Llista de comprovació de seguretat senzilla per a llocs de WordPress

Llista de comprovació de seguretat senzilla per a llocs de WordPress

Sabíeu que més de 100.000 llocs web es pirategen diàriament? Això sí, la ciberdelinqüència és una amenaça greu per a qualsevol empresa i qualsevol persona amb un lloc de WordPress tampoc no és segur. He tingut una inici amb els pirates informàtics (i vaig haver de recuperar el meu lloc de WordPress), i probablement sabeu que va ser lleig.


Els pirates informàtics busquen activament llocs web vulnerables per trencar i robar dades que puguin publicar per guanys monetaris o per pura intenció maliciosa. Per protegir-vos i el vostre lloc preciós, heu de contemplar seriosament l’enduriment de la seguretat de WordPress.

Tenint en compte que perdreu ingressos, temps i esforços quan els pirates informàtics entren al vostre lloc web, hem creat la següent llista de control de seguretat que podeu utilitzar per protegir el vostre lloc web de WordPress. Tots els elements de seguretat del missatge són relativament fàcils d’implementar fins i tot per als primers temporitzadors:

Com podeu veure, dividirem la publicació en diverses parts que abasten tot, des de triar un amfitrió segur fins a endurir la vostra zona d’administració i altres. Haureu de repetir algunes tasques de seguretat, com ara l’actualització de temes periòdicament. Altres tasques són una cosa única, però tenen un impacte significatiu en la seguretat del vostre lloc. Comproveu el que heu d’arreglar i feu-ho immediatament perquè els hackers tampoc perden el temps.

Llista de control simple de seguretat de WordPress

1. Actualitza WordPress

WordPress core es revisa regularment i es comprova la vulnerabilitat de seguretat. Si es detecten defectes i errors de seguretat, els desenvolupadors principals solen publicar actualitzacions de manteniment. Les petites actualitzacions s’instal·len automàticament al lloc web de WordPress.

No obstant això, caldrà actualitzar manualment WordPress per a totes les versions principals. És un procés relativament senzill, ja que rebeu un missatge inquietant al vostre administrador de WordPress. Només el 22% dels llocs web utilitzen la darrera versió de WordPress, cosa que és trist tenint en compte la fàcil actualització.

No estiguis al 78% restant, ja que bàsicament exposareu el vostre lloc a tota mena d’atacs en no actualitzar el vostre lloc web. Normalment, els pirates informàtics són el primer grup de persones que coneixen les vulnerabilitats de les versions antigues, ja que compten amb els defectes de llançar atacs amb èxit..

Abans d’actualitzar WordPress, recomanem llegir les notes de la versió per veure què ha canviat i fer una còpia de seguretat del lloc web (només per estar segurs). D’aquesta manera, ara podreu esperar quan feu clic al botó d’actualització i teniu un problema de seguretat si qualsevol cosa no pot passar malament.

2. Actualitzeu Temes i Complements

Tot actualitzant el nucli de WordPress, no oblideu actualitzar els vostres temes i complements. Els pirates informàtics són particularment amants dels temes antics i dels complements amb forats de seguretat coneguts.

Exploren aquestes vulnerabilitats de seguretat i fins i tot poden amagar una porta del darrere en un tema o complement antic. Si no us actualitzeu, poden piratejar el vostre lloc web sempre que us agradi.

Per no perdre els vostres estils personalitzats, us recomanem que utilitzeu un tema infantil de WordPress en lloc del tema pare. D’aquesta manera, no perdreu les personalitzacions quan actualitzeu el vostre tema.

També hauria d’eliminar qualsevol tema inactiu, plugins i instal·lacions de WordPress que no s’utilitzin. No només estalviarà l’amplada de banda i farà més ràpid el vostre lloc web, sinó que també mantindreu els hackers a punt.

Una altra nota ràpida, no descarregueu mai els temes i complements premium “anul·lats”. Només aneu amb fonts de confiança com WordPress.org, Envato o una altra botiga temàtica de bona reputació.

3. Utilitzeu contrasenyes úniques i fortes

Et sorprendrà saber que la majoria de llocs web estan piratejats quan els mals us roben la informació d’inici de sessió. A més, els atacs de força bruta són força comuns i impliquen bombardejar la vostra pàgina d’inici de sessió amb milers de combinacions de nom d’usuari i contrasenya fins que es doni alguna cosa.

Si utilitzeu noms d’usuari i contrasenyes febles (com ara el famós “administrador” o “12345”), és molt fàcil que els hackers puguin entrar al vostre lloc web. Teniu l’hàbit de crear contrasenyes úniques i fortes que canvieu regularment. Fins i tot es pot utilitzar un generador en línia gratuït, com aquest LastPass.

