¿Sabe que proteger un sitio de WordPress es ahora más importante que nunca debido a la creciente frecuencia y complejidad de los ciberataques? Es una dura realidad que ningún negocio online puede darse el lujo de ignorar.

De hecho, de acuerdo a Informes de biblioteca de colores, en 13,000, más de 2023 sitios web de WordPress fueron pirateados diariamente.

Esa es una cifra asombrosa y significa que debe estar más atento a la hora de proteger su presencia en línea.

Pero no hay necesidad de entrar en pánico.

En esta publicación, analizaremos los pasos que puede seguir para mantener su sitio web seguro y protegido contra amenazas cibernéticas para que pueda concentrarse en hacer crecer su negocio sin preocupaciones.

Entonces, si está listo para llevar la seguridad de su sitio web al siguiente nivel, ¡vamos a sumergirnos!

1 ¿Por qué proteger un sitio web de WordPress?

Su sitio web le sirve como su hogar en línea y WordPress es la plataforma detrás de él. Sin embargo, al igual que un hogar físico, su sitio de WordPress necesita muros fuertes para resistir amenazas potenciales. 

He aquí por qué es esencial proteger su sitio web:

Proteger su sitio web y la privacidad de los visitantes

Según los datos, una media del 69% de los sitios de WordPress pirateados son víctimas de software obsoleto y contraseñas débiles. Esto es como dejar la puerta de entrada abierta con una alfombra de bienvenida para los ladrones cibernéticos.

Las pérdidas por delitos cibernéticos para las empresas alcanzan los billones cada año, y WordPress es un objetivo frecuente. 

Por lo tanto, es fundamental proteger datos confidenciales como contraseñas, correos electrónicos y detalles financieros. Un sitio web seguro fomenta la confianza y el compromiso de los usuarios, y es más probable que los usuarios regresen a un sitio seguro, lo que aumenta la lealtad de los visitantes y las conversiones.

Prevención de filtraciones de datos e inyecciones de malware

Las filtraciones de datos pueden causar daños a la reputación, problemas legales y pérdida de confianza de los clientes, lo que les cuesta a las empresas un promedio de recuperación de 9.44 millones de dólares en Estados Unidos. 

Además, las inyecciones de malware en sitios web de WordPress pirateados pueden redirigir a los visitantes a sitios maliciosos, dañando su clasificación SEO y su experiencia de usuario. Por lo tanto, deberá mantener su sitio web seguro para evitar este tipo de situaciones.

Aumente el rendimiento SEO de su sitio web

Google prioriza la seguridad y los sitios web seguros suelen disfrutar mejores clasificaciones SEO. Proteger su sitio de WordPress puede mejorar la clasificación en los motores de búsqueda y atraer más tráfico orgánico.

Además, los scripts y complementos maliciosos pueden atascar su sitio web, retrasando los tiempos de carga de la página y frustrando a los usuarios. Un sitio web seguro funciona sin problemas y mantiene a sus visitantes felices y comprometidos.

Cumplimiento de las Normas de Privacidad de Datos

Las regulaciones de privacidad de datos requieren fuertes medidas de seguridad del sitio web para proteger los datos del usuario. GDPR y CCPA son algunas de las regulaciones que las empresas deben cumplir. 

Por lo tanto, proteger su sitio de WordPress es esencial para evitar multas elevadas y complicaciones legales.

Recuerde, la seguridad del sitio web no es una inversión única sino un proceso continuo. 

Al tomar medidas proactivas, puede transformar su sitio de WordPress de un objetivo vulnerable a una fortaleza segura, salvaguardando sus datos, su reputación y su éxito en línea.

2 Métodos para proteger un sitio de WordPress

Analicemos ahora varios métodos para proteger un sitio de WordPress.

2.1 Medidas de seguridad esenciales básicas

Analicemos ahora las prácticas de seguridad importantes para proteger su sitio web de WordPress de riesgos potenciales.

Mantén todo actualizado

Proteger su sitio de WordPress es sencillo:mantenlo actualizado. Esto incluye WordPress y sus archivos principales, como temas y complementos.

Las actualizaciones periódicas son cruciales ya que suelen incluir parches de seguridad para vulnerabilidades descubiertas en versiones anteriores.

Más allá de la seguridad, las actualizaciones también introducen nuevas funciones y mejoras en su sitio web.

Para revisar y actualizar su sitio de WordPress y sus archivos principales, inicie sesión en su panel y vaya a Panel de control → Actualizaciones.

Si hay una actualización disponible, haga clic en Actualizar a la versión botón. Para temas y complementos, dirígete a Temas or Plugins sección, seleccione aquellos que necesitan una actualización y haga clic en el botón de actualización al lado de cada uno.

Para mayor seguridad, considere habilitar actualizaciones automáticas para WordPress, complementos y temas. Esto garantiza que su sitio permanezca seguro, incluso cuando no lo esté monitoreando activamente.

