Owen Little
0 
2446
469
Administrar un sitio web basado en WordPress suele ser un placer, ya que le permite centrarse en el contenido y construir relaciones con los lectores y otros sitios web..
Sin embargo, no todos en la web son tan amigables como usted. En algún lugar hay una lista con el nombre de tu blog, donde se encuentra, esperando ser atacado por los piratas informáticos. Cuando lleguen a su blog, probarán varias tácticas para obtener acceso a él, tal vez con el objetivo de vender drogas legales o infectar las computadoras de sus visitantes con malware.
Afortunadamente, hay varias formas en que puedes proteger tu blog de WordPress de los hackers.
Actualiza regularmente WordPress
Una de las soluciones más potentes pero que se pasan por alto a menudo para mantener WordPress a salvo de los hackers es asegurarse de que se actualice regularmente.
Obviamente hay una desventaja en esto: algunos de sus mejores complementos de WordPress podrían dejar de funcionar si se actualiza WordPress, pero al mismo tiempo debe considerarse como una oportunidad para actualizar sus complementos, encontrar reemplazos que sean seguros y confiables. y básicamente aprieta tu sitio web o blog. Seguir los complementos que se encuentran en el directorio de WordPress también es una buena manera de mantener las cosas bajo control.
La actualización de WordPress es posible desde el Panel, pero siempre haga una copia de seguridad de su base de datos antes de hacerlo..
Mantener copias de seguridad regulares
Un procedimiento importante para todos los propietarios de blogs de WordPress es garantizar que las copias de seguridad se realicen regularmente y que puedan restaurarse fácilmente en el peor de los casos..
Las soluciones son abundantes, pero Cloudsafe365 es uno de los más poderosos, combinando copia de seguridad en la nube (se puede usar Dropbox) con varias herramientas de protección segura contra técnicas como secuencias de comandos entre sitios, inyección SQL e incluso supervisa el robo de contenido.
Cloudsafe365, disponible en el sitio de complementos de WordPress, viene en tres sabores. Una opción gratuita cubre las cosas enumeradas anteriormente, mientras que las opciones pagas ofrecen características adicionales como protección contra la inyección de código y ataques de fuerza bruta.
Instalar un complemento de inicio de sesión cifrado
La mejor manera de proteger el acto real de iniciar sesión en su sitio web basado en WordPress es mediante el uso de un complemento de inicio de sesión cifrado, ya que el software del sitio web no tiene esta función de forma predeterminada. Probablemente la mejor solución para esto, perfecta para proteger los detalles de inicio de sesión de su blog de los rastreadores de paquetes en redes inalámbricas, es Chap Secure Login, que utiliza el algoritmo SHA-256 para proteger su nombre de usuario y contraseña.
Mientras tanto, el complemento Login Lockdown es una forma útil de bloquear las IP que registran intentos fallidos repetidos de acceder a su sitio.
Otros pasos de protección de inicio de sesión que puede seguir incluyen la instalación de un complemento CAPTCHA fuerte. RetinaPost es un complemento particularmente impresionante, que requiere que los usuarios ingresen caracteres resaltados de una frase en lugar de intentar descifrar imágenes de texto jodidas o hacer desafíos matemáticos. Cualquier intento de interrumpir su blog usando el sistema de comentarios puede reducirse notablemente usando este complemento.
Esconder “Desarrollado por WordPress”
Los piratas informáticos tienen una táctica diferente para cada uno de los diversos tipos de software de sitios web que están en uso, pero puede hacer las cosas más difíciles para ellos al no anunciar el hecho de que su sitio web es “Desarrollado por WordPress”.
De manera predeterminada, esta información se puede encontrar en el archivo footer.php, al que se accede al ingresar al Tablero de su blog, seleccionando Apariencia> Editor para editar dentro de la ventana del navegador. Los diferentes temas requerirán diferentes métodos para eliminar este texto, por lo que debe verificar en línea para encontrar el mejor enfoque (si se usa texto sin formato para mostrar la leyenda, luego elimine esto; si se usa código PHP, pise cuidadosamente a menos que sepa lo que sabe) re haciendo).
Cambiar nombre de usuario administrador
Una forma en que los piratas informáticos pueden encontrar una manera de ingresar a su sitio es mediante el uso de software de fuerza bruta que intentará múltiples inicios de sesión utilizando palabras y frases comunes como contraseñas, junto con una selección de nombres de usuario obvios.
El nombre de usuario del administrador en WordPress se puede seleccionar cuando el software está configurado, pero en la prisa por hacer las cosas, muchos usuarios lo dejan en la opción predeterminada de “administración”. Como dicen los nombres de usuario obvios, esto aparece en la parte superior de la lista, por lo que es importante cambiarlo..
Existen dos formas de cambiar el nombre de usuario administrador. Primero, puede crear una segunda cuenta de administrador con un nombre de usuario que no sea obvio, y luego eliminar el usuario original. Sin embargo, tenga en cuenta que esto podría tener un efecto en los artículos escritos bajo la cuenta del administrador (tal vez no se publiquen hasta que se establezca un nuevo nombre o muestren un error en la página de publicación).
Probablemente la forma más efectiva de hacer esto es acceder a phpMyAdmin de su sitio, seleccionar la base de datos de WordPress, encontrar la tabla wp_users (“wp_”es un prefijo predeterminado que puede haber cambiado en la instalación) y use el Vistazo icono para encontrar el “administración” nombre de usuario.
Una vez descubierto, busque la columna user_login, haga clic en el editar botón en la fila apropiada y luego cambiar “administración” al nombre de inicio de sesión de su cuenta de administrador preferida, haciendo clic en Ir cuando termines.
Mueve el archivo wp-config
Un problema evidente con WordPress es que los detalles clave de seguridad se almacenan en un único archivo no cifrado que puede ser pirateado y utilizado para tomar el control de su blog. El archivo wp-config.php contiene los detalles de inicio de sesión de administrador, así como el nombre de usuario y la contraseña de la base de datos MySQL.
Por lo tanto, proteger este archivo es primordial si desea proteger el sitio de los piratas informáticos.
Sin embargo, una cosa que no debe hacer es eliminar wp-config; esto dejaría su sitio inutilizable (y más bien en blanco). Entonces, ¿cómo protege su sitio de esta extraña vulnerabilidad??
Desde el lanzamiento de WordPress 2.8, los propietarios de blogs han tenido la capacidad de mover el archivo al directorio web raíz en el servidor. Lo que esto significa, por ejemplo, es que si tiene su sitio instalado en www.mysite.com/wordpress, el archivo wp-config.php se puede subir de nivel, al directorio mysite.
Conclusión
Independientemente de lo técnico o no técnico que sea, si ejecuta un blog de WordPress no hay excusa para no implementar ninguna o todas estas herramientas para proteger su sitio web de los piratas informáticos.
Después de todo, ¿cuál es el punto de hacer todo ese trabajo duro solo para descubrir que alguien se ha apoderado del sitio y ahora le está costando a sus visitantes habituales anunciando Viagra??
Estos pasos se pueden implementar en solo un par de horas, tal vez una sola mañana de fin de semana si tiene poco tiempo, así que no ignore, actúe ahora.