Administrar moltes contrasenyes fortes pot ser un problema. Per ajudar-me, sovint confio en administradors de contrasenyes com 1Password o LastPass, entre d’altres. No utilitzeu la mateixa contrasenya en diversos llocs web i no mantingueu sempre la informació d’inici de sessió segura. Assegureu-vos que els usuaris de WordPress també utilitzin contrasenyes fortes.

Mentre hi esteu, recordeu també utilitzar claus contrasenyes per al vostre correu electrònic, cPanel, bases de dades MySQL i comptes FTP..

4. Instal·leu un complement de seguretat de WordPress

Sempre que creo un lloc web de WordPress nou, normalment tinc diversos complements de configuració que tinc instal·lats gairebé automàticament. Obteniu un complement anti-spam, el formulari de contacte 7, els dreceres simples i iThemes Security, el meu complement de seguretat de WordPress.

El complement em permet enfortir les meves defenses de WordPress sense haver de suar. Disposa de tantes funcions que fan que els nois fora dels llocs web siguin una brisa. La configuració del complement és molt senzilla; hauríeu d’estar en funcionament en molt poc temps.

Els millors complements de seguretat de WordPress us ofereixen funcions diferents, així que no us oblideu de comprovar abans d’instal·lar per comprovar que esteu rebent totes les funcions que necessiteu per protegir tot el vostre lloc web, sigui quina sigui única. Les funcions estàndard inclouen l’exploració de programari maliciós, el bloqueig d’IP, la prevenció de la força bruta, l’autenticació de dos factors i molt més: consultar moltes de les caselles d’aquesta llista de verificació de seguretat que llegiu ara mateix.!

5. Trieu excel·lent allotjament de WordPress

Normalment, els principiants tenen el primer paquet d’allotjament barat que es troben. No ho contindria en cap moment, ja que no en sabeu res millor, però un allotjament compartit, probablement barat (o fins i tot gratuït), us pot exposar a riscos de seguretat. Això ho sé, ja que he estat piratejat en dues empreses de hosting diferents que ofereixen allotjament compartit.

L’allotjament compartit implica compartir un servidor amb milers d’altres llocs web. Això augmenta el risc de contaminació entre llocs. És a dir, un pirata informàtic pot accedir al vostre lloc, fins i tot si el lloc web d’una altra persona era el punt d’atac original.

L’allotjament de WordPress gestionat, per la seva banda, només es centra en els llocs web de WordPress. No compartiu cap servidor amb altres persones i obteniu més opcions de seguretat per mantenir-vos en seguretat. També ofereixen suport dedicat i haurien de passar més opcions de recuperació.

Si heu d’utilitzar allotjament compartit, digueu que esteu començant amb un bloc que encara no guanya diners, assegureu-vos que els llocs estiguin aïllats o “empresonats”. Si teniu un lloc web de negoci o de comerç electrònic, pagueu l’ús del millor allotjament de WordPress que pugueu incloure al vostre pressupost a partir del text complet, com ara VPS, hosting de WordPress dedicat o gestionat.

6. Utilitzeu SSL (HTTPS)

Avui en dia, moltes empreses d’allotjament de WordPress ofereixen certificats SSL gratuïts de la paraula i per una bona raó. Els certificats SSL fan que el vostre lloc web sigui més segur que els llocs sense SSL. Google també recomana utilitzar certificats SSL per protegir les dades del vostre lloc web (i assegureu-vos que els usuaris sàpiguen si feu servir SSL o no).

HTTPS és més segur que el HTTP predecessor. Un lloc web que utilitza HTTPS xifra totes les dades que es mouen entre el navegador de l’usuari i els vostres servidors. Si un pirata informàtic intercepta la comunicació, només trobarà dades xifrades que siguin tan útils com un home d’unes potes en una competició de patades de cul ��

La instal·lació de certificats SSL a la majoria d’amfitrions web és tan fàcil com A, B, C. La majoria ofereixen instal·ladors d’un clic que faciliten tot el procés. Simplement inicieu la sessió al vostre cPanel i feu clic a un únic botó per instal·lar i gestionar els vostres certificats SSL. Si voleu un enfocament més senzill, considereu la possibilitat de xifrar-los.

7. Creeu una còpia de seguretat de lloc completa

Quan els pirates informàtics em van destronar, vaig haver de reconstruir els meus llocs web des de zero, un mal de cap que hauria evitat si hagués recordat de forma fiable la còpia de seguretat de WordPress.

Però no, les còpies de seguretat que hi havia amb el meu host web es van corrompre durant l’atac i no, no tenia cap solució secundària de còpia de seguretat. Un cas clàssic de posar tots els ous en una cistella que em va ensenyar una lliçó dura.

