Seguridad WordPress – Más de 19 Pasos para Proteger Su Sitio

Actualizado November 19, 2017

Cuando se trata de seguridad WordPress, hay un montón de cosas que puede hacer para proteger su sitio para evitar que los hackers y las vulnerabilidades afecten su negocio o blog. La última cosa que quiere que suceda es despertarse una mañana para descubrir su sitio en desorden. Así que hoy vamos a compartir muchos consejos, estrategias y técnicas que puede utilizar para mejorar su seguridad WordPress y mantenerse protegido.

Vulnerabilidades de WordPress

WordPress obtiene una mala reputación a veces por ser propenso a las vulnerabilidades de seguridad e inherentemente no es una plataforma segura para usar en un negocio. Sin embargo, esto se debe casi siempre al hecho de que los usuarios siguen las peores prácticas de seguridad comprobadas por la industria. El uso de software anticuado de WordPress, la mala administración del sistema, la gestión de credenciales y la falta de conocimiento Web y de seguridad entre los usuarios de WordPress que no son expertos en tecnología mantiene a los hackers encima de su juego de delincuencia cibernética. Incluso los líderes de la industria no siempre utilizan las mejores prácticas. Reuters fue hackeado en 2012 porque estaban utilizando una versión obsoleta de WordPress.

Ahora bien, esto no quiere decir que las vulnerabilidades no existen. De acuerdo a un estudio T2 2016 por Sucuri, una empresa de seguridad multi-plataforma, WordPress continúa liderando los sitios web infectados en los que trabajaron (en 74%). Y los tres plugins principales que afectan a esa plataforma son todavía Gravity Forms, TimThumb y RevSlider. Esto es sin embargo bajo un poco del T1 2016.

wordpress vulnerabilidades de seguridad

WordPress vulnerabilidades de seguridad

WordPress potencia más del 28% de todos los sitios web en Internet, y con cientos de miles de combinaciones de temas y complementos por ahí, no es sorprendente que existan vulnerabilidades y que se estén descubriendo constantemente. Sin embargo, también hay una gran comunidad alrededor de la plataforma de WordPress, para asegurar que estas cosas se reparen lo antes posible. El equipo de seguridad WordPress se compone de aproximadamente 25 expertos, incluyendo desarrolladores líderes e investigadores de seguridad – alrededor de la mitad son empleados de Automattic y un número de ellos trabaja en el campo de seguridad web.

Eche un vistazo a algunos de los diferentes tipos de vulnerabilidades de seguridad WordPress a continuación.

Puertas Traseras

La vulnerabilidad de la apropiadamente llamada puerta trasera proporciona a los hackers pasajes ocultos que evitan los cifrados de seguridad para acceder a sitios web de WordPress a través de métodos anormales – wp-Admin, SFTP, FTP, etc. Una vez explotadas, las puertas traseras permiten a los hackers causar estragos en servidores de hosting con ataques de contaminación cruzada – comprometiendo múltiples sitios alojados en el mismo servidor. En T2 2016 Sucuri reportó que las puertas traseras continúan siendo una de las muchas acciones posteriores a hackeo que los atacantes usan, con 71% de los sitios infectados teniendo alguna forma de inyección de puerta trasera.

wordpress backdoors de seguridad

Distribución de Malware

Las puertas traseras están frecuentemente codificados para aparecer como archivos de sistema de WordPress legítimos, y hacer su camino a través de bases de datos WordPress al explotar debilidades y errores en versiones anticuadas de la plataforma. El fiasco de TimThumb fue un ejemplo ideal de la vulnerabilidad de puertas traseras explotando secuencias de comando (scripts) sospechosas y software anticuado comprometiendo a millones de sitios web.

Afortunadamente, la prevención y cura de esta vulnerabilidad es bastante simple. Usted puede escanear su sitio WordPress con herramientas como SiteCheck que puede detectar fácilmente puertas traseras comunes. La autenticación de dos factores, el bloqueo de direcciones IP, la restricción del acceso admin y la prevención de la ejecución no autorizada de archivos PHP, se ocupan fácilmente de las amenazas comunes de puerta trasera, las cuales explicaremos más abajo. Canton Becker también tiene un gran post sobre limpiar el desastre de puerta trasera en sus instalaciones de WordPress.

Pharma Hacks

La explotación del Pharma Hack se utiliza para insertar códigos maliciosos en versiones anticuadas de sitios web y plugins WordPress, lo que hace que los motores de búsqueda devuelvan anuncios de productos farmacéuticos cuando se busca un sitio web comprometido. La vulnerabilidad es más una amenaza de spam que un malware tradicional, pero da a los motores de búsqueda suficiente razón para bloquear el sitio en acusaciones de distribuir spam.

Mover partes de un Pharma Hack incluyen puertas traseras en plugins y bases de datos, que pueden limpiarse siguiendo las instrucciones de este blog de Sucuri. Sin embargo, las explotaciones son a menudo variantes viciosas de las inyecciones maliciosas codificadas que se esconden en las bases de datos y requieren un proceso de limpieza profundo para solucionar la vulnerabilidad. Sin embargo, usted puede prevenir fácilmente Pharma Hacks utilizando proveedores recomendados de WordPress hosting con servidores actualizados y actualizar regularmente sus instalaciones de WordPress, temas y plugins.

Intentos de Inicio de Sesión por Fuerza Bruta

Los intentos de inicio de sesión por fuerza bruta usan secuencias de comando automatizadas para explotar contraseñas débiles y ganar acceso a su sitio. Autentificación de dos pasos, limitar los intentos de inicio de sesión, monitorear los inicios de sesión no autorizados, bloquear direcciones IP y usar contraseñas seguras son algunas de las maneras más fáciles y altamente eficaces de prevenir ataques de fuerza bruta. Pero desafortunadamente, muchos propietarios de sitios web de WordPress no realizan estas prácticas de seguridad mientras que los hackers pueden fácilmente comprometer tanto como 30,000 sitios web en un solo día usando ataques de fuerza bruta.

Redireccionamientos Maliciosos

Las redireccionamientos maliciosos crean puertas traseras en las instalaciones de WordPress utilizando FTSP, SFTP, wp-admin y otros protocolos e inyectan códigos de redirección en el sitio web. Los redireccionamientos se colocan a menudo en su archivo .htaccess y otros archivos de núcleo WP en formularios codificados, dirigiendo el tráfico Web a sitios maliciosos. Los usuarios de WordPress pueden utilizar escáneres gratuitos que detectan de forma efectiva directorios maliciosos como SiteCheck, Bots vs. Navegadores y escuchar comentarios de los usuarios. Vamos a explicar algunas maneras en las que puede prevenir estos en nuestros pasos de seguridad WordPress más abajo.

