Mejore la seguridad de WordPress: una guía completa para asegurar el sitio de WordPress


Cuando haya terminado con esta publicación, le garantizo que su sitio de WordPress será inmune a los ataques y las vulnerabilidades.

Espera, no puedo garantizar eso. Permítanme decirlo de esta manera, estará equipado con los conocimientos necesarios para mantener su sitio web relativamente seguro.

No existe la seguridad infalible. Existen medidas específicas que puede tomar para disminuir en gran medida la posibilidad de que su sitio web sea víctima de un hack o un ataque.

Anteriormente escribí una pequeña publicación sobre cómo los sitios web de WordPress se ven comprometidos y por qué debería invertir en buenas prácticas de seguridad. Puede leerlo aquí o le daré un pequeño resumen de las vulnerabilidades de WordPress, antes de analizar medidas específicas para reforzar su sitio web de WordPress.

WordPress en sí mismo tiene pocas vulnerabilidades y cuando se descubren, se reparan rápidamente con una actualización. Pero cuando tiene en cuenta las prácticas de seguridad de su proveedor de alojamiento web o la falta de software de terceros que normalmente se ejecuta en los sitios web de WordPress, es más probable que su sitio web sea víctima de un pirateo debido a errores de otras personas.

El 51% de todos los sitios web pirateados en 2012 se vieron comprometidos por temas o complementos que estaban ejecutando. El 41% fueron explotados porque eligieron el proveedor de alojamiento web incorrecto y, como resultado, sus sitios fueron pirateados.

Ejecutar un sitio simple de WordPress y mantenerlo seguro no es demasiado difícil. Pero cuando agrega una mezcla de software de terceros y tiene que mantener su dominio con el host correcto, se vuelve un poco más difícil.

He leído muchas publicaciones de blog de exitosos emprendedores web que eran esencialmente hombres y mujeres de negocios que hicieron negocios en línea. Y cuando sus negocios en línea tuvieron éxito, se convirtieron en objetivos. Sin embargo, no es necesario que su sitio web sea exitoso o incluso tenga algo de tráfico para que se convierta en un objetivo.

Las personas que piratean sitios web utilizan herramientas automatizadas que les permiten explorar cientos y miles de sitios web en busca de vulnerabilidades. Su sitio web puede ser uno de esos cientos. Entonces, incluso si su sitio web no es popular, aún podría ser un objetivo.

Ahora, muchos empresarios web conocen los estándares y medidas de seguridad necesarios para mantener seguros sus sitios web y negocios en línea. Pero lo mejor de WordPress y la web hoy en día es que ya no es necesario ser un experto en tecnología o un desarrollador web para iniciar un sitio web. Y crear un sitio web no es difícil en absoluto, es muy fácil e incluso he escrito un artículo al respecto en Colorlib (para aquellos de ustedes que buscan un poco de ayuda cuando crean su primer sitio web de WordPress).

Crear un sitio web no es demasiado difícil, hacerlo popular es una propuesta un poco más complicada. Pero hacerlo seguro, especialmente para los emprendedores web no expertos en tecnología cuya preocupación principal gira en torno a un producto / servicio no basado en la web, es bastante desafiante.

Y claro, podrían emplear a un desarrollador web para que los ayude. Pero la razón por la que prosperan muchos negocios web a pequeña escala, sin duda, está directamente relacionada con su capacidad para mantener los costos bajos. Y el empleo de un desarrollador web que cobra $ 100 por hora, no cae con sus capacidades financieras.

Un profesional de seguridad web es siempre la opción preferida, pero desafortunadamente no todos tienen los ingresos comerciales necesarios para permitir ese gasto. Y puede ser que esté bien, tal vez no lo esté. Pero el hecho crucial es que tenemos que reconocer que incluso las empresas de pequeña escala recopilan información personal confidencial que incluye cosas como su dirección de residencia, los detalles de su tarjeta de crédito, números de teléfono e ID de correo electrónico.

La información de su cliente no solo está en riesgo debido a prácticas de seguridad posiblemente negligentes, sino que también lo hará el negocio que ha construido o pasará mucho tiempo construyendo. Construir un negocio en línea es un esfuerzo bastante desalentador, su éxito depende de varios factores, que incluyen la reputación de la marca y lo que Google piensa de su sitio web. Y créanme, nadie tendrá una visión favorable de sus negocios o sus servicios, si su sitio web se cierra o se convierte en víctima de un ataque / pirateo.

Dado todo eso y lo que está en juego, ¿qué pasos puede “usted” como emprendedor web tomar para que su sitio web sea seguro?

Esta publicación está dirigida principalmente a personas cuya ocupación principal no es administrar un negocio en línea. Está dirigido a personas que desde diferentes ámbitos de la vida están comenzando negocios que dependen parcial o fuertemente de una presencia en línea. Y dado que WP administra más del 65% de la web y WordPress es el CMS elegido por el empresario web no experto en tecnología, enfocaré mis esfuerzos en armarlo con el conocimiento para mantener su sitio web de WordPress seguro y protegido .

# 1 Elija el proveedor de servicios de host adecuado

Existe una gran cantidad de vulnerabilidades debido a problemas creados en el extremo del servidor de su sitio web. Este hecho me pareció bastante sorprendente, su servicio de alojamiento es potencialmente la mayor fuente de vulnerabilidades de su sitio web.

Y con un host externo, no puede hacer mucho para modificar su sitio web.

Entonces, lo mejor que puede hacer es elegir el proveedor de servicios de alojamiento web adecuado.

Hay demasiados proveedores de alojamiento web que ejecutan sus sistemas en software obsoleto o software que actualmente no se mantiene. El problema con el software que ya no se mantiene es que, si bien es posible que no haya habido vulnerabilidades en el pasado, no existe ninguna garantía para la seguridad futura. Y si se detecta una vulnerabilidad que es casi segura, es posible que ya no se repare porque el equipo central no mantiene activamente versiones anteriores de software.

Cuando hablo de software, me refiero a todo lo que se ejecuta en su servidor para mantener su sitio activo y funcional.

  • apache
  • PHP
  • MySQL
  • MariaDB
  • PostgreSQL
  • PHPMyAdmin
  • Certificados SSL

Incluso si han actualizado su software con un pequeño retraso, cuando se lanzan parches de software. La ventana de oportunidad para que los hackers exploten vulnerabilidades que solo han sido parcheadas en actualizaciones recientes se amplía y pone en riesgo su sitio web.