Antes de habilitar las actualizaciones automáticas, asegúrese de realizar copias de seguridad de su sitio web con regularidad. Esta precaución garantiza que pueda restaurar fácilmente su sitio si algo sale mal durante o después de una actualización.

Use contraseñas seguras y únicas

También puede proteger su sitio web de WordPress utilizando contraseñas seguras y únicas. Las contraseñas débiles y fáciles de adivinar facilitan que los piratas informáticos obtengan acceso no autorizado a su sitio.

Para crear contraseñas seguras y seguras, siga estos consejos:

•  Opte por un mínimo de 12 caracteres o más.
• Mezcle letras mayúsculas y minúsculas, números y caracteres especiales.
• Evite el uso de números secuenciales, caracteres repetidos o contraseñas comunes como “contraseña123”.
• Utilice una contraseña diferente para cada cuenta en línea, incluido su sitio de WordPress.
• Considere la posibilidad de utilizar una herramienta confiable de administración de contraseñas para generar y almacenar de forma segura sus contraseñas.
• Si es posible, evite contraseñas que incluyan su nombre de usuario o el nombre del sitio web.

Recuerde, al instalar un nuevo sitio de WordPress, reemplace siempre la muestra de contraseña predeterminada por una más segura. 

Pero si su sitio web de WordPress ya está configurado, cambie su contraseña navegando a Usuarios → Perfil, desplazándose hacia abajo y haciendo clic en Establecer nueva contraseña para obtener una contraseña segura y aleatoria.

Además, cambie periódicamente su contraseña con contraseñas seguras cada vez.

Instalar un certificado SSL

Al proteger su sitio de WordPress, es importante instalar un certificado SSL. Este certificado garantiza que los datos intercambiados entre su sitio web y los visitantes estén cifrados, brindando protección contra el acceso no autorizado.

Puede obtener un certificado SSL comprando uno de proveedores acreditados u obteniendo un certificado gratuito a través de su proveedor de alojamiento.

Sin embargo, si ya instaló un certificado SSL para su sitio web de WordPress pero no aparece en la URL de su sitio web, existe una manera de habilitarlo.

Simplemente vaya a Configuración → General en su panel de WordPress y modifique la “Dirección de WordPress (URL)” y la “Dirección del sitio (URL)” agregando 'https://' al principio en lugar de 'http://'. 

Pero si encuentra problemas relacionados con SSL en su sitio web, puede utilizar complementos como SSL muy simple or SSL Insecure Content Fixer para resolverlos.

Elija alojamiento seguro

Para mejorar la seguridad, seleccione un proveedor de alojamiento de buena reputación conocido por sus medidas de seguridad y confiabilidad. Busque funciones como firewalls, escaneo de malware y protección DDoS. 

Asegúrese de que ofrezcan copias de seguridad periódicas, admitan protocolos seguros como SFTP o SSH y mantengan su infraestructura y software actualizados. Un proveedor de alojamiento seguro constituye una base sólida para la seguridad de su sitio de WordPress.

Para implementar esto, investigue proveedores de alojamiento, lea reseñas y elija uno con buena reputación en materia de seguridad. 

Consulte sus funciones, soporte y opciones de respaldo. Cuando prioriza un entorno de alojamiento seguro, ayudará a proteger su sitio web y sus datos.

2.2 Asegure su sitio web de WordPress

Analicemos ahora algunas de las formas más efectivas de proteger su sitio web de WordPress, incluida cómo evitar el acceso no autorizado, proteger sus datos y reducir el riesgo de ataques cibernéticos.

Utilice temas y complementos seguros

Al seleccionar temas y complementos para su sitio de WordPress, es importante elegirlos de fuentes confiables como la oficial Repositorio de WordPress or MyThemeShop.

Estas fuentes realizan controles de seguridad exhaustivos y proporcionan constantemente actualizaciones para garantizar la seguridad de sus productos.

Sin embargo, es importante evitar el uso de temas o complementos de fuentes desconocidas o no confiables, especialmente temas o complementos anulados. Estos pueden albergar vulnerabilidades o códigos maliciosos que pueden poner en peligro la seguridad de su sitio.

Antes de instalar un tema o complemento, tómese el tiempo para revisar las calificaciones, leer los comentarios de los usuarios y evaluar la frecuencia de actualización para asegurarse de que sea confiable y se mantenga activamente.

Esto garantiza que su sitio web permanezca seguro y actualizado con las últimas medidas de seguridad.

Haga una copia de seguridad periódica de su sitio web de WordPress

Hacer una copia de seguridad periódica de los datos de su sitio web es esencial para protegerlo contra incidentes de seguridad, pérdida de datos y problemas del sitio web. Con copias de seguridad recientes, puede restaurar su sitio rápidamente en caso de ataques cibernéticos y minimizar el tiempo de inactividad. 