Denegación de Servicio

Quizá el más peligroso de todos sea la Denegación de Servicio (DoS) errores de explotación de vulnerabilidades y errores en el código para abrumar la memoria de los sistemas operativos del sitio web. Los hackers han comprometido a millónes de sitios web y han robado millónes de dólares mediante la explotación de versiones anticuadas y con errores del software WordPress con ataques DoS. Aunque los cibercriminales con motivación financiera son menos propensos a dirigirse a las pequeñas empresas, tienden a comprometer sitios web vulnerables y anticuados para crear cadenas de botnet para atacar a negocios grandes.

Incluso las últimas versiones del software de WordPress no pueden comprehensivamente defender contra ataques DoS de alto perfil, pero al menos le ayudará a evitar ser atrapado en el fuego cruzado entre las instituciones financieras y los cibercriminales sofisticados. Y no se olvide del 21 de octubre de 2016. Este fue el día en que la Internet cayó debido a un ataque DNS DDoS. Lea más sobre por qué es importante usar a un proveedor DNS premium y la estrategia de conmutación por error para aumentar su seguridad WordPress.

Guía de Seguridad WordPress 2017

De acuerdo con internet live stats más de 60,000 sitios web son hackeados todos los días. Eso es porque es tan importante tomar un cierto tiempo e ir a través de las siguientes recomendaciones a continuación en cómo endurecer mejor su seguridad WordPress.

sitios wordpress hackeados

Fundamentalmente, la seguridad no se trata de sistemas perfectamente seguros. Tal cosa bien podría ser impráctica, o imposible de encontrar y/o mantener. En realidad la seguridad es la reducción del riesgo, no la eliminación del riesgo. Se trata de emplear todos los controles adecuados disponibles para usted, dentro de la razón, para permitirle mejorar su postura general mediante la reducción de las probabilidades de convertirse en un objetivo, subsecuentemente, siendo hackeado. – Codex de Seguridad WordPress

Nos aseguraremos de mantener este post al día con información relevante a medida que cambien las cosas con la plataforma WordPress y surjan nuevas vulnerabilidades.

WordPress Security Index

1. Invierta en WordPress Hosting Seguro

Cuando se trata de proteger WordPress, hay mucho más que simplemente bloquear su sitio WordPress, aunque le daremos las mejores recomendaciones sobre cómo hacerlo a continuación. También existe una seguridad a nivel de servidor web por la que es responsable el host de WordPress. Nos tomamos la seguridad muy en serio aquí en Kinsta y manejamos muchos de estos problemas para nuestros clientes. Es muy importante que elija un host en el que puede confiar para su negocio. O si usted está hospedando WordPress en su propio VPS, entonces usted necesita tener el conocimiento técnico para hacer estas cosas usted mismo.

wordpress hosting seguro

Endurecer el servidor es la clave para mantener un entorno WordPress completamente seguro. Se necesitan varias capas de hardware y medidas de seguridad a nivel de software para garantizar que la infraestructura de TI de hosting de sitios WordPress es capaz de defenderse frente a sofisticadas amenazas, tanto físicas como virtuales. Por esta razón, los servidores que hospedan WordPress deben actualizarse con el último sistema operativo y el software (de seguridad), así como probado exhaustivamente y escaneado de vulnerabilidades y malware. Un ejemplo reciente de esto tuvo lugar cuando recientemente tuvimos que parcher NGINX para vulnerabilidades de seguridad de OpenSSL que fueron descubiertas.

Los cortafuegos a nivel de servidor y los sistemas de detección de intrusos deben estar en su lugar antes de instalar WordPress en el servidor para mantenerlo bien protegido incluso durante la instalación de WordPress y las fases de construcción del sitio web. Sin embargo, todos los programas instalados en la máquina destinados a proteger el contenido de WordPress deben ser compatibles con los sistemas de gestión de bases de datos más recientes para mantener un rendimiento óptimo. El servidor también debe estar configurado para utilizar protocolos seguros de encriptación y transferencia de archivos (como SFTP en lugar de FTP) para ocultar contenido confidencial de intrusos malintencionados.

Aquí en Kinsta usamos Google Cloud Platform para todos nuestros clientes de WordPress. Una gran ventaja de esto es que se basa en un modelo de seguridad que se ha construido en el transcurso de 15 años, y actualmente asegura productos y servicios como Gmail, Search, etc. Google emplea actualmente a más de 500 profesionales de seguridad a tiempo completo. Kinsta también utiliza contenedores Linux (LXC) y LXD para orquestarlos, además de Google Cloud Platform, que nos permite aislar completamente no sólo cada cuenta, sino cada sitio separado de WordPress. Este es un método mucho más seguro que se ofrece por otros competidores.

2. Use La Última Versión de PHP

PHP es la columna vertebral de su sitio WordPress por eso usar la última versión en su servidor es muy importante. Cada versión principal de PHP está plenamente soportada durante dos años después de la fecha de emisión. Durante este tiempo, errores y problemas de seguridad se soluciona y se corrige regularmente. Ahora mismo cualquier usuario usando una versión de PHP más antigua que 5.6 no tendrá más soporte de seguridad y está expuesto a vulnerabilidades de seguridad sin parches.

versiones de php soportadas para wordpress

Versiones de PHP soportadas

Y, ¿saben lo que hacen? Según la página oficial de WordPress Stats, en el momento de  escribir este artículo más de un 60% de los usuarios de WordPress todavía usan una versión de PHP más antiguo que 5.6. ¡Esto da miedo! A veces para negocios y desarrolladores lleva tiempo probar y garantizar la compatibilidad con sus códigos, pero no tienen excusas de ejecutar algo sin soporte de seguridad.

WordPress estadísticas de versiones de PHP

WordPress estadísticas de versiones de PHP

¿No sabe qué versión de PHP está actualmente usando? La mayor parte de los hosts normalmente incluyen esto en la cabecera de petición de su sitio. Una manera rápida de verlo es ejecutar su sitio en Pingdom. Haga clic en la primera solicitud y busque un parámetro X-Powered-By. Normalmente esto muestra la versión de PHP que su servidor web está usando actualmente.

Cabecera de HTTP X-Powered-By

Cabecera de HTTP X-Powered-By

Nosotros en Kinsta soportamos solamente versiones de PHP estables y soportadas, incluyendo 5.6, 7, y 7.1. Aún puede cambiar entre versiones de PHP con un solo clic dentro del panel de control de My Kinsta.

Cambiar la versión de PHP WordPress

Cambiar la versión de PHP WordPress

Si trabaja con un host de WordPress que usa cPanel normalmente puede cambiar entre versiones de PHP haciendo un clic en “PHP Select” bajo la categoría de software.

