Securizar Wordpress

¿ES SEGURO WORDPRESS?

La seguridad de WordPress se trata de la reducción de riesgos,no de la eliminación de riesgos.Debido a que siempre habrá riesgo,la seguridad seguirá siendo un proceso continuo que requiere una evaluación frecuente de estos vectores de ataque.

La cuestión de que si WordPress es seguro o no depende completamente de usted,el propietario del sitio web.La seguridad del sitio web se trata de la reducción de riesgos.Siga las mejores practicas de seguridad para fortalecer y proteger su sitio web de las amenazas.

vulnerabilidades de software

El equipo de seguridad de WordPress trabaja diligentemente para proporcionar actualizaciones de seguridad importantes y parches de vulnerabilidad.Sin embargo el uso de complementos y temas de terceros expone a los usuarios a amenazas de seguridad adicionales.

AUDITAR REGULARMENTE COMPLEMENTOS Y TEMAS

Los complementos y los temas pueden quedar obsoletos o incluir errores que plantean serios riesgos de seguridad para su sitio web de WordPress. Para proteger su instalación de WordPress y mejorar la seguridad,le recomendamos que audite sus complementos y temas de forma regular.

Seguridad en Wordpress 1

EVALUAR LA SEGURIDAD DEL COMPLEMENTO

Puede evaluar la seguridad de los complementos y temas de WordPress revisando un par de indicadores importantes:

-¿El complemento o tema tiene una gran base de instalación?

-¿Hay muchas reseñas de usuarios y la calificación promedio es alta?

-¿Los desarrolladores están apoyando activamente su complemento y están enviando actualizaciones frecuentes o parches de seguridad?

-¿El proveedor enumera los términos de servicio o una política de privacidad?

-¿El proveedor incluye una dirección de contacto física en el ToS o desde una pagina de contacto?

Lea atentamente los términos del servicio,puede incluir extras no deseados que los autores no anunciaron en su pagina de inicio.Si el complemento o el tema no cumple con ninguno de estos requisitos o ha cambiado de propietario recientemente antes de la ultima actualización,es posible que desee buscar una solución mas segura.

ELIMINAR COMPLEMENTOS Y TEMAS NO UTILIZADOS

Cuando se trata de complementos no utilizados,menos es mas.El almacenamiento de complementos no deseados en su instalación de WordPress aumenta la posibilidad de un compromiso,incluso si están deshabilitados y no se utilizan activamente en su instalación. La eliminación de complementos y temas no utilizados ayuda a mejorar la seguridad y protege la piratería.

Actualizar WordPress para securizar tu web

MANTENER WORDPRESS ACTUALIZADO

Cuando hay una nueva actualización disponible,se le notificara en el menú Panel/Actualizaciones.

Siempre se debe aplicar las actualizaciones lo antes posibles para mantener su sitio de WordPress seguro y protegido.Iniciar sesión en su sitio con frecuencia garantizara que este al tanto de las actualizaciones a medida que se lanzan.

IMPORTANTE

Antes de actualizar su sitio web a la ultima versión de WordPress,recomendamos tomar los siguientes pasos de precaución:

-Haga una copia de seguridad de su sitio web,especialmente cualquier contenido personalizado.

-Revisar las notas de la versión para identificar si los cambios tendrán un impacto negativo en su sitio web.

-Probar la actualización en su sitio de desarrollo para verificar que sus temas,complementos y otras extensiones sean compatibles con la ultima versión.

Actualizar WordPress para securizarlo

ACTUALIZAR LOS COMPLEMENTOS DE WORDPRESS

Es posible que WordPress no pueda actualizar la extensión sis e ha descargado de un sitio web de terceros.Si este es el caso,es posible que deba actualizar manualmente el complemento mediante FTP o usar un actualizar incluido.

Para aplicar manualmente actualizaciones para complementos en WordPress:

-Verificar la compatibilidad entre el complemento y su versión actual de WordPress.

-Descargar la ultima versión del complemento de una fuente oficial y guardarla en nuestra maquina local.

-Consultar las instrucciones especiales de actualización del desarrollador o proveedor del complemento

-Iniciar sesión en nuestro servidor a través de SFTP o SHH.

-Localizar el directorio del complemento que vamos a actualizar y eliminarlo de FTP.

-Subir la ultima versión a la misma ubicación.

-Iniciar sesión en WordPress como administrador y hacer clic en el Panel/Complementos.

-Localizar el complemento que acabamos de actualizar de la lista y hacer clic en Activar.

Actualizar los temas en WordPress para securizar nuestra web

ACTUALIZAR LOS TEMAS DE WORDPRESS

Es otro aspecto importante en la seguridad de WordPress. Si no estamos utilizando un tema secundario para las personalizaciones,deberemos copiar nuestras modificaciones en una nueva carpeta de temas y luego actualizarlas a FTP.

Para actualizar los temas manualmente en WordPress:

-Conectarse a su sitio web mediante FTP y vamos a wp-contect/themes y luego descargamos la carpeta de temas actuales en nuestro equipo.

-Visitar el sitio web del tema para descargar la ultima versión del tema y guardarlo en nuestra maquina local.Ahora tendremos dos copias de la carpeta del tema.

-Cargar la versión mas reciente del directorio de temas completa con personalizaciones a WordPress usando FTP.

Si estamos utilizando un tema secundario personalizado que hereda la funcionalidad de un tema principal,la actualización de nuestro tema es bastante sencilla.Simplemente sobrescribimos nuestra copia del tema principal con la ultima versión de la fuente oficial.Nuestras personalizaciones permanecerán intactas en el tema secundario.

