10 consejos poco conocidos y muy efectivos para proteger tu blog de WordPress
Hacer que un blog sea pirateado y perder años tras años de blogging trabajo de la noche a la mañana es una triste realidad que la gente realmente ha vivido. De hecho, la investigación muestra que 37, 000 sitios web son hackeados todos los días, y con WordPress alimentando aproximadamente el 25.4% de todos los sitios web, puede estar seguro de que una buena cantidad de blogs de WordPress son pirateados todos los días.
La seguridad de WordPress es un juego de pelota completamente diferente; una vez que posee un blog de WordPress, consejos como tener un nombre de usuario que es difícil de adivinar y una contraseña que es tan difícil como el rock ya no es suficiente. Un solo tema con errores, el complemento incorrecto o un archivo incorrectamente protegido pueden provocar el pirateo de su blog durante la noche.
Ya sea que no tenga experiencia con WordPress, o que haya estado usando la plataforma desde su existencia, este artículo tiene 10 formas prácticas y eficaces para asegurar su blog de WordPress que cualquiera puede implementar. No encontrarás la mayoría de estos consejos en los artículos populares sobre "cómo proteger tu blog", ¡pero podrían guardar tu blog algún día!
1. Deshabilitar el WordPress Theme & Plugin Editor
WordPress tiene una función útil que les brinda a los propietarios de sitios más flexibilidad al permitirles personalizar y editar sus temas y complementos directamente desde el tablero de WordPress, pero esta característica ha sido la ruina de la mayoría de los blogs.
Con esta característica, un pequeño error puede bloquear su sitio y bloquearlo en su propio sitio web . Los hackers pueden insertar fácilmente código malicioso en su tema para darles acceso de puerta trasera a su sitio, o incluso hacerse cargo de su sitio por completo, al obtener el control de una cuenta que tiene suficientes privilegios para usar el tema y el editor de complementos.
Puede protegerse deshabilitando el plugin y el editor de temas, imposibilitando la modificación de sus temas y complementos sin acceso FTP .
Haga esto agregando el siguiente código a su archivo wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );
2. Habilite la autenticación de dos factores
La autenticación de dos factores se está convirtiendo rápidamente en una de las maneras más confiables de proteger sus cuentas en línea, y los sitios web más confiables insistirán en que sus usuarios lo habiliten.
Si bien WordPress no tiene necesariamente integrada la autenticación de dos factores, puede habilitar la autenticación de dos factores en su blog instalando los siguientes complementos:
- Autenticador de Google
- Authy
- Clave
- Rublon
3. Limite los inicios de sesión basados en el número de intentos fallidos
Hay muchas formas en que los piratas informáticos intentan acceder a tu blog, y una de las técnicas más comunes utilizada es un ataque de fuerza bruta: un hacker intenta una combinación de nombres de usuario y contraseñas, una y otra vez, hasta que pueda acceder con éxito tu blog.
Por defecto, WordPress no está protegido contra este ataque. Al instalar complementos que limitan los inicios de sesión después de una cierta cantidad de intentos fallidos desde una IP en particular, puede hacer que sea mucho más difícil para los hackers obtener acceso a su blog.El complemento Jetpack Protect Module también puede protegerlo de ataques de fuerza bruta.
4. Escanee su blog regularmente
Los archivos de temas, complementos, enlaces y otros elementos aparentemente inofensivos se pueden usar para obtener acceso a su blog. No espere hasta que su sitio web esté completamente infectado antes de tomar medidas. En su lugar, instale complementos de escaneo de seguridad para escanear regularmente su sitio web y notificarle si sus archivos cambian.
Un buen ejemplo de un plugin de escaneo de seguridad es Wordfence. Además de darte la opción de escanear tu blog de WordPress de forma manual / automática, también te avisa instantáneamente cuando hay actividad sospechosa en tu blog.
También envía información sobre comentarios potencialmente maliciosos, y compara tu tema y tus archivos de complemento con el repositorio de WordPress para informarte si tu versión de un complemento o tema ha sido modificada y puede servir como una puerta trasera para los piratas informáticos en tu sitio.
Otros complementos de seguridad que pueden ayudarlo a escanear su blog en busca de malware y vulnerabilidades son:
- Escáner de seguridad Sucuri
- Seguridad Acunetix WP
- iThemes Security (anteriormente conocido como "Better WP Security")
5. Cambia tu anfitrión
Si bien esto parece un consejo simplista, en realidad tiene mucho peso. La investigación muestra que el 41% de los sitios web de WordPress hackeados fueron pirateados a través de la vulnerabilidad de seguridad en su plataforma de alojamiento . Esto es mucho más que de otras fuentes, incluida una contraseña débil.
Su anfitrión puede jugar un papel importante en si será pirateado o no; asegúrese de elegir solo servidores web confiables que hayan resistido el paso del tiempo y que cumplan con las mejores prácticas de la industria .
6. Ocultar su número de versión de WordPress
Por defecto, WordPress muestra su número de versión de WordPress; esto hace que sea más fácil para WordPress hacer un seguimiento de cuántos blogs de WordPress están activos en todo el mundo. Sin embargo, esto también puede ser una gran fuente de problemas; Los piratas informáticos y los bots pueden buscar blogs en la web utilizando un número de versión de WordPress con una vulnerabilidad conocida, lo que lo convierte en un objetivo fácil.
