Todos los propietarios de sitios de WordPress que conocemos han tenido ese momento de pánico cuando se dan cuenta de que su sitio web podría ser vulnerable a los hackers. Aprendimos esta lección de la manera difícil al principio de nuestro camino cuando vimos lo que las brechas de seguridad podían hacerle a los negocios.
Es por eso que a lo largo de los años, hemos mantenido WPBeginner a salvo de ataques repetidos utilizando los mejores plugins de seguridad y siguiendo las mejores prácticas de seguridad de WordPress.
La seguridad de WordPress no tiene por qué ser complicada ni costosa. La mayoría de los propietarios de sitios piensan que necesitan contratar expertos o gastar miles en herramientas de seguridad, pero eso simplemente no es cierto. Con el enfoque correcto y las estrategias probadas, puedes proteger tu sitio web tal como nosotros protegemos el nuestro.
Hemos pasado años probando plugins de seguridad, implementando las mejores prácticas y ayudando a miles de usuarios de WordPress a asegurar sus sitios. En esta guía, te guiaremos a través de cada paso que usamos para mantener nuestro sitio seguro, para que puedas dormir tranquilo sabiendo que tu sitio web de WordPress está protegido.
Si bien el software principal de WordPress es muy seguro y es auditado regularmente por cientos de desarrolladores, todavía hay mucho que hacer para mantener tu sitio seguro.
En WPBeginner, creemos que la seguridad no se trata solo de eliminar riesgos. También se trata de reducir riesgos. Como propietario de un sitio web, hay mucho que puedes hacer para mejorar la seguridad de tu WordPress, incluso si no eres experto en tecnología.
Es por eso que hemos preparado una lista de verificación de seguridad de WordPress con pasos prácticos que puedes seguir para proteger tu sitio web contra vulnerabilidades de seguridad.
Para hacerlo fácil, hemos creado una tabla de contenido para ayudarte a navegar fácilmente por nuestra guía definitiva de seguridad de WordPress.
Tabla de contenido
Fundamentos de la Seguridad de WordPress
- Por qué es Importante la Seguridad de WordPress
- Mantener WordPress Actualizado
- Usa contraseñas seguras y permisos de usuario
- Comprende el rol del hosting de WordPress
Seguridad de WordPress en pasos sencillos (sin código)
- Instala una solución de copias de seguridad de WordPress
- Instala un plugin de seguridad de WordPress de buena reputación
- Habilita un firewall de aplicaciones web (WAF)
- Mueve tu sitio de WordPress a SSL/HTTPS
Seguridad de WordPress para usuarios que lo hacen por sí mismos
- Cambia el nombre de usuario administrador predeterminado
- Deshabilita la edición de archivos
- Deshabilita la ejecución de archivos PHP en ciertos directorios de WordPress
- Limitar intentos de inicio de sesión
- Agrega autenticación de dos factores (2FA)
- Cambia el prefijo de la base de datos de WordPress
- Protege con contraseña la página de administración e inicio de sesión de WordPress
- Deshabilita la indexación y navegación de directorios
- Deshabilita XML-RPC en WordPress
- Cierra sesión automáticamente a los usuarios inactivos en WordPress
- Agregar preguntas de seguridad al inicio de sesión de WordPress
- Escanear WordPress en busca de malware y vulnerabilidades
- Reparar un sitio de WordPress hackeado
¿Listo? Empecemos.
Por qué es importante la seguridad del sitio web
Un sitio web de WordPress hackeado puede causar graves daños a los ingresos y la reputación de su negocio. Los hackers pueden robar información y contraseñas de los usuarios, instalar software malicioso e incluso distribuir malware a sus usuarios.
Lo peor es que podría terminar pagando ransomware a los hackers solo para recuperar el acceso a su sitio web.
Todos los días, Google advierte a 12-14 millones de usuarios que un sitio web que intentan visitar puede contener malware o robar información.
Además, Google pone en lista negra más de 10,000 sitios web cada día por malware o phishing.
Así como los dueños de negocios con una ubicación física son responsables de salvaguardar su propiedad, los dueños de negocios en línea deben prestar especial atención a la seguridad de su WordPress.
Mantener WordPress Actualizado
WordPress es un software de código abierto y se mantiene y actualiza regularmente. Por defecto, WordPress instala automáticamente actualizaciones menores.
Para lanzamientos importantes, necesita iniciar manualmente la actualización.
WordPress también viene con miles de plugins y temas que puede instalar en su sitio web. Estos plugins y temas son mantenidos por desarrolladores de terceros, quienes lanzan actualizaciones regularmente.
Estas actualizaciones de WordPress son cruciales para la seguridad y estabilidad de tu sitio WordPress. Debes asegurarte de que el núcleo, plugins y tema de WordPress estén actualizados.
Usa contraseñas seguras y permisos de usuario
Los intentos de hackeo más comunes en WordPress utilizan contraseñas robadas. Sin embargo, puedes dificultar esto usando contraseñas más fuertes y únicas para tu sitio web.
No solo hablamos del área de administración de WordPress. Recuerda crear contraseñas seguras para tus cuentas FTP, bases de datos, cuentas de hosting de WordPress y direcciones de correo electrónico personalizadas que usen el nombre de dominio de tu sitio.
A muchos principiantes no les gusta usar contraseñas seguras porque son difíciles de recordar. Lo bueno es que ya no necesitas recordar contraseñas porque puedes usar un gestor de contraseñas.
Consulta nuestra guía sobre cómo gestionar contraseñas de WordPress para más información.
Otra forma de reducir el riesgo es no dar acceso a nadie a tu cuenta de administrador de WordPress a menos que sea absolutamente necesario.
Si tienes un equipo grande o autores invitados, asegúrate de entender los roles y permisos de usuario en WordPress antes de agregar nuevas cuentas de usuario y autores a tu sitio WordPress.
Comprende el rol del hosting de WordPress
Tu servicio de hosting de WordPress juega el papel más importante en la seguridad de tu sitio de WordPress. Un buen proveedor de hosting compartido como Hostinger, Bluehost o SiteGround toma medidas adicionales para proteger sus servidores contra amenazas comunes.
Aquí hay solo algunas formas en que las buenas empresas de hosting web trabajan en segundo plano para proteger tus sitios web y datos:
- Monitorean continuamente su red en busca de actividades sospechosas.
- Todas las buenas empresas de hosting tienen herramientas implementadas para prevenir ataques DDoS a gran escala.
- Mantienen actualizado el software de sus servidores, las versiones de PHP y el hardware para evitar que los hackers exploten una vulnerabilidad de seguridad conocida en una versión antigua.
- Tienen planes de recuperación ante desastres y planes de contingencia listos para implementar que les permiten proteger sus datos en caso de un accidente mayor.
