Si llegó a esta publicación, probablemente ya comprenda la importancia de un sitio web para la estrategia digital de una empresa, comenzando con la elección de una plataforma adecuada para administrarla.
WordPress es una de las plataformas de publicación de contenido más utilizadas. Pero, ¿cómo asegurarse de que el sitio esté bien protegido? ¿Cómo tener una buena seguridad en WordPress?
Los ataques de piratas informáticos son cada vez más habituales y pueden resultar letales cuando dañan su sitio web, ya que es el principal canal online para generar nuevos negocios. Por esta razón, aquí están los 17 consejos que debe conocer para que su sitio de WordPress sea completamente seguro:
- 1. Cree copias de seguridad frecuentes
- 2. Inicie sesión con su correo electrónico
- 3. Cambie la URL de inicio de sesión de su sitio web.
- 4. Proteja aún más el archivo wp-config.php
- 5. Aumente la seguridad del directorio wp-admin
- 6. Utilice la autenticación de dos factores
- 7. Tener un certificado SSL
- 8. Mantenga los temas y complementos actualizados
- 9. Tenga cuidado al elegir temas
- 10. Utilice contraseñas seguras en la plataforma
- 11. Elimina archivos innecesarios
- 12. Evite el spam
- 13. Impedir el registro de nuevos usuarios
- 14. Asigne los permisos adecuados para archivos y carpetas
- 15.Asegúrese de que el archivo de depuración esté bien protegido
- 16. Cambie el prefijo de la tabla de la base de datos.
- 17. Conecte el servidor correctamente
¡Continúa leyendo y échales un vistazo!
¡17 formas de proteger su sitio web de WordPress!
1. Cree copias de seguridad frecuentes
Piense en el siguiente ejemplo: tiene un sitio web corporativo con mucho contenido, que va desde páginas que describen sus productos o servicios hasta una lista de clientes que le han comprado y artículos creados en su blog. ¿Y si, de repente, todo desaparece? ¿Qué harías?
Sí, esto es posible, por razones como un problema con su servidor o incluso una invasión en su sitio por malware o un competidor. No creas que no te va a pasar.
Por ejemplo, ¿sabía que los competidores de Microsoft solían buscar información sobre la empresa en la basura que tiraba? Por lo tanto, asegúrese de hacer una copia de seguridad de su sitio periódicamente para que toda su información esté segura.
2. Inicie sesión con su correo electrónico
Al crear un sitio de WordPress, puede optar por iniciar sesión con un nombre de usuario o correo electrónico. Para una mayor seguridad de WordPress, te recomendamos que elijas el correo electrónico y te explicaremos por qué.
Los nombres de usuario son fáciles de predecir, lo que facilita que alguien los descubra, especialmente si es su nombre de pila.
Los correos electrónicos son más difíciles, incluso si son para uso corporativo, ya que solo los miembros de tu empresa y las personas con las que estableces contacto lo sabrán . Entonces, si tiene otro correo electrónico que pocas personas conocen, es más apropiado usarlo.
3. Cambie la URL de inicio de sesión de su sitio web.
Todos los sitios de WordPress tienen, de forma predeterminada, la URL http: //yoursiteaddress.com/wp-admin. Cuando los piratas informáticos intentan ingresar a su sitio, intentan iniciar sesión en esa página a la fuerza, utilizando un GWDb (abreviatura de Guess Work Database).
Es decir, una base de datos que contiene varias combinaciones de nombres de usuario y contraseñas. Cuando uno de ellos coincide, el atacante puede ingresar a su sitio web.
Es por eso que debe cambiar la URL de inicio de sesión y eliminar las posibilidades de que eso suceda. Para hacerlo, use el complemento iThemes Security , que le permite cambiar / wp-admin / a cualquier otra cadena de texto de su elección.
4. Proteja aún más el archivo wp-config.php
El archivo wp-config.php contiene información sobre la instalación de WordPress, siendo el elemento más importante de su sitio. Por tanto, debe ser el más protegido frente a ataques virtuales.
Trabajar para protegerlo aún más para que el archivo sea inaccesible para los atacantes es bastante simple. Solo necesita mover el archivo wp-config.php a un nivel superior dentro de su directorio raíz .
La arquitectura de WordPress permite que el servidor acceda al archivo, incluso si se encuentra en otra parte del sistema. Los invasores no lo verán, pero WordPress lo hará.