El alojamiento compartido, que es la opción de alojamiento para la mayoría de las empresas en línea recién iniciadas, tiene un par de problemas,

  • Los ataques de DOS a cualquier IP en un servidor pueden afectar a todos los sitios web alojados en ese servidor en particular.
  • Las direcciones IP compartidas son un gran problema. Las direcciones IP vecinas a la suya afectan su sitio web, si una IP compartida queda en la lista negra, su sitio sufre las consecuencias.
  • Siempre existe la posibilidad de que parte del software cargado en un servidor compartido pueda comprometer a todo el servidor, a pesar de que los proveedores de servicios de alojamiento compartido toman medidas para evitar que esto suceda.

Mi elección para alojamiento compartido,

  • Alojamiento compartido – SiteGround – Proporcionan aislamiento de cuenta que lo protege contra sitios web en el mismo servidor que pueden ser vulnerables. Actualizaciones automatizadas para WP core y plugins, certificado SSL gratuito y copias de seguridad diarias para el Grow Big Plan y versiones posteriores, protección contra spam con un sistema de filtrado, un firewall, sistemas de prevención de intrusiones y monitoreo en vivo. El uso de un sistema CDN como CloudFlare protegerá su sitio web contra ataques DDoS.

SiteGround ha tenido una buena historia en términos de respuesta rápida e incisiva contra las vulnerabilidades expuestas en el pasado. En 2013, cuando se perpetraron ataques de fuerza bruta desde más de 90,000 direcciones IP, SiteGround evitó que las solicitudes llegaran incluso a sus servidores.

Los ataques de fuerza bruta pueden abrumar al servidor con carga, pero si no puede enviar una cantidad suficiente de solicitudes al servidor, no puede afectarlo. Durante el ataque, se realizaron más de 15 millones de intentos en menos de 12 horas contra sitios web en sus servidores y, sin embargo, ninguno de sus servidores sufrió problemas de rendimiento.

De hecho, después de que algunos de ellos albergaron la fuerza bruta en los sitios web de sus propios clientes para encontrar contraseñas débiles, encontraron muchos sitios web en sus servidores con contraseñas débiles e inseguras. Lo siguieron haciendo cumplir contraseñas seguras y sus clientes fueron informados por correo. Realmente parecen preocuparse por su seguridad y garantizar el rendimiento de sus entornos de servidor compartido incluso cuando están bajo ataque. No se puede decir lo mismo de algunas de las mayores empresas de alojamiento web compartido.

Si desea opciones alternativas a SiteGround para alojamiento compartido, he enumerado algunas en una publicación anterior.

Sin embargo, si no desea preocuparse por la seguridad de WordPress y prácticamente cualquier otra cosa remotamente técnica sobre la creación, el mantenimiento y el crecimiento de un sitio web, estará mejor con un host de WordPress administrado. Prefiero el alojamiento administrado pero los costos son considerablemente más altos.

El precio del alojamiento administrado durante un mes también le comprará alojamiento compartido por un período de 8 meses. Si está ejecutando una empresa con problemas de liquidez, esto tiene un efecto muy monumental en la sostenibilidad de su negocio. Pero cualquiera sería un tonto si descarta los beneficios de un host administrado de WordPress, si puede permitírselo.

WPEngine medidas de seguridad

  • Protección de escritura en disco, cualquier código malicioso que cree vulnerabilidades que puedan explotarse está severamente limitado por las restricciones de escritura en disco. El uso de complementos y temas con vulnerabilidades es más seguro de repente, dado que no pueden escribir código en su servidor que hace que su WP sea más vulnerable.
  • Los privilegios de escritura en disco para los usuarios que inician sesión en su tablero WP se extienden a funciones estándar como escribir y editar publicaciones, temas que agregan nuevas hojas de estilo y activan / desactivan complementos.
  • Para eliminar y escribir nuevos archivos, debe iniciar sesión a través de un cliente SFTP.
  • No se permite agregar código PHP genérico.
  • Los scripts con vulnerabilidades conocidas que comprometen WP no se pueden agregar a WordPress.
  • Ciertos complementos se pueden rechazar e incluso deshabilitar, si sus escáneres detectan algo en el código del complemento que deja su sitio web menos seguro.
  • Los planes básicos en WPEngine aún involucrarán algunos servidores compartidos. En cualquier plan de hosting dedicado, el host proporciona un servidor completo totalmente dedicado a proporcionar recursos solo para su sitio web.
  • Copias de seguridad a través de Amazon S3 y usted no tiene acceso a ellas. No podría comprometer sus copias de seguridad, incluso si lo intentara. Siempre hay una póliza de seguro para su sitio.
  • El acceso físico a los servidores está limitado solo al personal esencial. Sus centros de datos suenan como Fort Knox solo leyendo sobre eso.
  • Se especializan en WP y conocen los entresijos de la creación de un sitio seguro de WordPress.
  • La recuperación en el caso de una cuenta pirateada es fácil y asegurada sin costo.
  • Auditorías de código periódicas del proveedor de soluciones de seguridad de WP: Sucuri.

Piense en WPEngine de esta manera, le cuesta una bomba, pero mucho menos de lo que le puede costar un sitio web pirateado. Hace mucho más fácil racionalizar los costos.

No pase por alto el hecho de que su sitio web no solo será más seguro con WPEgnine, sino que será mucho más rápido con toda probabilidad. Incluso los sitios web como Colorlib que utilizan un servidor privado virtual tienen dificultades para igualar la velocidad de un sitio web ejecutado por WPEngine.

Si aún tiene dudas y no puede elegir entre un host web compartido y un host WP administrado, ese es un tema muy importante en sí mismo. Por favor, lea un artículo que escribí hace un tiempo. Esperemos que eso responda todas sus preguntas sobre la idoneidad de un plan de alojamiento para su sitio web.

# 2 Utilice software de terceros de confianza: temas y complementos premium

Los complementos y los temas siempre son sospechosos, sean escépticos, especialmente cuando se mantienen mal y rara vez se actualizan. Ahora puede tomar numerosas medidas discriminando los complementos en función de fallas de seguridad, pero siempre vale la pena tomar nota de las acciones que realizan sus complementos con el Registro de auditoría de seguridad de WP.

Un registro de seguridad es muy útil para el desarrollo web y los profesionales de seguridad realizan un seguimiento de los cambios en varios sitios cuando manejan las necesidades de sus clientes. Cada acción de cada usuario puede contabilizarse con el complemento. El registro también ayuda a controlar los complementos, el tema y el comportamiento de otros software de terceros. Es posible que este complemento no evite un problema de seguridad, pero si algo sale mal, le resultará fácil rastrear la fuente del problema.

Otra buena práctica es hacer que un experto en seguridad audite el complemento. Si no puede permitirse hacer eso, busque los sellos de confianza de Sucuri (Sucuri es un proveedor líder de soluciones de seguridad para usuarios de WordPress) en los complementos. Muchos complementos / temas envían voluntariamente sus productos para auditorías de código.

