Cómo asegurar WordPress (2020)

WordPress es uno de los sistemas de gestión de contenido más populares y con buenas razones. Es fácil de usar, hay miles de temas y complementos disponibles para él, y puede crear cualquier tipo de sitio web con él. No es de extrañar entonces que los poderes de WordPress 35.1% de todos los sitios web En Internet.


Pero, su popularidad tiene un costo. WordPress a menudo es el objetivo de los piratas informáticos. De acuerdo a Sucuri, en 2018, el 90% de todas las solicitudes de limpieza del sitio web pertenecían a WordPress, un aumento del 7% desde 2017.

Informe de tendencias de pirateo de sitios web 2018 - Sucuri

Como tal, asegurar su sitio web de WordPress debe estar en la parte superior de su lista, ya sea que tenga una cartera personal, un sitio web de negocios o una tienda en línea.

Cuando se trata de la seguridad de WordPress, los usuarios generalmente se dividen en dos campos: los que toman en serio la seguridad y toman medidas de precaución y los que creen o esperan que nunca les suceda porque su sitio no es lo suficientemente importante..

Para comprender mejor la gravedad de los problemas de seguridad asociados con los sitios web, asegúrese de visitar el Página de estadísticas de Internet en vivo algunas veces. Allí, puede ver un número exacto de sitios web pirateados cada día e incluso ver el aumento del número en tiempo real.

Sitio web pirateado en tiempo real

Contents

22 pasos para asegurar su sitio web de WordPress

Para evitar que su sitio termine como uno de los sitios en Internet Live Stats, siga los consejos a continuación y asegure su sitio web de WordPress.

1. Opte por una empresa de alojamiento con características de seguridad

El primer paso para proteger su sitio web de WordPress es invertir en una empresa de alojamiento que implemente las funciones de seguridad adecuadas. Esto incluye soporte para la última versión de PHP, MySQL y Apache, así como un firewall y monitoreo de seguridad 24/7.

Si es posible, elija una empresa de alojamiento que realice copias de seguridad diarias y análisis regulares de malware. Incluso puede encontrar empresas de alojamiento que empleen diversas medidas de prevención de DDOS.

Por lo general, su empresa de alojamiento es la primera en la que los piratas informáticos tienen que abrirse paso para obtener acceso a su sitio, por lo que invertir más por adelantado y comprar un plan de alojamiento más costoso definitivamente valdrá la pena. Nosotros recomendamos elegir un proveedor de alojamiento de WordPress administrado.

2. Use contraseñas seguras

Asegúrese de que las contraseñas de su sitio web de WordPress, así como el área de su cuenta de hosting, sean seguras. Use una combinación de letras mayúsculas y minúsculas, números y símbolos para obtener una contraseña segura. También puede usar un administrador de contraseñas como LastPass para generar y almacenar contraseñas seguras para usted.

3. Elimine el nombre de usuario administrador

WordPress solía establecer el nombre de usuario predeterminado como administrador y la mayoría de los usuarios nunca se molestaron en cambiarlo. Como resultado, el administrador suele ser el primer nombre de usuario que los hackers intentarán cuando inicien un ataque de fuerza bruta.

Como tal, nunca debe usar el nombre de usuario administrador para su sitio web de WordPress. Si instaló recientemente su sitio web de WordPress, es probable que haya tenido que configurar su propio nombre de usuario. Pero si eres un usuario de WordPress desde hace mucho tiempo, es posible que aún estés usando el nombre de usuario administrador.

Si ese es el caso, cree un nuevo nombre de usuario administrador para su sitio yendo a Usuarios> Agregar nuevo y elegir un nombre de usuario y contraseña seguros. Establezca el rol de Administrador y luego haga clic en el Añadir nuevo usuario botón.

Crear una cuenta de administrador

Luego iniciarás sesión con esas nuevas credenciales y eliminarás a tu antiguo usuario administrador. Recuerde asignar todo su contenido a su nuevo usuario administrador antes de eliminar el antiguo.