5. Aumente la seguridad del directorio wp-admin
Hablando de wp-admin, debemos recordar que es el directorio principal de su sitio de WordPress, por lo que puede corromperse por completo si se viola esa parte. Por lo tanto, intente protegerlo con una contraseña para que solo el administrador del sitio pueda acceder.
Esto hace que la página de inicio de sesión, además de mostrar el nombre de usuario y la contraseña, también solicite una segunda contraseña para otorgar acceso. Hay complementos, como AskApache Password Protect , destinados a proteger esta área. Pero también puede elegir la autenticación de dos factores , de la que hablaremos a continuación.
6. Utilice la autenticación de dos factores
La seguridad de WordPress no debe limitarse al sitio web, sino también al sistema que utiliza para iniciar sesión; debe estar protegido de la misma manera. Una forma de hacerlo es mediante la autenticación de dos factores.
Esta autenticación trae la necesidad de un doble inicio de sesión en su sitio web para garantizar una mayor seguridad. Por lo tanto, evita que intrusos ingresen al sistema y tengan acceso a sus datos .
Además del nombre de usuario y la contraseña, cuando utilice la autenticación de dos factores, también debe ingresar un código. Se le puede enviar por correo electrónico, SMS u otro medio.
7. Tener un certificado SSL
Un certificado SSL es esencial para hacer que su sitio web de WordPress sea seguro al garantizar la protección de sus visitantes, especialmente si necesitan ingresar información personal y de tarjetas de crédito. También aumenta las posibilidades de indexación de su sitio web, ya que los sitios seguros forman parte de los criterios de clasificación de Google .
Para obtener un certificado, debe comunicarse con su servidor de alojamiento ; muchos lo ofrecen de forma gratuita. Después de activarlo, debe aplicarlo en WordPress utilizando el complemento Really Simple SSL.
8. Mantenga los temas y complementos actualizados
Uno de los primeros pasos que debe tomar al crear un sitio de WordPress es elegir un tema que se aplicará. También llamadas plantillas, existen varios tipos que puede seleccionar para que el sitio web se vea como su empresa.
Además del diseño, los temas también traen características que satisfacen sus necesidades. Sin embargo, para que funcionen bien, debe instalar actualizaciones siempre que se publiquen . De lo contrario, la plantilla puede perder algunas de sus funciones y no funcionar correctamente.
Lo mismo se aplica a los complementos que agregan funciones específicas al sitio, como un formulario de contacto, botones de redes sociales, la creación de banners de generación de leads, etc. Cada vez que tienen actualizaciones, debes instalarlas para que no haya problemas.
9. Tenga cuidado al elegir temas
Esto es muy importante para la seguridad de WordPress. Para tener un sitio web profesional centrado en los resultados, se recomienda que utilice un tema premium. Por mucho que WordPress tenga una variedad de plantillas gratuitas, generalmente están dirigidas a blogs o sitios web personales.
Sin embargo, te dejamos una advertencia: compra la plantilla, no cometas el error de descargarla vía piratería. Además de ser ilegal, pone en riesgo su sitio, ya que el archivo puede contener algún tipo de virus o malware y dañar su sitio.
Además, al comprar el tema de esta manera, tampoco tienes derecho al equipo de soporte premium, en caso de que tengas algún problema o necesites ayuda para adaptar la plantilla a las necesidades de tu sitio web.
10. Utilice contraseñas seguras en la plataforma
Al configurar su contraseña para acceder al panel de WordPress, el propio CMS señala si es débil, medio o fuerte. Por mucho que las más débiles sean más fáciles de recordar, opta siempre por contraseñas seguras que no sean muy obvias.
Después de todo, ciertos accesos deben restringirse internamente dentro de la empresa. Además, debe protegerse de las intrusiones que pueden ocurrir debido al uso de contraseñas débiles.
WordPress mismo genera contraseñas automáticas como sugerencia. Pero si quieres crear el tuyo propio intenta usar letras mayúsculas y minúsculas, así como números y algún carácter especial .
11. Elimina archivos innecesarios
¿Sabes cuál es el tiempo más largo que la gente suele esperar para que se cargue un sitio web? Tres segundos. Por lo tanto, si su sitio tarda más en mostrar su contenido completo, tenga en cuenta que muchas personas pueden optar por abandonarlo antes de realizar cualquier tipo de conversión .
Uno de los factores que ralentiza los sitios web es la cantidad excesiva de archivos que contienen: imágenes, documentos, videos, entre otros. Por supuesto, algunos necesitan estos archivos para brindar una mejor experiencia a sus visitantes. Pero para aquellos que no son necesarios, se recomienda que los excluya para optimizar la velocidad del sitio web.