Temas elegantes han tenido su tema principal Divi auditado. Elegant Themes es una de las casas temáticas más grandes, si no la más grande, en el nicho de WP y, sin embargo, tienen su tema principal auditado por problemas de seguridad.

Divi se somete a una auditoría intensiva de seguridad

Manténgase alejado de los complementos y temas gratuitos que no tienen una gran cantidad de descargas. A veces, los complementos con un recuento de descargas excesivamente alto y altas calificaciones, atraen a muchos más creadores de travesuras. La protección en números no es realmente aplicable. Más personas que usan un complemento lo convierten en un objetivo más grande, pero al mismo tiempo tener miles de usuarios probablemente ayudará a identificar y proteger contra ataques de día cero a través de actualizaciones rápidas.

El uso de complementos y temas premium no significa que se pueda garantizar la seguridad de su sitio. Pero puede estar seguro de que si se descubren exploits de día cero, la respuesta generalmente es rápida. Las casas temáticas y los desarrolladores de complementos tienen mucho en sus productos, lo último que quieren es la apariencia de vulnerabilidad.

Apéguese a los complementos enumerados en el directorio de WordPress.org para obtener complementos gratuitos. Las calificaciones más altas y el número de descargas hacen que el complemento sea una apuesta más segura hasta cierto punto. Consulte el historial de los complementos creados por el mismo autor en el pasado, un buen indicador del pedigrí del programador. También verás que ciertos autores tienen especial cuidado para garantizar la seguridad de su plugin / tema.

La última fecha actualizada es otro factor que vale la pena tener en cuenta. Asegurarse de que la última versión del complemento sea compatible con la última versión de WordPress es otro punto esencial para marcar en la lista de verificación antes de instalar y activar un complemento.

Como habrás adivinado, lo que se aplica a los complementos también se aplica a los temas. Algunas cosas para recordar, cuando se trata de usar complementos y temas.

  • Los complementos premium son mejores en el sentido, es probable que sus equipos respondan a cualquier vulnerabilidad de seguridad mucho más rápido que los complementos gratuitos.
  • Utilice el registro de auditoría de seguridad de WP y realice un seguimiento de todo lo que se ejecuta bajo el capó de su sitio web.
  • Ciertamente, hay seguridad en los números porque es mucho más probable que se informe y se aborde una amenaza a la seguridad. Pero no puedo evitar sentir que esta es una espada de doble filo, los complementos / temas tendrán un gran número de descargas y es mucho más probable que se conviertan en objetivos de los piratas informáticos.
  • El directorio de complementos de WP.org se puede manipular para proporcionar calificaciones excelentes para complementos con un menor número de descargas y calificaciones.
  • Echa un vistazo al autor del complemento, su historial y productos anteriores. Si han tenido problemas de seguridad en el pasado, no necesariamente indican que sus complementos / temas son malos, pero no es una buena señal.
  • Discrimina despiadadamente los complementos / temas, lee las reseñas, especialmente las que proporcionan malas calificaciones para el producto (asegúrate de investigar las razones por las que estos productos fueron mal calificados) en mercados como Envato, incluso para complementos premium. Lea las secciones de comentarios de las reseñas de productos para complementos y temas. Al escribir reseñas sobre productos específicos de WordPress o al crear una lista de publicaciones de temas, siempre miro en la sección de comentarios las quejas de los usuarios que han descargado / comprado el producto. Este ejercicio siempre es fructífero, casi siempre aprenderá algo sobre el producto que pretende comprar o descargar.
  • Si el complemento / tema ha tenido su código auditado por Sucuri u otro proveedor de soluciones de seguridad de WP de buena reputación, aumenta la probabilidad de que el producto sea bastante sólido en términos de seguridad.
  • Puede protegerse contra complementos no autorizados con complementos de seguridad como Wordfence o iThemes Security. Además, puede usar la función de escaneo de sitios gratuita de Sucuri que busca en su código WP secuencias de comandos maliciosas.

Ninguno de los pasos anteriores garantiza que nunca descargará un plugin o tema incorrecto, pero reduce las posibilidades de que se vea afectado por problemas de seguridad.

Ahora, suponiendo que esté utilizando el host, el tema y los complementos correctos. Describiré y explicaré las medidas de seguridad necesarias que debe tomar para que su sitio web sea seguro.

Al describir las medidas de seguridad individuales, tenga en cuenta que recomiendo complementos independientes diseñados para aplicaciones de seguridad específicas.

Más adelante en esta publicación, hablaré de Wordfence, un complemento de seguridad freemium completo y también las soluciones de seguridad de Sucuri. Debe saber que ambos cumplen casi todas las funciones de seguridad que pueden haberse discutido anteriormente en la publicación y más en algunos casos.

Por lo tanto, a menos que desee conocer en detalle las medidas de seguridad individuales, puede pasar a la última parte donde analizo las funciones de un complemento de seguridad y proveedores de soluciones de seguridad como Sucuri.

Pero si es usuario por primera vez de WordPress, le recomiendo que lea la publicación completa para comprender completamente la importancia de cada medida de seguridad diferente.

# 3 Protege tu página de inicio de sesión

La página de inicio de sesión de WordPress es un objetivo principal para los ataques de fuerza bruta. Su página de inicio de sesión es definitivamente una parte vulnerable de su sitio web, si no obtiene las medidas de seguridad adecuadas para obstaculizar a los atacantes.

Discutiré la importancia de mantener una página de inicio de sesión fuerte y segura con múltiples medidas de seguridad que hagan que su sitio esté seguro y protegido contra ataques de fuerza bruta.

Contraseñas seguras y nombre de usuario inusual

El administrador no es un buen nombre de usuario. WordPress anteriormente tenía admin como nombre de usuario predeterminado de la cuenta de administrador principal. Sin embargo, hoy, cuando instala WordPress, puede elegir un nombre de usuario diferente. Pero cuando la gente generalmente comienza a usar WordPress, especialmente por primera vez, muchos se quedan con el administrador como nombre de usuario. “Admin” es un nombre de usuario extremadamente predecible y hace que su sitio sea mucho más fácil de ingresar.

Lea sobre cómo puede cambiar su nombre de usuario en SiteGround. El proceso es similar con la mayoría de los otros proveedores de servicios de alojamiento. También puede probar el complemento Admin Renamer Extended que puede cambiar su nombre de usuario.

Las contraseñas, al elegir una cadena de caracteres aleatoria inusual, ayudarán a crear la primera línea de defensa contra las personas que pretenden dañar su sitio web u obtener información confidencial almacenada en los servidores de su sitio.

Una lista de las 5 contraseñas más comunes compiladas por SpashData.

