Inscríbete en nuestro Máster Gratuito en Marketing Digital

100% en línea
80+ Horas
Horario Flexible
Con certificado
2M+ Alumnos
Blog opt in

Categoría:
Autor: Juan
Fecha: 02/08/2018

Cómo proteger un blog de WordPress - De novato a profesional

En los últimos tiempos, WordPress ha sido muy atacado por hackers.

Como WordPress usa MySQL y PHP, no es difícil encontrar una vulnerabilidad.

Aquí estoy compartiendo algunos consejos para principiantes que te ayuden a proteger tu blog de WordPress.

Estos son consejos básicos, pero a veces hacer caso omiso de ellos, puede llevar a perder tu blog de WordPress por algún hacker.

WordPress potencia alrededor del 30% de los sitios web en el mundo y actualmente es el CMS más popular, aparte del dedicado software de blogs.

Puedo decir con toda confianza que, como usuario de este asombroso CMS durante los últimos 9 años, simplemente me encanta el hecho de poder elegir entre miles de plugins de la base de datos en WordPress.

La base de datos del plugin nunca me ha fallado.

También, hay infinitas opciones cuando se trata de temas, desde el Genesis hasta Thrive y muchos otros.

Esa es la parte buena, pero, donde existe el bien, también existe el mal.

Mi sitio ha sido pirateado 3 veces en el pasado por algunos hackers, chinos y turcos (al menos eso es lo que dicen). Se infiltraron en mi sitio y lo dejaron con letras chinas en miles de páginas.

La mayoría de los ataques informáticos, se realizan mediante algo llamado inyección SQL.

Hoy en día, se ha convertido en una necesidad hacer todas las medidas preliminares de protección para mantener a raya a estos hackers.

Consejos probados para proteger cualquier blog de WordPress

  1. Configurar copias de seguridad

A pesar de que he dado muchos consejos probados para proteger tu blog de WordPress, debes asegurarte de que, si sucede algo, no perderás nada.

El "no" contar con una solución de respaldo de WordPress adecuada, es el mayor error que puedes cometer.

Cuando un gran sitio como Sony o Dropbox puede ser hackeado, tu blog de WordPress será relativamente más fácil de descifrar por un hacker.

Entonces, lo primero es asegurarte de que estás realizando una copia de seguridad diaria de tu blog.

Te sugiero que uses UpDraft para realizar copias de seguridad que gratis.

Podrías argumentar que tu empresa de hosting ofrece copias de seguridad, pero esta es solo una buena opción si almacenan la copia de seguridad en un servidor diferente.

  1. Utiliza una empresa de hosting confiable y segura

Tu instalación de WordPress es únicamente un software puesto en un servidor.

La base de un sitio web seguro es un servidor que tenga suficientes protecciones que aseguren la protección contra los hackers. Una empresa gratuita de alojamiento web es un gran no-no y algo que debes evitar.

Asegúrate de que tu empresa de hosting tenga las reglas adecuadas establecidas y cuente con firewalls para detener un ataque en tu sitio.

Entiendo que es difícil saber qué compañía de hosting es confiable contra los hackers, y es por eso que, he creado esta lista rápida de empresas de hosting que ofrecen una gran seguridad en su servidor:

  • Bluehost: uno de los mejores hosts que ofrece gran seguridad.
  • Hostgator: Fundado en 2001, es conocido por su gran calidad de hardware y su infraestructura de seguridad. También, migran tu sitio existente de forma gratuita.
  1. Actualiza WordPress

Mantener tu software de WordPress actualizado es el consejo de seguridad más básico para cualquier bloguero. Esto, es algo que nunca querrás perderte.

Cada vez que WordPress envía una actualización, significa que han corregido algunos errores, han agregado algunas características, entre ellas las de seguridad y correcciones.

Cuando veas el mensaje: "WordPress x.x.x está disponible".

¡Actualízala!

