WordPress es el CMS más usado del mundo. Actualmente, alrededor del 40 % de todos los sitios web funcionan con WordPress. Lamentablemente, debido a su popularidad, también es muy popular entre los piratas informáticos. Por ello, le recomendamos que añada seguridad adicional a su sitio web de WordPress para minimizar el riesgo de sufrir un pirateo informático.
A continuación hemos recopilado una lista de recomendaciones que puede implementar para garantizar un sitio en WordPress más seguro:
- Actualice siempre
- Elimine los plugins y temas que no use
- Supervisar el estado de su sitio web
- Proteja el directorio wp-admin con una contraseña
- Cree un nombre de administrador personalizado
- Deshabilite la ejecución de PHP en su directorio de subidas
Actualice siempre
Parte de las actualizaciones de WordPress solucionan problemas de seguridad que los piratas informáticos podrían aprovechar, por lo que es fundamental hacer una actualización cuanto antes. Puede actualizar fácilmente su versión, plugins y temas de WordPress desde su WP Admin. Si no tiene acceso a su WP Admin, también puede hacer la actualización manualmente.
- ¿Cómo puedo mantener actualizado mi sitio de WordPress?
- Actualizar WordPress manualmente (sin acceso a WP Admin)
Además de su instalación principal de WordPress, también es esencial comprobar regularmente si hay actualizaciones disponibles para los plugins y temas instalados.
Consejo: Si no quiere molestarse en realizar la actualización manual, puede leer más sobre el WordPress administrado de one.com y su Update Manager integrado.
Elimine los plugins y temas que no use
Cada plugin y tema que instala puede representar un riesgo para la seguridad, por lo tanto, cuantos menos tenga, mejor.
Le recomendamos que elimine todos los temas que no use, excepto los temas predeterminados de WordPress (Twenty Nineteen, Twenty Twenty, etcétera). Haga lo mismo con los plugins que ya no necesite. Puede eliminarlos directamente a través de su WP Admin o borrarlos de su espacio web.
Asegúrese de eliminar cualquier instalación anterior de WordPress que tenga en su espacio web, así sea de prueba o como copia de seguridad. Éstas también son vulnerables a ataques.
Consejo: Instale únicamente plugins y temas de fuentes de confianza. Si encuentra una versión gratuita de un tema por el que normalmente es necesario pagar, existe un gran riesgo de que incluya malware "gratuito".
Supervisar el estado de su sitio web
Asegúrese de tener instalado el plugin primario gratuito de one.com para beneficiarse de sus prácticas funciones de análisis de sitios web, como Health Monitor.
Health Monitor ejecuta comprobaciones básicas del sitio web, por ejemplo, si está utilizando la última versión de WordPress. Esta herramienta le permite vigilar los puntos de control esenciales de seguridad y rendimiento y le informa de los problemas que deben solucionarse. Dependiendo de si todo está bien, recibirá un "Todo bien" o una lista de recomendaciones sobre lo que hay que hacer.
Consejo: Con Health Monitor Pro, incluido en el complemento Managed WordPress, puede solucionar estos problemas con un solo clic.
Proteja el directorio wp-admin con una contraseña
Bloquee a los piratas informáticos y proteja su carpeta wp-admin con una contraseña para añadir una capa de seguridad adicional a su administración de WordPress.
Usted puede seguir nuestra guía sobre cómo proteger su sitio web con .htaccess. Asegúrese de proteger únicamente el directorio wp-admin y no todo el sitio. De otra forma, su sitio no será accesible. Coloque los archivos en la carpeta wp-admin.
Nota: Si ya existe un archivo .htaccess en el directorio wp-admin, agregue el código generado al archivo existente. No lo reemplace.
Otra forma de evitar que los piratas informáticos se aprovechen de su sitio de WordPress es redirigir su página de inicio de sesión de WordPress a través de su panel de control con Advanced Login Protection.
Cree un nombre de administrador personalizado
Los piratas informáticos suelen intentar acceder a su administración de WordPress con un ataque de fuerza bruta, en el que los robots prueban millones de combinaciones diferentes de contraseña y nombre de usuario para entrar. Le recomendamos que cree un nombre de usuario único para que sea más difícil adivinar sus datos de acceso.
Usted puede cambiar el nombre de usuario administrativo en phpMyAdmin, en la tabla wp_users. Consulte nuestra guía sobre cómo acceder a su base de datos.
Cuando haya iniciado sesión:
- Localice la tabla llamada wp_users (también puede llamarse 0_users).
- Encuentre el nombre de usuario del administrador y haga clic en Editar.
- En user_login, introduzca un nuevo nombre de usuario en el campo Valor.
- Haga clic en Ir para guardarlo.
Deshabilite la ejecución de PHP en su directorio de subidas
Si ha realizado una instalación manual de WordPress, le recomendamos que desactive la ejecución de PHP en su carpeta de cargas. Si ha usado el instalador 1-clic, puede saltarse esta sección. En las instalaciones de 1-clic de WordPress, la ejecución de PHP está desactivada de forma predeterminada.
Es frecuente que haya una puerta trasera de PHP en el directorio de cargas. Desde ahí, el malware se extiende a otros lugares de su sitio. No puede evitar que la puerta trasera se cargue, pero puede evitar que se propague a otro lugar desactivando la ejecución de PHP.
Puede desactivar la ejecución de PHP añadiendo estas líneas de código al archivo .htaccess que se encuentra en la carpeta de carga (wp-content/uploads).
# Block executables <FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$"> deny from all </FilesMatch>
Consulte nuestra guía sobre cómo crear un archivo .htaccess y desactivar la ejecución de archivos para conocer todos los pasos necesarios.
Nota: si ya dispone de un archivo .htaccess en su espacio web, no necesita crear otro nuevo. Solo tiene que añadir el código al archivo existente.
Artículos relacionados: