19 maneras de garantizar un portal de internet (¡7 son fundamentales!)

¿Preocupado por la seguridad de WordPress?

¡Usted habría de ser! Pero despreocúpate bastante – si incorpora ciertas mejores prácticas de seguridad del ubicación de WordPress en su lugar, puede estar seguro de que su lugar va a estar libre de inconvenientes.

WordPress es Indudablemente. Pero las acciones efectuadas por los clientes (y los complementos instalados por los clientes) tienen la posibilidad de ingresar toda clase de inseguridades de WordPress.

Para eludir estos fallos, todo cuanto precisa realizar es proseguir los consejos de esta publicación.

A fin de que esta publicación sea lo mucho más eficaz viable, vamos a dividir nuestros consejos de seguridad de WordPress en 2 categorías:

❗DEBE SEGUIR siete mejores prácticas de seguridad de WordPress

Si no saca solamente de esta publicación, le sugiero que implemente por lo menos estas siete mejores prácticas de seguridad de WordPress en su lugar.

Si no hace estas siete cosas, está abriendo su lugar a enormes inseguridades.

1. Coloque las actualizaciones de la base y los complementos cuanto antes

De las mejores cosas que puede llevar a cabo para sostener WordPress seguro es utilizar siempre y en todo momento actualizaciones al núcleo, los complementos y los temas de WordPress de forma oportuna.

Da igual qué bueno sea un programa, es natural que se descubran novedosas inseguridades. No obstante, con un equipo de avance de calidad, estas inseguridades se solucionarán antes que logren ser explotadas por actores malintencionados…¡siempre y cuando coloque las actualizaciones inmediatamente!

Varios de los últimos exploits de WordPress a enorme escala podrían haberse eludido si solo la multitud actualizara sus sitios.

Para ser notificado de novedosas actualizaciones, por favor, preste atención Tablero → Actualizaciones área en el gestor de WP.

Si le preocupan los inconvenientes de compatibilidad, puede evaluar las actualizaciones en un lugar provisional antes de aplicarlas a su ubicación en directo. Asimismo le aconsejamos que realice una backup antes de utilizar las actualizaciones, mucho más sobre eso mucho más adelante.

Nota – la única salvedad a esta regla son las actualizaciones esenciales, que se centran únicamente en añadir novedosas funcionalidades y no tienen dentro rectificaciónes de seguridad. Puede aguardar serenamente algunas semanas a fin de que se apliquen estas esenciales actualizaciones.

• Versión primordial (especificaciones) – 5.0, 5.1, 6.0, etcétera – puede aguardar para utilizar estas actualizaciones.
• Versión menor (seguridad / corrección de fallos) – 5.0.1, 5.1.2, 6.0.4, etcétera. – tú SIEMPRE usted precisa para aplicarlos tan rápido como resulte posible.

2. Solo use complementos y temas de programadores acreditados (y no complementos eliminados)

Más allá de que el programa primordial de WordPress es seguro, es imposible decir lo mismo de todos y cada uno de los complementos y temas que hay (en especial complementos).

Al añadir código nuevo y cambiar la utilidad de su lugar, los complementos tienen la posibilidad de ingresar toda clase de inseguridades.

Al tiempo, No emplear complementos no es verdaderamente una alternativa, en tanto que los complementos son una sección integral de cada lugar de WordPress.

Como resultado, es esencial enfocarse solo en emplear complementos y temas de programadores acreditados con un historial de calidad de código y cuidado veloz.

O sea, preste atención a los complementos que instala en su ubicación.

Aquí hay ciertos avisos para asistirlo a utilizar solo complementos y temas de alta definición:

• Lee las opiniones. Las malas críticas tienen la posibilidad de señalar una baja calidad del código.
• Preguntar el número de instalaciones activas. Más allá de que esta no es una regla rigurosa y rápida, los complementos populares normalmente tienen mucho más posibilidades de llamar la atención.
• Buscar actualizaciones recientes. Es esencial tener un creador activo para corregir cualquier puerta de inseguridad descubierta últimamente.
• No instale complementos insignificantes. Ya que cada complemento que instala es un vector de ataque potencial, solo debe disponer complementos que sean esenciales para su ubicación.

Asimismo disponemos una guía completa sobre de qué manera seleccionar complementos de WordPress.

Por último, asimismo deseará eludir los complementos en desuso pues no sabe qué código se añadió al complemento.

3. Utilice un hospedaje seguro de WordPress

Seleccionar un distribuidor de hosting de WordPress de calidad puede contribuir en buena medida a sostener seguro su portal web.

Primeramente, un distribuidor de hosting de WordPress de calidad se asegurará de que su ambiente esté mejorado para la seguridad de WordPress, como los privilegios del archivo correctos y un fichero wp-config.php seguro.

Varios hosts de WordPress asimismo tienen dentro protecciones mucho más proactivas, como firewalls incorporados o escaneo de software malicioso.

Ciertos hosts administrados de WordPress aun limpiarán su ubicación de manera gratuita si pasa algo.

Esencialmente, con un host de calidad (en especial un host de WordPress administrado), se encargarán de muchas de estas mejores prácticas a fin de que solo logre concentrarse en desarrollar su portal web.

Para conseguir ciertas opciones de calidad, consulte nuestras publicaciones de hosting de WordPress mejor administrado y hosting de WordPress mejor global.

Si puede permitírselo, considere opciones como Flywheel (la que utilizamos para WPKube, nuestra revisión de volante) o Kinsta (nuestra revisión de Kinsta).

4. Bloquee la página de comienzo de sesión y el ingreso a la cuenta

Todos y cada uno de los consejos de seguridad de WordPress de todo el mundo no tienen la posibilidad de asistirlo si un agresor puede comenzar sesión en una de sus cuentas de usuario lícitas de WordPress (particularmente una cuenta de gestor).

Piénselo en el planeta real: tiene la posibilidad de tener el más destacable sistema de seguridad para la vivienda de todo el mundo, pero no servirá de nada si un ladrón tiene la llave de la vivienda y el código de seguridad.

Esto quiere decir que es básico halle maneras de garantizar el desarrollo de comienzo de sesión y las cuentas de usuario de su lugar de WordPress.

Para empezar, aconsejamos emplear credenciales de cuenta sólidas:

• Nombre de usuario – Jamás use «admin» como nombre de usuario. En su sitio, escoja un nombre de usuario único que no use en ningún otro sitio.
• Clave – utilice una contraseña fuerte y única. Para conseguir los más destacados desenlaces, utilice un gestor de claves de acceso como LastPass o Bitwarden para producir claves de acceso únicas para cada lugar.

Además de esto, asimismo puede emplear tácticas para resguardar su página de comienzo de sesión de WordPress:

• Cambie su dirección de Internet de comienzo de sesión – esto asimismo disminuye bastante el tráfico de bots. ¿De qué forma? Utilizar el complemento WPS Hide Login gratis.
• Limite los intentos de comienzo de sesión – denegar por un tiempo una dirección IP si efectúa bastantes intentos de comienzo de sesión incorrectos (de la misma los bancos). ¿De qué manera? Utilizar el complemento gratis Limita los intentos de comienzo de sesión recargados.
• Necesita autenticación de 2 causantes (2FA) – lograr que la gente ingresen un código desde una app de autenticación, mensaje de texto o e-mail aparte de sus credenciales. ¿De qué forma? Use complementos gratis como WP 2FA o 2 componentes.

Todos y cada uno de los sitios tienen que cambiar su dirección de Internet de comienzo de sesión y limitar los intentos de comienzo de sesión, pero la utilización de la autenticación de 2 componentes de WordPress solo es requisito para los sitios fundamentales.

5. Instale un certificado SSL y use HTTPS

Un certificado SSL le deja utilizar HTTPS en su cibersitio en vez de HTTP.

Con HTTPS, todos y cada uno de los datos que pasan entre el navegador y el servidor están encriptados. Aparte de ser bueno para la intimidad por norma general, o sea fundamental para resguardar datos esenciales como nombres de usuario y claves de acceso.

Sin HTTPS, un actor malicioso en su red de Internet puede ver todos y cada uno de los datos que pasan entre su navegador y el sitio. Por servirnos de un ejemplo, si se conecta a su cibersitio en su cafetería local a través de HTTP, alguien en esa red podría ver su nombre de usuario y contraseña en artículo claro.

No obstante, en el momento en que emplea HTTPS, su nombre de usuario y contraseña (adjuntado con todos los otros datos) se cifran con seguridad, lo que quiere decir que los actores maliciosos solo verían un montón de individuos al azar.

Actualmente, la mayor parte de los distribuidores de hosting de WordPress de calidad proponen certificados SSL gratis.

Tras disponer un certificado SSL a través del panel de hosting, puede modificar su lugar para emplear HTTPS. Si precisa asistencia para cambiar su lugar a HTTPS, es gratuito Complemento SSL muy sencilla da configuración con un solo click.

Prosiga nuestra guía HTTPS de WordPress para conseguir mucho más datos.

6. Emplea ediciones de PHP compatibles

WordPress está escrito en el lenguaje de programación PHP. No obstante, hay múltiples ediciones de PHP que puede emplear en su cuenta de hosting.

Las ediciones anteriores de PHP por el momento no reciben cuidado, lo que quiere decir que tienen la posibilidad de tener inconvenientes de seguridad sin parches.

Desde 2022, la versión de PHP mucho más vieja que recibe actualizaciones de seguridad es PHP 7.4. No obstante, desde 2023, le aconsejamos que use por lo menos PHP 8.0.

Ha podido compruebe el soporte para su versión de hoy de PHP en esta página.

Como beneficio agregada, las ediciones mucho más novedosas de PHP asimismo proponen enormes novedades de desempeño, lo que quiere decir que su ubicación se va a cargar mucho más veloz y va a ser mucho más seguro.

Si no está seguro de de qué forma actualizar PHP, puede soliciar asiste para su anfitrión. Asimismo disponemos una guía sobre de qué forma actualizar PHP en hosts populares de WordPress.

7. Haz una backup de tu portal web de forma regular

Su ubicación no va a ser conformado evitar inconvenientes de seguridad que suceden en su ubicación. No obstante, evitará que los inconvenientes de seguridad se transformen en inconvenientes mayores.

Libre una backup, cualquier hecho de seguridad en su lugar puede ser completamente mortal. Puede perder datos, presenciar bastante tiempo de inacción, etcétera.

No obstante, con una backup reciente, el peor de las situaciones para un hecho de seguridad tiende a ser que solo precisa volver a poner la backup limpia de su lugar, lo que todavía es molesto, pero bastante menos catastrófico.

Si su host aún no proporciona backups automáticas seguras, herramientas pagas como Jetpack Copia de seguridad o B.esoogVault da la manera mucho más fácil de activar backups ajenas seguras.

Si no posee el presupuesto para abonar una herramienta, UpdraftPlus asimismo es una increíble opción gratis; solo asegúrese de conectarlo a un distribuidor de almacenaje de afuera como Google plus Drive o Amazon S3.

Aquí está nuestra publicación completa sobre los más destacados complementos de backup de WordPress.

12 consejos auxiliares para hacer mas fuerte la seguridad de WordPress

Si incorpora fielmente las mejores prácticas de seguridad del lugar de WordPress precedentes, evitará el 99% de los inconvenientes en su ubicación.

No obstante, si quiere ir aún mucho más lejos, hay ciertos avisos de fortalecimiento auxiliares que puede llevar a cabo para resguardar aún mucho más su ubicación.

8. Modificar un cortafuegos

Un cortafuegos puede resguardar de manera proactiva su lugar de las amenazas bloqueando el tráfico o las acciones malintencionadas antes que afecten a su lugar o servidor.

Varios hosts ahora incorporan sus firewalls, con lo que esto puede no ser obligación para los sitios si está usando un hospedaje de WordPress de calidad (Véase mucho más arriba).

Si el host no lo realiza (o si quiere mucho más protección), puede añadir un cortafuegos a nivel de app con un complemento como Valla de expresiones o a nivel de DNS con un servicio como Llamarada de la nube o Jugos.

9. Use un complemento de seguridad de WordPress

Puedes hacer sitios seguros de WordPress libre un complemento de seguridad dedicado, con lo que un complemento de seguridad no es completamente preciso para hacer un ubicación seguro.

Mencionado lo anterior, un complemento de seguridad aún puede ser útil por múltiples causas:

1. Los complementos de seguridad tienen la posibilidad de proveer firewalls en el mismo instante para resguardar contra amenazas emergentes.
2. Un complemento de seguridad de calidad va a facilitar la implementación de varios de los otros consejos de fortalecimiento de esta lista, lo que puede hacer más simple las cosas y ahorrarle tiempo.

En el caso de duda, Valla de expresiones complemento es una enorme opción para iniciar. Puede hallar mucho más opciones en nuestra compilación completa de los más destacados complementos de seguridad de WordPress.

10. Esconde tu versión de WordPress

Esconder el número de versión de WordPress añade una cantidad insignificante de «seguridad por obscuridad» así un poquito mucho más bien difícil para los atacantes advertir el número de versión de su ubicación.

Para esconderlo, puede añadir el próximo código al fichero functions.php de su tema secundario o un complemento como Code Snippets.

function wp_version_remove_version_number() 
add_filter('the_generator', 'wp_version_remove_version_number');

Si deseas ir mucho más allí, contamos una guía sobre de qué forma esconder visto que tu ubicación emplea WordPress.

11. Verifica los privilegios de los ficheros

Si está usando un host de calidad, los privilegios del archivo de su lugar ahora habrían de ser adecuados. No obstante, puede servir la pena contrastar un par de veces, puesto que es esencial tener los privilegios del archivo adecuados.

Para conseguir mucho más información, consulte nuestra guía completa de privilegios de ficheros de WordPress.

12. Emplea solo conexiones FTP seguras

Siempre y cuando se enlace a su ubicación mediante FTP u otras tecnologías, asegúrese de emplear protocolos seguros como SFTP.

De la misma HTTPS resguarda los datos que viajan entre su navegador y su cibersitio, SFTP resguarda la conexión entre su cliente FTP y su servidor.

Asimismo debe eludir guardar sus claves de acceso FTP en su cliente FTP salvo que esas claves de acceso estén cifradas de manera segura.

13. Modificar registro de actividad

El registro de actividad le facilita llevar a cabo un rastreo de lo que hacen los clientes en su tablero, lo que puede asistirlo a advertir ocupaciones sospechosas (en especial si entrega ingreso a otros individuos a su tablero).

Para configurarlo, puede utilizar un complemento como WP Activity Log. Poseemos un tutorial sobre de qué forma modificar el registro de actividad, aparte de un cupón único de registro de actividad de WP para ahorrar algo de dinero.

14. Ejecute escaneos regulares de seguridad/software malicioso

Más allá de que su ubicación no debería tener ningún inconveniente si ha establecido las mejores prácticas precedentes, todavía es una gran idea realizar periódicamente escaneos de seguridad/software malicioso en su ubicación.

Para contrastar probables inconvenientes en la parte de adelante de su ubicación, puede emplear la herramienta gratis SiteCheck Juices.

Para efectuar un análisis terminado de los ficheros de su servidor, puede estimar herramientas como MalCare o Valla de expresiones.

Su host de WordPress asimismo puede realizar sus escaneos diarios de software malicioso, lo que podría lograr que estas herramientas sean redundantes.

15. Deshabilitar XML-RPC

XML-RPC contribuye a las herramientas ajenas a conectarse a su ubicación de WordPress, como la app de escritorio de WordPress.

No obstante, si no emplea estas herramientas, solo añade un vector de ataque insignificante al lugar. Para cerrarlo completamente, puede use el complemento gratis Deshabilitar XML-RPC.

16. Bloqueo del link veloz

Hotlinking es en el momento en que alguien incrusta contenido de su servidor en su lugar (como una imagen). Puede perjudicar la seguridad de su página web al agotar los elementos de su servidor sin su permiso.

Para denegar hotlinking, puede añadir un código al fichero .htaccess de su lugar.

Para producir el código .htaccess preciso para denegar hotlinking, usted Puedo utilizar esta herramienta gratis. Le dejará enumerar con seguridad algunos distribuidores de links (como la búsqueda de imágenes de Google plus) mientras que inhabilita otros.

17. Cambiar el prefijo de la banco de información de WordPress

Cambiar el prefijo de la banco de información de WordPress añade una pequeña proporción de «seguridad por obscuridad», si bien ciertos especialistas (introduciendo Wordfence) aseguran que los resultados positivos de seguridad son bastante triviales.

Si tiene un lugar de WordPress que existe, le sugiero que no lo realice, en tanto que los peligros de que su lugar sea pirateado sobrepasan las ventajas potenciales en concepto de la seguridad.

No obstante, si está configurando un nuevo lugar de WordPress, asimismo podría utilizar un prefijo de banco de información personalizado, aun si no posee bastante efecto.

18. Deshabilitar la ejecución de ficheros PHP en la carpeta wp-content/uploads

Puede denegar ciertos asaltos marginales deshabilitando la ejecución del fichero PHP en su wp contenido / cargas plegable.

Es de esta forma como:

1. Utilice el Bloc de notas para hacer un nuevo fichero .htaccess.
2. Añada el fragmento de código ahora.
3. Sube ese fichero a wp contenido / cargas plegable.

deny from all

19. Deshabilitar la edición de código en el tablero

De manera ya establecida, WordPress le deja modificar ficheros de temas y complementos desde su panel de control de WordPress, lo que dejaría a un agresor añadir código malicioso si en algún momento tuviese ingreso a una cuenta de gestor.

Para eludir esto, puede deshabilitar la edición de ficheros añadiendo este fragmento al de el wp-config.php expediente:

define( 'DISALLOW_FILE_EDIT', true );

Cuestiones usuales sobre la seguridad del lugar de WordPress

Para terminar, aquí existen algunas cuestiones usuales sobre la seguridad de WordPress.

¿WordPress tiene inconvenientes de seguridad?

WordPress en sí no posee inconvenientes de seguridad, pero la instalación de complementos en su ubicación puede enseñar inseguridades de seguridad, singularmente con complementos mal codificados y/o mantenidos.

¿Es WordPress simple de piratear?

La enorme mayoría de los sitios de WordPress fallan gracias a un fallo del usuario, no al programa en sí. Continuar las mejores prácticas de seguridad fundamentales va a hacer que su lugar sea realmente difícil de piratear.

¿Puedes lograr que WordPress sea seguro?

Si, completamente. Siempre y cuando prosiga las mejores prácticas, WordPress puede ser segurísimo. Hay una razón por la que tantas enormes fabricantes confían en WordPress.

¿Precisa un complemento de seguridad de WordPress?

Puede hacer un lugar seguro de WordPress sin un complemento de seguridad terminado. No obstante, estos complementos tienen la posibilidad de facilitar el desarrollo de implementación de las mejores prácticas de seguridad y brindarle ingreso a funcionalidades útiles como firewalls y análisis de seguridad.

Implemente estas mejores prácticas de seguridad de WordPress el día de hoy

Si no toma solamente de esta publicación, quisiera que cuando menos implemente los siete consejos de seguridad de WordPress a proseguir arriba.

Si solo hace estas siete cosas, puede estar seguro de eludir el 99,9% de los inconvenientes de seguridad en su página web.

Si quiere una protección aún mejor, puede proseguir y también llevar a cabo los 19 consejos de esta lista.

¿Aún tienes cuestiones sobre la seguridad de WordPress? ¡Dinos en los comentarios!