Generalmente se recomienda crear copias de seguridad diariamente, especialmente para sitios web con mucho contenido y mucho tráfico. 

Además, es importante probar sus copias de seguridad periódicamente para garantizar su confiabilidad. Una forma de simplificar el proceso de copia de seguridad es mediante el uso de complementos que ofrezcan funciones como copias de seguridad programadas y opciones de almacenamiento remoto. 

Puede consultar nuestra publicación detallada en hacer una copia de seguridad de su sitio web de WordPress.

Limitar intentos de conexión

Otra forma de proteger su sitio web es limitar los intentos de inicio de sesión en su sitio web, lo que restringe la cantidad de intentos fallidos de inicio de sesión desde una única dirección IP.

Esto hace que sea más difícil para los piratas informáticos obtener acceso no autorizado al adivinar sus credenciales de inicio de sesión. 

Cuando limita los intentos de inicio de sesión, puede agregar una capa de protección contra ataques de fuerza bruta en su sitio web de WordPress.

A continuación le indicamos cómo puede limitar los intentos de inicio de sesión en su sitio:

• Establezca la duración del período de bloqueo para direcciones IP bloqueadas.
• Opcionalmente, habilite las notificaciones por correo electrónico para recibir alertas sobre bloqueos o intentos de inicio de sesión sospechosos. Puedes ver esta opción en el Configuración general.

Después de la configuración adecuada, los intentos de inicio de sesión en su sitio serán limitados y cualquier dirección IP que exceda el número especificado de intentos fallidos de inicio de sesión se bloqueará temporalmente para acceder a la página de inicio de sesión.

Habilite 2FA (autenticación de dos factores)

Habilitar la autenticación de dos factores (2FA) agrega una capa adicional de seguridad a su sitio de WordPress al requerir que los usuarios proporcionen dos formas de verificación para iniciar sesión. 

Al igual que Google, Facebook y Twitter, puede fortalecer su sitio web de WordPress con esta función, lo que reduce significativamente el riesgo de acceso no autorizado, incluso si su contraseña está comprometida.

Así es cómo:

•  Instale y active el “Seguridad de inicio de sesión de Wordfence" enchufar. Una vez activado, vaya al menú 'Seguridad de inicio de sesión'.
• Busque un código QR y una clave en la pestaña "Autenticación de dos factores". Por lo tanto, deberá escanearlo para activar el autenticador en su sitio web. 

•  A continuación, descargue e instale el Aplicación Google Authenticator en tu teléfono; lo usará para escanear el código QR para activarlo en su sitio web.
• Abra la aplicación y seleccione "Escanear un código QR" para escanear el código o ingrese la clave de configuración manualmente.
• Después de que la aplicación verifica el código, proporciona un código único. Copie este código en el campo designado en la sección de códigos de recuperación.
• Haga clic en el ACTIVAR botón para completar la configuración.

No olvides descargar los cinco códigos de recuperación usando el DESCARGA botón. Estos códigos son cruciales en caso de que pierda su teléfono, ya que garantizan el acceso continuo a su sitio web.

Utilice soluciones antispam sólidas

El spam puede ser molesto y generar riesgos de seguridad, comprometer la experiencia del usuario e impactar negativamente el rendimiento de su sitio. 

Por lo tanto, para prevenir eficazmente el spam en su sitio web, puede utilizar la opción "Akismet Antispam”Complemento de WordPress.

Akismet es un potente complemento de filtrado de spam desarrollado por Automattic, la empresa detrás de WordPress. Por lo general, viene preinstalado con WordPress y solo necesitas activarlo y obtener una clave API. 

Para obtener la clave API, deberá registrarse en el sitio web de Akismet y luego ingresarla en el campo Clave API en la página del complemento en su panel de WordPress.

Una vez que haya conectado con éxito la clave API, el complemento Akismet empleará algoritmos avanzados para analizar comentarios y envíos de formularios en su sitio web automáticamente, filtrando efectivamente el spam.

Alternativamente, puede optar por el "antispam Bee”, que tiene un propósito similar.

Cambiar nombre de usuario de administrador predeterminado

Durante la instalación de un sitio web de WordPress, el nombre de usuario predeterminado normalmente se establece como "admin". Sin embargo, hay casos en los que los usuarios por error dejan este nombre de usuario sin cambios.

Los piratas informáticos suelen apuntar al nombre de usuario "admin", ya que es ampliamente reconocido, lo que facilita sus esfuerzos maliciosos. Para mejorar la seguridad de su sitio, es importante cambiar el nombre de usuario del administrador, lo que dificulta que los atacantes adivinen y obtengan acceso no autorizado.

Desafortunadamente, WordPress no ofrece una opción directa para modificar los nombres de usuario una vez que se completa la instalación.