En un plan de hosting compartido, usted comparte los recursos del servidor con muchos otros clientes. Existe el riesgo de contaminación entre sitios, donde un hacker puede usar un sitio vecino para atacar su sitio web.
Por el contrario, usar un servicio de hosting de WordPress administrado proporciona una plataforma más segura para su sitio web. Las empresas de hosting de WordPress administrado ofrecen copias de seguridad automáticas, actualizaciones automáticas de WordPress y configuraciones de seguridad más avanzadas para proteger su sitio web.
Recomendamos SiteGround como nuestro proveedor de hosting de WordPress administrado preferido. Tienen soporte receptivo, servidores rápidos y una excelente confiabilidad.
Asegúrese de obtener la mejor oferta utilizando nuestro cupón especial de SiteGround.
Seguridad de WordPress en pocos pasos sencillos (sin código)
Sabemos que mejorar la seguridad de WordPress puede ser un pensamiento aterrador para los principiantes, especialmente si no eres técnico. Adivina qué: no estás solo.
Hemos ayudado a miles de usuarios de WordPress a fortalecer la seguridad de su WordPress.
Le mostraremos cómo puede mejorar la seguridad de su WordPress con solo unos pocos clics (sin necesidad de codificación).
¡Si puede hacer clic y señalar, puede hacerlo!
1. Instalar una solución de copia de seguridad de WordPress
Las copias de seguridad son tu primera defensa contra cualquier ataque a WordPress. Recuerda, nada es 100% seguro. Si los sitios web gubernamentales pueden ser hackeados, entonces el tuyo también.
Las copias de seguridad te permiten restaurar rápidamente tu sitio de WordPress en caso de que algo malo suceda.
Existen muchos plugins de copia de seguridad de WordPress gratuitos y de pago que puedes usar. Lo más importante que necesitas saber sobre las copias de seguridad es que debes guardar regularmente copias de seguridad completas del sitio en una ubicación remota (no en tu cuenta de hosting).
Recomendamos almacenarla en un servicio en la nube como Amazon, Dropbox, o nubes privadas como Stash.
Basado en la frecuencia con la que actualizas tu sitio web, la configuración ideal podría ser una vez al día o copias de seguridad en tiempo real.
Afortunadamente, esto se puede hacer fácilmente usando plugins como Duplicator, UpdraftPlus, o BlogVault. Ambos son confiables y, lo más importante, fáciles de usar (no se necesita codificación).
Para más detalles, consulta nuestra guía sobre cómo hacer una copia de seguridad de tu sitio de WordPress.
Instala un plugin de seguridad de WordPress de buena reputación
Después de las copias de seguridad, lo siguiente que necesitamos hacer es configurar un sistema de auditoría y monitoreo que haga un seguimiento de todo lo que sucede en tu sitio web.
Esto incluye monitoreo de integridad de archivos, intentos fallidos de inicio de sesión, escaneo de malware y más.
Afortunadamente, puedes solucionar esto fácilmente instalando uno de los mejores plugins de seguridad de WordPress, como Sucuri.
Necesitas instalar y activar el plugin gratuito Sucuri Security. Para más detalles, por favor consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Ahora, puedes ir a Sucuri Security » Dashboard para ver si el plugin encontró algún problema inmediato con el código de tu WordPress.
Lo siguiente que necesitas hacer es navegar a la página Sucuri Security » Settings y hacer clic en la pestaña ‘Hardening’.
La configuración predeterminada funciona bien para la mayoría de los sitios web, así que puedes proceder a activarla haciendo clic en el botón ‘Apply Hardening’ para cada opción.
Esto te ayuda a asegurar las áreas clave que los hackers suelen usar en sus ataques.
Consejo: Cubriremos más formas de mejorar la seguridad de tu sitio web más adelante en este artículo, como cambiar el prefijo de la base de datos y el nombre de usuario del administrador. Sin embargo, estos son más técnicos y pueden requerir conocimientos de codificación.
Después de la parte de seguridad, la otra configuración predeterminada del plugin es suficiente para la mayoría de los sitios web y no necesita ningún cambio.
Lo único que recomendamos personalizar son las alertas por correo electrónico, que se encuentran en la pestaña ‘Alerts’ de la página de configuración.
Por defecto, recibirás muchas alertas por correo electrónico que pueden saturar tu bandeja de entrada.
Recomendamos habilitar las alertas solo para las acciones clave sobre las que deseas ser notificado, como cambios en plugins y registros de nuevos usuarios.
Este plugin de seguridad para WordPress es muy potente, así que navega por todas las pestañas y configuraciones para ver todo lo que hace, como escaneo de malware, registros de auditoría, seguimiento de intentos fallidos de inicio de sesión y más.
Para más información, puedes ver nuestra reseña detallada de Sucuri.
Habilita un firewall de aplicaciones web (WAF)
Usar un firewall de aplicaciones web (WAF) es la forma más fácil de proteger tu sitio y tener confianza en la seguridad de tu WordPress.
Un firewall de sitio web bloquea todo el tráfico malicioso antes de que llegue a tu sitio web.
- Un firewall de sitio web a nivel DNS enruta el tráfico de tu sitio web a través de sus servidores proxy en la nube. Esto le permite enviar solo tráfico genuino a tu servidor web.
- Un firewall a nivel de aplicación examina el tráfico una vez que llega a tu servidor pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficiente como el firewall a nivel DNS para reducir la carga del servidor.
Para obtener más información, consulta nuestra lista de los mejores plugins de firewall para WordPress.
Hemos utilizado Sucuri en WPBeginner durante muchos años y todavía lo recomendamos como uno de los mejores firewalls de aplicaciones web para WordPress. Recientemente cambiamos de Sucuri a Cloudflare porque necesitábamos una red CDN más grande con funciones que se enfocaran más en clientes empresariales.
Puedes leer sobre cómo Sucuri nos ayudó a bloquear 450,000 ataques de WordPress en un mes.
La mejor parte del firewall de Sucuri es que también viene con una garantía de limpieza de malware y eliminación de listas negras. Eso significa que si fueras hackeado bajo su supervisión, ellos garantizan la reparación de tu sitio web, sin importar cuántas páginas tengas.
Esta es una garantía bastante sólida porque reparar sitios web hackeados es caro. Los expertos en seguridad normalmente cobran más de $250 por hora, mientras que puedes obtener todo el paquete de seguridad de Sucuri por $199 durante todo un año.
Dicho esto, Sucuri no es el único proveedor de firewall a nivel DNS que existe. El otro competidor popular es Cloudflare. Consulta nuestra comparación de Sucuri vs. Cloudflare (Pros y Contras).
Mueve tu sitio de WordPress a SSL/HTTPS
SSL (Secure Sockets Layer) es un protocolo que cifra la transferencia de datos entre tu sitio web y el navegador del usuario. Este cifrado dificulta que alguien espíe y robe información.
