxamento compartido é rendible, os hackers poden infectar facilmente un sitio web aloxado e logo estender a infección a todos os demais sitios web.

Para estar seguro opta por un plan de aloxamento web con funcións de seguridade integradas. Evite hosts compartidos e, no seu lugar, opte por hospedaxe de WordPress baseada ou xestionada en WordPress.

Paso 5: faga unha copia de seguridade completa do seu sitio de WordPress

As copias de seguridade de sitios web poden salvar se algo funciona co teu sitio web. As copias de seguridade de WordPress almacenan unha copia do seu sitio web e ficheiros de base de datos nun lugar seguro. No caso de que houbese éxito, pode restaurar facilmente os ficheiros de copia de seguridade no seu sitio web e normalizar as súas operacións.

As copias de seguridade de WordPress pódense realizar de varias maneiras, pero a mellor técnica para usuarios non técnicos é a través de complementos de copia de seguridade como BlogVault ou BackupBuddy. Fácil de instalar e usar, estes complementos de copia de seguridade poden automatizar as actividades relacionadas coa copia de seguridade para que poida estar concentrado nas súas tarefas diarias.

Paso 6: protexe a túa páxina de inicio de sesión en WordPress

Entre as páxinas web máis comúns dirixidas por hackers, a súa páxina de inicio de sesión de WordPress pode proporcionar un acceso sinxelo ás súas contas máis confidenciais. Usando ataques de forza bruta, os piratas informáticos implementan bots automatizados que intentan acceder repetidamente á súa conta de "administrador" de WordPress a través da páxina de inicio de sesión.

Hai varios métodos para protexer a túa páxina de inicio de sesión. Por exemplo, pode ocultar ou cambiar o URL da páxina de inicio de sesión predeterminada, que normalmente é www.mysite.com/wp-admin. 

Os populares complementos de páxinas de inicio de sesión de WordPress como "Tema O meu inicio de sesión" permítenlle ocultar (ou cambiar) a súa páxina de inicio de sesión facilmente.

Paso 7: desinstale calquera complemento e tema inutilizado ou inactivo

Como se mencionou anteriormente, os complementos / temas poden proporcionar unha porta de entrada fácil para que os piratas informáticos poidan causar estragos co seu sitio de WordPress. Isto é igualmente certo para calquera complemento e tema inutilizado ou inactivo. Se instalou unha gran cantidade destes no seu sitio e xa non os usa, é recomendable eliminalos ou substituílos por complementos / temas máis funcionais.

Como realizas isto? Inicia sesión na túa conta de WordPress como administrador usuario e vexa a lista de complementos / temas instalados actualmente. Elimina todos os complementos / temas que xa non están activos.

Paso 8: usa contrasinais seguros

Non debería ser obvio? Non obstante, aínda temos contrasinais débiles como contrasinal 123456 sendo usado. Os hackers adoitan explotar contrasinais débiles para executar un ataque con forza bruta.

contrasinal forte

Para todos os teus usuarios de WordPress, aplica algunhas directrices. Usa contrasinais de polo menos 8 caracteres, cunha combinación de maiúsculas e minúsculas, alfanuméricos e caracteres especiais. Unha medida de seguridade adicional debería ser cambiar os contrasinais de WordPress polo menos unha vez cada tres meses.

Paso 9: Obtén un certificado SSL para o teu sitio web

Abreviación de Secure Socket Layer, a certificación SSL é imprescindible para todos os sitios web, incluídos os sitios de WordPress. Por que se considera máis seguro? Cada sitio web certificado SSL cifra a información que se pasa entre o servidor web e o navegador do usuario. Isto fai máis difícil para os piratas informáticos interceptar e roubar estes datos confidenciais. Qué máis? Estes sitios web tamén son favorecidos por Google e reciben un maior clasificación de Google.

seguro https ssl
Enderezo de internet protexido que aparece na pantalla lcd.

Pode obter un certificado SSL do seu provedor de hospedaxe web que aloxa o seu sitio. Se non, podes instalar ferramentas como Let's Encrypt no teu sitio web para obter o certificado SSL.

Paso 10: use o endurecemento do sitio web de WordPress 

A medida final é despregar medidas de endurecemento do sitio web prescritas por WordPress. Endurecemento do sitio web de WordPress comprende varios pasos que inclúen:

  • Desactivar a función de edición de ficheiros para evitar a entrada de código malicioso nos teus importantes ficheiros de WordPress
  • Desactivar a execución de ficheiros PHP que impide aos piratas informáticos executar ficheiros PHP que conteñan calquera código malicioso
  • Ocultar a versión de WordPress que impide aos hackers descubrir a súa versión de WordPress e buscar calquera vulnerabilidade
  • Ocultar os ficheiros wp-config.php e .htaccess que adoitan usar os hackers para danar o seu sitio de WordPress

En conclusión

Ningún sitio de WordPress, grande ou pequeno, está completamente a salvo de hackers e malware. Non obstante, seguramente pode mellorar a súa puntuación de seguridade seguindo cada unha destas dez medidas descritas neste artigo. Estes pasos son fáciles de executar e non requiren ningún coñecemento técnico avanzado.

Para facilitar as cousas, a maioría dos complementos de seguridade integran moitas destas funcións, como a protección de devasa, a exploración programada, a eliminación de malware e o endurecemento do sitio web no seu produto. Recomendamos encarecidamente que a seguridade do sitio web sexa unha parte integral do seu lista de verificación do mantemento do sitio web

Avísanos o que pensas desta lista. Perdemos algunha medida de seguridade crucial que sexa imprescindible? Avísanos nos teus comentarios.

¿Que pensas?

Este sitio usa Akismet para reducir o spam. Aprende a procesar os teus datos de comentarios.