Avui en dia, creo còpies de seguretat completes de llocs web que inclouen els meus fitxers i bases de dades. Jo principalment faig servir GestionaWP, però també faig servir el Plugin duplicador per emmagatzemar còpies de seguretat al meu equip i a Google Drive.

Us insto a que creeu còpies de seguretat completes amb regularitat. Moltes solucions de còpia de seguretat de WordPress us permeten automatitzar tot el procés, estalviant-vos temps i proporcionant-vos la tranquil·litat.

8. Utilitzeu un tallafoc d’aplicacions web (WAF)

Per afegir una capa de seguretat addicional al vostre lloc de WordPress i dormir millor a la nit, activeu un tallafoc d’aplicació web (WAF). Un WAF protegeix el vostre lloc web bloquejant el trànsit maliciós molt abans que arribi al vostre lloc. Es tracta d’una mesura proactiva per aturar els homes dolents morts a les seves pistes abans que causin danys.

El tallafoc filtra el trànsit entrant i elimina els pirates informàtics alhora que permet que els usuaris legítims es facin arribar. Moltes empreses de seguretat de WordPress ofereixen tallafocs d’aplicacions web al costat d’altres funcions. Les opcions més populars de la indústria inclouen Sucuri i Flama de núvols.

9. Desactiveu l’edició d’arxius a l’administrador de WordPress

El WordPress CMS inclou un fantàstic editor de codis que us permet editar fitxers de complements i temes dins del vostre tauler d’administració de WordPress. L’editor de codis és una excel·lent eina per tenir a la vostra disposició, però en les mans equivocades, els pirates informàtics poden utilitzar-lo per canviar o afegir programari maliciós al vostre lloc web..

Sempre podeu editar els fitxers del vostre tema i dels vostres plugins (si cal que sigui) mitjançant FTP o administrador de fitxers a cPanel, cosa que significa que podeu desactivar completament l’editor de codi a WordPress. No voleu que els pirates informàtics que tinguin accés a l’àrea d’administració de WordPress tinguin accés a l’editor de codis, ja que poden causar molts danys amb algunes línies de codi..

Què fer? Podeu desactivar l’editor de codis integrat mitjançant el programa gratuït Sucuri Security connectar. També podeu afegir el següent codi a la vostra wp-config.php dossier:

// No permetre l’edició del fitxer
define ("DISALLOW_FILE_EDIT", cert);

Anem avançant.

10. Assegureu la pàgina d’inici de sessió

Normalment, el formulari d’inici de sessió al vostre WordPress té dos camps; nom d’usuari i contrasenya. Amb els atacants de la força bruta i els robots cada vegada més intel·ligents, com podeu evitar que els pirates informàtics accedeixin a la vostra àrea d’administració de WordPress? És fàcil; afegeix CAPTCHA o preguntes de seguretat que dificulten l’accés no autoritzat a qualsevol persona.

No haureu d’editar codi afegeix CAPTCHA o preguntes de seguretat a la vostra pàgina d’inici de sessió. Hi ha un popular plugin de WordPress conegut com Pregunta sobre seguretat del WP que és fàcil de configurar i d’utilitzar. Si voleu utilitzar CAPTCHA, podeu fer-ho Captcha d’inici de sessió simple, WordFence, o una de les moltes altres opcions disponibles de forma gratuïta a WordPress.org.

Al mateix temps, podeu canvia l’URL d’inici de sessió wp a alguna cosa única. D’aquesta manera, els robots i els pirates informàtics tindran molt difícil intentar endevinar l’URL de la vostra pàgina d’inici de sessió. wp-login ja és popular entre els pirates informàtics, de manera que té un sentit perfecte canviar l’URL per una altra cosa. Podeu utilitzar un complement com WPS Amaga sessió.

11. Afegir autenticació

A més, considereu la implementació de l’autenticació de dos factors i multi-factors. En cas que un pirata informàtic accedeixi a les dades d’inici de sessió, no podrà accedir al vostre lloc de WordPress. Hi ha moltes opcions disponibles, però Google Authenticator és una elecció popular.

A més d’això, limita els inicis de sessió a la pàgina d’inici de sessió. Si un visitant intenta iniciar la sessió amb un compte que no existeix o es torna a intentar iniciar la sessió moltes vegades, és probable que un pirata informàtic o un bot intentin forçar la seva força. Podeu utilitzar un complement com ara Limita els intents d’inici de sessió o Bloqueig de sessió per mantenir aquests elements intrusius allunyats.

12. Tanqueu els usuaris inactius

Si teniu un lloc web de WordPress multiusuari, no podreu controlar completament la manera com o els usuaris accedeixen al vostre lloc web. Un autor podria decidir utilitzar la connexió wifi pública pública gratuïta per fer els últims cops sobre un article. Un dissenyador web podria sortir del seu escriptori i tornar d’un descans de una hora de dinar.