Versión de PHP en cPanel

Versión de PHP en cPanel

3. Use Nombres de Usuario y Contraseñas Inteligentes

Sorprendentemente, una de las mejores maneras de endurecer la seguridad WordPress es simplemente usar nombres de usuario y contraseñas inteligentes. Suena bastante fácil ¿no? Bien, eche un vistazo a la lista anual de 2015 de SplashData de las contraseñas más populares que han sido robadas a lo largo del año (por orden de popularidad).

  • 123456
  • password
  • 12345
  • 12345678
  • qwerty
  • 123456789
  • 1234
  • baseball
  • dragon
  • football

¡Esto es correcto! La contraseña más popular es “123456“, seguida de una “contraseña” asombrosa. Es una razón por la cual aquí en Kinsta en los nuevos sitios WordPress realmente obligamos elegir una contraseña compleja que se debe usar para iniciar sesión en wp-admin (como se ve abajo en nuestro proceso de instalación con un solo clic). Esto no es opcional.

Forzar una contraseña de WordPress segura

Forzar una contraseña de WordPress segura

La función fundamental de WordPress wp_hash_password utiliza la estructura hashing de la contraseña phppass y ocho pases de hashing basado en MD5.

Algunas de las mejores seguridades empiezan desde lo básico. Google tiene algunas recomendaciones sobre cómo escoger una contraseña segura. O puede usar una herramienta online como Strong Password Generator.

También es importante utilizar contraseñas diferentes para cada sitio web. La mejor manera de almacenarlas es localmente en una base de datos cifrada en su ordenador. Una buena herramienta gratuita para esto es KeePass. Si no desea ir por esta ruta también hay administradores de contraseñas online, como LastPassTeamPassword. A pesar de que sus datos estén alojados de forma segura en la nube, estos son generalmente más seguros ya que no utilizan la misma contraseña en varios sitios.

Y en términos de su sitio WordPress nunca debería usar el nombre de usuario “admin” predeterminado. Cree un nombre de usuario único de WordPress para la cuenta de administrador y elimine el usuario “admin” si existe. Puede hacerlo añadiendo un nuevo usuario en “Usuarios” en el panel de control y asignándole el perfil “Administrador” (como se ve a continuación).

Rol de Administrador WordPress

Rol de Administrador WordPress

Una vez que asigne a la nueva cuenta la función de administrador, puede volver atrás y eliminar el usuario “Admin” original. Asegúrese de que, al hacer clic en Eliminar, seleccione la opción “Atribuir todo el contenido a” (“Attribute all content to”) y seleccione su nuevo perfil de administrador. Esto asignará a la persona como el autor de esos posts.

eliminar admin atribuir todo el contenido a

Atribuir todo el contenido al admin

También puede renombrar su actual nombre de usuario admin manuelmente en phpMyAdmin con el comando siguiente. Antes de editar tablas asegúrese de hacer backup de su base de datos:

UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';

4. Utilice Siempre La Última Versión de WordPress y Plugins

Otra forma muy importante para endurecer su seguridad WordPress es siempre mantenerla actualizado. Esto incluye el núcleo de WordPress y sus plugins. Estos son actualizados por una razón, y un montón de veces estos incluyen mejoras de seguridad y correcciones de errores. Le recomendamos que lea nuestra guía en profundidad sobre este tema: Una Inmersión Profunda en las Actualizaciones de WordPress.

mantener wordpress actualizado

Mantener WordPress actualizado

Lamentablemente, hay millones de empresas que están ejecutando versiones desactualizadas de software y plugins de WordPress, y todavía creen que están en el camino correcto del éxito empresarial. Ellos citan razones para no actualizar, como “su sitio fallará” o “las modificaciones de núcleo se eliminarán” o “el plugin X no funcionará” o “simplemente no necesitan la nueva funcionalidad”.

De hecho, los sitios web fallan principalmente debido a errores en versiones anteriores de WordPress. Las modificaciones de núcleo nunca son recomendadas por el equipo de WordPress y los desarrolladores expertos que entienden los riesgos involucrados. Y las actualizaciones de WordPress incluyen en su mayoría los parches de seguridad imprescindibles junto con la funcionalidad adicional requerida para ejecutar los plugins más recientes.

¿Sabía que ha sido reportado que vulnerabilidades de plugin representan 55.9% de los puntos de entrada conocidos para los hackers? Eso es lo que WordFence encontró en un estudio de 2016 donde entrevistaron a más de 1,000 propietarios de sitios WordPress que habían sido víctimas de ataques. Al actualizar sus plugins puede asegurarse de que no sea una de estas víctimas. También se recomienda que sólo instale plugins de confianza. Las categorías “destacadas” y “populares” en el repositorio de WordPress pueden ser un buen lugar para comenzar.

sitios web wordpress hackeados plugins

Sitios WordPress hackeados

Cómo Actualizar El Núcleo WordPress

Hay un par de maneras fáciles de actualizar su instalación de WordPress. Si usted es un cliente de Kinsta le proporcionamos backups automáticos con una opción de restauración con un solo clic. De esta manera usted puede probar nuevas versiones de WordPress y plugins sin tener que preocuparse por perder algo. O también puede probar primero en nuestro entorno de pruebas. Para actualizar el núcleo WordPress, puede hacer clic en “Actualizaciones” en su panel de control WordPress y hacer clic en el botón “Actualizar ahora”.

update wordpress core

También puede actualizar WordPress manualmente al descargar la última versión y subiéndola a través de FTP.

¡Importante! Sobrescribir las carpetas incorrectas podría romper su sitio si no se hace correctamente. Si no se siente cómodo haciendo esto, consulte primero con un desarrollador.

Siga los pasos a continuación para actualizar su instalación existente:

  • Borrar los viejos directorios wp-includes y wp-admin.
  • Cargar los nuevos directorios  wp-includes y wp-admin.
  • Cargue los archivos individuales de la nueva carpeta de wp-content a su carpeta existente wp-content, sobrescribiendo archivos existentes. NO borre su carpeta existente wp-content. NO elimine ningún archivo o carpeta en su directorio existente wp-content directory (excepto por el que está siendo sobrescribido por archivos nuevos).
  • Cargue todos los archivos nuevos sueltos del directorio raíz de la nueva versión a su directorio raíz de WordPress existente.

Cómo Actualizar WordPress Plugins

Actualizar sus plugins de WordPress es un proceso muy similar a la actualización del núcleo WordPress. Haga clic en “Actualizaciones” en el panel de control WordPress, seleccione los plugins que desea actualizar y haga clic en “Actualizar plugins”.

actualizar wordpress plugins

Actualizar WordPress plugins

Del mismo modo, también puede actualizar un plugin manualmente. Simplemente coja la última versión del desarrollador de plugins o el repositorio de WordPress y súbala a través de FTP, sobrescribiendo el plugin existente dentro del directorio /wp-content/ plugins.