  1. 123456
  2. contraseña
  3. 12345
  4. 12345678
  5. QWERTY

Un niño de trece años altamente motivado puede adivinar administrador y 123456. Con contraseñas como las mencionadas anteriormente, su sitio es un goner especialmente, si recibe un tráfico decente.

Las mejores contraseñas son una mezcla de mayúsculas y minúsculas con signos de puntuación y caracteres especiales. Preferiblemente, use algo que no tenga ningún significado y asegúrese de que tenga al menos más de 10 caracteres. No hay una razón particular para 10 caracteres, pero recuerde que se hace exponencialmente más difícil descifrarlos si las contraseñas son más largas.

Si su contraseña no tiene ningún sentido y no hay una razón lógica o una razón sentimental detrás de su contraseña, obviamente es mucho más difícil de adivinar. Recuerde, cómo Sherlock adivina la contraseña móvil de Irene Addler: “YO SOY _ _ _ _ BLOQUEADO”. Bueno, ¡incluso Sherlock tendría dificultades para adivinar una contraseña que no se puede razonar!

Si tiene dificultades para determinar qué contraseña usar, pruebe herramientas como Strong Password Generator o Secure Password Generator, ambas son herramientas en línea disponibles gratuitamente para encontrar una buena contraseña para el inicio de sesión de administrador de su sitio web.

Los complementos de seguridad también imponen contraseñas seguras para el administrador y todos los usuarios. Esto es importante, incluso si sus usuarios no tienen el estado de administrador y los privilegios correspondientes, alguien con acceso a una cuenta de nivel de editor comprometida en WordPress podría hacer un poco de travesura.

Otro buen consejo para recordar siempre, cambia tus contraseñas con frecuencia. Si tiene dificultades para recordar todas sus contraseñas, use un administrador de contraseñas. Puede probar One Password, Last Pass, KeePass o DashLane para almacenar todas sus contraseñas de forma segura.

En lo que respecta a los nombres de usuario y contraseñas, cuanto menos tengan sentido y más aleatorios sean, mejor será la seguridad que pueden ofrecer a su sitio web.

Limite el número de intentos de inicio de sesión

La fuerza bruta ataca las páginas de inicio de sesión de los sitios web de WordPress. Si no lo sabe, la mayoría de los ataques de fuerza bruta implican probar diferentes combinaciones alfanuméricas para descifrar la contraseña del sitio para un nombre de usuario en particular.

Ahora, incluso si supone que un ataque de fuerza bruta no tiene éxito, debe reconocer el hecho de que consume enormes cantidades de memoria del servidor y potencia de procesamiento. Es casi seguro que ralentizará su sitio web y lo arrastrará a un rastreo. Muchos anfitriones también ofrecen protección contra ataques de fuerza bruta. Esto se debe a que en un servidor compartido, su sitio que consume una cantidad indebida de recursos podría afectar a todos.

Pero la técnica más fácil para evitar ataques de fuerza bruta es limitar el número de intentos de inicio de sesión. Si alguien no puede golpear repetidamente su servidor con múltiples combinaciones de nombre de usuario y contraseña, un ataque de fuerza bruta no funcionará.

El bloqueo de inicio de sesión, la solución de seguridad de inicio de sesión y la protección de inicio de sesión de fuerza bruta tienen como objetivo evitar el acceso a su sitio web a través de intentos de pirateo de fuerza bruta. Brute Protect ha sido adquirido por el equipo de Automattic y ahora forma parte de Jetpack y ofrece protección contra ataques de fuerza bruta.

Casi todos los complementos de protección de inicio de sesión tienen una interfaz similar.

LoginProtection

Básicamente, todos estos complementos funcionan rastreando direcciones IP que intentan repetidamente y no logran iniciar sesión. Después de varios intentos fallidos de inicio de sesión, se impide que las IP particulares accedan a la página de inicio de sesión de su sitio.

La solución de seguridad de inicio de sesión fuerza una autenticación de correo electrónico de WordPress y un cambio de contraseña por correo electrónico, si determina que el usuario actualmente conectado es bastante sospechoso.

El complemento puede aplicar contraseñas seguras y exigir el cambio frecuente de contraseñas a los usuarios. Además, los intentos de pirateo son rastreados por rangos de IP que intentan obtener acceso de forma ilegítima repetidamente, se bloquean por períodos más largos para disuadirlos de intentar ingresar a su sitio web.

Autenticación de inicio de sesión en dos pasos

Al autenticar un inicio de sesión, se agrega una capa adicional de seguridad además de una contraseña segura, un nombre de usuario inusual y un número limitado de intentos de inicio de sesión fallidos.

El proceso de autenticación de inicio de sesión en dos pasos hace que su sitio sea más que doblemente seguro. Iniciar sesión en su sitio de WordPress requiere un código de autenticación que solo se puede recibir a través de un mensaje móvil. Teniendo en cuenta eso, es bastante improbable que un hacker robe su móvil en preparación, su sitio web permanecerá seguro contra la fuerza bruta y otras técnicas de pirateo que dependen de pasar la página de inicio de sesión de su sitio web.

Google Authenticator es un complemento útil que se basa en una aplicación instalada en su Android / iPhone / Blackberry que le proporciona el código de autenticación necesario para iniciar sesión con éxito en su sitio web. Puede habilitar esta aplicación solo para el nivel de privilegio de administrador o emplearla usuario por usuario.

Me gusta mucho el siguiente complemento, tienen la intención de enviar a las personas que intentan iniciar sesión sin el código de autenticación a una redirección con una URL personalizable. La página de inicio de sesión invisible también bloquea completamente los bots.

Autenticación de inicio de sesión

Si un usuario no cumple con la secuencia de inicio de sesión completa, se rechaza el intento de inicio de sesión. Otra técnica que puede usarse para bloquear bots es usar captcha en las páginas de inicio de sesión, puede usar Login No Captcha reCaptcha para evitar que los bot inicien sesión.

Cambie la URL de su página de inicio de sesión de WordPress

Hemos discutido limitar los intentos de inicio de sesión, autenticar los inicios de sesión y la importancia de usar una contraseña segura y un nombre de usuario inusual.

Ahora vamos a ocultar o cambiar la página de inicio de sesión, este tipo de modificaciones de seguridad también se conoce como seguridad a través de la oscuridad. Sé que esto parece un poco exagerado. Pero quédese conmigo aquí, porque este paso no es más difícil que las medidas de seguridad sugeridas anteriormente para asegurar su página de inicio de sesión.

Los ataques de fuerza bruta son efectivos solo si pueden encontrar la página de inicio de sesión. Dejar los permisos de su página de inicio de sesión sin cambios serían piratas informáticos para encontrar sus páginas de inicio de sesión.