4. Use una cuenta de colaborador o editor para publicar en su sitio

Si desea llevar el consejo anterior un paso más allá, considere crear una cuenta de colaborador o editor para agregar nuevas publicaciones y artículos a su sitio. Hacerlo hará que sea más difícil para los hackers hacer daño en su sitio ya que los colaboradores y editores generalmente no tienen privilegios de administrador.

Crear una cuenta de editor

5. Use un complemento de respaldo

Si aún no está realizando una copia de seguridad de su sitio web, debe comenzar de inmediato. Un sistema de respaldo lo ayudará a restaurar su sitio si sucede lo peor y su sitio termina siendo pirateado.

Use un complemento como UpdraftPlus para crear un programa de copia de seguridad regular para su sitio web y no olvide almacenar los archivos de copia de seguridad fuera del sitio para asegurarse de que esos archivos no terminen infectados también.

6. Endurecer el área de administración

Cuando se trata de fortalecer el área de administración, deberá cambiar la URL de administrador predeterminada y limitar el número de intentos fallidos de inicio de sesión antes de que un usuario quede bloqueado en su sitio.

De forma predeterminada, la URL de administración de su sitio web se verá así: yourdomain.com/wp-admin. Los hackers lo saben e intentarán acceder a esta URL directamente para poder acceder a su sitio..

Puede cambiar esta URL con un complemento como WPS Ocultar inicio de sesión.

WPS Ocultar inicio de sesión

En cuanto a limitar el número de intentos fallidos de inicio de sesión, puede usar Complemento de bloqueo de inicio de sesión.

Iniciar sesión LockDown

7. Mantenga los archivos actualizados

Como mencionamos anteriormente, los archivos obsoletos representan un riesgo de seguridad porque dejan su sitio vulnerable a otras vulnerabilidades. Es por eso que necesita instalar actualizaciones tan pronto como se publiquen.

Mientras lo hace, asegúrese de revisar regularmente los complementos instalados y desactivar y eliminar los complementos que ya no está utilizando.

8. Proteja su computadora

Tal vez se pregunte qué tiene que ver su computadora con su sitio web. Si su computadora está infectada con un virus y usted accede a su sitio o carga archivos en él, esos archivos infectados también pueden infectar su sitio web. En resumen, desea asegurarse de:

  • Evite el uso de redes wifi públicas para acceder a su sitio
  • Instale un software antivirus y asegúrese de que esté actualizado

9. Cambie el prefijo de su base de datos

Otro hecho bien conocido por los hackers de WordPress es que el prefijo de su base de datos está configurado en wp. Este hecho les facilita adivinar el prefijo de la tabla y usar inyecciones SQL automatizadas para obtener acceso a su sitio.

Cambiar el prefijo de su base de datos es un proceso manual que implica editar su wp-config.php archivo y cambiar los nombres de las tablas usando phpMyAdmin. Antes de realizar el cambio, asegúrese de hacer una copia de seguridad de su sitio como medida preventiva.

Edición de wp-config

Deberá iniciar sesión en su cuenta de hosting y acceder a su cPanel o al panel de control que esté utilizando su host. Luego, acceda al Administrador de archivos y localice su wp-config.php archivo en el directorio de WordPress.

Busque la línea de prefijo de tabla que se ve así: $ table_prefix seguido de un signo = y el prefijo de la tabla en sí. Reemplace la cadena predeterminada con su propio prefijo usando una combinación de números, guiones bajos y letras de la siguiente manera:

$ table_prefix = ‘hgwp_3456_’;

Una vez que haya terminado de editar el wp-config.php archivo, salga del Administrador de archivos y acceda a phpMyAdmin para que pueda cambiar todos los nombres de tabla. Hacer esto manualmente puede ser tedioso ya que hay 11 tablas en total que necesita editar. En cambio, puede ingresar una consulta SQL yendo a la pestaña SQL

ejecutando una consulta SQL

Luego ingrese esto:

RENAME la tabla `wp_commentmeta` TO` hgwp_3456_commentmeta`;

RENAME la tabla `wp_comments` TO` hgwp_3456_comments`;

RENAME la tabla `wp_links` TO` hgwp_3456_links`;

RENAME la tabla `wp_options` TO` hgwp_3456_options`;

RENAME la tabla `wp_postmeta` TO` hgwp_3456_postmeta`;

RENAME la tabla `wp_posts` TO` hgwp_3456_posts`;

RENAME la tabla `wp_terms` TO` hgwp_3456_terms`;

RENAME la tabla `wp_termmeta` TO` wp_a123456_termmeta`;

RENAME la tabla `wp_term_relationships` TO` hgwp_3456_term_relationships`;

RENAME la tabla `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

RENAME la tabla `wp_usermeta` TO` hgwp_3456_usermeta`;

RENAME la tabla `wp_users` TO` hgwp_3456_users`;

Si bien la consulta anterior debería cambiar el prefijo de su base de datos en todas partes, es una buena idea ejecutar otra consulta para asegurarse de que se actualicen los otros archivos que utilizan el prefijo de la base de datos anterior:

SELECCIONAR * DESDE `hgwp_3456_options` DONDE` option_name` LIKE '% wp_%'

También querrás buscar la carpeta de usuario y reemplazar los prefijos antiguos restantes por el nuevo:

SELECCIONE * DE `hgwp_3456_usermeta` DONDE` meta_key` ME GUSTA '% wp_%'

10. Endurezca sus archivos .htaccess y wp-config.php

.htaccess y wp-config.php son los archivos más importantes en tu instalación de WordPress. Como tal, debe asegurarse de que estén seguros y protegidos.

Simplemente agregue los códigos a continuación a su archivo .htaccess, fuera de las etiquetas # BEGIN WordPress y # END WordPress para asegurarse de que los cambios no se sobrescriban con cada nueva actualización.



orden permitir, negar

Negar todo





orden permitir, negar

Negar todo





orden negar, permitir

Negar todo

# permitir el acceso desde mi dirección IP

permitir desde 192.168.1.1

Los fragmentos anteriores protegerán su wp-config y .htaccess, así como limitarán el acceso a wp-login.php pantalla.

Por último, agregue el fragmento a continuación para evitar la ejecución de archivos PHP:



Negar todo

11. Verifique y cambie los permisos de archivo

Cuando haya terminado de asegurar su .htaccess y wp-config.php archivo, quédese un poco más en su cPanel y verifique los permisos de archivo para los archivos y carpetas en su sitio web de WordPress.

Permisos de archivo

De acuerdo con la Códice de WordPress, los permisos deben establecerse de la siguiente manera:

  • Todos los directorios deben ser 755 o 750
  • Todos los archivos deben ser 644 o 640
  • wp-config.php debería ser 600

Si su configuración es diferente, los piratas informáticos podrían leer fácilmente el contenido, así como cambiar el contenido de los archivos y carpetas, lo que puede hacer que su sitio sea pirateado y que otros sitios en el mismo servidor sean pirateados.

12. Use la autenticación de dos factores

Considere usar un complemento como Autenticador de Google configurar la autenticación de dos factores para su sitio. Esto significa que además de ingresar su contraseña, también deberá ingresar un código generado por una aplicación móvil para iniciar sesión en su sitio. Esto puede detener los ataques de fuerza bruta, por lo que es una buena idea configurarlo ahora.

Autenticador de Google

13. Desactivar XML-RPC

XML-RPC permite que su sitio establezca una conexión con aplicaciones móviles de WordPress y complementos como Jetpack. Desafortunadamente, también es uno de los favoritos de los piratas informáticos de WordPress porque pueden abusar de este protocolo para ejecutar varios comandos a la vez y obtener acceso a su sitio. Use un complemento como Deshabilitar el complemento XML-RPC para deshabilitar esta función.