12. Evite el spam
La verdad sea dicha: a nadie le gusta el spam. Se ve comúnmente en los mensajes de correo electrónico, aunque también se puede ver en las redes sociales. Pero debes preguntarte: ¿cómo se puede aplicar en sitios web?
La forma más común es en respuesta a sus formularios de contacto y a través de comentarios de blogs. Por este motivo, se recomienda tener herramientas de comentarios dedicadas, como Disqus .
Sin embargo, las técnicas de spam son más avanzadas hoy en día, ya que invaden tu sitio e inyectan códigos que solo se muestran a los bots de Google, lo que dificulta tu indexación en SERP . Esto refuerza la necesidad de un sitio web seguro para que este tipo de amenaza no ocurra.
13. Impedir el registro de nuevos usuarios
Un sitio de WordPress puede tener varias personas involucradas en él, de acuerdo con sus funciones. Pero es necesario que se elijan cuidadosamente. Consulte los roles de WordPress a continuación:
- Super Admin: tiene acceso a todas las funciones del sitio;
- Administrador: tiene acceso a casi todas las funciones;
- Editor: puede publicar contenido tanto en las páginas como en el blog;
- Autor: también puede crear contenido pero solo administrar sus propias publicaciones;
- Colaborador: puede producir contenido pero no puede publicarlo;
- Suscriptor: puede administrar solo su propio perfil.
Por lo tanto, otorgue acceso a personas que se ajusten a cada función. Después de todo, los datos digitales principales de su empresa son administrados por WordPress, por lo que el perfil de administrador debe restringirse a unas pocas personas .
14. Asigne los permisos adecuados para archivos y carpetas
Además de los usuarios, también es importante que las carpetas y los archivos tengan permisos restringidos para preservar la seguridad de WordPress. Imagínese lo dañino que sería si alguien con acceso a ellos, incluso por accidente, eliminara un archivo esencial y dañara el rendimiento de la página.
Por lo tanto, asegúrese de que los archivos esenciales para el sitio web de su empresa, como wp-config.php, debug.log, entre otros, también estén restringidos solo a las personas involucradas en la administración del sitio web.
15.Asegúrese de que el archivo de depuración esté bien protegido
El archivo de depuración recopila la información más confidencial sobre su sitio web. Por lo tanto, debe mantenerse lo más oculto posible para que los atacantes no lo vean.
Si usted o un desarrollador que trabaja para su empresa necesita usar el archivo de depuración en algún momento, asegúrese de que debug.log tenga una configuración de permisos segura.
16. Cambie el prefijo de la tabla de la base de datos.
La base de datos se utiliza para almacenar y organizar información sobre su sitio web. El prefijo de su tabla está representado por wp-table. Al igual que con wp-admin, se recomienda que lo cambie a un nombre diferente.
Después de todo, usar el prefijo predeterminado hace que la base de datos sea vulnerable a los ataques . Si no está seguro de cómo realizar este cambio dentro del sitio, existen complementos que realizan esta función.
WP-DBManager es uno de ellos, como iThemes Security, que mencionamos anteriormente. Antes de realizar esta o cualquier modificación a su base de datos, le recomendamos que haga una copia de seguridad de su sitio.
17. Conecte el servidor correctamente
Al configurar su sitio web con el servidor, prefiera usar SFTP o SSH. Aunque se prefiere FTP, especialmente por los desarrolladores, los dos mencionados tienen más características de seguridad.
Por lo tanto, puede transferir archivos al host de una manera más segura. En realidad, existen servidores de alojamiento que ofrecen estos servicios, por lo que no tiene que ejecutarlos manualmente.
Si sigue estos 17 consejos de seguridad de WordPress, podrá proteger el sitio web de su empresa. De esa forma tendrás la tranquilidad de que tu negocio en Marketing Digital tenga éxito .
Sin embargo, una buena seguridad de WordPress no es suficiente si desea tener un sitio web exitoso. Para eso necesitas PAGESPEED. ¿Cómo es la velocidad de página de su sitio web? ¿Quieres comprobarlo gratis? Simplemente coloque su URL a continuación y compruebe cómo puede mejorar su rendimiento.
En Joypixel podemos ayudarte a crear, modificar o rediseñar tu página web corporativa o tienda online. Contacta ahora con nosotros y cuéntanos tu proyecto.
