6 cosas que puedes hacer para proteger tu WordPress de los hackers

6 cosas que puedes hacer para proteger tu WordPress de los hackers / Wordpress y desarrollo web

La ejecución de un sitio web basado en WordPress suele ser un placer, ya que le permite centrarse en el contenido y establecer relaciones con los lectores y otros sitios web..

Sin embargo, no todos en la web son tan amigables como tú. En algún lugar hay una lista con el nombre de su blog, donde se encuentra, esperando ser atacada por piratas informáticos. Cuando lleguen a tu blog, intentarán varias tácticas para acceder a él, tal vez con el objetivo de vender drogas legales o infectar las computadoras de tus visitantes con malware..

Afortunadamente, hay varias formas en las que puedes proteger tu blog de WordPress de hackers.

Actualiza WordPress regularmente

Una de las soluciones más poderosas pero a menudo pasadas por alto para mantener a WordPress a salvo de los piratas informáticos es asegurarse de que se actualice periódicamente.

Obviamente, hay una desventaja en esto: algunos de sus mejores complementos de WordPress pueden dejar de funcionar si WordPress se actualiza, pero al mismo tiempo, debe considerarse como una oportunidad para actualizar sus complementos, encontrar reemplazos que sean seguros y confiables. y básicamente endurecer su sitio web o blog. Adherirse a los complementos que se encuentran en el directorio de WordPress también es una buena manera de mantener las cosas bajo control.

La actualización de WordPress es posible desde el Tablero, pero siempre haga una copia de seguridad de su base de datos antes de hacerlo.

Mantener copias de seguridad regulares

Un procedimiento importante para todos los propietarios de blogs de WordPress es garantizar que las copias de seguridad se realicen con regularidad y que puedan restaurarse fácilmente en caso de que ocurra lo peor..

Las soluciones son abundantes, pero Cloudsafe365 es una de las más poderosas, ya que combina la copia de seguridad en la nube (se puede usar Dropbox) con varias herramientas de protección segura contra técnicas como la creación de secuencias de comandos entre sitios, la inyección de SQL e incluso monitorea el robo de contenido.

Cloudsafe365, disponible en el sitio de complementos de WordPress, viene en tres versiones. Una opción gratuita cubre las cosas enumeradas anteriormente, mientras que las opciones de pago ofrecen características adicionales como la protección contra la inyección de código y los ataques de fuerza bruta..

Instalar un complemento de inicio de sesión cifrado

La protección del acto real de inicio de sesión en su sitio web basado en WordPress se realiza mejor mediante el uso de un complemento de inicio de sesión cifrado, ya que el software del sitio web no tiene este servicio de forma predeterminada. Probablemente la mejor solución para esto, perfecta para proteger los detalles de inicio de sesión de su blog de los rastreadores de paquetes en las redes inalámbricas, es Chap Secure Login, que utiliza el algoritmo SHA-256 para proteger su nombre de usuario y contraseña..

Mientras tanto, el complemento Login Lockdown es una forma útil de bloquear las IP que registran los intentos fallidos repetidos para acceder a su sitio.

Otros pasos de protección de inicio de sesión que puede tomar incluyen la instalación de un complemento CAPTCHA fuerte. RetinaPost es un complemento particularmente impresionante, que requiere que los usuarios ingresen caracteres resaltados de una frase en lugar de tratar de descifrar imágenes de texto arruinadas o hacer desafíos de matemáticas. Cualquier intento de interrumpir tu blog usando el sistema de comentarios puede reducirse notablemente usando este complemento.

Esconder “Desarrollado por WordPress”

Los piratas informáticos tienen una táctica diferente para cada uno de los diversos tipos de software de sitios web que se utilizan, pero puede hacer las cosas más difíciles para ellos sin anunciar el hecho de que su sitio web es “Desarrollado por WordPress”.

De forma predeterminada, esta información se puede encontrar en el archivo footer.php, que se accede ingresando al Panel de su blog, seleccionando Apariencia> Editor para editar dentro de la ventana del navegador. Los diferentes temas requerirán diferentes métodos para eliminar este texto, por lo que debe verificar en línea para encontrar el mejor enfoque (si se usa texto sin formato para mostrar la leyenda, luego elimínelo; si se usa el código PHP, pise con cuidado a menos que sepa lo que dice) re haciendo.

Cambiar nombre de usuario de administrador

Una forma en la que los piratas informáticos pueden encontrar una forma de acceder a su sitio es mediante el uso del software de fuerza bruta que intentará múltiples inicios de sesión utilizando palabras y frases comunes como contraseñas, junto con una selección de nombres de usuario obvios.

El nombre de usuario del administrador en WordPress se puede seleccionar cuando el software está configurado, pero en la prisa por hacer las cosas, muchos usuarios lo dejan en la opción predeterminada de “administración”. Como los nombres de usuario obvios van, esto está en la parte superior de la lista, por lo que es importante cambiarlo..

Existen dos formas de cambiar el nombre de usuario de administrador. Primero, puede crear una segunda cuenta de administrador con un nombre de usuario que no sea obvio y luego eliminar el usuario original. Sin embargo, tenga en cuenta que esto podría afectar a cualquier artículo escrito bajo la cuenta del administrador (quizás no se publique hasta que se establezca un nuevo nombre o se muestre un error en la página de publicación).

Probablemente la forma más efectiva de hacerlo es acceder a phpMyAdmin de su sitio, seleccionar la base de datos de WordPress, buscar la tabla wp_users (“wp_”es un prefijo predeterminado que puede haber cambiado en la instalación) y use el Vistazo icono para encontrar el “administración” nombre de usuario.

Una vez descubierto, encuentre la columna user_login, haga clic en editar botón en la fila correspondiente y luego cambiar “administración” al nombre de inicio de sesión de su cuenta de administrador preferido, haciendo clic en Ir cuando termines.

Mueve el archivo wp-config

Un problema evidente con WordPress es que los detalles de seguridad clave se almacenan en un único archivo sin cifrar que puede ser pirateado y utilizado para tomar el control de su blog. El archivo wp-config.php contiene los detalles de inicio de sesión del administrador, así como el nombre de usuario y la contraseña de la base de datos MySQL.

Por lo tanto, asegurar este archivo es primordial si desea proteger el sitio de hackers.

Sin embargo, una cosa que no debes hacer es eliminar wp-config: esto dejaría tu sitio inutilizable (y más bien en blanco). Entonces, ¿cómo proteges tu sitio de esta extraña vulnerabilidad??

Desde el lanzamiento de WordPress 2.8, los propietarios de blogs han tenido la capacidad de mover el archivo al directorio web raíz en el servidor. Lo que esto significa, por ejemplo, es que si tiene su sitio instalado en www.misitio.com/wordpress, El archivo wp-config.php se puede subir un nivel al directorio de mi sitio..

Conclusión

Independientemente de lo técnico o no técnico que sea, si ejecuta un blog de WordPress, no hay excusa para no implementar cualquiera o todas estas herramientas para proteger su sitio web de piratas informáticos..

Después de todo, ¿cuál es el punto de poner todo ese arduo trabajo solo para encontrar que alguien se ha hecho cargo del sitio y ahora le está costando a sus visitantes regulares publicitando Viagra??

Estos pasos se pueden implementar en solo un par de horas, tal vez una sola mañana de fin de semana si no tiene tiempo, así que no lo ignore, actúe ahora.

Explorar más sobre: ​​Herramientas para webmasters, Complementos de Wordpress.