Una vez que habilites SSL, la dirección de tu sitio web usará HTTPS en lugar de HTTP. También verás un candado o un icono similar junto a la dirección de tu sitio web en el navegador.
Los certificados SSL suelen ser emitidos por autoridades certificadoras, y sus precios comienzan desde $80 hasta cientos de dólares al año. Debido al costo adicional, la mayoría de los propietarios de sitios web en el pasado optaron por seguir usando el protocolo inseguro.
Para solucionar esto, una organización sin fines de lucro llamada Let’s Encrypt decidió ofrecer Certificados SSL gratuitos a los propietarios de sitios web. Su proyecto cuenta con el respaldo de Google Chrome, Facebook, Mozilla y muchas otras empresas.
Es más fácil que nunca empezar a usar SSL para todos tus sitios web de WordPress. Muchas empresas de hosting ahora ofrecen un certificado SSL gratuito para tu sitio web de WordPress.
Si tu empresa de hosting no ofrece uno, entonces puedes comprar un certificado SSL en Domain.com. Tienen las mejores y más confiables ofertas de SSL del mercado. El certificado viene con una garantía de seguridad de $10,000 y un sello de seguridad TrustLogo.
Seguridad de WordPress para usuarios que lo hacen por sí mismos
Si haces todo lo que hemos mencionado hasta ahora, entonces estás en muy buena forma.
Pero como siempre, hay más cosas que puedes hacer para fortalecer la seguridad de tu WordPress.
Ten en cuenta que algunos de estos pasos pueden requerir conocimientos de codificación.
Cambia el nombre de usuario administrador predeterminado
En el pasado, el nombre de usuario predeterminado del administrador de WordPress era 'admin'. Dado que los nombres de usuario constituyen la mitad de las credenciales de inicio de sesión, esto facilitaba a los hackers realizar ataques de fuerza bruta.
Afortunadamente, WordPress ha cambiado esto desde entonces y ahora te exige que selecciones un nombre de usuario personalizado al momento de instalar WordPress.
Sin embargo, algunos instaladores de WordPress de 'un clic' todavía establecen el nombre de usuario predeterminado del administrador en 'admin'. Si notas que ese es el caso, entonces probablemente sea una buena idea cambiar tu hosting web.
Dado que WordPress no permite cambiar nombres de usuario por defecto, existen tres métodos que puedes usar para cambiar el nombre de usuario.
- Crea un nuevo nombre de usuario administrador y elimina el anterior.
- Usa el plugin Username Changer
- Actualiza el nombre de usuario desde phpMyAdmin
Hemos cubierto estos tres métodos en nuestra guía detallada sobre cómo cambiar correctamente tu nombre de usuario de WordPress.
Nota: Para que quede claro, nos referimos a cambiar el nombre de usuario llamado 'admin', no el rol de usuario administrador, que a veces también se llama 'admin'.
Deshabilita la edición de archivos
WordPress viene con un editor de código integrado que te permite editar los archivos de tu tema y plugins directamente desde tu área de administración de WordPress.
En las manos equivocadas, esta función puede ser un riesgo de seguridad, por lo que recomendamos desactivarla.
Puedes hacer esto fácilmente agregando el siguiente código a tu archivo wp-config.php o con un plugin de fragmentos de código como WPCode (recomendado):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Te mostramos cómo hacerlo paso a paso en nuestra guía sobre cómo deshabilitar los editores de temas y plugins desde el panel de administración de WordPress.
Alternativamente, puedes hacer esto con 1 clic usando la función de endurecimiento en el plugin gratuito Sucuri mencionado anteriormente.
Deshabilita la ejecución de archivos PHP en ciertos directorios de WordPress
Otra forma de endurecer la seguridad de tu WordPress es deshabilitando la ejecución de archivos PHP en directorios donde no sea necesaria, como /wp-content/uploads/.
Puedes hacer esto abriendo un editor de texto como el Bloc de notas y pegando este código:
<Files *.php>
deny from all
</Files>
A continuación, necesitas guardar este archivo como .htaccess y subirlo a la carpeta /wp-content/uploads/ en tu sitio web usando un cliente FTP.
Para una explicación más detallada, consulta nuestra guía sobre cómo deshabilitar la ejecución de PHP en ciertos directorios de WordPress.
Alternativamente, puedes hacer esto con un solo clic usando la función de endurecimiento en el plugin gratuito Sucuri que mencionamos anteriormente.
Limitar intentos de inicio de sesión
Por defecto, WordPress permite a los usuarios intentar iniciar sesión tantas veces como quieran. Esto deja tu sitio de WordPress vulnerable a ataques de fuerza bruta. Aquí es donde los hackers intentan descifrar contraseñas probando diferentes combinaciones.
Esto se puede solucionar fácilmente limitando los intentos fallidos de inicio de sesión que un usuario puede realizar. Si estás utilizando el firewall de aplicaciones web mencionado anteriormente, esto se maneja automáticamente.
Sin embargo, si no tienes el firewall configurado, puedes proceder utilizando los pasos a continuación.
Primero, necesitas instalar y activar el plugin gratuito Limit Login Attempts Reloaded. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Tras la activación, el plugin comenzará a limitar el número de intentos de inicio de sesión que los usuarios pueden realizar.
La configuración predeterminada funcionará para la mayoría de los sitios web. Sin embargo, puedes personalizarlas visitando la página Ajustes » Limit Login Attempts y haciendo clic en la pestaña 'Ajustes' en la parte superior. Por ejemplo, para cumplir con las leyes de GDPR, puedes marcar la casilla 'Cumplimiento de GDPR'.
Para obtener instrucciones detalladas, consulta nuestra guía sobre cómo y por qué deberías limitar los intentos de inicio de sesión en WordPress.
Agrega autenticación de dos factores (2FA)
El método de autenticación de dos factores requiere 2 pasos diferentes para que los usuarios inicien sesión:
- El primer paso es el nombre de usuario y la contraseña.
- El segundo paso requiere que uses un código de un dispositivo o aplicación que posees y al que los hackers no pueden acceder, como tu smartphone.
La mayoría de los principales sitios web en línea como Google, Facebook y Twitter, te permiten habilitarla para tus cuentas. También puedes agregar la misma funcionalidad a tu sitio de WordPress.
Primero, necesitas instalar y activar el plugin WP 2FA – Autenticación de dos factores. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Un asistente fácil de usar te ayudará a configurar el plugin y luego se te proporcionará un código QR.
Necesitarás escanear el código QR usando una aplicación de autenticación en tu teléfono, como Google Authenticator, Authy o LastPass Authenticator.