WPSHideLogin

Intentemos ocultarles la página de inicio de sesión. Puede hacerlo cambiando la URL de la página de inicio de sesión con WPS Ocultar inicio de sesión. El complemento realmente no cambia nada, simplemente intercepta las solicitudes de página y hace que el directorio wp-admin y las páginas wp-login.php sean inaccesibles. Deberá recordar la nueva página de inicio de sesión tal como se configuró durante la activación del complemento.

Las opciones alternativas para cambiar la URL de su página de inicio de sesión incluyen otros dos complementos, Protect Your Admin y Rename wp-login.php.

SSL

Aunque, menciono SSL para proteger su página de inicio de sesión, SSL es una característica extremadamente importante y necesaria de cualquier página en la que maneje información confidencial. Y esto incluye prácticamente todas las páginas de muchos sitios web, ya que hay formularios de suscripción a blogs en todas las páginas web.

Si usted o sus visitantes / clientes alguna vez comparten información privada confidencial como direcciones, detalles de tarjetas de crédito o incluso comparten sus ID de correo electrónico con usted. Entonces les debes proteger su información.

SSL es una capa adicional de protección (Secure Socket Layer) que convierte el http en https y, en el proceso, hace que toda la información compartida sea mucho más segura.

Así es como la página de publicación de edición en la que trabajo, para Colorlib se ve con SSL. Observe el color verde “https:” en la barra de URL?

HTTPS

SSL es básicamente algo que codifica su información en algo que no se puede leer como lo hacemos en texto plano. Entonces, cuando la información viaja entre sus servidores y cualquier navegador, cualquiera que tenga acceso a ella no puede tener ningún sentido. Hay una clave privada y una clave pública. Una vez que SSL hace que la información fluya de manera divertida e ilegible, debemos darle sentido nuevamente al final del navegador. Aquí es donde entra la clave privada para que las cosas vuelvan a ser legibles. El mecanismo en juego es muy similar a una cerradura y llave matemática.

SiteGround, nuestro host compartido recomendado proporciona protección SSL de forma gratuita. También puede comprar un certificado SSL de una autoridad de certificación. Si ejecuta complementos de seguridad como Wordfence, se puede habilitar SSL.

Recomendaría SSL en todo el sitio, muchos sitios de WordPress ColorLib incluidos usan SSL en todo el sitio. Si no es SSL en todo el sitio, definitivamente debe forzar SSL para las páginas de inicio de sesión como mínimo.

Los navegadores como Chrome incluso bloquean el acceso a sitios web con certificados defectuosos / caducados en SSL.

certificado de seguridad caducado

Es posible que tenga que averiguar si su CDN entrega contenido fácilmente a través de SSL y, a veces, las redes publicitarias pueden presentar problemas al servir a través de SSL. Agregar SSL en todo el sitio puede presentar dificultades significativas, debe leer este artículo muy perspicaz sobre las dificultades de habilitar SSL en todo el sitio.

Google le da un pequeño impulso (1%) en sus clasificaciones de búsqueda, si utiliza SSL en sus sitios web. Este hecho, en sí mismo, debería justificar el uso de SSL. Por qué ? Bueno, Google comprende, como lo hacen la mayoría de los profesionales de desarrollo web, la importancia de garantizar la seguridad de los datos de sus lectores / visitantes.

SSL también se puede aplicar en su pantalla de inicio de sesión mediante el complemento de seguridad de Wordfence. También se espera que los certificados de seguridad estén disponibles gratuitamente en algún momento de 2015.

Lea más sobre la administración a través de SSL en WordPress.org.

# 4. Protección de su WP Core, base de datos y uso de permisos de archivo correctos

En muchas de estas medidas de seguridad modificaremos su núcleo de WP y deberá familiarizarse con el uso y el cliente FTP para realizar cambios y cargarlo. Y dado que la mayoría de estos consejos de seguridad implican cambiar o modificar su núcleo de WP, podría romper su sitio web. Haga una copia de seguridad de su núcleo de WordPress y todo su contenido antes de continuar, un error se puede deshacer fácilmente con una copia de seguridad.

Claves de seguridad de WordPress

WordPress utiliza cookies para identificar y verificar a los usuarios que han iniciado sesión para comentar y realizar cambios desde el tablero de WP.

Estas cookies contienen información de inicio de sesión y sus detalles de autenticación. La contraseña se descifra, lo que significa que se aplica una fórmula matemática para hacerla ilegible y no se puede leer sin aplicar las matemáticas una vez más para que sea legible.

Podemos agregar una capa adicional de protección alrededor de esta cookie con WP Security Keys. Estos son un conjunto de variables aleatorias que mejoran la seguridad de la información almacenada en una cookie de usuario. Hay 4 claves, a saber, AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY y NONCE_KEY.

Una contraseña no encriptada como WordPress o 12345 puede romperse fácilmente si alguien puede reconstruir la cookie de autenticación. Pero cifrar con las claves de seguridad de WP hace que esto sea mucho más difícil.

¿Cómo se agregan las claves de seguridad de WP?

  1. Abra el archivo wp-config.php.
  2. Busque “claves y sales únicas de autenticación”.
  3. Utilice una herramienta de generador de claves automáticas en línea.
  4. Copie las claves de la herramienta en línea y reemplace el conjunto de claves existente, sobrescribiéndolas en wp-config.php.
  5. Guárdalo
  6. Puede repetir el mismo proceso cada mes más o menos.

Recuerde, cada vez que cambie las claves de seguridad, los usuarios cerrarán la sesión y deberán volver a iniciar sesión en sus cuentas.

iThemes Security proporciona las herramientas necesarias para hacer esto desde el tablero de WP. Y también le enviarán un recordatorio cada mes para cambiar sus claves de seguridad.

Proteja con contraseña sus directorios WP

Esto se puede hacer desde su cPanel o desde el panel de control de cualquier proveedor de alojamiento web. En el cPanel, abra Seguridad> Directorios de protección de contraseña. Encontrará una lista de todas las carpetas en su sitio. Comience con una carpeta importante como wp-admin.

Encontrará un cuadro de diálogo que solicita crear un usuario proporcionando un nombre de usuario y contraseña. Ahora crea el nuevo usuario. Después de esto, si necesita acceder a la carpeta wp-admin en su sitio web, debe ingresar el nombre de usuario y la contraseña para acceder al sitio web.

Esto agrega una capa adicional de protección basada en contraseña a las partes más importantes de su sitio web.

Usar FTP seguro (SFTP)

Se requiere un sistema de transferencia de archivos para llevar los datos de su sitio web a su proveedor de alojamiento web cuando agrega nuevos cambios que desea incorporar. With a normal file transfer protocol or an FTP, the chances that someone may intercept and find vulnerabilities to exploit your website increases.

