ElegantThemes

Cómo realizar una auditoría de seguridad de WordPress

Asegurar su sitio de WordPress no es cosa de una sola vez. No importa cuánto confíe en su complemento de seguridad o cuán minucioso haya sido en el fortalecimiento del sitio web, el sitio web seguro de hoy no es el sitio web seguro del mañana. Para mantener a raya a los piratas informáticos, debe realizar periódicamente auditorías de seguridad de WordPress y corregir los agujeros de seguridad que se encuentren.

Las tácticas de piratería de sitios web avanzan constantemente, al igual que las medidas preventivas para mantener su sitio web seguro. Piense en ello como un ciclo. Cuanto más seguro sea un sitio web, más creativos deben ser los piratas informáticos para acceder a él, lo que significa que su sitio web debe volverse aún más seguro y así sucesivamente.

Intente tener una auditoría de seguridad de WordPress al menos cada tres meses. Cada mes es mejor y cada semana (o incluso a diario, dependiendo de qué tan sensible sea su sitio web) es mejor. Y, por supuesto, si cree que algo anda mal en su sitio, haga una autorización de seguridad de inmediato. Cada uno de los siguientes debe levantar una bandera roja:

  • Su sitio web de repente se vuelve lento y lento.
  • El tráfico del sitio web se ha reducido drásticamente sin motivo aparente.
  • Hay nuevas cuentas, intentos de inicio de sesión o solicitudes de «contraseña olvidada».
  • Hay nuevos enlaces en su sitio web que no ha agregado.

Los siguientes pasos son imprescindibles para mantener su sitio web en plena forma desde una perspectiva de seguridad. Tener una lista de verificación disponible agilizará sus auditorías en lugar de abrumarlas.

Una descripción general de la auditoría de seguridad de WordPress

En algún momento, casi todos los sitios web de WordPress se encontrarán con un problema de seguridad. Uno común es un complemento o tema que está plagado de una vulnerabilidad que puede hacer que los piratas informáticos accedan directamente a su sitio web. Una vez que su sitio web ha sido pirateado, pueden suceder varias cosas:

  • Datos personales robados de clientes
  • Anuncios ilegales y contenido mostrado
  • Tráfico desviado a otra parte
  • Datos de WordPress cifrados, eliminados o vendidos

Esto es mucho más que un dolor de cabeza de unas pocas horas o un sitio web elegante. Los piratas informáticos pueden conservar sus datos a cambio de un rescate. La información de su sitio se puede vender en la web oscura. Google puede incluir su sitio web en la lista negra para mostrar spam en las páginas web. Los clientes pueden demandarlo si les roban la información de su tarjeta de crédito. Otros sitios web pueden infectarse tan pronto como los piratas informáticos accedan al suyo.

Las auditorías de seguridad de WordPress identifican estas vulnerabilidades para que pueda parchearlas de inmediato. antes de entró un hacker. Se asegurará de que las medidas de seguridad que está tomando actualmente sigan funcionando y también averiguará dónde necesita más protección.

Califica el complemento de seguridad que estás usando

Su complemento de seguridad de WordPress es una de las herramientas más importantes para proteger su sitio web. Asegúrese de que su complemento de seguridad siga funcionando de la siguiente manera:

  • Registro de actividades: Esto hará un seguimiento de los usuarios de su sitio, incluidos quién inició sesión, cuándo, intentos fallidos de inicio de sesión y cambios en el sitio.
  • Cortafuegos: Esto bloqueará bots, piratas informáticos y direcciones IP que intenten ingresar a su sitio web.
  • Intentos de acceso: Los complementos de seguridad de alta calidad imponen contraseñas seguras, requieren autenticación de dos factores y limitan los intentos de inicio de sesión.
  • Protección de inicio de sesión: Esto bloquea los ataques de fuerza bruta en los que los piratas informáticos prueban diferentes combinaciones de nombre de usuario y contraseña para iniciar sesión.
  • Escaneos y limpiezas de malware: Esto debe hacerse a diario, escaneando minuciosamente la base de datos, los archivos y las carpetas de su sitio en busca de malware, y limpiando todo lo que encuentre.
  • Notificaciones en tiempo real: El complemento debe notificarle de inmediato si ocurre algo sospechoso en su sitio web.

¿Aún no tienes un complemento de seguridad? Considere usar uno como su primer paso en su auditoría de seguridad de WordPress. Los reunimos Los 6 mejores complementos de seguridad de WordPress escoge de.

Pruebe la solución de copia de seguridad de su sitio web

Si algo sale mal en su sitio web que es imposible o demasiado complejo de solucionar, una copia de seguridad de WordPress significa que puede restaurar su sitio web a lo que era antes de que ocurriera el problema. Sin embargo, si su copia de seguridad falla, no tiene que restaurar nada, lo que significa que puede estar atrapado en un sitio infectado o que funciona mal. Idealmente, utilizará una solución de respaldo (ya sea un complemento proporcionado por su host o uno que usted use) que puede usar para probar sus respaldos, como: BlogVault. También puede leer nuestro artículo con el Los 6 mejores complementos de respaldo de WordPress.

