Si tienes un sitio web de WordPress, es posible que en este mismo momento esté siendo atacado por todo tipo de hackers, phishers, malwares, etc. No se trata de SI el ataque cibernético vendrá, pero CUÁNDO vendrá. Echa un vistazo a los números:
No hace falta ser un genio para entender que todos los propietarios de sitios de WordPress deberían pensar en cómo proteger sus sitios web. En lugar de darte sugerencias bien conocidas de instalar uno o dos plugins, vamos a profundizar en el asunto.
La realidad es que el marco actual de WordPress es bastante seguro desde el principio. El problema ocurre, cuando comienzas a añadir complementos y temas de terceros y cambios de código. Necesitas una forma eficaz de eliminar todos los agujeros de seguridad que este código adicional crea.
Aquí hay 10 métodos efectivos para proteger tu sitio web contra los ataques de hackeo.
Probablemente sea poco realista pedir a los propietarios de sitios web de WordPress que se abstengan por completo de los complementos y temas de terceros, pero todavía podemos pedir que al menos eliminen los que no usan y piensen dos veces antes de añadir un plugin más. Las funciones y características disponibles son casi irresistibles, pero al mismo tiempo aumentan las posibilidades del hackeo.
Dejando a un lado las consideraciones éticas, la descarga de un plugin premium de un torrente o sitio web ilegal te deja abierto al código malicioso que un hacker podría haber agregado fácilmente. Cuando lo instalas en tu sitio de WordPress, así invitas a los bárbaros a tu casa. Claro, comprarlo directamente del desarrollador cuesta dinero, pero vale la pena si quieres tranquilidad.
Es una buena idea actualizar tu instalación de WordPress con cada nueva versión lanzada. Es muy fácil de hacer, y las personas en WordPress pondrán un recordatorio en tu tablero. Todos los fallos de seguridad asociados con una instalación anterior son bien conocidos por el público en general, incluyendo por los piratas informáticos. No hagas que sus planes malvados sean tan fáciles de realizar.
Puede sonar grave, pero a menos que seas este tipo de desarrollador que siempre está modificando los complementos y el código del tema, ¿por qué no desactivar estos editores por completo? El motivo es claro. Los superiores autorizados de WordPress tienen acceso a estos editores, y si sus cuentas son pirateadas, la tuya también corre el riesgo de ser pirateada. Todo lo que se necesita es un pequeño pedazo de código que se inserta en el archivo wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );
No importa si sólo tú usas un sitio web o hay un equipo de editores y administradores, siempre es una buena idea registrar lo que todos están haciendo. El objetivo no es necesariamente atrapar a personas malas que hacen cosas malas, aunque eso es posible. La idea clave es poder rastrear los errores accidentales para ver qué causó un problema o fallo. Un gran complemento para completar esta misión es WP Security Audit Log.
Un complemento o un tema que no funciona normalmente genera informes de error. Esto parece bueno, pero puede crear un agujero en la seguridad del sitio, si algún pirata informático puede ver estos informes que probablemente incluyan una ruta que conduce directamente a tu servidor. Con esa información, él o ella puede causar un sinfín de problemas. Lo mejor es desactivar por completo los informes de errores. Aquí está el código para insertar en el archivo wp-config.php:
error_reporting(0); @ini_set(‘display_errors’, 0);
Cambiar la dirección de tu página de inicio de sesión de la regular www.tusitioweb.com/wp-admin a cualquier otra es una forma poco utilizada pero muy efectiva de frustrar a los piratas informáticos. Dado que muchos ataques son del tipo automatizado de fuerza bruta, simplemente cambiar la URL de tu página de inicio de sesión aumenta su seguridad inmensamente. En caso de que no tengas ni una idea de cómo lograr esto, pruebe Lockdown WP Admin o cualquiera de otros populares plugins de seguridad de WordPress.
Puedes echar ganas, protegiendo tu sitio web contra cada amenaza cibernética posible, pero si tu host no toma la seguridad en serio, todo será en vano. Busca empresas que estén familiarizadas con lo que un sitio de WordPress necesita y se preocupen por la seguridad.
El tercer elemento del triángulo de seguridad es la computadora que usas para acceder a la Internet. El software seguro de WordPress y un alojamiento web fiable no te servirán de nada si tu computadora, computadora portátil o dispositivo móvil tiene agujeros de seguridad enormes. Está atento a las actualizaciones del sistema operativo, así como a los parches de software y (obviamente) instala un programa antivirus gratuito como Avast o AVG para hacer escaneos regulares de virus y malware.
Por defecto, WordPress facilita que un hacker encuentre el nombre de usuario de cada autor. Dado que el autor principal también suele ser administrador, estás entregando toda la información importante al chico malo como en la palma de la mano. Algunas líneas de código insertadas en el archivo functions.php pondrán fin a esta debilidad del software:
add_action(‘template_redirect’, ‘bwp_template_redirect’); Function bwp_template_redirect() { If (is_author()) { wp_redirect( home_url() ); exit
Las recomendaciones de seguridad de WordPress mencionadas anteriormente implican que ya has tomado las medidas obvias, aquellas como no usar "admin" como tu nombre de usuario, cambiar tu contraseña regularmente y optar por una compleja, limitar el número de intentos de inicio de sesión, hacer una copia de seguridad de tu sitio web y utilizar un escáner de WordPress para comprobar si el software actual contenga malware.
Fuente: "10 Effective Methods to Lock down Your WordPress Website Against Hack Attacks" por Gary Stevens