Deshabilitar XML-RPC

14. Use HTTPS y SSL

Internet ha estado repleto de publicaciones de blog y artículos sobre la importancia del protocolo HTTPS y la adición de certificados de seguridad SSL a su sitio desde hace bastante tiempo..

HTTPS significa Protocolo de transferencia de hipertexto seguro, mientras que SSL significa Capas de sockets seguros. En pocas palabras, HTTPS permite al navegador del visitante establecer una conexión segura con su servidor de alojamiento (y, por lo tanto, su sitio). El protocolo HTTPS está asegurado a través de SSL. Juntos, HTTPS y SSL aseguran que toda la información entre el navegador de un visitante y su sitio esté encriptada.

El uso de ambos en su sitio no solo aumentará la seguridad de su sitio, sino que también beneficiará la clasificación de su motor de búsqueda, establecerá confianza en sus visitantes y mejorar su tasa de conversión.

Hable con su proveedor de alojamiento y pregunte sobre la posibilidad de obtener un certificado SSL o indicarle la dirección de una empresa acreditada donde puede comprar uno..

15. Deshabilite la edición de temas y complementos a través de su panel de WordPress

Tener la opción de editar su tema y archivos de complemento directamente en su panel de WordPress es útil cuando necesita agregar rápidamente una línea de código. Pero también significa que cualquiera que inicie sesión en su sitio puede acceder a esos archivos.

Deshabilite esta función agregando el siguiente código a su wp-config.php archivo:

// No permitir editar archivos

define ('DISALLOW_FILE_EDIT', verdadero);

16. Mueva el archivo wp-config.php a un directorio que no sea WWW

Como se mencionó anteriormente, el wp-config.php El archivo es uno de los archivos más importantes en su instalación de WordPress. Haga que sea más difícil acceder moviéndolo desde el directorio raíz a un directorio no accesible por www..

  1. Para empezar, copie el contenido de su wp-config.php archivo en un nuevo archivo y guárdelo como wp-config.php.
  1. Vuelve a tu viejo wp-config.php archivo y agregue la línea de código a continuación:
  1. Sube y guarda el nuevo wp-config.php archivo a una carpeta diferente.

17. Cambie sus claves de seguridad de WordPress

Las claves de seguridad de WordPress son responsables de encriptar la información almacenada en las cookies del usuario. Están ubicados en el wp-config.php presentar y verse así:

define ('AUTH_KEY', 'pon tu frase única aquí');

define ('SECURE_AUTH_KEY', 'pon tu frase única aquí');

define ('LOGGED_IN_KEY', 'pon tu frase única aquí');

define ('NONCE_KEY', 'pon tu frase única aquí');

define ('AUTH_SALT', 'pon tu frase única aquí');

define ('SECURE_AUTH_SALT', 'pon tu frase única aquí');

define ('LOGGED_IN_SALT', 'pon tu frase única aquí');

define ('NONCE_SALT', 'pon tu frase única aquí');

Utilizar el Generador de claves de sales de WordPress para cambiarlos y hacer que su sitio sea más seguro.

18. Desactivar informe de errores

El informe de errores es útil para solucionar problemas y determinar qué complemento o tema específico está causando un error en su sitio web de WordPress. Sin embargo, una vez que el sistema informa un error, también mostrará la ruta del servidor. No es necesario decir que esta es una oportunidad perfecta para que los hackers descubran cómo y dónde pueden aprovechar las vulnerabilidades en su sitio..

Puede deshabilitar esto agregando el siguiente código a su wp-config.php archivo:

error_reporting (0);

@ini_set ('display_errors', 0);

19. Eliminar el número de versión de WordPress

Cualquiera que eche un vistazo al código fuente de su sitio web podrá saber qué versión de WordPress está utilizando. Dado que cada versión de WordPress tiene registros de cambios públicos que detallan la lista de errores y parches de seguridad, pueden determinar fácilmente qué agujeros de seguridad pueden aprovechar.