Revise su administrador de WordPress y la configuración de FTP

WordPress permite que varias personas inicien sesión para trabajar en diferentes proyectos, pero eso no significa que cada persona con un inicio de sesión deba tener acceso completo a su sitio web. Y cuando se trata de la tuya Cliente FTPCuando varias personas tienen acceso, pueden realizar cambios en su sitio web … bueno, cualquier cosa.

Cuando agrega un nuevo usuario en WordPress, le asigna un rol (y también puede editar su perfil para cambiar su rol):

Los diferentes roles tienen diferentes habilidades. Por ejemplo, un administrador puede acceder a todas las herramientas de administración del sitio (como cambiar el diseño o instalar un complemento), pero un colaborador solo puede escribir y administrar sus propias publicaciones. Aquí hay un desglose completo de la diferentes roles y sus habilidades.

Para su auditoría de seguridad de WordPress, haga lo siguiente:

  • Vea qué usuarios de WordPress tienen acceso de nivel de administrador.
  • Decida si todos estos usuarios necesitan este nivel de acceso (y si otros con acceso limitado deberían ser administradores).
  • Reduzca los permisos y restrinja el acceso actualizando los roles de usuario para estas personas.
  • Si no ve usuarios en el panel, elimínelos; podrían ser cuentas creadas por un pirata informático.
  • ¿Los nombres de usuario son simplemente «admin»? Este es un nombre de usuario demasiado común y que los piratas informáticos suelen utilizar para acceder a su sitio web. Cree una nueva cuenta de usuario para el empleado y elimine la cuenta anterior.
  • Elimine las cuentas FTP de los usuarios que no necesitan un nivel de acceso tan alto.

Por último, si su sitio permite a los miembros, debe asegurarse de que realmente necesiten crear una cuenta cuando inicien sesión y que su función predeterminada no permita el acceso administrativo. Ir a ajustes > Generalmente. Desmarque la casilla junto a Cualquiera se puede registrar. Luego seleccione la opción apropiada en Nuevo rol de usuario estándar.

Default

Asegúrese de que WordPress esté actualizado

Puede hacer esto automáticamente, pero aún así vale la pena verificar que WordPress se haya actualizado a la última versión. Las actualizaciones no solo cierran las lagunas de seguridad, sino que también mejoran el rendimiento y agregan funcionalidad. Ir a tablero > Actualizar para ver si estás listo.

Revisión de seguridad de WordPress

Limpia tus complementos y temas

Los complementos pueden aumentar el rendimiento de su sitio web, pero también son vulnerables a los ataques, especialmente si no se actualizan durante demasiado tiempo. Los desarrolladores confiables vigilan las debilidades de sus complementos y publican actualizaciones con parches. Durante su actualización de seguridad de WordPress, vaya a su lista de complementos y haga lo siguiente:

  • Desactive y desinstale los complementos que ya no use o que no conozca.
  • Actualice los complementos restantes que tengan actualizaciones disponibles.
  • Si está utilizando un complemento que no ha recibido actualizaciones del desarrollador, considere usar otro con la misma funcionalidad: un complemento desactualizado es demasiado vulnerable a los problemas de seguridad.

Incluso si realiza su auditoría de seguridad de WordPress aproximadamente una vez al mes, es una buena idea verificar sus complementos con regularidad para actualizarlos según sea necesario. Además, elimine cualquier tema que no esté usando actualmente o que no espera necesitar. Al igual que con los complementos, los temas conllevan el riesgo de violaciones de seguridad, por lo que es mejor mantener su sitio web lo más ordenado posible.

¡Mantente a salvo ahí fuera!

No deja de trabajar en otras partes de su negocio: desarrollo, marketing, venta de nuevos productos o servicios, etc. La seguridad de su sitio web no debería ser diferente. Un pequeño problema puede convertirse rápidamente en un truco que amenaza el negocio si no lo detecta a tiempo, pero sin saber cuáles son las áreas problemáticas, no sabe qué soluciones implementar.

La seguridad de su sitio web es un proceso continuo, y una lista de verificación de auditoría de seguridad de WordPress le evitará la molestia de recordar qué hacer cada mes. Cuanto más pueda automatizar con un complemento de seguridad, mejor. Su lista de verificación de seguridad de WordPress puede ser mucho más pequeña si, en su mayor parte, debe verificar que el complemento aún funciona correctamente. Tenemos revisiones detalladas de las revisiones de dos complementos de seguridad líderes, jugos y Valla de palabra.

El cargo Cómo realizar una auditoría de seguridad de WordPress apareció primero Blog temático elegante.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *