Lanzar su propio sitio de WordPress^(WordPress) en estos días es bastante fácil. Desafortunadamente, los piratas informáticos no tardarán mucho en comenzar a apuntar a su sitio.

La mejor manera de hacer que un sitio de WordPress sea seguro es comprender cada punto de vulnerabilidad que surge al ejecutar un sitio de WordPress . Luego instale la seguridad adecuada para bloquear a los piratas informáticos en cada uno de esos puntos.

En este artículo, aprenderá cómo proteger mejor su dominio, su inicio de sesión de WordPress y las herramientas y complementos disponibles para proteger su sitio de WordPress .

Crear un dominio privado

Es muy fácil en estos días encontrar un dominio disponible^{(find an available domain)} y comprarlo a un precio muy bajo. La mayoría de las personas nunca compran complementos de dominio para su dominio. Sin embargo, un complemento que siempre debe considerar es la Protección de privacidad^{(Privacy Protection)} .

Hay tres niveles básicos de protección de la privacidad con GoDaddy , pero estos también coinciden con las ofertas de la mayoría de los proveedores de dominios.

• Básico^(Basic) : oculta tu nombre e información de contacto del directorio de WHOIS . Esto solo está disponible si su gobierno le permite ocultar la información de contacto del dominio.
• Completo^(Full) : Reemplace su propia información con una dirección de correo electrónico alternativa e información de contacto para encubrir su identidad real.
• Ultimate : seguridad adicional que bloquea el escaneo de dominios maliciosos e incluye monitoreo de seguridad del sitio web para su sitio real.

Por lo general, actualizar su dominio a uno de estos niveles de seguridad solo requiere elegir actualizar desde un menú desplegable en la página de listado de su dominio.

La protección básica de^(Basic) dominio es bastante económica (generalmente alrededor de $9.99/año), y los niveles más altos de seguridad no son mucho más costosos.

Esta es una excelente manera de evitar que los spammers eliminen su información de contacto de la base de datos de WHOIS u otras personas con intenciones maliciosas que quieran acceder a su información de contacto.

Ocultar^(Hide) archivos wp-config.php y .htaccess

Cuando instale WordPress^{(install WordPress)} por primera vez, deberá incluir el ID administrativo y la contraseña de su base de datos SQL de WordPress^{(WordPress SQL)} en el archivo wp-config.php. 

Esos datos se cifran después de la instalación, pero también desea evitar que los piratas informáticos puedan editar este archivo y romper su sitio web. Para hacer esto, busque y edite el archivo .htaccess en la carpeta raíz de su sitio y agregue el siguiente código en la parte inferior del archivo.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Para evitar cambios en .htaccess, agregue lo siguiente al final del archivo también.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Guarde el archivo y salga del editor de archivos.

También puede considerar hacer clic derecho en cada archivo y cambiar los permisos para eliminar el acceso de escritura^(Write) por completo para todos.

Si bien hacer esto en el archivo wp-config.php no debería causar ningún problema, hacerlo en .htaccess podría causar problemas. Especialmente si está ejecutando complementos de seguridad de WordPress que pueden necesitar editar el archivo .htaccess por usted.

Si recibe algún error de WordPress , siempre puede actualizar los permisos para permitir el acceso de escritura^(Write) en el archivo .htaccess nuevamente.

Cambie su URL de inicio de sesión de WordPress

Dado que la página de inicio de sesión predeterminada para cada sitio de WordPress es yourdomain/wp-admin.php, los piratas informáticos utilizarán esta URL para intentar piratear su sitio.

Harán esto a través de lo que se conoce como ataques de "fuerza bruta" en los que enviarán variaciones de los nombres de usuario y contraseñas típicos que muchas personas usan comúnmente. Los piratas informáticos esperan tener suerte y obtener la combinación correcta.

Puede detener estos ataques por completo cambiando su URL de inicio de sesión de WordPress^{(WordPress login URL)} a algo no estándar.

Hay muchos complementos de WordPress para ayudarlo a hacer esto. ^(WordPress)Uno de los más comunes es WPS Hide Login .

Este complemento agrega una sección a la pestaña General en ^(General)Configuración^(Settings) en WordPress.