Versión de WordPress

Afortunadamente, hay una solución fácil. Puede eliminar el número de versión de WordPress editando el archivo functions.php de su tema y agregando lo siguiente:

remove_action ('wp_head', 'wp_generator');

20. Use encabezados de seguridad

Otra forma de asegurar su sitio web de WordPress es implementar encabezados de seguridad. Por lo general, se configuran en el nivel del servidor para evitar ataques de piratería y reducir el número de vulnerabilidades de seguridad. Puede agregarlos usted mismo modificando el tema funciones.php archivo.

Encabezados de seguridad

Ataques de guiones cruzados

Agregue el siguiente código a la lista blanca de contenido permitido, script, estilos y otras fuentes de contenido:

header ('Content-Security-Policy: default-src https:');

Esto evitará que el navegador cargue archivos maliciosos.

Iframe clickjacking

Agregue la línea a continuación para indicarle al navegador que no represente una página en un marco: encabezado ("X-Frame-Options: SAMEORIGIN");

X-XSS-Protection y X-Content-Type-Options

Agregue las siguientes líneas para evitar ataques XSS y dígale a Internet Explorer que no huela los tipos mime

encabezado ('X-XSS-Protection: 1; mode = block');

header ('X-Content-Type-Options: nosniff');

Hacer cumplir HTTPS

Agregue el código a continuación para indicarle al navegador que solo use HTTPS:

header ('Strict-Transport-Security: max-age = 31536000; includeSubdomains; preload');

Cookie con HTTPOnly y bandera segura en WordPress 

Dígale al navegador que confíe solo en la cookie establecida por el servidor y que la cookie está disponible a través de canales SSL agregando lo siguiente:

@ini_set ('session.cookie_httponly', verdadero);

@ini_set ('session.cookie_secure', verdadero);

@ini_set ('session.use_only_cookies', verdadero);

Si no desea agregar estos encabezados manualmente, considere usar un complemento como Encabezados de seguridad. Independientemente del método que elija para implementar los encabezados de seguridad, asegúrese de probarlos utilizando https://securityheaders.io sitio web e ingresar la URL de su sitio.

21. Prevenir Hotlinking

Hotlinking no es una violación de seguridad per se, pero teniendo en cuenta que se refiere a otro sitio web que utiliza la URL de su sitio para apuntar directamente a una imagen u otro archivo multimedia, se considera robo. Como tal, el enlace directo puede generar costos inesperados no solo porque tendrá que lidiar con ramificaciones legales, sino también porque su factura de alojamiento puede pasar por alto si el sitio que robó su imagen recibe mucho tráfico.

Agregue el siguiente código a su archivo .htaccess si está utilizando el servidor Apache y reemplace el dominio ficticio con su nombre de dominio real:

RewriteEngine en

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Alternativamente, si está utilizando servidores NGINX, querrá modificar su archivo de configuración con lo siguiente:

ubicación ~. (gif | png | jpe? g) $ {

valid_referers ninguno bloqueado ~ .google. ~ .bing. ~ .yahoo yourdomain.com * .yourdomain.com;

if ($ invalid_referer) {

volver 403;

}

}

22. Cerrar sesión usuarios inactivos

El último consejo en esta guía para aumentar la seguridad de su sitio es cerrar la sesión de los usuarios inactivos después de un período de inactividad. Puedes usar un complemento como Cierre de sesión inactivo para finalizar automáticamente las sesiones inactivas.

Cierre de sesión inactivo

Esto es necesario porque si inicia sesión en su sitio web para agregar una nueva publicación de blog y se distrae con otra tarea, su sesión puede ser secuestrada y los piratas informáticos pueden abusar de la situación para infectar su sitio. Es aún más importante finalizar las sesiones inactivas si tiene varios usuarios en su sitio.