También es importante tener en cuenta que los desarrolladores no siempre mantienen sus plugins actualizados. El equipo de WP Loop hizo un gran análisis de cuántos plugins de WordPress en el repositorio no están actualizados con el actual núcleo WordPress. De acuerdo con su investigación casi 50% de los plugins en el repositorio no han sido actualizados en más de 2 años. Esto no significa que el plugin no funcionará con la versión actual de WordPress, pero se recomienda que elija plugins que se actualicen activamente. Los plugins desactualizados tienen más probabilidades de contener vulnerabilidades de seguridad.

wordpress plugins no actualizados

img src: WP Loop

Utilice su mejor juicio cuando se trata de plugins. Mire a la fecha de ” última actualización” y cuántas calificaciones tiene un plugin. Como se ve en el siguiente ejemplo, éste es anticuado y tiene malas críticas, así que lo más probable es que le recomendemos alojarse lejos de este.

wordpress plugin antiguo

WordPress plugin antiguo con malas calificaciones

También hay una gran cantidad de recursos por ahí para ayudarle a mantenerse al tanto de las últimas actualizaciones de seguridad WordPress y vulnerabilidades. Vea algunas de ellas a continuación:

archivo de seguridad wordpress

Archivo de seguridad WordPress

5. Bloquee su WordPress Admin

A veces, la estrategia popular de seguridad WordPress por anonimato es apropiadamente eficaz para un negocio online promedio y sitio WordPress. Si hace que sea más difícil para los hackers encontrar ciertas puertas traseras entonces es menos probable que usted sea atacado. Bloquear su área y login de WordPress admin es una buena manera de fortalecer su seguridad. Dos buenas maneras de hacerlo es primero cambiando la URL de inicio de sesión predeterminada de wp-admin y limitando los intentos de inicio de sesión.

La seguridad por anonimato puede ser una manera muy eficaz de seguridad #WordPress. Haga clic para Tweet

Cómo Cambiar su URL de Acceso de WordPress

Por defecto, la URL de inicio de sesión de su sitio WordPress es domain.com/wp-admin. Uno de los problemas con esto es que todos los bots, hackers y secuencias de comando que existen también lo saben. Al cambiar la URL, puede hacerse menos de un objetivo y protegerse mejor de los ataques de fuerza bruta. Esto no es una solución para todo, es simplemente un pequeño truco que sin duda puede ayudar a protegerle. Para cambiar su URL de acceso de WordPress recomendamos usar el plugin gratis WPS Hide login.

El plugin sólo tiene una opción rápida de configurar. Una vez habilitado, simplemente cambie la URL de acceso de WordPress en la sección “General” de los ajustes. Recuerde escoger algo único que no esté en una lista que un bot o una secuencia de comandos podría intentar escanear.

cambiar su url de acceso wordpress

Ocultar URL de acceso WordPress

Cómo Limitar Intentos de Inicio de Sesión

Si bien la solución anterior de cambiar la URL de inicio de sesión de administrador disminuirá la mayoría de los intentos de inicio de sesión incorrectos, poner un límite en su lugar también puede ser muy eficaz. El plugin gratis de Cerber Limit Login Attempts es una excelente forma de configurar fácilmente las duraciones de bloqueo, los intentos de inicio de sesión y las listas blancas y negras de IP.

limitar intentos de inicio de sesión en wordpress

Limitar intentos de inicio de sesión en WordPress

Si usted está buscando una solución de seguridad WordPress más simple, otra buena alternativa es el plugin gratuito Login Lockdown. Login LockDown registra la dirección IP y la fecha y hora de cada intento fallido de inicio de sesión. Si se detecta más de un cierto número de intentos en un corto período de tiempo desde el mismo rango de IP, entonces la función de inicio de sesión se inhabilita para todas las solicitudes de ese rango. Y es completamente compatible con el plugin de WPS Hide login que mencionamos anteriormente.

bloquear inicio de sesión wordpress

Bloquear WordPress

6. Saque Ventaja De La Autenticación De Dos Factores

Y, por supuesto, ¡no podemos olvidar la autenticación de dos factores! No importa qué tan segura sea su contraseña, siempre existe el riesgo de que alguien la descubra. La autenticación de dos factores implica un proceso de dos pasos en el que necesita no sólo su contraseña para iniciar sesión, sino un segundo método. Generalmente es un texto (SMS), una llamada telefónica o una contraseña de un solo uso en función del tiempo (TOTP). En la mayoría de los casos, esto es 100% eficaz en la prevención de ataques de fuerza bruta a su sitio WordPress. ¿Por qué? Porque es casi imposible que el atacante tenga tanto su contraseña como su móvil.

Realmente hay dos partes cuando se trata de la autenticación de dos factores. Primero está su cuenta y/o panel de control que usted tiene con su proveedor de hosting web. Si alguien tiene acceso a esto, podría cambiar sus contraseñas, eliminar sus sitios web, cambiar los registros DNS, y todo tipo de cosas horribles. Estamos aquí en Kinsta asociados con Authy y tenemos autentificación de dos factores disponible para su panel de control My Kinsta.

La segunda parte de la autentificación de dos factores tiene que ver con su instalación actual de WordPress. Authy tiene un plugin oficial de WordPress que puede descargar y utilizar. Su plan gratuito se limita a 100 autorizaciones por mes, pero sus planes de pago comienzan a un precio muy razonable de $0.09/autentificación con usuarios y autorizaciones ilimitados.

Si está buscando una opción completamente gratuita entonces el plugin de Google Authenticator es una gran alternativa. También permite una cantidad ilimitada de usuarios. Una vez esté instalado, puede hacer clic en su perfil de usuario, marcarlo activo y crear una nueva clave secreta o escanear el código QR.

WordPress Autenticación de Dos Factores

WordPress Autenticación de Dos Factores

A continuación, puede utilizar uno de los Authenticator Apps gratuitos en su teléfono:

Después de habilitarlo, ahora se requiere su contraseña normal para iniciar sesión y el código de la aplicación Google Authenticator en su teléfono. Aparecerá un campo adicional en su página de inicio de sesión de WordPress. Además, este plugin es totalmente compatible con el plugin WPS Hide login que mencionamos anteriormente.

google-authenticator-wordpress-login

Código de Google Authenticator

O sea asegúrese de sacar ventaja de la autenticación de dos factores, esto puede ser una manera fácil de reforzar su seguridad WordPress.