You’ll need the right client to use an SFTP connection to upload new files and modified code. You can use FileZilla to help you get started.

In addition, you’ll need some specific details about your web hosting account. Generally, every host will provide specific information to help you set up a secure file transfer protocol. You’ll normally have an SSH key which is generated by the host, this key has to be added to your SFTP client like FileZilla and it is straightforward to set up a secure connection for file transfer from there on.

Using Correct File Permissions

The access to your files need to have the right permissions. It is possible to write on your WordPress from the web server. The problem arises when you share that environment with multiple websites who may also have their websites on a shared server.

Generally, WordPress folders and WordPress files have specific permissions on different hosts. With shell access you can run to the following two commands to keep your WordPress folders and files secure and accessible only to the correct user.

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} ;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} ;

Protecting WordPress using .htaccess

While editing .htaccess file, please add code before # BEGIN WordPress or after # END WordPress. Any code added within these two hashtags can be overwritten by WordPress and we wouldn’t want any new security protocols we’ve added to disappear.  So when you add any code to the .htaccess file, please remember to stay out of the section starting with # BEGIN and ending with # END.

los wp-includes contains files that aren’t necessary for any user, but it contains files necessary for running WP. We can protect it by preventing access and adding some text to the .htaccess file. Keeping in mind to stay out of the code within hashtags.

Add this little snippet of code to the .htaccess file.

# Block the include-only files.

RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]



# BEGIN WordPress <-- Always add code outside, before this line in your .htaccess file -->

This wouldn’t work for wp multi sites. Remove this line – RewriteRule ^wp-includes/[^/]+.php$ – [F,L], this will offer less security but it will work for multisite.

Tu wp-config.php file contains sensitive information about your connection details and the WP security keys we previously discussed. Modifying your .htaccess will protect your website against hackers, spammers and significantly beef up your website’s protection.

This process involves moving your .htaccess file out of your WP install and to a location accessible only with an FTP client or cPanel or from the web server.

Add this to the top your .htaccess file.


order allow,deny
deny from all

This will essentially prevent access to anyone who surfs for the wp-config.php file and only access from the web server space will be permitted.

All this added protection is great, but remember all of this was accomplished from your .htaccess file. That means if someone can access your .htaccess file, all your added security isn’t helpful.

Add the following to the top of your. htaccess file. It will prevent access to your .htaccess file.


order allow,deny
deny from all

You can add more modifications to .htaccess file, if you’d like.

You could, restrict files, by file types and extension. This piece of code will not only restrict access to your wp-config but it will prevent access to ini.php and your log files.


Deny from all

#Code courtesy - WPWhiteSecurity

Next we can disallow browsing of the WP directory contents.

 Options All -Indexes

Apart from that we can add a few other changes to improve security by making changes to the .htaccess file in WordPress.

  1. Block IPs and IP ranges. You can limit access to your login pages by IP range, I would have covered it in the Login section but login page protection plugins already block IP ranges which try to access login pages through brute forcing techniques.
  2. Keep bad bots at bay.
  3. Prevent hot linking.

This is quite extensive and we are starting to get off point. If you’d like to do the other stuff as well, for which I haven’t presented the code here, you can use this piece of custom code from WP White Security.

Please remember to keep track of which files you have moved to root directory of WP. You’ll need to be aware of where each file/folder is, so that you can not only edit them but also be sure not create multiple copies in different locations which again jeopardizes the point of the entire exercise.

Turn Off PHP Error Reporting & PHP execution

PHP executions need to be kept to a minimum. Why ? A good example of a hack would be the Mailpoet Newsletter hack which could be used to add files which are run from the wp-content/uploads folder.

To prevent such vulnerabilities, we can deny PHP any room to run on WordPress. Add this code snippet to the .htaccess file.

https://gist.github.com/puikinsh/c8bf229921dbf6af4625

This code detects PHP files and denies access. You need to add it to the following wp folders.

  • wp-includes
  • wp-content/uploads
  • wp-content

You’ll need to create a .htaccess in the other folders. By default, it may be available in the root directory but to prevent PHP execution the .htaccess file needs to be created and added to the aforementioned folders. The three folder mentioned are primarily folders where content is uploaded and is particularly vulnerable to a PHP script that can cause a lot of problems.

PHP error reporting is a signal to all hackers who are looking for vulnerabilities that there is something not working on your website.

Adding these two lines of code to your wp-config.php file should resolve the problem.

error_reporting(0);
@ini_set(‘display_errors’, 0);

Although having read multiple threads and discussions about PHP error reporting, it may not work. In which case your best option is to contact your web host and ask for instructions on how you can accomplish the same.

Change the wp_ table Prefix

All WordPress tables begin with a wp_ prefix. Change this wp table prefix across your entire website and make it more difficult for a hacker to infiltrate your website.

In your wp-config.php, you’ll find this line of code.

$table_prefix  = 'wp_';

Change that to something completely random,

$table_prefix  = 'jrbf_';

Now every table like, wp_posts, wp_users, etc will change to jrbf_posts, jrbf_users and so on.

Almost all security plugins do this for you and furthermore changing wp table prefixes may be time consuming. You can do this with PHPMyAdmin or other database managers, but I’d much rather use a security plugin like iThemes Security to accomplish it.

Similarly, you can take it a step further by changing the name of your WordPress database. This way, not only do you change the prefix but you will also be changing the names of what follows the prefix. This will make it nearly impossible for hackers to randomly guess your database name and you can not access what you can not find.

Disable XMLRPC

Generally, DDOS attacks target all web pages of WordPress websites indiscriminately. But this particular part of WordPress can become a target for DDOS attacks. I’ll explain, XMLPRC is used for pingbacks and trackbacks. But it has, in the past been exploited to launch DDOS attacks on websites.

You can use a plugin like Disable XMLPRC. But you will not need it, if you use security plugins or a login protection plugin. They generally provide protection against this particular vulnerability.

#5. Security Plugin – Wordfence/iThemes Security/ Sucuri

An effective security plugin is absolutely essential in ensuring your WordPress site’s security, for the non-tech savvy at least. Security plugins perform the various functions many of which have already been discussed here, all of these added security measures add up to build a fortress around your website and its contents.