En aquests casos, el vostre usuari pot exposar el vostre lloc web a riscos de seguretat sense saber-ho. Una persona malintencionada pot fer-se càrrec de la seva sessió, editar-ne els detalls i simplement provocar estralls. Si la part no autoritzada sap què fa, pot assumir fàcilment el compte de l’usuari i fer-ne mal.

Què fer? Podeu tancar la sessió d’usuaris inactius automàticament després d’un període predefinit. I la millor part? Hi ha plugins per a aquest propòsit exacte. Una de les opcions més populars és la Desconnexió inactiva plugin que inclou opcions per personalitzar el temps inactiu abans de tancar la sessió, missatge emergent personalitzat o redirigir-se al finalitzar la sessió, i temps d’espera segons el rol de l’usuari.

13. Busqueu problemes i programari maliciós (regularment)

Sovint oblidat, escanejar el vostre lloc web de WordPress amb regularitat us pot ajudar a identificar problemes de seguretat abans d’hora. Es necessita només un segon per fer que un hacker entri al vostre lloc web i faci tot tipus de coses desagradables. És precisament per això que heu d’estar sempre al capdavant de les coses.

Molts complements de seguretat de WordPress per cercar infeccions de programari maliciós, vulnerabilitats de seguretat conegudes, scripts obsolets, atacs de força bruta, còpies de seguretat inexistents, etc. Els connectors us envien informes detallats sobre problemes coneguts, de manera que podeu solucionar-los o contractar a un professional.

Hi ha molts escàners de llocs web, com ara Lloc de verificació de Sucuri, que podeu utilitzar per comprovar el vostre lloc en un instant. Tot el que heu de fer és introduir el vostre URL i les eines comprovaran automàticament el vostre lloc web. Després d’això, t’ofereixen un informe sobre què cal solucionar. Un cop tingueu l’informe, solucioneu immediatament totes les vulnerabilitats de seguretat.

14. Utilitzeu una VPN

Si teniu un lloc web que conté informació sensible que mai ha d’estar en mans dels pirates informàtics, considereu l’ús d’una xarxa privada virtual (VPN), més encara quan feu servir wifi públic gratuït. Una VPN us protegeix dels atacs intermig que són habituals a les xarxes públiques, inclosos a casa i a la feina.

Una xarxa privada virtual garanteix que, encara que els atacants accedeixin al sistema i us robin les dades, no podran fer res amb les dades que en treuen. Si teniu una xarxa d’internet que compartiu amb molta gent, utilitzeu sempre una VPN abans d’accedir a l’àrea d’administració de WordPress.

Altres opcions de seguretat de WordPress

Necessiteu més que fer? Ens agradaria mantenir el vostre lloc web segur en tot moment, així que aquí teniu els articles de seguretat de bonificació a afegir a la vostra llista de comprovació:

  • Desactivar l’execució del fitxer PHP a / wp-content / wp-uploads /
  • Canvieu el prefix de la base de dades de WordPress
  • Contrasenya protegir les vostres pàgines d’administració i d’inici de sessió al servidor
  • Desactiva la indexació de directoris
  • Si no és necessari, desactiveu API WP REST i XML-RPC
  • No editeu ni canvieu el nucli de WordPress, no escriviu o utilitzeu un complement que ofereixi la funcionalitat que necessiteu
  • Assegureu-vos que el vostre lloc web tingui la versió més recent de PHP
  • Utilitzeu un programa antivirus al vostre ordinador
  • Activa la Google Search Console
  • Reduir les vulnerabilitats de XSS i SQL Injection (pot ser que necessiteu una persona amb més tecnologia per ajudar amb aquests dos)

Realment, el nombre de passos que podeu fer per protegir el vostre lloc són infinits. Però si podeu consultar els 14 articles que figuren a la llista, és un gran pas per protegir el vostre lloc.


Garantir el vostre lloc web de WordPress és difícil, però no és impossible. Amb les eines i habilitats adequades, podeu endurir la vostra seguretat de WordPress ràpidament i allunyar els mals actors.

Com a recuperació, mantingueu sempre el lloc web actualitzat. A més, no descarregueu mai temes ni plugins de llocs poc fiables. I per estar al costat segur, ha de tenir sempre una solució de còpia de seguretat fiable al seu lloc.

Esperem que hagueu trobat tots els consells necessaris per protegir el vostre lloc web de WordPress, per tant, el negoci en línia. Si teniu alguna pregunta o necessiteu ajuda per esbrinar com protegir el vostre lloc web de WordPress, feu-nos-ho saber als comentaris. Cuidat!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map