7. Use HTTPS para Conexiones Cifradas – Certificado SSL

Una de las maneras más ignoradas de reforzar su seguridad WordPress es instalar un certificado SSL y ejecutar su sitio a través de HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) es un mecanismo que permite que su navegador o aplicación web se conecte de forma segura con un sitio web. Una gran equivocación es que si usted no acepta tarjetas de crédito entonces no necesita SSL. Bueno, vamos a explicar algunas razones por las que HTTPS es importante más allá del comercio electrónico. Muchos hosts, incluyendo Kinsta, ahora incluso ofrecen certificados SSL gratuitos con Let’s Encrypt.

https conexiones cifradas

1. Seguridad

Por supuesto, la mayor razón por HTTPS es la seguridad añadida, y sí esto aplica fuertemente a los sitios de comercio electrónico. Sin embargo, ¿cómo es de importante su información de acceso (login information)? Para aquellos de ustedes que ejecutan sitios web multi-autor de WordPress, si se ejecutan a través de HTTP, cada vez que una persona inicia una sesión, esa información se está pasando al servidor en texto plano. HTTPS es absolutamente vital para mantener una conexión segura entre un sitio web y un navegador. De esta manera puede prevenir mejor que los hackers y/o un intermediario tengan acceso a su sitio web. Así que incluso los blogs de WordPress, sitios de noticias, agencias, todos pueden beneficiarse de HTTPS, ya que esto asegura que nada pase nunca en texto plano.

2. SEO

Google ha dicho oficialmente que HTTPS es un factor de clasificación. Si bien es sólo un pequeño factor de clasificación, la mayoría de ustedes probablemente sacarían cualquier ventaja que puedan obtener en SERPs para vencer a sus competidores.

3. Confianza y Credibilidad

De acuerdo con una encuesta de GlobalSign, 28.9% de los visitantes buscan la barra de direcciones verde en su navegador. Y el 77% de ellos están preocupados de que sus datos sean interceptados o mal utilizados online. Al ver ese candado verde, los clientes instantáneamente estarán más tranquilos sabiendo que sus datos son más seguros.

4. Datos de Referencia

Mucha gente no se da cuenta de que los datos de referencia HTTPS a HTTP están bloqueados en Google Analytics. Entonces, ¿qué pasa con los datos? Bien, la mayor parte de ellos están simplemente agrupados junto con la sección del “tráfico directo”. Si alguien está pasando de HTTP a HTTPS, la referencia aún se pasa.

5. Advertencias de Chrome

El equipo de Chrome anunció que a inicios de enero de 2017, marcarán los sitios HTTP que transmiten contraseñas o tarjetas de crédito como no seguros. Esto es especialmente importante si su sitio web recibe la mayoría de su tráfico de Chrome. Puedes buscar en Google Analytics bajo la sección “Audience” en “Browser & OS” para ver el porcentaje de tráfico que obtiene su sitio WordPress desde Google Chrome. Google está aclarando mejor a los visitantes que su sitio web WordPress podría no estar funcionando en una conexión segura.

6. Rendimiento

Debido a un nuevo protocolo llamado HTTP/2, muchas veces, aquellos que ejecutan sitios optimizados adecuadamente a través de HTTPS pueden incluso ver mejoras de velocidad. HTTP/2 requiere HTTPS debido al soporte del navegador. La mejora en el rendimiento se debe a una variedad de razones, como HTTP/2 siendo capaz de soportar mejor multiplexación, paralelismo, compresión HPACK con codificación Huffman, la extensión ALPN y empuje de servidor. Y con TLS 1.3 a la vuelta de la esquina, las conexiones HTTPS serán aún más rápidas.

¿Vuelve a pensar en HTTPS ahora? Eche un vistazo a nuestra guía de migración WordPress HTTPS en profundidad para ponerle listo y activo.

Para reforzar una conexión segura y cifrada entre usted y el servidor al iniciar sesión y administrar su sitio, agregue la siguiente línea a su archivo wp-config.php:

define('FORCE_SSL_ADMIN', true);

8. Endurezca su Archivo wp-config.php

Su archivo our wp-config.php es como el corazón y el alma de su instalación de WordPress. Es el archivo más importante en su sitio cuando se trata de seguridad WordPress. Contiene la información de acceso de su base de datos y las claves de seguridad que controlan el cifrado de la información en las cookies. A continuación, se presentan algunas cosas que puede hacer para proteger mejor este importante archivo.

1. Mover wp-config.php

De forma predeterminada, el archivo wp-config.php se encuentra en el directorio raíz de la instalación de WordPress (su carpeta/public HTML). Pero puede moverlo a un directorio que no sea www accesible. Aaron Adams escribió una buena explicación del porqué esto es beneficioso.

Para mover su archivo wp-config.php simplemente copie todo de él en un archivo diferente. Después, en su archivo wp-config.php puede colocar el fragmento siguiente para incluir simplemente su otro archivo. Nota: la ruta del directorio puede ser diferente según el host y la configuración. Normalmente, aunque es simplemente un directorio arriba.

<?php
include('/home/yourname/wp-config.php');

2. Actualizar las Claves de Seguridad WordPress

Las claves de seguridad WordPress son un conjunto de variables aleatorias que mejoran el cifrado de la información almacenada en las cookies del usuario. Desde WordPress 2.7 han habido 4 claves diferentes: AUTH_KEYSECURE_AUTH_KEYLOGGED_IN_KEY, y NONCE_KEY. Al instalar WordPress estos se generan aleatoriamente para usted. Sin embargo, si ha pasado por múltiples migraciones o ha comprado un sitio de otra persona, puede ser bueno crear nuevas claves de WordPress.

WordPress realmente tiene una herramienta gratuita que puede utilizar para generar claves aleatorias. Puede actualizar sus claves actuales que se almacenan en su archivo wp-config.php.

claves de seguridad wordpress

Claves de Seguridad WordPress

Lea más sobre claves de seguridad WordPress.

3. Cambiar Permisos

Típicamente los archivos en el directorio raíz de un sitio WordPress estarán configurados a 644, esto significa que el propietario del archivo tiene permiso de lectura y escritura de los archivos y tanto los usuarios del grupo propietario del archivo como cualquier otra persona tiene permiso de lectura. Según la documentación WordPress, las autorizaciones en el archivo wp-config.php deberían estar configuradas a 440 o 400 para prevenir que otros usuarios del servidor no lo lean. Se puede cambiar esto fácilmente con su cliente FTP.

permisos de wp-config

Permisos de wp-config.php

9. Deshabilitar XML-RPC

En los últimos años XML-RPC se ha vuelto un objetivo cada vez más grande para ataques de fuerza bruta. Como Sucuri mencionó, una de las características ocultas de XML-RPC es que puede utilizar el método system.multicall para ejecutar varios métodos dentro de una sola solicitud. Eso es muy útil ya que permite que la aplicación pase varios comandos dentro de una solicitud HTTP. Pero lo que también sucede es que se utiliza para intenciones maliciosas.