Wordfence

Wordfence performs a number of functions crucial to site security on a WordPress powered site,

  • Real time blocking of attackers, blocking entire malicious networks and certain countries.
  • Limit crawlers, bots and scrapers.
  • Block users who trespass on your security rules.
  • Two factor authentication via SMS, greatly improves security on login pages.
  • Strong password enforcement for all users (non-admins).
  • Protect against brute force attacks.
  • Scan site for malicious scripts, back doors and phishing URLs on your site masquerading as comments on your website.
  • Compare plugin/theme core files with files of the same listed on WordPress.org’s directory.
  • Run heuristics for Trojans, suspicious scripts and other potentially security endangering activities on your site.
  • Firewall to block fake Google bots sent by hackers to scan for vulnerabilities.
  • Real time awareness and live content access monitoring to enhance situational awareness.
  • Geo-located down to a city level the threats to your website to find out the point of origin of threats to site security.
  • Monitor DNS for unauthorized access.
  • Keeps an eye on disk space consumption to prevent and react to Denial of Service attacks.
  • It is multisite compatible.
  • Falcon caching system to reduce server load.
  • Full IPv6 compatibility for WHOIS lookup, location and security functions.

Some features are restricted to the premium version of the plugin. The premium version of the plugin is priced at $3.25/mo.

WordFencePremiumFeatures

That being said, the free version of this plugin is a very capable site defender for your WordPress website. And you shouldn’t be too apprehensive about the free version of the plugin, given that it has a rating of 4.9 on a five point scale and has been downloaded nearly a million times.

Security plugins require configuring and this can be an elaborate and long process. With Wordfence, you can to an extent at least customize all your security settings from Options under WordFence on your WordPress site menu.

Other options you can consider, if you still haven’t settled on a security plugin for your WordPress site.

I do not think Wordfence is the best overall security system out there. What I mean by this is, there are better security solution providers/ managed hosting services that offer better overall security solutions for WordPress sites. But when it comes to simple security plugins that enforce good protection and security protocols, Wordfence is certainly one of the best. The not too distant second position would probably go to iThemes Security.

In the coming weeks, I’ll probably write a post about all the security solutions available for WordPress, so stay tuned to Colorlib 🙂 But right now, we’ll stick to Wordfence as the recommended security plugin.

#6. Update ! Update! Update! And not just your WordPress

There are hundreds of WordPress vulnerabilities in the previous/non-current versions of WordPress.

Websites tend to be slow, when it comes to updating their WordPress platform. For example, in February of 2015 only 7.4% of websites had updated to WordPress 4.1, despite the fact that it had been released more than two months prior to February.

Whenever a software vulnerability is discovered, typically the vulnerability is reported to the software vendor. The software vendor then modifies the software and adds some added protection or merely deletes some unnecessary code. This is released as a software update or a patch. This is the best possible case, but if someone with less than noble intentions discovers a vulnerability in any web based or non web based software, then he/she is likely to exploit it to the fullest.

July 2014, Mail Poet Newsletters previously known as Wysija Newsletters, a plugin which had been downloaded over 2 million times was compromised as a result of which 50,000 websites were made vulnerable to attack. An automated attack where in, an injected PHP backdoor would allow for eventual control of the site by the hacker.

December 2014, 100,000+ websites were compromised by the Revolution Slider plugin which was targeted by the SoakSoak.ru campaign. This particular malware injected JavaScript into the wp template-loader.php file. A thousand themes were affected as they had been sold with this plugin as an add-on via Envato and other WordPress marketplaces.

The XSS vulnerability in WP Super Cache, a plugin I included in my round up for the Top 6 Caching Plugins. The list of vulnerabilities in top notch free plugins is quite concerning. But there are a number of steps you can take to decrease your chances of using a vulnerable piece of code theme or plugin on your website.

You should know that most plugins with vulnerabilities have been patched. But you need to stay fully updated at all times. Updating your site to the latest versions is an extremely important part of your site defense strategy. All the previously mentioned security measures are useless, unless you update as and when the updates for WordPress and other third party software are available.

Enable Automatic Updates For Your WordPress, Plugins & Themes.

You do not want your website’s update page looking like this page on a test site.

WpUpdates
Well, at least it has the latest WordPress version.

WordPress introduced automatic background updates with the release of WordPress version 3.7.

You can enable auto updates for WP, by making a change to the WP_AUTO_UPDATE_CORE constant. This change needs to be made in the wp-config.php file.

define( 'WP_AUTO_UPDATE_CORE', true );

This will ensure that all updates major or minor are updated as soon as they are made available.

Change the update core constant to “false” and you will disable all updates. Changing it to “minor” will enable auto updates for minor changes, normally includes security patches.

You can update plugins and themes in the same manner, by editing the auto_update$type filter.

For automatic plugin updates,

 add_filter( 'auto_update_plugin', '__return_true' );

And to enable automatic theme updates,

 add_filter( 'auto_update_theme', '__return_true' );

If you do not enjoy fiddling with code, you can use a plugin to help yourself out. You have another option in the form a plugin, when it comes ensuring the smooth update of your WP and all themes/plugins on your site. Advanced Automatic Updates allows you to enable major updates and minor/security updates individually. And the plugin also provides auto update solutions for themes and plugins.

For multisite update solutions, if you need help handling updates with WordPress plugins and themes, you can try out Easy Updates Manager. There is also a premium service offered by WP Updates which provides auto updating solutions for premium plugins and themes.

Using plugins like ManageWP or a managed WP host like WPEngine will also help resolve issues with updating your WordPress and the third party software that you use on your website.

Updating WordPress core automatically becomes problematic when things start to break down. This can happen either because of customized code which gets erased during an update or compatibility issues that arise with third party software (plugins & themes). This is one reason which may give you pause, perhaps enabling minor updates may be a better idea.

If you have problems with your automatic WordPress updates, then I’d recommend you give Background Update Tester a try. The plugin checks for and explains any compatibility issues.

Always run a backup before you update. Always! This to protect your website against things going horribly wrong, in which case you end up making a mess of your website. A good practice to follow, to protect against automatic updates causing havoc through compatibility issues with plugins, themes and sometimes customized code on your WP core.

#7. A Few More Things About WP Security – Firewalls, Audit Logs & Malware Scanners

I haven’t discussed firewalls for WordPress. A good firewall will accomplish a great deal and mitigate the most common forms of attack on your websites.

  • Mitigate effects of a DDoS attack.
  • Brute force attacks are stopped dead in their tracks.
  • Protect against software vulnerabilities.
  • Stops code injection attacks like SQL or XSS attacks.
  • Patch up and defend against zero day vulnerabilities.

Just to illustrate, here’s a snapshot of what Sucuri firewall does for a WordPress website.

Sucuri_ CloudProxy Website Firewall

Firewall isn’t the term Sucuri uses to describe its protection system, they refer to it as the CloudProxy which is a combination of a web application firewall and an intrusion detection system. All malicious traffic is filtered out and anomalous activity is monitored.

Firewalls traditionally were developed to monitor connections, however Sucuri’s CloudProxy will not only keep out the bad guys but they’ll also create virtual patches against vulnerabilities. Once a request from a visitor passes through the firewall, it reaches the intrusion prevention and detection system, where the system sifts through the requests for possible patterns of attack.