Recomendamos usar LastPass Authenticator o Authy porque te permiten respaldar tus cuentas en la nube. Esto es muy útil en caso de que pierdas tu teléfono, lo restablezcas o compres uno nuevo. Todos los inicios de sesión de tus cuentas se restaurarán fácilmente.
La mayoría de estas aplicaciones funcionan de manera similar, y si estás usando Authy, simplemente haz clic en el botón ‘+’ o ‘Agregar cuenta’ en la aplicación de autenticación.
Esto te permitirá escanear el código QR en tu computadora usando la cámara de tu teléfono. Es posible que primero necesites darle permiso a la aplicación para acceder a la cámara.
Después de darle un nombre a la cuenta, puedes guardarla.
La próxima vez que inicies sesión en tu sitio web, se te pedirá el código de autenticación de dos factores después de ingresar tu contraseña.
Simplemente abre la aplicación de autenticación en tu teléfono y verás un código de un solo uso.
Luego puedes ingresar el código en tu sitio web para finalizar el inicio de sesión.
Cambia el prefijo de la base de datos de WordPress
Por defecto, WordPress usa wp_ como prefijo para todas las tablas en tu base de datos de WordPress.
Si tu sitio de WordPress está usando el prefijo de base de datos predeterminado, entonces es más fácil para los hackers adivinar cuál es el nombre de tu tabla. Por esta razón, recomendamos cambiarlo.
Puedes cambiar el prefijo de tu base de datos siguiendo nuestro tutorial paso a paso sobre cómo cambiar el prefijo de la base de datos de WordPress para mejorar la seguridad.
Nota: Cambiar el prefijo de la base de datos puede dañar tu sitio si no se hace correctamente. Haz esto solo si te sientes cómodo con tus habilidades de codificación.
Protege con contraseña la página de administración e inicio de sesión de WordPress
Normalmente, los hackers pueden solicitar tu carpeta wp-admin y la página de inicio de sesión sin ninguna restricción. Esto les permite intentar sus trucos de hacking o ejecutar ataques DDoS.
Puedes agregar protección adicional con contraseña a nivel del servidor, lo que bloqueará efectivamente esas solicitudes.
Simplemente sigue nuestras instrucciones paso a paso sobre cómo proteger con contraseña tu directorio de administrador de WordPress (wp-admin).
Deshabilita la indexación y navegación de directorios
Cuando escribes la dirección de una de las carpetas de tu sitio web en un navegador web, se te mostrará la página web llamada index.html si existe. Si no existe, se te mostrará una lista de archivos en esa carpeta en su lugar. Esto se conoce como exploración de directorios.
La exploración de directorios puede ser utilizada por hackers para averiguar si tienes archivos con vulnerabilidades conocidas, para que puedan aprovecharse de estos archivos para obtener acceso.
La exploración de directorios también puede ser utilizada por otras personas para revisar tus archivos, copiar imágenes, averiguar la estructura de tu directorio y otra información. Por esta razón, se recomienda encarecidamente que desactives la indexación y la exploración de directorios.
Necesitas conectarte a tu sitio web usando FTP o el administrador de archivos de tu proveedor de hosting. Luego, localiza el archivo .htaccess en el directorio raíz de tu sitio web. Si no puedes verlo allí, consulta nuestra guía sobre por qué no puedes ver el archivo .htaccess en WordPress.
Después de eso, necesitas agregar la siguiente línea al final del archivo .htaccess:
Options -Indexes
No olvides guardar y subir el archivo .htaccess de vuelta a tu sitio.
Para más información sobre este tema, consulta nuestro artículo sobre cómo deshabilitar la navegación por directorios en WordPress.
Deshabilita XML-RPC en WordPress
XML-RPC es una API principal de WordPress que ayuda a conectar tu sitio de WordPress con aplicaciones web y móviles. Ha estado habilitado por defecto desde WordPress 3.5.
Sin embargo, debido a su naturaleza poderosa, XML-RPC puede amplificar significativamente los ataques de fuerza bruta.
Por ejemplo, si un hacker tradicionalmente quisiera probar 500 contraseñas diferentes en tu sitio web, tendría que hacer 500 intentos de inicio de sesión por separado. El plugin Limit Login Attempts Reloaded puede detectar y bloquear esto.
Pero con XML-RPC, un hacker puede usar la función system.multicall para probar miles de contraseñas con, digamos, 20 o 50 solicitudes.
Es por eso que si no estás usando XML-RPC, te recomendamos que lo deshabilites.
Hay 3 formas de deshabilitar XML-RPC en WordPress, y hemos cubierto todas ellas en nuestro tutorial paso a paso sobre cómo deshabilitar XML-RPC en WordPress.
Consejo: El método .htaccess es el mejor porque es el que menos consume recursos. Los otros métodos son más fáciles para principiantes.
Alternativamente, esto se maneja automáticamente si estás utilizando un firewall de aplicaciones web (WAF) como mencionamos anteriormente.
Cierra sesión automáticamente a los usuarios inactivos en WordPress
Los usuarios que han iniciado sesión a veces pueden alejarse de la pantalla, y esto representa un riesgo de seguridad. Alguien puede secuestrar su sesión, cambiar contraseñas o hacer cambios en su cuenta.
Es por eso que muchos sitios bancarios y financieros cierran automáticamente la sesión de un usuario inactivo. Puedes configurar una funcionalidad similar en tu sitio de WordPress también.
Necesitarás instalar y activar el plugin Inactive Logout. Tras la activación, visita la página Ajustes » Inactive Logout para personalizar la configuración de cierre de sesión.
Simplemente establece la duración del tiempo y agrega un mensaje de cierre de sesión. Luego, no olvides hacer clic en el botón 'Guardar Cambios' en la parte inferior de la página para almacenar tu configuración.
Para obtener instrucciones paso a paso, consulta nuestra guía sobre cómo cerrar sesión automáticamente a los usuarios inactivos en WordPress.
Agrega preguntas de seguridad a la pantalla de inicio de sesión de WordPress
Agregar una pregunta de seguridad a tu pantalla de inicio de sesión de WordPress hace que sea aún más difícil para alguien obtener acceso no autorizado.
Puedes agregar preguntas de seguridad instalando el plugin Autenticación de dos factores. Una vez activado, deberás visitar la página Autenticación multifactor » Dos factores para configurar los ajustes del plugin.
Esto te permitirá agregar varios tipos de autenticación de dos factores a tu sitio, incluidas las preguntas de seguridad.
Para obtener instrucciones más detalladas, consulta nuestro tutorial sobre cómo agregar preguntas de seguridad a la pantalla de inicio de sesión de WordPress.
Escanear WordPress en busca de malware y vulnerabilidades
Si tienes instalado un plugin de seguridad de WordPress, este verificará rutinariamente si hay malware y signos de brechas de seguridad.