Hay algunos WordPress plugins como Jetpack que dependen de XML-RPC, pero la mayoría de la gente por ahí no necesitará esto y puede ser beneficioso simplemente desactivar el acceso a ello. ¿No está seguro si XML-RPC se está ejecutando actualmente en su sitio web? Danilo Ercoli, del equipo de Automattic, escribió una pequeña herramienta llamada el XML-RPC Validator. Puede ejecutar su sitio WordPress a través de eso para ver si tiene XML-RPC habilitado. Si no es así, verá un mensaje de error tal como se muestra en la imagen de abajo en el blog de Kinsta.

revisar wordpress xmlrpc

WordPress XML-RPC validator

Para deshabilitarlo completamente, puede instalar el plugin gratuito Disable XML-RPC . O puede deshabilitarlo con el plugin premium de perfmatters, que incluye también mejoras de rendimiento web. Si usted es un cliente aquí en Kinsta esto no es necesario porque cuando un ataque a través de XML-RPC sea detectado un pequeño fragmento de código se agrega al archivo de configuración de NGINX para detenerlos en su avance – produciendo un error 403.

location ~* ^/xmlrpc.php$ {
return 403;
}

10. Esconda su Versión de WordPress

Esconder su versión de WordPress vuelve a tocar el tema de la seguridad WordPress por anonimato. Cuanta menos gente conozca su configuración de sitio WordPress, mejor. Si ven que está ejecutando una instalación de WordPress no actualizada, esto podría ser una señal de bienvenida a los intrusos. De forma predeterminada, la versión de WordPress aparece en el encabezado del código fuente de su sitio. Una vez más, le recomendamos que simplemente asegúrese de que su instalación de WordPress esté siempre actualizada para que no tenga que preocuparse por esto.

Versión de WordPress en el código fuente

Versión de WordPress en el código fuente

WPBeginner tiene un pequeño y genial fragmento de código que puede utilizar para eliminar esto. Simplemente añada lo siguiente al archivo functions.php de su tema de WordPress.

¡Importante! Editar el código fuente de un tema de WordPress podría romper su sitio si no se hace correctamente. Si no se siente cómodo haciendo esto, consulte con un desarrollador primero.

function wpversion_remove_version() {
return '';
}
add_filter('the_generator', 'wpversion_remove_version');

La otra opción es utilizar un plugin premium como perfmatters (desarrollado por un miembro del equipo de Kinsta) que le permite esconder la versión del WordPress con un solo clic junto con otras optimizaciones de su sitio WordPress.

Esconder la versión de WP con perfmatters

Esconder la versión de WP con perfmatters

Otro lugar donde aparece la versión de WordPress es el archivo readme.html predeterminado (como se muestra a continuación) que se incluye en cada versión de WordPress. Se encuentra en la raíz de su instalación, domain.com/readme.html. Puede eliminar este archivo de forma segura a través de FTP.

Versión de WordPress en el archivo readme

Versión de WordPress en el archivo readme

11. Añada los Últimos Encabezados De Seguridad HTTP

Otro paso que puede tomar para mejorar su seguridad WordPress es aprovechar los encabezados de seguridad HTTP. Normalmente se configuran en el nivel del servidor web y le indican al navegador cómo comportarse al manejar el contenido de su sitio. Hay muchos encabezados de seguridad HTTP diferentes, pero abajo son típicamente los más importantes. KeyCDN tiene una gran entrada en profundidad si quiere leer más sobre encabezados de seguridad HTTP.

Puede comprobar qué encabezados se ejecutan actualmente en su sitio WordPress abriendo Chrome devtools y mirando el encabezado en la primera respuesta de su sitio. A continuación, se muestra un ejemplo en Kinsta.com. Puede ver que estamos utilizando los encabezados de strict-transport-security, x-content-type y x-frame-options.

wordpress http encabezados de seguridad

Encabezados de seguridad HTTP

También puede escanear su sitio web de WordPress con la herramienta gratuita securityheaders.io de Scott Helme. Esto le mostrará los encabezados de seguridad HTTP que tiene actualmente en su sitio. Si no está seguro de cómo implementarlos, siempre puede preguntar a su host si pueden ayudar.

escaneo de encabezados de seguridad http

Escaneo de encabezados de seguridad HTTP

Nota: También es importante recordar que cuando implementa encabezados de seguridad HTTP cómo puede afectar a los subdominios de WordPress. Por ejemplo, si agrega el encabezado de Content Security Policy y limita el acceso por dominios, debe agregar sus propios subdominios también.

12. Use Plugins de Seguridad WordPress

Y por supuesto, tenemos que mencionar algunos plugins de seguridad WordPress. Hay un montón de desarrolladores buenos y empresas que proporcionan buenas soluciones para ayudar a proteger mejor su sitio WordPress. Aquí hay algunos de ellos.

¡Importante! Nosotros no permitimos WordFence en los servidor Kinsta debido a problemas de rendimiento. Tenemos cortafuegos de hardware, seguridad activa y pasiva, comprobaciones de tiempo de actividad al minuto y muchas otras características avanzadas para evitar que los atacantes obtengan acceso a sus datos. Si, a pesar de nuestros mejores esfuerzos, su sitio está comprometido, lo arreglaremos de forma gratuita.

Estas son algunas de las características y usos típicos de los plugins anteriores:

  • Generar y forzar contraseñas seguras al crear perfiles de usuario
  • Forzar la caducidad de las contraseñas y restablecerlas periódicamente
  • Logs de actividad de usuario
  • Actualizaciones fáciles de las claves de seguridad WordPress
  • Análisis de malware
  • Autenticación de dos factores
  • reCAPTCHAs
  • Cortafuegos de seguridad WordPress
  • Lista blanca de IP
  • Lista negra de IP
  • Logs de cambio de archivos
  • Supervisar los cambios del DNS
  • Bloquear redes maliciosas
  • Ver información WHOIS sobre los visitantes

Otro gran plugin que merece una mención honorífica es el plugin WordPress Security Audit Log. Esto es impresionante para aquellos de ustedes que trabajan en WP multisitio o simplemente en sitios de autores múltiples. Ayuda a garantizar la productividad de los usuarios y permite a los administradores ver todo lo que se está cambiando; tales como inicios de sesión, cambios de contraseña, cambios de tema, cambios de widget, creación de nuevas entradas, actualizaciones de WordPress, etc. ¡Casi todo lo que sucede se registra! Al momento de escribir esta entrada el plugin WP Security Audit Log  tiene más de 40,000 instalaciones activas con una calificación de 4.7 sobre 5.

seguridad wordpress audit log

Seguridad de audit log viewer

También cuenta con complementos premium adicionales como notificaciones de email, gestión, búsqueda e informes de sesiones de usuario.