Control de acceso a WordPress

CONTROL DE ACCESO

Los atacantes con frecuencia explotan las credenciales de los usuarios débiles para obtener acceso a los sitios web de WordPress. Bloquear su acceso de administrador de WP puede evitar hacks.

Aumente la seguridad de su sitio web de WordPress mediante el uso de contraseñas seguras y únicas que restrinjan los privilegios disponibles para los usuarios a través de roles asignados,permitiendo la autenticacion de dos pasos o de múltiples factores y limitando las sesiones de los usuarios,puede reducir el riesgo de que un atacante comprometa el sitio web.

control de acceso en Wordpress

ELIMINAR EL ADMINISTRADOR PREDETERMINADO WP-ADMIN

La gran mayoría de los ataques apuntan a los puntos de acceso wp-admin,wp-login.php yxmlrcp.php mediante una combinación de nombres de usuario y contraseñas comunes.Al usar un nombre de usuario único y eliminar la cuenta de administrador predeterminada en su instalación de WordPress,hace que sea mucho mas difícil para los atacantes adivinar (Fuerza Bruta) su acceso a su sitio web.

Como reemplazar la cuenta predeterminada admin:

-Iniciar sesión en WordPress como administrador.

-Desde el panel seleccionar Usuarios/Agregar nuevo.

-Con una nueva dirección de correo electrónico,crear una nueva cuenta y establecer el rol en Administrador.

-Guardar el nuevo usuario,cerrar sesión y volver a iniciar sesión con su nueva cuenta de administrador.

-Desde el tablero,seleccionar Usuarios/Todos los usuarios.

-Atribuir publicaciones antiguas a la nueva cuenta de administrador.

Roles y el principio del privilegio mínimo:

El principio del privilegio mínimo se compone de dos pasos muy simple

-Usar el conjunto mínimo de privilegios en un sistema para realizar una acción.

-Otorgar privilegios solo por la duración exacta en que una acción es necesaria.

Con este concepto en mente,WordPress incluye funciones integradas para administradores,autores,editores,colaboradores y suscriptores.Estas funciones especifican lo que puede y no puede lograr el usuario.

Gestión de contraseñas en WordPress

UTILICE CONTRASEÑAS SEGURAS

La seguridad de contraseña de WordPress es un factor importante para fortalecer su sitio web y aumentar su seguridad de administrador de WP. Los atacantes suelen utilizar las listas de contraseñas para forzar la fuerza bruta de los sitios web de WordPress. Es por eso que siempre debe usar contraseñas seguras y únicas para todas sus cuentas para mejorar la seguridad de su sitio WP.

Recomendamos desde Antimalwares usar un gestor de contraseñas como Keeper Security para generar contraseñas aleatorias seguras y de mínimo 20 caracteres.

2FA/MFA

La autenticacion de dos factores proporciona un segundo nivel de seguridad para su cuenta de Wordpress. Esta función requiere que un usuario apruebe un inicio de sesión a través de una aplicación y protege su cuenta en caso de que alguien pueda adivinar su contraseña.

Como agregar 2FA a wordpress usando Google Authenticator:

-Descargar e instalar Google Authenticator en su Iphone o Android.

-Instalar y activar un complemento 2FA para wordpress .

-Una vez que se ha obtenido su código QR abrir Google Authtenticator y hacer clic en el botón agregar en la parte inferior derecha de la aplicación.

-Escanear el código QR que muestra el complemento con la cámara de su teléfono.

-Verificar el código en la pagina del complemento.

Autenticador de Google

LIMITAR LOS INTENTOS DE INICIO DE SESIÓN

WP permite a los usuarios intentar un inicio de sesión ilimitado de forma predeterminada,pero esto hace que su sitio sea vulnerables a los ataques de fuerza bruta ya que los ciberdelincuentes intentan diferentes combinaciones de contraseña.

Puede agregar una capacion adicional de seguridad al limitar el numero de intentos de inicio de sesión en una cuenta a través de un complemento,o mediante el uso de un firewall de aplicaciones web (WAF).

Algunos plugings populares ademas de proporcionar esta funcionan también incluyen limite de intentos de conexión,WP limite de intentos de conexión y Longinizer.

CAPTCHA PREVIOS AL INICIO DE SESIÓN

El acronimo significa prueba de Turing publica completamente automatizada para distinguir maquinas y personas.Esta característica es extremadamente útil para evitar que los bots automáticos accedan a su panel de control de WordPress,así como para enviar spam no deseado a través de formularios.

recapcha

RESTRINGIR EL ACCESO A LAS URLS AUTENTICADAS

Limitar el acceso a su pagina de inicio de sesión de WordPress a solo IP autorizadas evitara entradas no autorizadas y asegurara mejor su sitio.Hay complementos disponibles que pueden hacer esto.Si utiliza nuestro Firewall de Antimalwares basado en Cloud,puede restringir el acceso a estas URL a través de nuestra aplicación sin tener que perder el tiempo con los archivos.htaccess.

Monitorizacion de WordPress para evitar ataques informaticos

 MONITOREO Y DETECCIÓN

En el campo de la seguridad de la información nos gusta usar la frase defensa en profundidad.Para apreciar esta ideología,debe tener en cuenta un principio muy simple,

NO EXISTE UNA SOLUCIÓN 100% COMPLETA CAPAZ DE PROTEGER CUALQUIER ENTORNO