Cómo recuperarse de un truco

Las medidas de seguridad anteriores son una excelente manera de asegurar su sitio. ¿Pero qué pasa si su sitio es pirateado de todos modos? Aquí hay algunos pasos a seguir en caso de que su sitio web haya sido pirateado.

1. Confirme el pirateo y cambie su contraseña

Si su sitio fue pirateado, en primer lugar, no se asuste. Esto no lo ayudará y la acción está hecha, por lo que es importante actuar rápidamente. Comience por verificar su sitio y vea si puede iniciar sesión en su tablero. Compruebe si su sitio está redirigiendo a otro sitio o si ve algún enlace o anuncio sospechoso o extraño.

Cambie su contraseña de inmediato y luego continúe con el siguiente paso.

2. Póngase en contacto con su empresa de alojamiento

Póngase en contacto con su anfitrión y hágales saber que su sitio ha sido pirateado. Pueden ayudarlo a identificar la fuente del hack. Algunos hosts también limpiarán su sitio y eliminarán el código y los archivos maliciosos.

Use una copia de seguridad para restaurar su sitio

Si ha sido diligente al hacer una copia de seguridad de su sitio, ubique una copia de seguridad anterior al pirateo y úsela para restaurar su sitio. Si bien puede perder parte del contenido, podrá poner en funcionamiento su sitio como estaba antes del ataque..

3. Escanee su sitio en busca de malware

Use el escáner gratuito de Sucuri para escanear su sitio en busca de malware e identificar los archivos comprometidos. También puede optar por su servicio de limpieza del sitio si no sabe cómo eliminar el malware usted mismo.

4. Compruebe los usuarios de su sitio

Inicie sesión en su sitio web de WordPress y vaya a Usuarios> Todos los usuarios. Asegúrese de que no haya usuarios que no deberían estar allí y elimínelos si es necesario.

5. Cambia tus llaves secretas

Use el generador de claves de sal de WordPress antes mencionado para generar nuevas claves de seguridad y agregarlas a su archivo wp-config.php. Dado que esas claves cifran su contraseña, los hackers permanecerán conectados hasta que se invaliden sus cookies. Las nuevas claves de seguridad harán exactamente eso y forzarán al hacker a salir de su sitio.

6. Contrata a un profesional

Finalmente, contrate a un profesional para limpiar el hack y eliminar el malware de su sitio. Tenga en cuenta que los piratas informáticos pueden ocultar el código malicioso en varios archivos, por lo que si no tiene experiencia en la eliminación de malware, es fácil perder un archivo infectado. Esto facilita a los hackers volver a hackear su sitio, por lo que se recomienda contratar a un profesional.

7 tipos más comunes de vulnerabilidades de WordPress

Antes de continuar con este artículo, abordemos al elefante en la habitación: ¿es seguro WordPress? La respuesta a esa pregunta es sí. El núcleo del software de WordPress es seguro y la compañía detrás de WordPress se toma muy en serio la seguridad.

Su equipo de seguridad cuenta con 50 expertos a bordo que incluyen desarrolladores líderes e investigadores de seguridad que trabajan detrás de escena para garantizar que WordPress sea seguro.

De hecho, la mayoría de los incidentes y riesgos de seguridad son el resultado de un error humano emparejado con la presencia de una vulnerabilidad de seguridad.

Hay siete tipos de vulnerabilidades de WordPress que debe conocer:

  • Archivos de WordPress obsoletos
  • Hazañas de puerta trasera
  • Hacks farmacéuticos
  • Contraseñas débiles
  • Redireccionamientos maliciosos
  • Vulnerabilidades en la plataforma de alojamiento
  • Ataques de denegación de servicio

Repasemos y expliquemos qué son exactamente.

1. Archivos de WordPress obsoletos

Los archivos obsoletos de WordPress se refieren a la versión de WordPress, el tema y los archivos de complemento. Representan un riesgo para la seguridad porque dejan su sitio expuesto a otras vulnerabilidades, como las vulnerabilidades de la puerta trasera y los piratas informáticos..