13. Reforzar la Seguridad de la Base de Datos

Hay un par de maneras de mejorar la seguridad en su base de datos de WordPress. La primera es usar un nombre de base de datos inteligente. Si su sitio se llama trucos de voleibol, por defecto su base de datos de WordPress es más probable que se llame wp_trucosdevoleibol. Al cambiar el nombre de su base de datos a algo más complicado, ayuda a proteger su sitio haciendo que sea más difícil para los hackers identificar y acceder a los detalles de su base de datos. La gente de WPMUDEV escribió un pequeño tutorial genial sobre cómo cambiar el nombre de su base de datos en sitios existentes.

Una segunda recomendación es utilizar un prefijo de tabla de base de datos diferente. Por defecto, WordPress utiliza wp_. Cambiar esto a algo como 39xw_ puede ser mucho más seguro. Al instalar WordPress se le pide un prefijo de tabla (como se ve a continuación). También hay maneras de cambiar el prefijo de tabla WordPress en sitios existentes.

wordpress prefijo de tabla

WordPress prefijo de tabla – img src: jatinarora

wordpress-prefijo-de-las-tablas-1024x72914. Siempre Use Conexiones Seguras

¡No podemos destacar lo importante que es usar conexiones seguras! Asegure a su host de WordPress tomando precauciones tales como SFTP o SSH. SFTP o protocolo seguro de transferencia de archivos (también conocido como protocolo de transferencia de archivos SSH), es un protocolo de red que se utiliza para transferencias de archivos. Es un método más seguro vs estándar FTP. Nosotros sólo soportamos conexiones SFTP en Kinsta para asegurar que sus datos permanezcan seguros y cifrados. La mayoría de los hosts de WordPress también utilizan típicamente el puerto 22 para SFTP. Nosotros en Kinsta ya llevamos esto un paso más adelante y cada sitio tiene un puerto al azar que se puede encontrar en su panel de control My Kinsta.

Información SFTP

Información SFTP

También es importante asegurarse de que su enrutador doméstico esté configurado correctamente. Si alguien hackea su red doméstica, podría tener acceso a todo tipo de información, incluyendo posiblemente donde se almacene su información importante acerca de sus sitios de WordPress. Estos son algunos consejos sencillos:

  • No active la gestión remota (VPN). Los usuarios típicos nunca usan esta característica y manteniéndola apagada usted puede evitar exponer su red al mundo exterior.
  • Los enrutadores usan por defecto IPs en el rango tal como 192.168.1.1. Utilice un rango diferente, tal como 10.9.8.7.
  • Active el nivel más alto de cifrado en su Wifi.
  • Ponga su Wifi en lista blanca de IPs para que sólo las personas con contraseña y una determinada IP puedan acceder a ella.
  • Mantenga actualizado el firmware en su enrutador.

Y siempre tenga cuidado al iniciar una sesión en su sitio WordPress en ubicaciones públicas. Recuerde, ¡Starbucks no es una red segura! Tome precauciones como la verificación del SSID de red antes de hacer clic en Conectar. También puede utilizar un servicio VPN de terceros, como ExpressVPN para cifrar su tráfico de Internet y esconder su dirección IP de los hackers.

15. Verifique los Permisos de Archivo y Servidor

Los permisos de archivo tanto en su instalación como en el servidor web son cruciales para reforzar la seguridad WordPress. Si los permisos están demasiado sueltos, alguien podría acceder fácilmente a su sitio y causar estragos. Por otra parte, si sus permisos son demasiado estrictos esto podría romper la funcionalidad en su sitio. Por lo tanto, es importante contar con los permisos correctos establecidos a través del panel.

Permisos del Archivo

  • Permisos de lectura se asignan si el usuario tiene derechos para leer el archivo.
  • Permisos de escritura se asignan si el usuario tiene derechos para escribir o modificar el archivo.
  • Permisos de ejecución se asignan si el usuario tiene los derechos para ejecutar el archivo y/o ejecutarlo como una secuencia de comandos.

Permisos del Directorio

  • Permisos de lectura se asignan si el usuario tiene los derechos para acceder al contenido de la carpeta/directorio identificado.
  • Permisos de escritura se asignan si el usuario tiene los derechos para agregar o eliminar archivos que se contienen dentro de la carpeta/directorio.
  • Permisos de ejecución se asignan si el usuario tiene los derechos para acceder al directorio actual y ejecutar funciones y comandos, incluida la posibilidad de eliminar los datos dentro de la carpeta/directorio.

Se puede usar un plugin gratuito como iThemes Security para escanear los permisos en su sitio de WordPress.

permisos de archivo wordpress

Escaneo de permisos de archivo WordPress

Estas son algunas recomendaciones típicas para los permisos cuando se trata de permisos de archivos y carpetas en WordPress. Vea el artículo de WordPress Codex sobre cómo cambiar permisos de archivo para tener una explicación más a fondo.

  • Todos los archivos deben ser 644 o 640. Excepción: wp-config.php debe ser 440 o 400 para evitar que otros usuarios del servidor lo lean.
  • Todos los directorios deben ser 755 o 750.
  • Ningún directorio debería ser 777, ni siquiera directorios cargados.

16. Desactive Editar Archivos en el Panel de Control de WordPress

Muchos sitios de WordPress tienen varios usuarios y administradores, lo que puede hacer que la seguridad WordPress sea más complicada. Una muy mala práctica es dar a los autores o contribuyentes acceso de administrador, pero, lamentablemente, sucede todo el tiempo. Es importante dar a los usuarios las funciones y permisos correctos para que no rompan nada. Debido a esto, puede ser beneficioso simplemente desactivar el “editor de apariencia” en WordPress. La mayoría de ustedes probablemente han estado allí en un momento u otro. Usted va a editar rápidamente algo en el editor de apariencia y de repente se quedan con una pantalla blanca de muerte. Es mucho mejor editar el archivo localmente y subirlo a través de FTP. Y, por supuesto, en la mejor práctica, debe probar cosas como esta en un sitio de desarrollo en primer lugar.

editor de apariencia wordpress

Editor de apariencia WordPress

Además, si su sitio de WordPress es hackeado, lo primero que pueden hacer es intentar editar un archivo o un tema de PHP a través del editor de apariencia. Esta es una forma rápida para que ejecuten código malicioso en su sitio. Si no tienen acceso a esto desde el panel de control, para empezar pueden ayudar a prevenir los ataques. Coloque el siguiente código en su archivo wp-config.php para eliminar las capacidades de ‘edit_themes’, ‘edit_plugins’ y ‘edit_files’ de todos los usuarios.