Sin embargo, si notas una caída repentina en el tráfico de tu sitio web o en los rankings de búsqueda, es posible que desees escanear manualmente en busca de malware. Puedes hacerlo usando tu plugin de seguridad de WordPress o uno de los mejores escáneres de malware y seguridad.
Ejecutar estos escaneos en línea es bastante sencillo. Simplemente ingresas la URL de tu sitio web y sus rastreadores recorren tu sitio web para buscar malware conocido y código malicioso.
Ahora, ten en cuenta que la mayoría de los escáneres de seguridad de WordPress solo pueden advertirte si tu sitio contiene malware. No pueden eliminar el malware ni limpiar un sitio de WordPress hackeado.
Esto nos lleva a la siguiente sección, la limpieza de malware y sitios de WordPress hackeados.
Reparar un sitio de WordPress hackeado
Muchos usuarios de WordPress no se dan cuenta de la importancia de las copias de seguridad y la seguridad del sitio web hasta que su sitio web es hackeado.
Los hackers instalan puertas traseras en los sitios afectados, y si estas puertas traseras no se arreglan correctamente, es probable que tu sitio web vuelva a ser hackeado.
Para los usuarios aventureros y que les gusta hacerlo ellos mismos, hemos compilado una guía paso a paso sobre cómo arreglar un sitio de WordPress hackeado.
Sin embargo, limpiar un sitio de WordPress puede ser muy difícil y consumir mucho tiempo. Nuestro consejo sería dejar que un profesional se encargue de ello.
Si estás pagando por usar el plugin de seguridad Sucuri que mencionamos anteriormente, entonces la reparación de sitios hackeados está incluida en el precio.
De lo contrario, puedes consultar nuestras recomendaciones de las mejores agencias de soporte de WordPress para encontrar profesionales que puedan arreglar tu sitio hackeado por ti.
Preguntas frecuentes sobre seguridad en WordPress
Dado que la seguridad de WordPress es tan importante, con frecuencia nos hacen preguntas al respecto. Aquí tienes respuestas a preguntas frecuentes sobre cómo mantener los sitios web de WordPress a salvo de ataques.
¿Es seguro usar WordPress?
WordPress está diseñado para ser seguro, especialmente si lo mantienes actualizado regularmente. Sin embargo, debido a su gran popularidad, los hackers a menudo atacan los sitios web de WordPress.
No te preocupes, sin embargo. Siguiendo sencillos consejos de seguridad como los de este artículo, puedes reducir en gran medida las posibilidades de que alguien hackee tu sitio web.
¿Qué puede poner en riesgo mi sitio web de WordPress?
Hay diferentes maneras en que los hackers intentan obtener acceso a los sitios web. Algunas amenazas comunes incluyen adivinar contraseñas, instalar software malicioso (malware) y encontrar debilidades en el código de tu sitio web para robar información o tomar el control.
¿Con qué frecuencia debo actualizar mi sitio web de WordPress?
Mantener tu sitio web de WordPress, temas y plugins actualizados es muy importante. Las nuevas actualizaciones a menudo incluyen correcciones para problemas de seguridad. Intenta usar actualizaciones automáticas o revisa si hay actualizaciones tú mismo al menos una vez por semana e instálalas rápidamente.
¿Necesito un plugin especial para seguridad?
No tienes que usar un plugin de seguridad, pero pueden hacer que tu sitio web sea mucho más seguro. Los plugins de seguridad actúan como guardias adicionales para tu sitio web, protegiéndote de hackers y malware.
¿Cómo sé si alguien hackeó mi sitio web?
Si notas cosas extrañas sucediendo en tu sitio web, podría ser una señal de que has sido hackeado. Esto podría incluir ver usuarios o archivos nuevos que no creaste, tu sitio web enviando visitantes a diferentes sitios web, tu sitio web funcionando lentamente, o recibir advertencias de Google o de tu proveedor de hosting.
¿Qué debo hacer si mi sitio web es hackeado?
Si crees que tu sitio web ha sido hackeado, no entres en pánico, pero actúa rápido. Puedes contactar a tu compañía de hosting y pedir ayuda. También puedes usar un plugin de seguridad o pedirle a un experto en seguridad que limpie tu sitio web.
Si tienes una copia de seguridad de tu sitio web, restáurala de esa copia. Asegúrate de cambiar todas tus contraseñas, incluidas las de tu área de administrador de WordPress, base de datos y FTP.
Esperamos que este artículo te haya ayudado a aprender las mejores prácticas para proteger tu sitio web y nuestra lista de verificación de seguridad recomendada para WordPress. También es posible que desees ver nuestra lista de las principales razones por las que los sitios de WordPress son hackeados y nuestras selecciones expertas de los mejores plugins de seguridad para WordPress.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Fred Laxton
¡Muy buena y completa guía, gracias!
Agregaría que es una buena idea cambiar la URL de inicio de sesión de WP, usando un plugin como:
WPS Hide Login
Yo uso un inicio de sesión personalizado para cada sitio WP que construyo usando este plugin. Esto ayuda mucho (junto con los limitadores de intentos de inicio de sesión como mencionaste, etc.) a bloquear intentos de hackeo.
Soporte de WPBeginner
Changing your login URL is not a security measure, it is more for customizing the login experience. For changing the login URL we would recommend taking a look at our article below
https://www.wpbeginner.com/plugins/how-to-add-custom-login-url-in-wordpress/
Administrador
Olaf
Vaya, esta es realmente una guía increíblemente completa para la seguridad de WordPress. Priorizo la seguridad del sitio web por encima de todo, pero honestamente, incluso yo probablemente nunca he implementado tantas medidas diferentes para hacer que WordPress sea más difícil de vulnerar. Me atrevo a decir que si alguien aplica incluso el 50% de las soluciones y técnicas que has enumerado, su sitio será prácticamente a prueba de balas.
Moinuddin Waheed
Para la seguridad del sitio web de WordPress, me gustaría llamar la atención sobre el uso de plugins de firewall.
Usar el plugin adecuado como Cloudflare CDN o Sucuri puede proteger el sitio web de todo tipo de ataques, ya que filtra el acceso malicioso.
He estado usando Cloudflare durante mucho tiempo y puedo dar fe de su utilidad para la seguridad y el rendimiento.
Oyatogun Oluwaseun Samuel
Esto es muy perspicaz. También agregaría que proteger el acceso a su estación de trabajo o laboratorio de computadoras también es muy importante porque hoy en día, como parte de la seguridad, usamos contraseñas seguras para acceder a nuestros sitios de WordPress que no se recuerdan fácilmente, lo que nos obliga a almacenarlas en el navegador web que usamos para acceder a nuestros sitios de WordPress. Cualquiera que tenga acceso a su computadora y a estos navegadores podría usar fácilmente el nombre de usuario y la contraseña almacenados para iniciar sesión en su sitio de WordPress y causar estragos. En segundo lugar, creo que es realmente mejor protegerse contra el ransomware, ya que recuperar el acceso a su sitio de WordPress no está garantizado, incluso después de pagar el rescate. Por favor, ¿puedo preguntar cómo puede alguien saber si Google pone en lista negra algún sitio web como resultado de malware y phishing?