I think the virtual patching feature to protect you against vulnerabilities is a highly effective and invaluable asset for any website with too much customization (means a lot can go awry when compatibility issues ensue). It is always better to apply the update to WordPress in a staging area and check if your website functions smoothly. And if it does, you can take the updated version of your website live. But in the interim, your website is genuinely at peril. Protecting against zero day exploits is possible only through updates to fix vulnerabilities, however this does not have to be the case while using Sucuri CloudProxy.

And apart from that, they also maintain logs of all activity on your website and look for possible signs of mischief.

Think of the firewall as a last measure, it is the wall a hacker needs to breach to access the sensitive contents of your website. Good practices in large part are designed so that you do not need to use the firewall as much.

Malware scanning software or websites like Sucuri SiteCheck can scan your websites for vulnerabilities and possible security loopholes. Security plugins also have malware scanning software to track any changes that look abnormal and are sources of potential security problems.

I had also mentioned WP Security Audit Log previously, while stating that it is a necessary plugin to track all changes on your website. I’d like to reiterate that point, it is an extremely useful plugin not to only track changes effected by themes and plugins but also actions by other users. It is very important that you either use WP Security Audit Log or run some other data logging plugin to keep track of all changes.

Logging is also a key feature of Sucuri’s protection system. Despite their overzealous attempts to ensure security sometimes bad things do happen and websites get hacked. When that happens, their logging system is very useful to help dig websites out of a ditch.

Firewalls, Malware Scanners and Audit Logs are very handy against threats that can not be predicted and zero day exploits. They are not substitutes for good WordPress security practices.

#8. Hiding Your WordPress Version – Is it necessary ?

I’ve read on a few websites that hiding your WordPress version will add to your security against malicious hackers. The problem is, there is an assumption that the knowledge of vulnerabilities associated with a particular WordPress, make it more likely that someone will exploit them. This is not necessarily true. Generally people who steal information from websites use automated tools to scan websites for known vulnerabilities. And if your WordPress version is vulnerable, then they’ll know it. It isn’t as if hackers check one site at a time and sort them by WordPress version.

As stated previously update your WordPress, themes and plugins as soon as possible. Hackers do not discriminate between sites that display WordPress version and websites that do not.

In the unlikely event, that a hacker manually visits every website and checks the WordPress version and then attempts to find vulnerabilities, you may find it fruitful to hide your WordPress version.

Use Remove Version Plugin to remove your WordPress version. If that doesn’t work for you, then you’ll need to make a few minor modification and this blog post should aid you.

#9. Back Up – Last Line Of Website Security

You should always be prepared for the eventuality that your WordPress site despite all your security measures becomes compromised. If that happens you need to step in and fix things. Now there are multiple ways in which site recovery can be accomplished. Backups with one click restorations are an easy fix for a compromised website, assuming the security loophole or vulnerability has already been fixed.

Automatic backups are a necessary and essential part of every WordPress website’s security arsenal. Think of the security plugins as your sword and the backup as your shield. Should your offense fail you, your shield in this case the backups, becomes your last line of defense.

Remember, I am making the assumption that it is only your WordPress that is compromised and not your server, which is a completely different bag of worms. But most hosting service providers have a strong security team protecting their servers against malicious elements constantly and especially during global attacks. I wrote a post a few weeks back, about the different providers of shared hosting services, if you are interested.

Backups- If you decide you’d like a free plugin without paying a dime for backup services, then I’d say you can start with Updraft Plus which is a freemium plugin.

UpdraftPlus

With this plugin you can backup and save a copy of your website on storage provided by a number of different services. It includes Google Drive, Amazon S3, Dropbox, Rackspace Cloud, FTP & SFTP and Email. You should also note that the free plugin only permits backup on any one location. You’ll need a premium add on, if you wish to utilize the plugin to save your website on multiple places.

This plugin like most backup providers of WordPress backup, saves everything including your content, themes & plugins settings and it can also run a WordPress database backup separate from your normal backups.

If you’d like to use a premium WordPress backup service, I’d recommend that you have a look at BackUp Buddy, VaultPress or BlogVault (I’ve worked with them in the past and they have an awesome service).

Keep more than one copy of your website available and always have one on a physical drive that isn’t reliant on an internet connection. Backups are a good idea even from a non security standpoint. When you experiment with themes and plugins, when you update themes, plugins or your WordPress, there always exists the possibility for a compatibility issue to arise and break your website.

And from my experience with automatic backups, you need to keep deleting copies of backups in a manner consistent with the frequency with which you keep adding new content and keep making backup copies.

When it comes to my PC, I always prefer backup solutions that offer incremental/differential backups as opposed full backups, but you also note that with the former reconstitution for restoration takes a longer time. The same is definitely applicable to a WordPress backup system. Although, unless your backup provider charges extra with strict constraints on data storage limits, you shouldn’t worry about it.

Conclusión

I can’t help it, this quote from the Harry Potter series seems so apt.

“Constant Vigilance!” – Mad-Eye-Moody

Moody is a dark wizard catcher in the series, if you were wondering.

As I’ve already mentioned before there is no such thing as full proof security on the web. You can take numerous security measures and still have your website hacked. But ensuring that your website runs on SSL, that your login pages are hardened, your passwords & usernames are remarkably unfamiliar, your website is fully updated and protected against known threats and fully backed up on a daily basis, greatly improves the odds in your favor.

If you want a complete hack/exploit free WordPress, following all the aforementioned security measures will ensure your website has air tight security. But even then, you can not protect against zero day exploits or a smart hacker hell bent on breaking your website, although this is a very unlikely event.

Think of it this way. If my website gets hacked, how much business and revenue will I loose ? Will I put my customer’s information at risk ? Will that make me liable for lawsuits ? When it gets to the point where you see that the costs of having your website hacked are reasonably high, then I’d suggest you use either a managed WordPress hosting service or a really big web bouncer in the form of Sucuri’s security services.

Your website does not necessarily need to be popular to become a target. And it will never become a high traffic website, if it continually falls victim to hacks and attacks.

As I’ve said previously about hosting. If you’re reasonably certain of your ability to create a revenue generating website which will pay for the costs of the best hosting/security services, then go with the best. If you’re able to afford the best web hosting/security services, it will be worth it in the long run, assuming you aren’t a web developer by profession.

If you can not afford the best managed web hosting or top notch security, then put in place the aforementioned security measures. Chances are, your website will be safe.

If you have some additional insight on WordPress security or have different ideas on how to protect your WordPress website, I’d love to hear your ideas in the comments below. Cheers 🙂

Deja un Comentario