Allí, puede escribir cualquier URL de inicio de sesión que desee y seleccionar Guardar cambios^{(Save Changes)} para activarlo. La próxima vez que desee iniciar sesión en su sitio de WordPress , use esta nueva URL .

Si alguien intenta acceder a su antigua URL de wp-admin , será redirigido a la página 404 de su sitio.

Nota^(Note) : si usa un complemento de caché, asegúrese de agregar su nueva URL de inicio de sesión a la lista de sitios que no^(not) se almacenarán en caché. Luego, asegúrese de purgar el caché antes de volver a iniciar sesión en su sitio de WordPress .

Instalar un complemento de seguridad de WordPress

Hay muchos complementos de seguridad de WordPress^{(WordPress security plugins)} para elegir. De todos ellos, Wordfence es el más descargado, por una buena razón.

La versión gratuita de Wordfence incluye un potente motor de análisis que busca amenazas de puerta trasera, código malicioso en sus complementos^{(malicious code in your plugins)} o en su sitio, amenazas de inyección de MySQL y más. ^(MySQL)También incluye un firewall para bloquear amenazas activas como ataques  DDOS .

También le permitirá detener los ataques de fuerza bruta al limitar los intentos de inicio de sesión y bloquear a los usuarios que realizan demasiados intentos de inicio de sesión incorrectos.

Hay bastantes configuraciones disponibles en la versión gratuita. Más que suficiente para proteger sitios web pequeños y medianos de la mayoría de los ataques.

También hay una página de panel útil que puede revisar para monitorear amenazas y ataques recientes que han sido bloqueados.

Use el generador de contraseñas de WordPress^{(WordPress Password Generator)} y 2FA

Lo último que desea es que los piratas informáticos adivinen fácilmente su contraseña. Desafortunadamente, demasiadas personas usan contraseñas muy simples que son fáciles de adivinar. Algunos ejemplos incluyen usar el nombre del sitio web o el propio nombre del usuario como parte de la contraseña, o no usar ningún carácter especial.

Si actualizó a la última versión de WordPress , tiene acceso a poderosas herramientas de seguridad de contraseña para proteger su sitio de WordPress . 

El primer paso para mejorar la seguridad de su contraseña es ir a cada usuario de su sitio, desplazarse hacia abajo hasta la sección Administración de cuentas^{(Account Management)} y seleccionar el botón Generar contraseña^{(Generate Password)} .

Esto generará una contraseña larga y muy segura que incluye letras, números y caracteres especiales. Guarde esta contraseña en un lugar seguro, preferiblemente en un documento en una unidad externa que pueda desconectar de su computadora mientras está en línea.

Seleccione Cerrar sesión^{(Log Out Everywhere Else)} en cualquier otro lugar para asegurarse de que todas las sesiones activas estén cerradas.

Finalmente, si ha instalado el complemento de seguridad de Wordfence , verá un botón Activar 2FA^{(Activate 2FA)} . Seleccione esto para habilitar la autenticación de dos factores para sus inicios de sesión de usuario.

Si no está utilizando Wordfence , deberá instalar cualquiera de estos populares complementos 2FA.

• Autenticador de Google^{(Google Authenticator)}
• Autenticación de dos factores^{(Two Factor Authentication)}
• Autenticación de dos factores Rublon^{(Rublon Two-Factor Authentication)}
• Autenticación de dos factores dúo^{(Duo Two-Factor Authentication)}

Otras consideraciones de seguridad importantes^{(Important Security Considerations)}

Hay algunas cosas más que puede hacer para proteger completamente su sitio de WordPress .

Tanto los plugins de WordPress^{(WordPress plugins)} como la propia versión de WordPress deben estar actualizados en todo momento. Los piratas informáticos a menudo intentan aprovechar las vulnerabilidades de las versiones anteriores del código de su sitio. Si no actualiza ambos, está dejando su sitio en riesgo.

1. Seleccione regularmente Complementos^(Plugins) y Complementos instalados^{(Installed Plugins)} en su panel de administración de WordPress . Revise^(Review) todos los complementos en busca de un estado que indique que hay una nueva versión disponible.

Cuando vea uno que está desactualizado, seleccione actualizar ahora^{(update now)} . También puede considerar seleccionar Habilitar actualizaciones automáticas para sus complementos. 