Hoy en día, con actualizaciones de un clic, es muy fácil mejorar tu blog.

Asegúrate de que tu tema y tus plugins sean compatibles con esta última versión de WordPress. Si se ha implementado una actualización y no es una de seguridad, te sugiero que esperes entre 5 y 6 días antes de que otros usuarios dejen de informar errores en la última versión.

  1. Actualiza los complementos de WordPress

Como mencioné anteriormente, WordPress publica una actualización para corregir errores y agujeros de seguridad y lo mismo ocurre con los plugins.

Muchas veces, un plugin o script vulnerable puede causar un punto de entrada en su sitio de WordPress. Uno de los problemas que hemos visto en el pasado, es la vulnerabilidad de Timthumb.

Esto se debió a un script y muchos complementos que usaban esto, también se volvieron vulnerables.

Es importante mantener tus plugins actualizados. Utiliza siempre complementos que se actualicen continuamente y tengan un buen soporte. Depender de plugins que no se actualizan es una mala idea.

Además, recuerda siempre usar el repositorio oficial de WordPress para descargar plugins.

  1. Ocultar la versión de WordPress

Supongamos que no tienes esos 2 minutos para actualizar tus archivos principales de WordPress. La versión de WP listada puede provocar una idea para un hacker. Si estás ejecutando una versión anterior de WP y todos lo saben, confía en mí, estás condenado.

La mayoría de los diseñadores de temas en estos días se deshacen de él, pero sólo para asegurarte, ve a tu functions.php y agrega esta línea:

<? php remove_action ('wp_head', 'wp_generator'); ?>

  1. Utiliza una contraseña de inicio de sesión compleja

No debería tener que mencionar esto, pero conozco demasiadas personas que usan contraseñas ingeniosas e increíblemente complejas como:

  • contraseña
  • amoajesus
  • 123123

Magnífico.

Por favor, haz tus contraseñas complejas, agrega un par de caracteres especiales (% y * #), y continúa cambiándola cada 5 o 6 meses.

También, me gustaría recomendar un plugin llamado Login Lockdown. Este complemento registrará todas las IP y marcas de tiempo de los intentos de inicio de sesión fallidos. Después de una cantidad específica de intentos fallidos desde una IP particular, la IP estará en la lista negra. Esto, ayuda mucho, a prevenir cualquier ataque de fuerza bruta. También, puedes usar el plugin WPS hide login para ocultar tu URL de inicio de sesión y hacer difícil que los hackers empleen la fuerza bruta en esta.

Al final, también debes comenzar a usar un administrador de contraseñas como Dashlane que te ayudará a mejorar aún más la seguridad de tu contraseña.

Lee también:

  • Cómo los hackers secuestran tu contraseña.
  • Crea una contraseña fuerte e inteligente.
  1. Verifica los permisos de archivo de las carpetas WordPress

Ve al administrador de archivos en tu cPanel, o inicia sesión en tu software FTP y verifica los atributos de archivo de tu carpeta de WordPress.

Es bueno si es 744 (solo lectura). Si te aparece que es 777, considérate extremadamente afortunado de que todavía no te hayan hackeado.

Cuando la mayoría de los blogueros cambian el hosting, no se dan cuenta de cómo cambian los permisos de sus archivos. Asegúrate de verificar todos los permisos de archivos después de migrar tu hosting.

  1. Eliminar usuario administrador predeterminado

Este es uno de los consejos más importantes para las personas que buscan crear un blog de WordPress seguro. El nombre de usuario de "administrador" predeterminado es propenso a los ataques de fuerza bruta porque la mayoría de las personas nunca lo cambia.

Cuando instales WordPress, asegúrate de emplear un nombre de usuario personalizado y no "administrador".

Puedes crear un nuevo usuario con derechos de "Administrador" y darle a este un apodo que se mostrará públicamente en caso de que escribas un post. Ahora, finaliza y vuelve a iniciar sesión en la cuenta de administrador recién creada y elimina el antiguo usuario de "administrador".