Soporte de WPBeginner
Querrás usar nuestra guía a continuación si te preocupa tu sitio después de un ataque de malware o phishing para ayudarte a encontrar y recuperarte de una penalización.
https://www.wpbeginner.com/beginners-guide/how-to-recover-a-wordpress-site-from-a-google-search-penalty/
Administrador
Oyatogun Oluwaseun Samuel
Gracias por tu respuesta, seguiré el enlace y adquiriré más conocimiento. Estoy feliz por esta respuesta.
uzoma ichetaonye
Vaya... este es un artículo bastante completo sobre formas de proteger tu sitio web de hackers.
PERO TE DARÉ ESTE CONSEJO: Mientras navegas por internet, NO, repito, NO hagas clic en ningún enlace aleatorio que parezca muy sospechoso y spam, ni descargues ningún archivo que aparezca inesperadamente en tu pantalla o en cualquier lugar sin que lo hayas solicitado. Siempre opta por software genuino en lugar de uno nulo.
Es a través de este medio que los hackers obtienen acceso a tus detalles de inicio de sesión y utilizan estos detalles para acceder a tu sitio web.
Cometí el error de hacer clic en un enlace particular al azar para descargar un enlace específico y mi sitio web fue hackeado, pero finalmente recuperé el control.
Por lo tanto, simplemente mantente alejado de acceder a enlaces no autorizados y sospechosos que prometen ofrecer ofertas especiales para atraer tu atención.
SOLO TEN CUIDADO Y MANTENTE SEGURO.
Dayo Olobayo
Gracias Uzoma por compartir tu experiencia. Este es un gran recordatorio de que los hackers pueden ser sigilosos. Tienes toda la razón al evitar enlaces y descargas sospechosas. Es un paso súper importante para la seguridad del sitio web. ¡Me alegra que hayas recuperado tu sitio!
Jiří Vaněk
Este es generalmente el problema con todos los plugins nulled. Muchas personas, pensando que se están ahorrando mucho dinero en software original, optan por una versión nulled descargada de fuentes no oficiales. La parte complicada es que el plugin funciona y hace lo que se supone que debe hacer. Lo genial para estas personas es que es gratis y se han ahorrado potencialmente cientos de dólares. Pero el plugin no solo hace lo que se supone que debe hacer, sino que también hace lo que el hacker quiere que haga. Después de un tiempo, los propietarios de estos sitios web se dan cuenta de que han perdido el control, y restaurar el sitio a su estado original puede costar más que si hubieran pagado por el plugin de una fuente oficial. A veces, reparar el sitio puede ser incluso imposible. He visto varios sitios web donde, al final, todos los datos tuvieron que ser eliminados, y todo tuvo que empezar de nuevo, correctamente, con plugins de pago, no nulled.
Moinuddin Waheed
No podría estar más de acuerdo con este hecho de que los enlaces maliciosos son puertas de entrada a las amenazas de seguridad.
Los spammers usan enlaces dudosos e intentan acceder al sitio web por cualquier medio.
Por lo tanto, no se puede enfatizar lo suficiente que solo haga clic en lo que está seguro y nunca haga clic en enlaces aleatorios.
Mrteesurez
Ningún negocio serio subestimará el poder de la seguridad en lo que respecta a los sitios web, específicamente Wordpress. Su popularidad lo convierte en un centro de atención para los hackers.
Aconsejo a los sitios de WordPress recién instalados que primero implementen la mayoría de estas medidas de seguridad antes de lanzar o comenzar la operación.
Kushal Phalak
¡Gran artículo! El año pasado mi sitio web fue hackeado (redirigido a otro sitio web sospechoso), así que creo que es imprescindible usar medidas de seguridad. En mi caso, tuve que eliminar mi sitio web y tuve suerte de que mi proveedor de hosting tuviera una función de copia de seguridad. Desde entonces usé Wordfence para asegurar mis sitios web, pero me cambié a Sucuri ya que ofrecía servicios como protección DDoS y CDN.
Moinuddin Waheed
He estado en una situación similar en la que estaba trabajando para el sitio web de un instituto de renombre.
Después de finalizar todo, el director me preguntó la fecha para poder programar un comunicado de prensa.
Con confianza le sugerí una fecha en particular y antes de la fecha programada,
mi sitio web se corrompió y, desafortunadamente, no tenía ningún plan de respaldo listo.
Estaba completamente arruinado y trabajé todo el día tratando de restaurar a la condición de trabajo anterior.
Creo que es necesario que prestemos atención a cada detalle relacionado con la seguridad.
Ayanda Temitayo
Por favor, quiero preguntar si es seguro desde el punto de vista de la seguridad cambiar la URL de la página de inicio de sesión predeterminada a otra URL personalizada. Como de tusitio.com/wp-login a tusitio.com/otroNombre-login
Una vez usé un plugin para cambiar mi URL de inicio de sesión a otra URL a la que nadie pudiera acceder fácilmente. Entonces, uno de mis expertos en SEO dijo que sería fácil para los hackers hackear mi sitio si el plugin era vulnerable y perdería todo en mi sitio web si seguía usando una ruta personalizada para la página de inicio de sesión.
¿Cuál es tu opinión sobre cambiar la ruta de inicio de sesión predeterminada?
Soporte de WPBeginner
Cambiar tu URL de inicio de sesión es una preferencia personal y no específicamente por seguridad.
Administrador
al amin Sheikh
Dos cosas importantes en un sitio web: Rendimiento y Seguridad.
Bien explicado cómo podemos proteger nuestro sitio de hackers. Gracias, WPB.
Soporte de WPBeginner
You’re welcome
Administrador
Moinuddin Waheed
Bien dicho sobre las dos cosas más importantes de cualquier sitio web.
seguridad y rendimiento.
Creo que en el caso de WordPress, estas dos en gran medida se pueden lograr a través de un buen proveedor de hosting y con el uso de buenos temas y plugins.
La mayoría de las veces, un plugin incorrecto puede causar una vulnerabilidad de seguridad sin que te des cuenta.
Por supuesto, otros aspectos son igualmente importantes a considerar.
mohadese esmaeeli
Hola, gracias por este excelente artículo. También quiero agregar algunos elementos más a esta lista, como usar el plugin Google reCAPTCHA, emplear hardware de seguridad relacionado con el servidor, examinar herramientas de seguridad dentro del entorno de hosting, como Imunify360, y cambiar contraseñas regularmente a intervalos cortos.