Entonces, para evitar esto, debe instalar y habilitar el complemento "Cambiar nombre de usuario". Una vez activado, vaya a Usuarios → Todos los usuarios, seleccione el usuario con el nombre de usuario "admin" y haga clic en "Editar". 

En la página Perfil, busque la opción 'Nombre de usuario' y haga clic en Cambios. Luego, seleccione un nuevo nombre de usuario para la cuenta de administrador, preferiblemente algo único y no relacionado con el nombre de su sitio.

Por último, desplácese hasta el final de la página y haga clic en el Actualizar perfil botón para guardar los cambios. WordPress actualizará automáticamente el nombre de usuario del administrador.

Cambiar el nombre de usuario del administrador no afectará el contenido ni la configuración de su sitio web. El único cambio será el nombre de usuario para acceder al panel de administración.

Cambiar la URL predeterminada de “wp-login”

Todo el mundo sabe que la URL de inicio de sesión predeterminada de un sitio web con WordPress normalmente termina con "wp-login". 

Sin embargo, deberá cambiar este patrón de URL para que sea más difícil para las personas acceder a su URL de inicio de sesión, y mucho menos intentar utilizar sus datos de inicio de sesión.

Para cambiar la URL predeterminada de "wp-login", siga estos pasos:

• Instale y active el “WPS Hide Login”Complemento del directorio de complementos de WordPress.
• Después de la activación, navegue hasta Configuración → WPS Ocultar inicio de sesión, y lo llevará al final de la configuración general de su sitio de WordPress.
• A continuación, agregue una URL de inicio de sesión personalizada que sea única y no fácil de adivinar.

•  Luego, guarde los cambios y el complemento actualizará automáticamente la URL de inicio de sesión.

Una vez configurada la URL de inicio de sesión personalizada, deberá acceder a la nueva URL para iniciar sesión en el panel de administración de WordPress. Ya no se podrá acceder a la URL predeterminada "wp-login".

Se recomienda que la elección de una URL de inicio de sesión personalizada sea fácil de recordar pero difícil de adivinar para otros. 

Escanee periódicamente su sitio web

Para mantener seguro su sitio de WordPress, es esencial realizar análisis periódicos en busca de posibles amenazas a la seguridad, malware o actividades sospechosas. Esta medida proactiva ayuda a mantener la integridad de su sitio web.

Instale y active un complemento de seguridad como Sucuri Seguridad desde el directorio de complementos de WordPress para realizar análisis regulares. 

Después de la activación, navegue hasta Seguridad Sucuri → Panel de control, donde puede iniciar análisis. El complemento realiza análisis diarios de forma predeterminada, pero puedes personalizar la frecuencia en la configuración.

Después de cada escaneo, revise los resultados proporcionados por el complemento y tome las acciones necesarias en función de los hallazgos. Este monitoreo de rutina garantiza la seguridad continua de su sitio de WordPress.

Algunos resultados del análisis pueden implicar la eliminación de malware, la actualización de complementos o temas, o la solución de vulnerabilidades identificadas.

Verifique siempre las actividades del sitio y del usuario

Monitorear las actividades del sitio y de los usuarios es crucial para garantizar la seguridad de su sitio web de WordPress. 

Al realizar un seguimiento de las acciones tomadas en su sitio, puede detectar rápidamente cualquier actividad sospechosa o no autorizada y tomar las medidas necesarias para abordarlas de manera efectiva.

Para monitorear las actividades del sitio, puede utilizar el Registros de auditoria característica del complemento Sucuri. Accede al panel de Sucuri y desplázate hacia abajo hasta localizar el Registros de auditoria . 

Estos registros le mostrarán detalles como intentos de inicio de sesión, modificaciones de archivos, instalaciones de complementos y más.

Además, puede navegar hasta el Últimos inicios de sesión sección para verificar y realizar un seguimiento de las actividades de inicio de sesión de su sitio web, incluidos los intentos exitosos y fallidos.

Si detecta alguna actividad sospechosa, tome medidas inmediatas para investigar y mitigar los posibles riesgos de seguridad.

Otra opción es utilizar un complemento independiente llamado 'Historia sencilla' para monitorear los registros de actividad de su sitio web. Esta herramienta proporciona información valiosa sobre las acciones del usuario y ayuda a mantener un entorno seguro de WordPress.

Configurar un sistema para alertas de seguridad

Configurar un sistema de alertas de seguridad garantiza que reciba notificaciones oportunas sobre posibles problemas de seguridad o cambios en su sitio web de WordPress. 

Al recibir alertas con prontitud, puede abordar de inmediato cualquier amenaza o vulnerabilidad.

Puede utilizar el Alertas función en el complemento Sucuri para recibir alertas de actividad de su sitio web. Navega hasta el Ajustes sección y seleccione la Alertas .

