Realice una guía de auditoría de seguridad de WordPress

Publicado: 2020-08-25

Comencemos diciendo que WordPress es bastante seguro. Sin embargo, si cree que hay algo sospechoso en su sitio web, querrá realizar una auditoría de seguridad de WordPress . La verdad es que, lamentablemente, la mayoría de los sitios web experimentan algún tipo de problema de seguridad, tarde o temprano. Y no solo pone en riesgo su sitio web, sino que también pone en riesgo la información potencialmente confidencial de los usuarios. Para prevenirlos, repasemos los pasos principales para realizar una auditoría de seguridad de WordPress de su sitio web.

Por qué es importante realizar regularmente una auditoría de seguridad de WordPress en su sitio web

Muchos propietarios de sitios web realmente no piensan en la seguridad del sitio web hasta que ya está comprometido. Desea asegurarse de hacer lo que esté a su alcance para evitar una posible violación de la seguridad. Cuando realiza auditorías de seguridad de WordPress, está revisando sus políticas y reforzándolas. Sería bueno realizar auditorías de seguridad al menos una vez al año, o más regularmente, según el tamaño de su sitio web y el tipo de información del usuario. Sin embargo, incluso en el caso de que haya realizado la auditoría recientemente, querrá repetirla en estas situaciones:

  • Encuentra cuentas sospechosas en su sitio web o intentos de inicio de sesión sospechosos
  • Si experimenta una caída repentina en el tráfico
  • Su sitio web se ha vuelto lento de repente
  • Puedes ver enlaces sospechosos

Cómo realizar una auditoría de seguridad de un sitio web

Si desea profundizar más, las auditorías de seguridad pueden incluir muchos más pasos. Sin embargo, una auditoría de seguridad integral debe incluir estos pasos principales :

  • Asegúrese de que WordPress, los complementos y los temas estén actualizados
  • Elimine archivos, temas y complementos que no necesita
  • Asegúrese de que su solución de respaldo esté funcionando
  • Analizar las cuentas de usuario
  • Fortalezca la seguridad de su contraseña
Seguridad.
Realice la auditoría de WordPress de manera adecuada y regular

Las actualizaciones son cruciales

Es muy importante asegurarse de que su software principal de WordPress esté actualizado, al igual que asegurarse de actualizar los complementos y los temas con regularidad. Y no se trata solo de la estabilidad de tu web, sino también de la seguridad . En cualquier software, pueden aparecer vulnerabilidades y los desarrolladores las corrigen lanzando una actualización que contiene un parche de seguridad. El proceso es simple, debe visitar el Panel y elegir la página Actualizaciones.

Elimina temas y complementos que ya no usas

A todos nos encantan los temas y los complementos. Pero, ¿cuántos complementos son demasiados? ¿Y qué pasa con los complementos que hemos instalado, solo para descubrir que realmente no nos gustan? A veces, simplemente los desactivamos y dejamos que permanezcan en el servidor. Pero, lo que realmente deberías desinstalarlos . Los archivos y complementos de temas antiguos pueden generar problemas de seguridad en su sitio web, y no hay ninguna razón por la que no deba evitarlo. La solución es bastante simple : vaya a las pestañas Temas y Complementos y decida cuál de ellos necesita. Si algunos de ellos no han estado activos durante algún tiempo, es muy probable que realmente no los necesite. Además, una vez que los desinstales, asegúrate de que no queden archivos.

Complementos de WordPress.
Antes de instalar más complementos, elimine los que no usa

Configure y pruebe su copia de seguridad de WordPress

La parte importante de la auditoría de seguridad de WordPress es asegurarse de tener una copia de seguridad de su sitio web, en caso de que algo salga mal. Sin embargo, muchos principiantes se olvidan del enchufe de respaldo después de configurarlo. La primera copia de seguridad puede tardar algún tiempo, ya que se está copiando todo el sitio web. Las próximas copias de seguridad serán mucho más rápidas ya que solo se copiarán los cambios. Pero, después de un tiempo, los complementos de copia de seguridad pueden dejar de funcionar, por lo que debe asegurarse de que su complemento aún esté guardando sus copias de seguridad . Pruebe su copia de seguridad de vez en cuando para asegurarse de que todo esté en orden. De esa manera, si sucede algo, podrá restaurar su copia de seguridad y su sitio volverá a la normalidad.

Dos tipos de sitios web

Al hacer clic en la página Usuarios y Todos los usuarios, puede ver todas las cuentas de usuario. En el primer caso, si su sitio requiere un registro, podrá ver muchas cuentas de usuario aquí. En caso de que gane un sitio web comercial o un blog, y su sitio web no requiere registro, es posible que solo encuentre una o algunas cuentas de usuario en esta página. Con estos sitios web, desea ir a Configuración y asegurarse de que en la página General, la opción "Cualquiera puede registrarse" no esté marcada. En ambos casos, si encuentra una cuenta de usuario sospechosa o inactiva, es posible que desee eliminarla.

Analizar las cuentas de usuario

También debe saber que WordPress permite seis roles diferentes que puede asignar a sus usuarios: suscriptor, colaborador, autor, editor, administrador y superadministrador. Asegúrese de asignar estos roles correctamente, ya que no todos los usuarios necesitan tener el mismo nivel de permiso. Analice las cuentas de usuario por:

  • Comprobación de cuántos de los usuarios tienen acceso de administrador
  • Cuando realiza una auditoría de seguridad de WordPress, se asegura de que se asignen los roles apropiados a los usuarios
  • Asegurarse de reconocer a los usuarios en la página y eliminar a los usuarios que parezcan sospechosos
  • Asegurarse de que los administradores no utilicen el nombre de usuario "admin" ya que los piratas informáticos podrían explotar esto
Un escritor de WordPress, un rol que no realizará una auditoría de seguridad de WordPress.
Los escritores y otros roles no necesitan tener privilegios completos.

Puede notar que el nombre de usuario obvio no es la mejor idea. Para cambiarlo, deberá eliminar la cuenta y configurar una nueva cuenta con los mismos privilegios otorgados. Como este es un proceso largo, verifique si un complemento puede ayudarlo a cambiar su nombre de usuario sin él. Cuando se trata de su contraseña, siempre se prefiere una contraseña compleja, y tenga en cuenta que la autorización de dos factores hará que su contraseña sea más segura. Si no sabe cómo cambiar su nombre de usuario y contraseña de WordPress, este artículo le resultará útil.

Hay más pasos involucrados si desea realizar una auditoría de seguridad de WordPress que sea aún más exhaustiva. Sin embargo, estos son los pasos principales que siempre debe incluir en las prácticas de seguridad de su sitio web. Si dedica un par de horas cada vez que realiza la auditoría, protegerá su sitio web de manera más eficiente y evitará ciertos problemas de seguridad.