Puede resolver este problema fácilmente al ocultar su número de versión de WordPress . Para ocultar su número de versión de WordPress, simplemente agregue el siguiente código a su archivo functions.php:
add_filter( 'the_generator', '__return_null' );
7. Deshabilitar Informes de Error PHP
Cuando un complemento o tema no funciona bien en su blog de WordPress, los informes de errores de PHP pueden ayudar mostrándole un mensaje que revela la causa del error. Sin embargo, en esta ventaja se encuentra una desventaja: cuando se informa un error de PHP, incluye la ruta completa del error, que revela información que los hackers pueden usar en su contra.
Puede protegerse deshabilitando el informe de errores de PHP . Simplemente agregue el siguiente código a su archivo wp-config.php:
error_reporting (0); @ini_set ('display_errors', 0);
8. Trabaja en tus permisos de archivos de WordPress
Cuando se trata de evitar que su sitio de WordPress se aproveche de la seguridad, es esencial asegurarse de tener los permisos de archivo correctos . Esto dificulta que un pirata informático manipule complementos, temas o archivos en su servidor para controlar su sitio web.
Asegúrese de que los permisos de la carpeta de WordPress estén configurados en 755 o 750; los permisos de archivos se establecen en 640 o 644; y ese permiso wp-config.php está establecido en 600.
9. Garantizar copias de seguridad periódicas
Incluso los grandes sitios web con un equipo de expertos en seguridad y consultores son pirateados, y aunque seguir las mejores prácticas puede hacer que su sitio web sea más fuerte que el 99.9% de los sitios web, las cosas aún pueden romperse.
La mejor seguridad que tienes contra los ataques de hackeo de WordPress es una buena copia de seguridad; asegúrese de realizar copias de seguridad de su sitio de forma periódica, si es posible, a diario. De esta forma, si su sitio web está pirateado, tiene sus archivos en su lugar y puede restaurarlos de inmediato .Estos son algunos de los mejores complementos de copia de seguridad de WordPress:
- BackUpWordPress
- ¡Listo! Apoyo
- VaultPress
- BackupBuddy
10. Limite el acceso a su página de inicio de sesión
Cuando se trata de empujar, es posible que tenga que tomar algunas medidas drásticas. Una forma muy confiable de proteger tu blog de los intentos de pirateo es bloquear completamente el acceso a tu página wp-admin y wp-login.php .
Esto solo se recomienda si usa una dirección IP que no cambia (¡no desea bloquear su blog!). Todavía puede usar esta opción si usa más de una dirección IP pero realiza un seguimiento de esas direcciones.
Para limitar el acceso a su página de inicio de sesión, agregue el siguiente código a su archivo .htaccess:
RewriteEngine en RewriteCond% {REQUEST_URI} ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% {REQUEST_URI} ^ (. *)? Wp-admin $ RewriteCond% {REMOTE_ADDR}! ^ Su Dirección IP 1 $ RewriteCond% {REMOTE_ADDR}! ^ Su dirección IP 2 $ RewriteCond% {REMOTE_ADDR}! ^ Su dirección IP 3 $ RewriteCond% {REMOTE_ADDR}! ^ Su dirección IP 4 $ RewriteCond% {REMOTE_ADDR}! ^ Su dirección IP 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Asegúrese de editar Su dirección IP 1 hasta Su dirección IP 5 con las diferentes direcciones IP a las que desea dar acceso; simplemente puede agregar o eliminar una línea para permitir o evitar que más IP accedan a su sitio.
Conclusión
Por supuesto, no debe ignorar los consejos básicos de seguridad, como no usar un nombre de usuario predecible, tener una contraseña segura, actualizar su instalación de WordPress regularmente, etc. Sin embargo, los anteriores son algunos consejos de seguridad poco conocidos e ignorados que pueden hacer que su El blog de WordPress es un poco más seguro.
Nota del editor : John Stevens escribió esta publicación para invitados en Hongkiat.com. John es un experto en hospedaje y WordPress. Es el fundador y CEO de HostingFacts.com , un portal en el que revisa y califica los servidores web en función del rendimiento.
Instalar PHP, Apache y MySQL en Mac sin MAMP
Usar MAMP es probablemente la forma más fácil de ejecutar PHP, Apache y MySQL en OS X. Simplemente coloque la aplicación en la carpeta de la Aplicación, inicie la aplicación y presione el botón Iniciar Servidor y listo.Pero, OS X se ha enviado con PHP y Apache incorporado, ¿por qué no utilizarlos para desarrollar y ejecutar sitios web de forma local en lugar de utilizar aplicaciones de terceros como MAMP o similares? De est
20 sitios web para encontrar imágenes gratuitas de alta calidad
Lo más probable es que estés bastante cansado de ver fotos tradicionales de personas en trajes de estrechar la mano. No solo son suaves y poco interesantes, sino que también cuestan dinero. La buena noticia es que ha habido un aumento en los excelentes sitios de fotos de archivo que puede usar de forma gratuita, sí, tanto para uso personal como comercial.En