En Alertas pestaña, agregue el correo electrónico para recibir alertas, establezca la frecuencia y especifique el tipo de alerta de seguridad.

Verifique que los datos de contacto proporcionados para las notificaciones de alerta sean precisos y estén actualizados. Esta característica también se encuentra comúnmente en otros complementos de seguridad.

2.3 Medidas de seguridad avanzadas

Exploremos ahora algunas medidas de seguridad avanzadas que puede tomar para mejorar la seguridad de su sitio web de WordPress. 

Configurar el bloqueo geográfico para bloquear direcciones IP

La implementación del bloqueo GEO en su sitio web de WordPress le permite restringir el acceso desde países o regiones específicos bloqueando las direcciones IP asociadas con esas ubicaciones. 

Esto puede ayudar a mejorar la seguridad de su sitio al impedir el acceso de posibles actores maliciosos o regiones de alto riesgo.

Puede bloquear IP a través de su panel de WordPress, cPanel, complemento de WordPress, .htaccess y archivo config.php.

El bloqueo GEO puede bloquear efectivamente el acceso desde regiones específicas, pero puede que no sea infalible. 

Algunas direcciones IP pueden asignarse dinámicamente o falsificarse fácilmente, por lo que recomendamos utilizar el bloqueo GEO con otras medidas de seguridad.

Habilitar la protección del firewall de aplicaciones web

Un firewall de aplicaciones web (WAF) actúa como una barrera protectora entre su sitio y amenazas potenciales al filtrar el tráfico malicioso y bloquear patrones de ataque conocidos.

Puede habilitar la opción de protección WAF de forma gratuita utilizando el Complemento de seguridad de Wordfence. Por lo tanto, deberá instalar y activar el complemento en su sitio web de WordPress.

Después de la activación, navegue hasta Wordfence → Cortafuegos y habilite el Firewall de Wordfence. Luego, administre la configuración del firewall según sus preferencias, como habilitar las reglas WAF y las opciones avanzadas del firewall.

Después de eso, guarde la configuración y el complemento de Wordfence comenzará a brindar protección WAF para su sitio web.

Al habilitar Wordfence WAF, su sitio web estará protegido contra amenazas de seguridad comunes, como inyecciones SQL, ataques de secuencias de comandos entre sitios (XSS) e intentos de inicio de sesión por fuerza bruta. 

El WAF monitorea y filtra continuamente el tráfico entrante para bloquear solicitudes maliciosas antes de que lleguen a su sitio web.

Deshabilitar Trackbacks y Pingbacks

Trackbacks y pingbacks son métodos que utiliza WordPress para notificar a otros sitios cuando su sitio enlaza con su contenido. Sin embargo, los spammers pueden abusar de ellos con fines maliciosos.

Para desactivar trackbacks y pingbacks, siga estos pasos:

• Inicie sesión en su panel de administración de WordPress.
• Navegue a la sección "Configuración" y haga clic en "Discusión".
• En la sección "Configuración de publicación predeterminada", desmarque la casilla junto a "Permitir notificaciones de enlaces de otros blogs (pingbacks y trackbacks) en publicaciones nuevas".

• Desplácese hacia abajo y haga clic en el Guardar Cambios del botón.

Deshabilitar trackbacks y pingbacks evita que su sitio de WordPress envíe o reciba estas notificaciones. 

Esto ayuda a reducir la carga innecesaria del servidor y los posibles riesgos de seguridad asociados con el spam o las solicitudes de trackback/pingback maliciosas.

Configurar permisos de archivos precisos

Los permisos de archivo determinan el nivel de acceso y control que diferentes usuarios o procesos tienen sobre los archivos y directorios de su sitio. 

Cuando los permisos de archivos están configurados correctamente, puede limitar el acceso no autorizado y evitar posibles violaciones de seguridad.

Para configurar permisos de archivos precisos para su sitio de WordPress, siga estas pautas generales:

•  Utilice un cliente FTP o un panel de control de alojamiento para acceder a los archivos de su sitio.
• Identifique los directorios y archivos principales que necesitan ajuste de permisos, como el directorio wp-content, el archivo wp-config.php y el archivo .htaccess.
• Establezca los permisos de 'directorio' en 755, lo que permite al propietario leer, escribir y ejecutar archivos mientras restringe a otros a leer y ejecutar únicamente.

• Establezca los permisos de 'archivo' en 644, lo que permite al propietario leer y escribir archivos mientras restringe a otros a solo lectura.
• Para archivos más confidenciales, como el archivo wp-config.php, establezca los permisos en 600, lo que solo otorga acceso de lectura y escritura al propietario.

Esta es solo una configuración general, así que comuníquese con el soporte de su proveedor de alojamiento para obtener orientación específica, ya que los permisos de archivos recomendados pueden variar en diferentes entornos de alojamiento.