define('DISALLOW_FILE_EDIT', true);

17. Prevenir Hotlinking

El concepto de hotlinking es muy simple. Se encuentra una imagen en Internet en algún lugar y utiliza la URL de la imagen directamente en su sitio. Esta imagen se mostrará en su sitio web, pero se servirá desde la ubicación original. Esto en realidad es un robo, ya que está utilizando el ancho de banda del sitio hotlinked. Esto podría no parecer una gran cosa, pero podría generar una gran cantidad de costos adicionales. The Oatmeal es un gran ejemplo. El Huffington Post uso hotlinking con una caricatura suya que constaba de múltiples imágenes y acumuló una enorme factura de más de $1,000.

hotlinking

Factura de hotlinking

Prevenir Hotlinking en Apache

Para prevenir hotlinking en Apache simplemente agregue el siguiente código a su archivo .htaccess file.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

La segunda fila define el referenciador permitido: el sitio al que se le permite enlazar directamente a la imagen, éste debe ser el sitio web real. Si desea permitir varios sitios, puede duplicar esta fila y reemplazar la referencia. Si desea generar algunas reglas más complejas, eche un vistazo a este generador de protección hotlink de htaccess.

Prevenir Hotlinking en NGINX

Para prevenir hotlinking en NGINX simplemente agregue el siguiente código a su archivo de configuración..

location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

Prevenir Hotlinking en CDN

Si usted está sirviendo sus imágenes de un CDN entonces la instalación puede ser levemente diferente. Estos son algunos recursos con proveedores populares CDN.

18. Siempre Haga Backups

Los backups son la única cosa que todo el mundo sabe que necesitan pero no siempre hacen. La mayoría de las recomendaciones anteriores son medidas de seguridad que puede tomar para protegerse mejor. Pero no importa lo seguro que sea su sitio, nunca será 100% seguro. Así que haga backups en caso de que lo peor suceda. La mayoría de los proveedores de WordPress hosting gestionado ahora proporcionan backups. Kinsta tiene backups automatizados  para que pueda descansar bien por la noche. Incluso puede hacer un solo clic para restaurar su sitio.

hacer backup del sitio wordpress

Hacer backup del sitio WordPress

Si su host no tiene backups hay algunos servicios plugins populares de WordPress que puede utilizar para automatizar el proceso.

Servicios de Backup de WordPress

Los servicios de backup de WordPress suelen tener una tarifa mensual baja y almacenar sus backups para usted en la nube.

Plugins de Backup de WordPress

Los plugins de backup WordPress le permiten tomar sus backups a través de FTP o integrarse con una fuente de almacenamiento externa como Amazon S3, Google Drive o Dropbox.

Nota: No permitimos plugins de backup en el servidor de Kinsta debido a problemas de rendimiento. Pero esto se debe a que manejamos todo esto para usted a nivel de servidor por lo que no ralentice a su sitio WordPress.

19. Protección DDoS

DDoS es un tipo de ataque de DOS en el que se utilizan sistemas múltiples para orientar un sistema único que causa un ataque de denegación de servicio (DoS). Los ataques DDoS no son nada nuevo, según Britannica el primer caso documentado se remonta a principios de 2000. A diferencia de alguien está hackeando su sitio, estos tipos de ataques normalmente no dañan su sitio, sino más bien simplemente dejan a su sitio inactivo por unas horas o días. ¿Qué puede hacer para protegerse? Una de las mejores recomendaciones es usar un servicio de seguridad de terceros de renombre como Cloudflare o Sucuri. Si está ejecutando un negocio puede tener sentido invertir en sus planes premium.

Protección de DDoS de Cloudflare y Sucuri

Protección de DDoS de Cloudflare y Sucuri

Su protección DDoS avanzada puede utilizarse para mitigar los ataques DDoS de todas las formas y tamaños, incluyendo aquellos que se dirigen a los protocolos UDP e ICMP, así como SYN/ACK, amplificación DNS y ataques de Layer 7. Otros beneficios incluyen ponerle detrás de un proxy que ayuda a esconder su dirección IP de origen, aunque no es a prueba de balas.

Asegúrese de revisar nuestro estudio de caso sobre cómo detener un ataque DDoS. Tenemos un cliente con un pequeño sitio e-commerce que ejecuta Easy Digital Downloads que consiguió más de 5 millones de solicitudes a una sola página en el plazo de 7 días. El sitio normalmente sólo entre 30-40 MB de ancho de banda al día y un par de cientos de visitantes por día. Pero de repente, ¡el sitio fue al instante entre 15-19 GB de transferencia de datos al día! Es un aumento de 4650%. Y Google Analytics no mostró tráfico adicional. Eso no es bueno.

Alto ancho de banda del ataque DDoS

Alto ancho de banda del ataque DDoS

El cliente implementó el firewall de aplicación web de Sucuri en su sitio y todo el ancho de banda y solicitudes instantáneamente se cayeron en el sitio (como se ve más abajo) y no había un solo problema desde entonces. Así que definitivamente una buena inversión y ahorro de tiempo si se están ejecutando en problemas como estos.

Firewall de aplicación web de Sucuri añadido

Firewall de aplicación web de Sucuri añadido

Resumen

Como puede ver, existen numerosas maneras de reforzar la seguridad WordPress. El uso de contraseñas inteligentes, mantener actualizados el núcleo y plugins, y elegir un host seguro de WordPress gestionado son sólo unas cuantas cosas que mantendrán a su sitio WordPress activo y funcionando con seguridad. Para muchos de ustedes, su sitio de WordPress es su negocio y sus ingresos, por lo que es importante tomar algún tiempo e implementar algunas de las mejores prácticas de seguridad mencionadas anteriormente, más pronto que tarde.

¿Tiene algún consejo importante sobre seguridad WordPress que perdimos? Si es así, siéntase libre de hacernos saber a continuación en los comentarios.

Este artículo fue escrito por Brian Jackson

Brian enfoca en nuestros esfuerzos de marketing a través de las redes sociales: desde el desarrollo de la nueva estrategia de crecimiento online, creación de contenido, optimización técnica de buscadores hasta nuestra expansión en la comunidad WordPress. Es apasionado por Wordpress lleva usándolo desde hace más de 8 años e incluso está desarrollando su propio plugin exclusivo. A Brian le encanta el blogueo, películas, montar en bici y trabajar con sitios web.

Artículos relacionados

Deja un comentario

kinsta newsletter

¿Utilizas WordPress?

¡Únete a más de 20.000 lectores que ya reciben nuestro newsletter semanal GRATUITO con consejos de WordPress sobre cómo generar más tráfico e ingresos para tu negocio!

You have Successfully Subscribed!

Send this to a friend