Como tal, debe asegurarse de que su instalación de WordPress esté actualizada, así como su tema y complementos. Debe aplicar las actualizaciones de forma proactiva a medida que se lanzan porque no solo vienen con nuevas características sino que también incluyen varias correcciones de seguridad y errores.

2. Exploits de puerta trasera

Cuando se trata de exploits de puerta trasera, los piratas informáticos aprovecharán los archivos obsoletos de WordPress para obtener acceso a su sitio. Además de los archivos obsoletos, también pueden obtener acceso a su sitio a través de SFTP, FTP y similares..

Una vez que tengan acceso a su sitio, infectarán su sitio y también pueden infectar otros sitios que están en el mismo servidor que su sitio. Las inyecciones en la puerta trasera se parecen a los archivos normales de WordPress para el usuario inexperto. Pero detrás de escena, aprovechan los errores en los archivos obsoletos para acceder a su base de datos y causar estragos en su sitio, así como en miles de otros sitios web..

3. Pharma Hacks

Los piratas informáticos se refieren a vulnerabilidades de vulnerabilidades en archivos obsoletos de WordPress donde un pirata informático inserta código en esos archivos. Una vez que se inserta el código, los motores de búsqueda muestran anuncios de productos farmacéuticos en lugar de su sitio web. Esto puede provocar que los motores de búsqueda marquen su sitio web como spam.

4. Contraseñas débiles

Las contraseñas débiles pueden ser fáciles de recordar, pero también facilitan el acceso de los piratas informáticos a su sitio a través de un ataque de fuerza bruta. Un ataque de fuerza bruta ocurre cuando un hacker usa scripts automáticos que se ejecutan en segundo plano para intentar varias combinaciones de nombre de usuario y contraseña hasta que encuentran una combinación que funcione.

5. Redirecciones maliciosas

De manera similar al uso de archivos obsoletos y el protocolo FTP o SFTP para inyectar código que resulta en un pirateo farmacéutico o una explotación de puerta trasera, los hackers usarán el archivo .htaccess en su instalación de WordPress para redirigir a sus visitantes a un sitio web malicioso.

Sus visitantes pueden terminar con un virus o ser presa del phishing.

6. Vulnerabilidades en la plataforma de alojamiento

A veces, la seguridad de su sitio web puede verse comprometida porque está utilizando una empresa de alojamiento que no tiene características de seguridad como un firewall o monitoreo de archivos. Este suele ser el caso con proveedores de alojamiento más baratos, lo que significa que elegir un host más barato, irónicamente, le costará más si su sitio es pirateado.

Tenga en cuenta que las plataformas de alojamiento más baratas también representan un mayor riesgo de seguridad porque su sitio podría infectarse o piratearse como resultado de que los piratas informáticos exploten vulnerabilidades en otro sitio web alojado en el mismo servidor.

7. Ataques de denegación de servicio

Los ataques de denegación de servicio o DDOS son una de las amenazas más peligrosas para cualquier propietario de un sitio web. En un ataque DDOS, un pirata informático explotará errores y errores en el código causando que la memoria del sistema operativo de su sitio se vea desbordada. Los ataques DDOS generalmente derribarán una gran cantidad de sitios que usan una plataforma específica, como WordPress.

Ahora que sabe cuáles son las vulnerabilidades comunes asociadas con WordPress, pasemos a los consejos, las mejores prácticas y las recomendaciones de seguridad que lo ayudarán a proteger su sitio de WordPress.

Terminando

WordPress es un CMS potente y popular que facilita la creación de un sitio web para cualquier persona. Pero debido a que es tan popular, también es un objetivo favorito para los hackers. Afortunadamente, hay una serie de pasos que puedes seguir para proteger tu sitio de WordPress y si sigues los consejos de este artículo, estarás en camino de tener un sitio web seguro de WordPress.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map