Deshabilitar informe de errores

Deshabilitar el informe de errores es una práctica de seguridad importante que ayuda a proteger su sitio web de WordPress al evitar la posible exposición de información confidencial a los atacantes.

Los registros de errores pueden revelar inadvertidamente detalles sobre la configuración de su sitio o el código subyacente, que pueden ser aprovechados por personas malintencionadas.

Para desactivar el informe de errores, siga estos pasos:

•  Acceda al directorio raíz de su sitio web a través de un cliente FTP o cPanel.
• En el directorio raíz o public_html, busque el archivo wp-config.php.
• Descargue una copia de seguridad del archivo wp-config.php por seguridad.
• Haga clic derecho en el archivo wp-config.php y elija 'Editar' para abrirlo.
• Localiza la línea que dice define('WP_DEBUG', true);
• Reemplace "verdadero" por "falso", haciéndolo define('WP_DEBUG,' false); como se muestra a continuación.

• Asegúrese de guardar los cambios después de modificar el archivo wp-config.php.

Deshabilitar los informes de registro de errores evita que se muestren a los usuarios posibles mensajes de error o advertencias, incluida información confidencial que podría ser útil para los atacantes.

Sin embargo, deshabilitar el informe de errores no significa que deba ignorar los errores por completo. Aún así, debes monitorear tu sitio para detectar cualquier problema y solucionarlo de inmediato.

Asegure su archivo wp-config.php

El archivo wp-config.php es un componente crítico de su instalación de WordPress ya que contiene información confidencial, como credenciales de bases de datos y claves de seguridad. 

Tomar medidas para proteger este archivo es esencial para proteger su sitio web de WordPress de posibles violaciones de seguridad.

Aquí hay algunas medidas recomendadas para proteger su archivo wp-config.php:

1. Considere mover el archivo wp-config.php a un directorio fuera de la carpeta raíz web. Esto impide el acceso directo al archivo desde Internet, lo que dificulta que los atacantes aprovechen cualquier vulnerabilidad.
2. Asegúrese de que los permisos de archivo para wp-config.php estén configurados correctamente utilizando los permisos recomendados discutidos anteriormente.
3. Al configurar su sitio de WordPress, utilice credenciales de base de datos sólidas, únicas y complejas. Esto incluye el uso de un nombre de usuario y una contraseña de base de datos seguros.
4. Agregue más protección al archivo wp-config.php agregando las siguientes reglas al archivo .htaccess de su sitio. 

<files wp-config.php>
order allow,deny
deny from all
</files>

Estas reglas pueden denegar el acceso al archivo a todas las direcciones IP.

Deshabilite la ejecución de archivos PHP en ciertos directorios de WordPress

También puede mejorar la seguridad de su sitio web de WordPress deshabilitando la ejecución de archivos PHP en directorios específicos. Esto ayuda a evitar que los archivos PHP dentro de esos directorios se ejecuten o se ejecuten en su sitio web.

Para deshabilitar la ejecución de archivos PHP, modifique el archivo .htaccess en los directorios de destino, a menudo donde reside el contenido generado por el usuario, como el wp-content/uploads directorio. 

Puede hacer esto abriendo el archivo .htaccess en un editor de texto y agregando las siguientes líneas:

<Files *.php>
deny from all
</Files>

A continuación, guarde este archivo como .htaccess y cárguelo en /wp-content/uploads/ carpetas de su sitio web mediante un cliente FTP o un administrador de archivos.

Estas líneas indican al servidor que niegue el acceso a cualquier archivo con extensión .php dentro del directorio especificado.

Alternativamente, puede hacer esto con 1 clic usando la función Endurecimiento en el complemento Sucuri mencionado anteriormente.

2.4 Medidas de seguridad adicionales

Analicemos las medidas de seguridad adicionales que puede tomar para proteger aún más un sitio de WordPress. 

Cerrar sesión automáticamente en usuarios inactivos en WordPress

Cuando los usuarios permanecen conectados pero inactivos durante un período determinado, existe un riesgo de acceso no autorizado o manipulación de la cuenta. 

Por lo tanto, deberá cerrar la sesión de los usuarios inactivos para mitigar esta vulnerabilidad de seguridad.

Para hacer esto, necesitará instalar y activar el Cierre de sesión inactivo enchufar. Tras la activación, vaya a Configuración → Cerrar sesión inactiva para configurar los ajustes del complemento.

Al cerrar sesión automáticamente en los usuarios inactivos, se reduce el riesgo de que sus sesiones sean secuestradas o de que se realicen cambios no autorizados en sus cuentas. 

Esto es particularmente importante para sitios web que manejan información confidencial o tienen cuentas de usuario con privilegios administrativos.

Ocultar la versión de WordPress

Mostrar públicamente la versión de WordPress puede facilitar que los atacantes apunten a las vulnerabilidades asociadas con esa versión específica de WordPress.