Soporte de WPBeginner
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
Administrador
Fajri
Vaya, el método para Deshabilitar XML-RPC en WordPress es totalmente nuevo para mí.
Voy a intentar aplicarlo para añadir más seguridad a mis sitios web. ¡Gracias por esta información, equipo!
Soporte de WPBeginner
Glad you found our article helpful
Administrador
Murad Prodhan
WPbeginner es uno de los mejores sitios web para nuestra comunidad. Este artículo es muy útil para mí. Gracias WPbeginner.
Soporte de WPBeginner
You’re welcome, glad the guide was helpful
Administrador
Jiří Vaněk
Este es un gran artículo. Hay muchas cosas aquí que nunca se me ocurrieron, a pesar de que intenté asegurar WordPress tanto como fue posible. Acabo de copiar un fragmento para ocultar mensajes de error al iniciar sesión en WordPress y lo voy a aplicar a mi sitio web. Probablemente no me detendré solo en esto. Este artículo es realmente una lista fantástica de excelentes consejos. Gracias por aumentar la conciencia sobre la seguridad. Buen trabajo.
Soporte de WPBeginner
You’re welcome, glad our guide was helpful
Administrador
Etop Udoekene
Muchas gracias. Esta información me llega en el momento justo, ya que estoy en proceso de volver a configurar mi sitio web después de que ladrones me robaran mi antigua laptop y mi teléfono Android.
Estoy realmente agradecido.
Soporte de WPBeginner
De nada, esperamos que las cosas mejoren y que nuestra guía te ayude a mantener tu sitio seguro después de eso.
Administrador
Mark Ellsworth
¡Gracias, muy bien organizado y completo! Esto definitivamente ayudará con lo que es un problema continuo y desafiante con las instalaciones de WordPress.
Soporte de WPBeginner
Glad you found our security guide helpful
Administrador
Ifakayode Femi
Me encantó este artículo y estoy guardando esta página para el futuro porque es posible que no recuerde los nombres de la mayoría de los complementos que se enumeran aquí, pero sinceramente, este artículo ayuda mucho.
Gracias por tomarte el tiempo de componer esto.
Mil gracias.
Soporte de WPBeginner
Glad you found our guide and recommendations helpful!
Administrador
Nikhil
gracias señor, es información muy importante, muchas gracias señor
Soporte de WPBeginner
De nada, ¡me alegra saber que nuestro artículo fue útil!
Administrador
Yasin
Estoy muy agradecido por este artículo, todo gracias a wpbeginner.com.
Soporte de WPBeginner
¡De nada, nos alegra que hayas encontrado útil nuestra guía!
Administrador
Belinda Viret
¡Gracias por los excelentes consejos!
Soporte de WPBeginner
¡De nada!
Administrador
Marko Kozlica
¡Vaya! Artículo extenso y completo tanto para principiantes como para usuarios experimentados de WordPress. ¡Sigan con el buen trabajo!
Soporte de WPBeginner
¡Nos alegra que hayas encontrado útil nuestro artículo!
Administrador
Federico
¡Guía realmente buena, muy útil!
Soporte de WPBeginner
¡Me alegra que lo pienses!
Administrador
Claudio Lopes
Siguiendo los consejos y sintiendo que mi sitio es más seguro.
Soporte de WPBeginner
¡Nos alegra saber que nuestra guía pudo ayudarte!
Administrador
Bob De Maria
Hola,
Soy completamente nuevo en esto y este fue mi primer correo electrónico y estoy muy contento de haberme registrado. Tocaste una de mis preocupaciones que está justo en la parte superior de mi lista.
No puedo agradecerles lo suficiente por un tutorial muy bien escrito y muy apreciado.
Saludos cordiales,
Bob De Maria
Soporte de WPBeginner
¡Me alegra saber que nuestra guía fue útil!
Administrador
Kimberly
Para tu información: Problema de seguridad en el plugin WP Security Questions. Ha sido eliminado de wordpress.org.
Soporte de WPBeginner
Thank you for letting us know, we will be sure to look for an alternative we would recommend
Administrador
MS
¡Hola chicos! Muchas gracias por estos recursos útiles. 1 pregunta, ¿alguna de estas cosas afectará el tiempo de carga de mi sitio web/páginas?
Soporte de WPBeginner
Estos no deberían causar un gran cambio en la velocidad de tu sitio.
Administrador
john
Buen artículo,
¿Usar reCAPTCHA en los formularios es útil para la seguridad?
Soporte de WPBeginner
reCAPTCHA es para prevenir spam más que seguridad.
Administrador
tim jackz
Hola equipo,
Si instalo dos plugins de seguridad en mi sitio web de WordPress, ¿hay alguna desventaja para mi sitio web?
Soporte de WPBeginner
Deberías consultar con el soporte de los plugins que buscas usar, algunos funcionan juntos pero otros intentan hacer las mismas tareas lo que puede causar conflictos.
Administrador
Diego
Mi sitio de WordPress está ejecutando WordPress 5.1.8, que es parte de la rama 5.1, última actualización en noviembre de 2020. La versión actual de WordPress es 5.6.2.
No entiendo del todo todas estas ramas diferentes de WP.
¿Aún así necesito actualizar?
Soporte de WPBeginner
En lugar de actualizar, necesitas modificar tu sitio. Puedes consultar nuestra guía a continuación para saber cómo modificar tu sitio de forma segura:
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
Administrador
Julia
Entonces, ¿pago premium y los plugins gratuitos son solo para negocios? ¿Hay alguna forma de evitar eso? No nos permiten pagar por plugins. Premium y versiones inferiores no tienen permitido usarlos en absoluto.
Soporte de WPBeginner
Esa sería una limitación de WordPress.com. Para conocer la diferencia entre WordPress.com y WordPress.org, te recomendamos consultar nuestro artículo a continuación:
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
Administrador
Trisha
¡Gran tutorial, gracias! Al revisar mis registros de errores 404, veo muchos bots accediendo a plugins inexistentes en mi carpeta /plugins... No estoy demasiado preocupado ya que los plugins que buscan no existen (de ahí el 404), PERO ¿hay alguna forma de proteger mi carpeta /plugins que no interfiera con las operaciones normales de los plugins? ¿Es esto aconsejable? ¿Debería preocuparme?
Soporte de WPBeginner
Normalmente, eso no debería ser algo que te preocupe, a menos que el plugin esté en tu sitio, en cuyo caso podrías querer asegurarte de que ese plugin esté actualizado en caso de que el bot estuviera buscando un plugin con una vulnerabilidad de seguridad.
Administrador
Ish
Tomé el control de un sitio de WordPress, ¿cómo sabría si mi sitio tiene una cuenta de copia de seguridad en la nube antes de que yo estuviera aquí?
Soporte de WPBeginner
Necesitarías revisar tus plugins activos y contactar a tu proveedor de hosting para ver qué está activo para tu sitio.
Administrador
Lu
¿Cómo puedes saber si tu sitio usa XML-RPC? Realmente útil como siempre. Gracias.
Soporte de WPBeginner
Si tu versión de WordPress está actualizada, debería estar activa en tu sitio normalmente.
Administrador
Julie Taylor
Información muy útil. Me gustaría saber tu opinión sobre lo siguiente: si implementara todas esas situaciones de seguridad, particularmente aquellas que involucran código, etc., ¿afecta a que Google pueda encontrar el sitio y a que el SEO funcione eficazmente?
Soporte de WPBeginner
Las recomendaciones de seguridad no deberían afectar el SEO de tu sitio
Administrador
MooN Minhas
Gracias por compartir buena información.
Soporte de WPBeginner
Glad you found it helpful
Administrador
Samuel
¿esta guía también aplica a los usuarios de WordPress.com?
Soporte de WPBeginner
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
Administrador
Leanne
Este es uno de los mejores sitios de tutoriales (sobre cualquier tema) que he encontrado. ¡Gracias, recomendaré wpbeginner a otros, es un sitio increíble!
Soporte de WPBeginner
You’re welcome and glad you’ve found our content helpful
Administrador
Daniel
¡Sabes que hay gente cobrando más de $50 o $100 dólares para enseñarte cómo hacer todo esto, y ustedes lo dieron gratis! ¡Muchas gracias, chicos!
Soporte de WPBeginner
You’re welcome
Administrador
Poder
Gracias por el artículo, es muy útil
Soporte de WPBeginner
You’re welcome
Administrador
Mydas
Esto fue súper útil. Tengo las habilidades de codificación para implementar todo y ahora puedo cuidar mucho mejor mis instalaciones de Wordpress y las de mis clientes. Gracias por la información, es tan completa que no puedo creer que sea gratis xD
Soporte de WPBeginner
You’re welcome, glad our guide was helpful
Administrador
Splendor Edesiri
Por favor, ¿necesito una VPN para acceder a mi sitio de WordPress desde el backend como parte de la seguridad de mi sitio de WordPress?
Soporte de WPBeginner
No, eso no es necesario
Administrador
uzoma ichetaonye
No creo que necesites ninguna VPN para acceder a tu sitio web a través de su backend.
Las VPN se utilizan para disfrazar o ayudar a tu identidad o para acceder a un sitio que ha sido bloqueado desde tu ubicación.
Kam
Gracias por este artículo. ¡Es lectura esencial!
Si tienes un host como Bluehost, ¿es esencial tener una copia de seguridad con un plugin como Updraft plus + almacenamiento remoto? Después de todo, ¿los proveedores de hosting deberían proporcionar copias de seguridad?
Soporte de WPBeginner
Si bien algunos hosts ofrecen copias de seguridad, todavía recomendamos crear tus propias copias de seguridad por seguridad
Administrador
Kyle B.
Cambiar el prefijo de la base de datos no hará ninguna diferencia. Aparte de eso, no es un mal artículo.
Soporte de WPBeginner
Thanks for sharing your opinion and glad you liked our article
Administrador
kalmoa
Solo como información, con Nginx no hay un archivo de configuración a nivel de directorio como el .htaccess de Apache. Toda la configuración debe hacerse a nivel de servidor por un administrador, y WordPress no puede modificar la configuración, como lo hace con Apache. Por lo tanto, la parte sobre 'Deshabilitar la ejecución de archivos PHP' no puede ser completada por las instalaciones de WordPress que se ejecutan en Nginx. Esto me incluye a mí, que estoy ejecutando mi instalación de WordPress en Vultr. Su instalación de WordPress de un clic se implementa en Nginx (ubuntu 18.04)
Soporte de WPBeginner
Gracias por compartir esto para los usuarios que utilizan específicamente Nginx para su sitio.
Administrador
Tom
¿Cuál es el mejor método para actualizar plugins si tengo varios que necesitan actualización? ¿Actualizo uno a la vez y veo si el plugin actualizado rompe alguna funcionalidad del sitio web?
Soporte de WPBeginner
Si te preocupa que una actualización pueda afectar tu sitio, te recomendamos probar la actualización siguiendo nuestra guía sobre cómo crear un entorno de staging a continuación:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Administrador
Kartik Satija
¡Artículo increíble, muy bien articulado y documentado!
¡Muchas gracias a todos por esto!
¡Más poder para ustedes, sigan con el buen trabajo!
Saludos,
Kartik.
Soporte de WPBeginner
Glad you found our guide helpful
Administrador
MIMIFTAH
Contenido muy informativo. Gracias
Soporte de WPBeginner
You’re welcome
Administrador
Liz
Gran artículo. Tengo una pregunta sobre las opciones de endurecimiento. Leí que habilitar el endurecimiento en todas las opciones puede hacer que algunos plugins o el tema se rompan/no funcionen correctamente. Si esto sucede, ¿qué tan difícil es arreglarlo? Parece que hay más que solo revertir la opción de endurecimiento. Cualquier información que pudiera ofrecer sería muy apreciada. ¡Gracias!
Soporte de WPBeginner
Dependería de la recomendación de endurecimiento específica, el plugin y el mensaje de error para la dificultad en caso de que aparezca un error. De lo contrario, la mayoría de los plugins no deberían tener ningún problema.
Administrador
Gary Starling
Sugerencias muy útiles y bien explicadas de lo básico a lo complejo
Gracias por tus explicaciones
Soporte de WPBeginner
You’re welcome, glad our article could be helpful
Administrador
Andrei
Hola chicos,
Después de la primera enumeración de usuarios, un plugin de seguridad de fuerza bruta bloqueará esa dirección IP.
Si protege con contraseña el directorio wp-admin, el plugin ya no podrá bloquear esa IP.
¿Es esa una evaluación correcta?
Soporte de WPBeginner
Correcto, habría una carga similar a la de una IP bloqueada, pero si necesita que muchos usuarios nuevos accedan a su sitio, limitar los intentos de inicio de sesión sería mejor que proteger con contraseña su wp-admin.
Administrador
Andrei
Ok, finalmente entendí cómo funciona esto y lo comparto aquí para todos. Proteger con contraseña wp-admin se hace a nivel del servidor (Apache/Nginx). Si una enumeración de usuarios o fuerza bruta no puede eludir el nivel del servidor, no podrá tocar PHP/MySQL. Por lo tanto, proteger con contraseña wp-admin no pone una carga adicional en la base de datos.
Peter
Muy informativo y útil, he configurado todo el procedimiento de endurecimiento que mencionó, muchas gracias.
Soporte de WPBeginner
You’re welcome, glad our guide was helpful
Administrador