Asegúrate de atribuir todos los nombres de usuario y enlaces al nuevo usuario que has creado.

Aquí hay una forma alternativa de cambiar el nombre de usuario predeterminado:

  • Leer: Cómo cambiar el nombre de usuario predeterminado de WordPress
  1. Ocultar el directorio de plugins

La carpeta de complementos / wp-content / plugins / no debería mostrar la lista de carpetas y archivos dentro de ellos.

Intenta visitar tu carpeta de plugins (reemplaza domain.com con tu nombre de dominio):

  • domain.com/wp-content/plugins/

Si ves una lista de carpetas y archivos, necesitas ocultarlos.

Para ocultar estas carpetas, debes crear un nuevo archivo .htaccess y colocarlo en tu directorio de plugins.

# BEGIN WordPress

RewriteEngine en

RewriteBase /

RewriteCond% {REQUEST_FILENAME}! -f

RewriteCond% {REQUEST_FILENAME}! -d

RewriteRule. /index.php [L]

# Previene listado de directorio

IndexIgnore *

# END WordPress

Si ya tienes un archivo .htaccess bien escrito en tu directorio raíz, agregar un .htaccess por separado a una carpeta individual no causará ningún daño.

Además, echa un vistazo a esta publicación para comprender mejor cómo editar el archivo .htaccess.

  1. Desactivar errores de base de datos

En versiones anteriores de WordPress, si había errores en la base de datos MySQL, mostraría el error exacto en el navegador mismo, dando al hacker información valiosa sobre tu base de datos.

Para evitar esto, debes actualizar WordPress a la última versión, de modo que sólo muestre un mensaje de error general como "Error de conexión a la base de datos" en lugar de mostrar exactamente lo que está mal.

Inicia sesión en tu panel de WP y actualiza tus archivos principales de WordPress.

Crear un sitio web seguro de WordPress

Esto no es todo; hay muchos otros consejos que debes seguir para crear un blog seguro de WordPress. Un consejo que recomiendo encarecidamente, es que dejes de usar un tema de WordPress de pie de página encriptado.

Si te tomas en serio tu blog, descarga un tema del repositorio oficial o, mejor aún, utiliza un tema Premium de WordPress.

Una vez más, es una buena idea realizar copias de seguridad automáticas de tu blog de WordPress a intervalos regulares, para asegurarte de que siempre puedas revertir tu blog a un estado saludable.

Haznos saber qué otros consejos de seguridad te gustaría dar a otros blogueros para mantener tu blog de WordPress seguro. ¡Comparte tus consejos en los comentarios a continuación!

¡No te olvides de compartir esta publicación!

Por favor, comparte este artículo en todas las redes sociales que puedas, con un par de clics nos ayudas a crecer y a seguir creando contenido de calidad.

Como puedes ver, todo el contenido educativo que creamos para nuestros alumnos es de muy alta calidad.

Si eres Alumno TEMPORAL en Neetwork te recomendamos que te cambies cuanto antes a Alumno Premium o Alumno VIP. 

Ya que pronto se acabarán las plazas.

Para ser Alumno Premium simplemente tienes que comprar uno de nuestros hosting recomendados desde apenas 36 dólares o directamente comprar la Membresía VIP por 95 dólares.

Por unos cuantos dólares que te gastas en cualquier otra cosa, puedes tener formación actualizada de por vida en marketing digital y ser Miembro Vitalicio de la mejor Escuela de Negocios Digitales en español.

¡No pierdas esta oportunidad!

Neetwork Business School es la escuela de negocios digitales más grande de hispanoamérica. ¡Más de 5.000.000 de alumnos se han inscrito desde el 2017! Nuestro campus cuenta con más de 60 cursos y certificaciones (y contando). Inscríbete y lleva tus habilidades a otro nivel.
© 2024 Neetwork Online Business School B.V. Todos los derechos reservados.
crossmenu