Para ocultar la versión de WordPress, modifique el archivo funciones.php de su tema o utilice un complemento de seguridad. 

Hay algunos métodos diferentes disponibles, pero recomendamos consultar nuestra guía sobre cómo ocultar la versión de WordPress para obtener instrucciones detalladas.

Oculte el nombre del tema de su sitio de WordPress

Cuando los atacantes pueden identificar fácilmente el tema de WordPress que está utilizando en su sitio web, les resulta más fácil explotar cualquier vulnerabilidad conocida asociada con ese tema.

Al ocultar el nombre del tema, hace que sea más difícil para los atacantes recopilar información sobre la configuración de su sitio y potencialmente explotar cualquier debilidad. Esto agrega una capa adicional de seguridad a su sitio web de WordPress.

Para ocultar el nombre del tema de su sitio, siga nuestra guía paso a paso en Cómo ocultar el nombre de un tema de WordPress.

Deshabilite la edición de archivos en el panel de WordPress

WordPress tiene un editor de código incorporado que le permite editar su tema y archivos de complementos desde su área de administración de WordPress.

Si un pirata informático obtiene acceso no autorizado a su panel de WordPress, puede intentar modificar ciertos archivos inyectando código malicioso. 

Por lo tanto, recomendamos desactivar la función, ya que puede representar una amenaza para la seguridad. Para hacer esto, deberá agregar el siguiente código al sitio web de su sitio. wp-config.php archivo.

// Disallow file edit

define( 'DISALLOW_FILE_EDIT', true );

Una vez que se implemente este cambio, los usuarios con acceso de administrador ya no podrán acceder al editor de temas y complementos en su panel de administración de WordPress.

Pero incluso después de deshabilitar esta edición de archivos, aún puede realizar cambios en los archivos de su tema y complemento accediendo a ellos a través de FTP o Administrador de archivos.

Cambie el prefijo de tabla de base de datos predeterminado

De forma predeterminada, WordPress utiliza el prefijo “wp_” para las tablas de su base de datos, lo que puede facilitar que los atacantes identifiquen y apunten a su sitio. 

Para mejorar la seguridad, considere cambiar el prefijo de la tabla, haciéndolo más desafiante para posibles vulnerabilidades.

Ajustar el prefijo implica modificar el archivo wp-config.php y phpMyAdmin. Este proceso manual conlleva el riesgo de dañar su sitio web si no se configura correctamente. 

Por lo tanto, recomendamos utilizar el método del complemento.

Entonces, instale y active el Brozzme DB Prefijo y complementos de herramientas enchufar. Después de la activación, navegue hasta Herramientas → PREFIJO BD.

Cambie el prefijo de la tabla de la base de datos dentro del complemento a una combinación única y menos predecible de letras, números y un guión bajo. Evite caracteres especiales o espacios.

Antes de realizar cambios, hacer una copia de seguridad de la base de datos de su sitio web. Asegúrese de que se pueda escribir en wp-config.php en su servidor y verifique que los derechos ALTER de MySQL estén habilitados para evitar posibles problemas. 

Este enfoque cauteloso garantiza una transición más fluida con un riesgo mínimo para la funcionalidad de su sitio.

Después de realizar los ajustes necesarios, guarde los cambios haciendo clic en el Cambiar prefijo de base de datos del botón.

Deshabilitar XML-RPC en WordPress

XML-RPC es una característica de WordPress que facilita la conectividad entre su sitio y aplicaciones web o móviles. Se habilitó automáticamente a partir de WordPress 3.5. 

Sin embargo, también puede servir como una herramienta potencial para amplificar ataques de fuerza bruta o DDoS en su sitio web.

Con XML-RPC habilitado, un hacker puede usar una única función para realizar múltiples intentos de inicio de sesión con miles de contraseñas, a diferencia de sin ella, donde se requerirían intentos separados para cada contraseña. Esto plantea un importante riesgo de seguridad.

Para evitar este riesgo, es recomendable deshabilitar XML-RPC si no lo está utilizando activamente agregando código al archivo .htaccess de su sitio. 

Acceda a los archivos de su sitio web utilizando un cliente FTP o su panel de control de hosting, ubique el archivo .htaccess en el directorio raíz y agregue el siguiente código:

# Disable XML-RPC
<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

Pero si prefiere no utilizar este método, puede utilizar un complemento de seguridad de WordPress como Simple deshabilitar XML-RPC. 

Instale y active el complemento, navegue hasta Simple deshabilitar XML-RPC Después de la activación, verifique el Deshabilitar XML-RPC opción y guarde los cambios.

Si está utilizando el firewall de aplicaciones web mencionado anteriormente, entonces el firewall puede encargarse de esto.

Deshabilitar enlaces directos

Deshabilitar los enlaces directos es una medida de seguridad que ayuda a proteger el ancho de banda de su sitio web y evitar que otros enlacen directamente a las imágenes y otros archivos multimedia de su sitio. 

