La oferta ecléctica, abierta y la naturaleza práctica de WordPress lo han convertido en uno de los CMS conocidos más importantes para mejorar la web, atrayendo a todo tipo de clientes, ya sea que busquen una nueva interfaz o propietarios que busquen convertir un sitio web a WordPress. Esa reputación también lo ha convertido en un objetivo para los piratas informáticos que intentan obtener acceso no autorizado al backend del sitio web y se ofrecen algunas ideas útiles sobre cómo proteger el área de administración de WordPress para el bien de los propietarios.


1. HAGA SU USO DE NOMBRES DE USUARIO Y CONTRASEÑAS FUERTES un hábito

Un error estándar que comete la mayoría de la gente es optar por simplemente recordar mezclas, ya que la contraseña facilita que cualquiera con intenciones malintencionadas pueda descifrarla. Utilice siempre contraseñas sólidas que sean una combinación de letras, caracteres específicos y números, y utilice la misma técnica para crear el nombre de usuario. Otro error que se comete todo el tiempo es usar la misma contraseña para acceder a diferentes áreas y cualquiera que se entregue a una aplicación de este tipo debe salir de inmediato. El problema de memorizar contraseñas podría resolverse agregando una aplicación de monitoreo de contraseñas a su sistema o teléfono inteligente donde se puedan almacenar de forma segura.


2. IMPLEMENTAR LA PROTECCIÓN CON CONTRASEÑA

La lista de administración de WordPress también está protegida con una contraseña y agregando otra característica de seguridad al sitio web. Esto se puede hacer iniciando sesión en el cPanel de su servicio de alojamiento de Internet y descubriendo y haciendo clic en la selección «Lista de privacidad» o «Directorios de protección con contraseña». Ahora aparece una ventana emergente solicitando la ubicación de la entrada y es mejor seleccionar la opción “public_html / www”. Ahora será dirigido a otra pantalla donde deberá seleccionar la opción “Defender esta oferta con contraseña” y guardar los cambios que haya realizado. El sistema le pedirá que proporcione un nombre de usuario y una contraseña, elija frases sólidas para cada una de ellas y guarde la letra pequeña para completar el método.


3. AÑADIR AUTENTICACIÓN DE DOS FACTORES A LA PANTALLA DE INICIO DE SESIÓN

La mayoría de nosotros estamos familiarizados con la autenticación dual que forma parte de casi todas las transacciones financieras en línea, y la característica idéntica se puede utilizar para extender la protección del administrador de WordPress. Esto se puede hacer con la ayuda de la aplicación Google Authenticator y el complemento. La aplicación debe instalarse en su teléfono inteligente, mientras que el complemento debe descargarse y activarse en su configuración de WordPress. Seleccione el modo para el período durante el cual el código generado permanece activo y guarde la configuración realizada integrando la cuenta y sincronizándola con la aplicación del teléfono móvil. Después de completar el método, encontrará que el sector para el código del Autenticador de Google se agrega a la página web de inicio de sesión.


4. ASEGURE LAS PÁGINAS DE INICIO DE SESIÓN CON SSL

Invertir en un certificado SSL en su sitio web es otra buena opción para aumentar la seguridad, pero la función debe estar integrada en la configuración de WordPress. Solicite a su proveedor de servicios de alojamiento de Internet un certificado SSL para la interfaz si no tiene uno. Los certificados SSL deben activarse para que el protocolo «https» aparezca en el sitio web en lugar de «http». La siguiente línea de código, cuando se agrega al archivo «wp-config.php», configura el SSL y presiona https en el área de administración:

outline('FORCE_SSL_ADMIN', true);

Otra forma de actuar es utilizar complementos que puedan ayudar a las personas que no tienen suficiente información para codificar.


5. IMPLEMENTAR UN FIREWALL PARA LA APLICACIÓN DEL SITIO WEB

Probablemente la idea más importante para defender al administrador de WordPress es implementar un firewall de utilidad de sitio web que pueda bloquear cualquier ataque similar a la inyección de código que pueda alterar el rendimiento de la interfaz y paralizar su funcionamiento. Existe una variedad de complementos de firewall que pueden ayudar a defender un sitio de Internet al monitorear a todos los visitantes del sitio y evaluar sus percepciones de amenazas y evitar que solicitudes sospechosas lleguen a la interfaz.


6. LIMITACIÓN DEL NÚMERO DE INTENTOS DE INICIO DE SESIÓN

Una persona puede ingresar su nombre de usuario y contraseña tantas veces como sea necesario para poder ingresar al área de administración, y esto hace que la configuración sea débil para las personas malintencionadas que pueden seguir intentando iniciar sesión con un método no autorizado hasta que tengan éxito. El uso de un complemento que limite la variedad de intentos de inicio de sesión puede resultar útil para minimizar dicha amenaza.


7. DESACTIVAR NOTAS AL INICIAR SESIÓN

Cualquiera que ingrese un nombre de usuario o contraseña incorrectos será informado del error por WordPress e indicará en cuál de los 2 campos se recibió la entrada incorrecta. Esto puede ayudar a las personas malintencionadas, y deshabilitar estas sugerencias en la página web de inicio de sesión destruirá el potencial de esas personas para usarlas para adivinar las frases de entrada correctas. Pegar este código en el archivo Capabilities.php, que se encuentra en la carpeta de temas, hará lo necesario:

operate no_wordpress_errors(){
return 'One thing is improper!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );


8. PERMISO DE ACCESO A UNA DIRECCIÓN IP RESTRINGIDA

El acceso al área de wp-admin se puede administrar restringiendo la autorización a unas pocas direcciones IP específicas.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Entry Management"
AuthType Primary

Denegar orden, permitir
rechazado por todos
# Ataques de IP de Joe en la lista blanca
Permiso de xx.xx.xx.xxx
# Ataques de IP de John en la lista blanca
Permiso de xx.xx.xx.xxx

Agregar el código anterior al archivo .htaccess cambiando los valores marcados «xx» en la mitad resaltada con su enfoque de IP individual ayudará a controlar las direcciones IP que el administrador puede ingresar.


9. CREAR PÁGINA DE INGRESO Y REGISTRO PERSONALIZADO

Muchos sitios web tienen una función de registro de miembros que les obliga a crear una cuenta que utilizan para iniciar sesión en el administrador y realizar las funciones para las que tienen licencia. Si el propietario así lo requiere, esta lista puede restringirse creando páginas personalizadas de inicio de sesión y registro con uno de los muchos complementos.


10. ACTUALIZAR Y UTILIZAR LA ÚLTIMA VERSIÓN DE WORDPRESS

La gente detrás de WordPress continúa lanzando regularmente nuevas variaciones que incluyen las últimas opciones, actualizaciones de seguridad y correcciones de errores. A medida que los piratas informáticos desarrollan nuevas técnicas para encontrar vulnerabilidades de seguridad, es importante que los propietarios reemplacen sus instalaciones y utilicen el último modelo para mantenerse protegidos de posibles ataques.