Sin embargo, algunas personas desconfían de hacer esto, ya que las actualizaciones de complementos a veces pueden dañar su sitio o tema. Por lo tanto, siempre es una buena idea probar las actualizaciones de complementos en un sitio de prueba local de WordPress^{(local WordPress test site)} antes de habilitarlas en su sitio en vivo.

2. Cuando inicie sesión en su panel de control de WordPress , verá una notificación de que WordPress está desactualizado si está ejecutando una versión anterior.

Nuevamente, haga una copia de seguridad del sitio y cárguelo en un sitio de prueba local en su propia PC para probar que la actualización de WordPress no interrumpa su sitio antes de actualizarlo en su sitio web en vivo.

3. Aproveche las funciones de seguridad gratuitas de su servidor web. La mayoría de los servidores web ofrecen una variedad de servicios de seguridad gratuitos para los sitios que aloja allí. Lo hacen porque no solo protege su sitio, sino que mantiene seguro todo el servidor. Esto es especialmente importante cuando está en una cuenta de alojamiento compartido donde otros clientes tienen sitios web en el mismo servidor.

Estos a menudo incluyen instalaciones de seguridad SSL gratuitas^{(free SSL security)} para su sitio, copias de seguridad gratuitas^{(free backups)} , la capacidad de bloquear direcciones IP maliciosas e incluso un escáner de sitio gratuito que escaneará regularmente su sitio en busca de códigos maliciosos o vulnerabilidades.

Ejecutar un sitio web nunca es tan simple como instalar WordPress y simplemente publicar contenido. Es importante hacer que su sitio web de WordPress sea lo más seguro posible. Todos los consejos anteriores pueden ayudarlo a hacerlo sin demasiado esfuerzo.

How to Make a WordPress Site Secure

Launching your оwn WordPress site these dayѕ is pretty easy. Unfortunately, it won’t take long for hackеrs to ѕtart targeting your site.

The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.

In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.

Create a Private Domain

It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.

There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.

• Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
• Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
• Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.

Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.

Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.

This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.

Hide wp-config.php and .htaccess Files

When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file. 

That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

To prevent changes to .htaccess itself, add the following to the bottom of the file as well.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Save the file and exit the file editor.

You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.

While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.

If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.

Change Your WordPress Login URL

Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.

They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.

You can stop these attacks entirely by changing your WordPress login URL to something non-standard.

There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.

This plugin adds a section to the General tab under Settings in WordPress.

There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.

If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.

Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.

Install a WordPress Security Plugin

There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.

The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks. 

It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.

There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.

There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.

Use the WordPress Password Generator and 2FA

The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.

If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site. 

The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.

This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.

Select Log Out Everywhere Else to make sure all active sessions are closed.

Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.

If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.

• Google Authenticator
• Two Factor Authentication
• Rublon Two-Factor Authentication
• Duo Two-Factor Authentication

Other Important Security Considerations

There are a few more things you can do to fully secure your WordPress site.

Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.

1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.

When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins. 

However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.

2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.

Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.

3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.

These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.

Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.

Related posts

• 3 formas de encontrar la contraseña más segura

• ¿Es realmente segura su aplicación de mensajería?

• 3 maneras de tomar un Photo or Video en un Chromebook

• Cómo Detect Computer & Email Monitoring o Spying Software

• Piso Panel Display Technology Demystified: TN, IPS, VA, OLED y más

• Cómo Post Un artículo sobre el Linkedin (y Best Times A Post)

• Cómo reembolsar un Game en Steam

• Cómo Fix Hulu Error Code RUNUNK13

• Cómo tomar un Screenshot en Steam

• Cómo Insert Emoji EN Word, Google Docs and Outlook

• 7 Quick Fixes cuando Minecraft Keeps Crashing

• Cómo Download and Install Peacock EN Firestick

• Cómo hacer Spotify Louder and Sound Better

• Cómo encender o apagar Caps Lock en Chromebook

• ¿No se puede Schedule ¿Un Uber en Advance? Esto es lo que hacer

• OLED vs Microled: ¿Debería esperar?

• Cómo Fix Disney Plus Error Code 83

• Cómo solucionar un error Steam "Transacción pendiente"

• ¿Qué es Discord Streamer Mode and How para configurarlo?

• ¿Qué Do BCC and CC Mean? Entendiendo Basic Email Lingo