Hotlinking se refiere al uso de las URL de imágenes o medios alojadas en su sitio web en otros sitios web, utilizando los recursos de su servidor sin su permiso.

Para desactivar fácilmente el hotlinking, instale y active el Seguridad todo en uno (AIOS) Complemento de WordPress. 

Una vez activado, vaya a Seguridad de WP → Seguridad del sistema de archivosy elija el Protección de archivos pestaña. Desplácese hacia abajo y encienda el Evitar enlaces de imágenes ., como se muestra a continuación.

Recuerde guardar su configuración.

Deshabilitar la indexación y navegación de directorios

Deshabilitar la indexación y la navegación de directorios es una medida de seguridad importante que evita el acceso no autorizado al contenido de los directorios de su sitio web. 

De forma predeterminada, algunos servidores web permiten la indexación de directorios, lo que significa que si no hay ningún archivo de índice (como index.html o index.php) en un directorio, el servidor mostrará una lista de archivos y carpetas en ese directorio. 

Esto puede exponer información confidencial y facilitar que los atacantes identifiquen vulnerabilidades.

Para evitar el acceso no autorizado a sus archivos, la copia de imágenes y la revelación de la estructura de su directorio, se recomienda encarecidamente desactivar la indexación y la exploración de directorios.

Accede a los archivos de tu sitio web a través de un cliente FTP o panel de control de hosting. En el directorio raíz de su instalación de WordPress, ubique el archivo .htaccess.

Abra el archivo .htaccess en un editor de texto y agregue el siguiente código al final:

# Disable Directory Indexing and Browsing
Options -Indexes

Guarde los cambios en el archivo .htaccess y cárguelo nuevamente en su servidor, reemplazando el archivo existente si es necesario. 

Utilice encabezados de seguridad

Los encabezados de seguridad indican al navegador cómo manejar ciertos aspectos de su sitio web, brindando protección adicional contra vulnerabilidades de seguridad comunes. 

A continuación se muestran algunos encabezados de seguridad comunes y sus beneficios:

•  El encabezado X-XSS-Protection bloquea las inyecciones de scripts maliciosos para evitar ataques de scripts entre sitios (XSS). 
• El encabezado X-Content-Type-Options previene las vulnerabilidades de seguridad causadas por el rastreo de tipos MIME. 
• El encabezado Strict-Transport-Security (HSTS) garantiza conexiones seguras al aplicar HTTPS. 
• El encabezado Content-Security-Policy (CSP) permite configurar políticas de seguridad para proteger contra diversos ataques. 

Entonces, para implementar estos encabezados de seguridad en su sitio web de WordPress, deberá instalar y activar el Generador de encabezados de seguridad .

Después de la instalación, navegue hasta el Encabezados de seguridad sección. Allí podrás sacar tiempo y configurar el complemento según tus preferencias.

Al implementar encabezados de seguridad, es esencial probar minuciosamente su sitio web para asegurarse de que no entren en conflicto con ninguna funcionalidad existente, ya que tienden a dañar los sitios web. 

Además, puede utilizar herramientas en línea como seguridadheaders.com para comprobar la eficacia y correcta implementación de sus cabeceras de seguridad.

Si utiliza complementos de seguridad como “Seguridad todo en uno (AIOS)” o “Wordfence”, puede configurar fácilmente los encabezados de seguridad de su sitio usando sus opciones, eliminando la necesidad del complemento anterior.

3 Conclusión

Asegurar su sitio web de WordPress es crucial para protegerlo de posibles amenazas y vulnerabilidades. 

Por lo tanto, instalar un complemento de seguridad sólido como "All-In-One Security (AIOS)" puede resultar útil, ya que ofrece una amplia gama de funciones que abarcan la mayoría de las medidas de seguridad analizadas en esta publicación. 

Sin embargo, no basta con instalar un complemento de seguridad. Debe tomarse el tiempo para revisar todas las opciones disponibles y personalizar la configuración del complemento para satisfacer sus necesidades. 

Pero, si tiene requisitos de seguridad únicos que el complemento no cubre, considere instalar complementos adicionales o utilizar códigos personalizados para satisfacer esas necesidades. 

Siempre es una buena práctica hacer una copia de seguridad de su sitio web antes de realizar cambios en el código o activar nuevos complementos para mitigar los riesgos. 

Además, actualizar periódicamente sus complementos de WordPress, revisar avisos o resultados y mantenerse actualizado con las últimas noticias y mejores prácticas de seguridad puede reducir significativamente el riesgo de una violación de seguridad.

¿Esta publicación le ayudó a proteger su sitio web de WordPress? Si es así, siéntete libre de compartir tus pensamientos por Tuiteando a @rankmathseo. 

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://rankmath.com/blog/secure-wordpress-site/