Mantener su sitio web WordPress seguro y protegido es importante para todos los propietarios de sitios web. Al igual que proteges tu casa o tu negocio, también necesitas proteger tu sitio web de las amenazas online.
Si no toma las medidas adecuadas para proteger su sitio web, éste podría estar en peligro. Cada día, Google bloquea miles de sitios web por malware y otros problemas de seguridad.
Hemos mantenido WPBeginner a salvo de repetidos ataques durante muchos años. Lo hacemos utilizando los mejores plugins de seguridad y siguiendo las mejores prácticas de seguridad de WordPress.
En esta guía, compartiremos nuestros consejos principales y la lista de comprobación de seguridad de WordPress para ayudarle a proteger su sitio web contra hackers y malware.
Aunque el núcleo de WordPress es muy seguro y es auditado regularmente por cientos de desarrolladores, aún queda mucho por hacer para mantener seguro su sitio.
En WPBeginner, creemos que la seguridad no es sólo acerca de la eliminación de riesgos. También se trata de reducir los riesgos. Como propietario de un sitio web, hay mucho que puedes hacer para mejorar la seguridad de tu WordPress, incluso si no eres un experto en tecnología.
Por eso hemos elaborado una lista de comprobación de seguridad de WordPress con los pasos que puede seguir para proteger su sitio web frente a las vulnerabilidades de seguridad.
Para hacerlo más fácil, hemos creado una tabla de contenidos para ayudarle a navegar fácilmente a través de nuestra guía definitiva de seguridad de WordPress.
Índice
Conceptos básicos de seguridad en WordPress
- Por qué es importante la seguridad en WordPress
- Mantener actualizado WordPress
- Utilice contraseñas y permisos de usuario seguros
- Entender el perfil de alojamiento de WordPress
Seguridad en WordPress en sencillos pasos (sin código)
- Instalar una solución de copia de seguridad de WordPress
- Instale un plugin de seguridad para WordPress de buena reputación
- Activar un cortafuegos de aplicaciones web (WAF)
- Trasladar su sitio WordPress a SSL/HTTPS
Seguridad de WordPress para usuarios aficionados
- Cambiar el nombre de usuario de administrador por defecto
- Desactivar la edición de archivos
- Desactivar la ejecución de archivos PHP en ciertos directorios de WordPress
- Limitar los intentos de acceder / acceso
- Añadir autenticación de dos factores (2FA)
- Cambiar el prefijo de la base de datos de WordPress
- Contraseña Proteger WordPress administrador y página de acceso
- Desactivar la indexación y exploración de directorios
- Desactivar XML-RPC en WordPress
- Salir automáticamente de los usuarios inactivos en WordPress
- Añadir preguntas de seguridad para acceder / acceso de WordPress
- Explorar WordPress en busca de malware y vulnerabilidades
- Corregir un sitio WordPress hackeado
¿Preparados? Primeros pasos.
Por qué es importante la seguridad de los sitios web
Un sitio web WordPress hackeado puede causar graves daños a los ingresos y la reputación de su empresa. Los hackers pueden robar información y contraseñas de los usuarios, instalar software malintencionado e incluso distribuir malware a tus usuarios.
En el peor de los casos, es posible que tenga que pagar un rescate a los piratas informáticos sólo para recuperar el acceso a su sitio web.
Cada día, Google advierte a entre 12 y 14 millones de usuarios de que un sitio web que están intentando visitar puede contener malware o robar información.
Además, Google incluye en su lista negra más de 10.000 sitios web al día por malware o phishing.
Al igual que los propietarios de negocios con una ubicación física tienen la responsabilidad de salvaguardar su propiedad, los propietarios de negocios en línea deben prestar especial atención a la seguridad de su WordPress.
Mantener actualizado WordPress
WordPress es un software de código abierto que se mantiene y actualiza con regularidad. Por defecto, WordPress instala automáticamente actualizaciones menores.
Para las versiones principales, debe iniciar manualmente la actualización.
WordPress también incluye miles de plugins y temas que puedes instalar en tu sitio web. El mantenimiento de estos plugins y temas corre a cargo de desarrolladores externos, que también lanzan actualizaciones con regularidad.
Estas actualizaciones de WordPress son cruciales para la seguridad y estabilidad de su sitio de WordPress. Debes asegurarte de que el núcleo, los plugins y el tema de WordPress están actualizados.
Utilice contraseñas y permisos de usuario seguros
Los intentos de pirateo de WordPress más comunes utilizan contraseñas robadas. Puedes dificultarlo utilizando contraseñas más seguras y exclusivas para tu sitio web.
No nos referimos sólo al área de administración de WordPress. Recuerda crear contraseñas seguras para tus cuentas FTP, bases de datos, cuentas de alojamiento de WordPress y direcciones de correo electrónico personalizadas que utilicen el nombre de dominio de tu sitio.
A muchos principiantes no les gusta usar contraseñas seguras porque son difíciles de recordar. Lo bueno es que ya no necesitas recordar contraseñas porque puedes usar un gestor de contraseñas.
Consulte nuestra guía sobre cómo gestionar las contraseñas de WordPress para obtener más información.
Otra forma de reducir el riesgo es no dar acceso a nadie a su cuenta de administrador de WordPress a menos que sea absolutamente necesario.
Si tiene un equipo grande o autores invitados, asegúrese de comprender los perfiles y capacidades de los usuarios en WordPress antes de añadir nuevas cuentas de usuario y autores a su sitio de WordPress.
Entender el perfil de alojamiento de WordPress
Tu servicio de alojamiento WordPress juega el perfil más importante en la seguridad de tu sitio WordPress. Un buen proveedor de alojamiento compartido como Hostinger, Bluehost o SiteGround toma medidas adicionales para proteger sus servidores contra las amenazas más comunes.
He aquí algunas de las formas en que las buenas empresas de alojamiento web trabajan en segundo plano para proteger sus sitios web y sus datos:
- Supervisan continuamente su red en busca de actividades sospechosas.
- Todas las buenas empresas de alojamiento disponen de herramientas para evitar ataques DDoS a gran escala.
- Mantienen actualizados el software de sus servidores, las versiones de PHP y el hardware para evitar que los piratas informáticos exploten una vulnerabilidad de seguridad conocida en una versión antigua.
- Disponen de planes de recuperación en caso de catástrofe y accidentes listos para ser aplicados que les permiten proteger sus datos en caso de accidente grave.
En un plan de alojamiento compartido, usted comparte los recursos del servidor con muchos otros clientes. Existe el riesgo de contaminación entre sitios, en el que un hacker puede utilizar un sitio vecino para atacar su sitio web.
En cambio, utilizar un servicio de alojamiento gestionado de WordPress proporciona una plataforma más segura para su sitio web. Las empresas de alojamiento gestionado de WordPress ofrecen copias de seguridad automáticas, actualizaciones automáticas de WordPress y configuraciones de seguridad más avanzadas para proteger su sitio web.
Recomendamos Siteground como nuestro proveedor preferido de alojamiento gestionado para WordPress. Cuentan con un servicio de atención al cliente atento, servidores rápidos y una fiabilidad excelente.
Asegúrese de obtener la mejor oferta utilizando nuestro cupón especial Siteground.
Seguridad de WordPress en pocos pasos (sin código)
Sabemos que mejorar la seguridad de WordPress puede ser una idea aterradora para los principiantes, especialmente si no eres un experto en tecnología. Adivina qué: no estás solo.
Hemos ayudado a miles de usuarios de WordPress a reforzar su seguridad.
Le mostraremos cómo puede mejorar la seguridad de su WordPress con sólo unos clics (sin necesidad de código).
Si sabes apuntar y hacer clic, ¡puedes hacerlo!
1. Instalar una solución de copia de seguridad de WordPress
Las copias de seguridad son tu primera defensa contra cualquier ataque a WordPress. Recuerde, nada es 100% seguro. Si los sitios web gubernamentales pueden ser pirateados, el tuyo también.
Las copias de seguridad le permiten restaurar rápidamente su sitio WordPress en caso de que ocurriera algo malo.
Hay muchos plugins de copia de seguridad de WordPress gratuitos y de pago que puede utilizar. Lo más importante que debe saber cuando se trata de copias de seguridad es que debe guardar regularmente copias de seguridad de todo el sitio en una ubicación remota (no en su cuenta de alojamiento).
Recomendamos almacenarlo en un servicio en la nube como Amazon, Dropbox o nubes privadas como Stash.
En función de la frecuencia con la que actualices tu sitio web, lo ideal sería establecer una vez al día o copias de seguridad en tiempo real.
Afortunadamente, esto se puede hacer fácilmente mediante el uso de plugins como Duplicator, UpdraftPlus, o BlogVault. Ambos son fiables y, lo que es más importante, fáciles de usar (sin necesidad de código).
Para obtener más información, consulte nuestra guía sobre cómo realizar copias de seguridad de su sitio web en WordPress.
Instale un plugin de seguridad para WordPress de buena reputación
Después de las copias de seguridad, lo siguiente que tenemos que hacer es establecer un sistema de auditoría y vigilancia que realice un seguimiento de todo lo que ocurre en su sitio web.
Esto incluye el seguimiento / vigilancia / supervisión de la integridad de los archivos, los intentos fallidos de acceso, la exploración de malware y mucho más.
Afortunadamente, puede ocuparse fácilmente de esto instalando uno de los mejores plugins de seguridad para WordPress, como Sucuri.
Necesitas instalar y activar el plugin gratuito Sucuri Security. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Ahora, puedes dirigirte a Sucuri Security ” Dashboard para ver si el plugin ha encontrado algún problema inmediato con el código de tu WordPress.
Lo siguiente que tiene que hacer es navegar a la página Sucuri Security ” Ajustes y hacer clic en la pestaña ‘Refuerzo’.
Los ajustes por defecto funcionan bien para la mayoría de los sitios web, así que puede activarlos haciendo clic en el botón “Aplicar refuerzo” de cada opción.
Esto le ayuda a bloquear las áreas clave que los hackers suelen utilizar en sus ataques.
Consejo: Más adelante veremos otras formas de reforzar su sitio web, como cambiar el prefijo de la base de datos y el nombre de usuario del administrador. Sin embargo, estos son más técnicos y pueden requerir conocimientos de código.
Después de la parte de refuerzo, los otros ajustes por defecto del plugin son lo suficientemente buenos para la mayoría de los sitios web y no necesitan ningún cambio.
Lo único que recomendamos personalizar son las alertas por correo electrónico, que se encuentran en la pestaña “Alertas” de la página de ajustes.
Por defecto, recibirás un montón de alertas por correo electrónico que pueden saturar tu bandeja de entrada.
Le recomendamos activar las alertas solo para las acciones clave sobre las que desee recibir avisos, como los cambios de plugins y los registros de nuevos usuarios.
Este plugin de seguridad para WordPress es muy potente, así que navegue por todas las pestañas y ajustes para ver todo lo que hace, como explorar malware, registros de auditoría, seguimiento de intentos fallidos de acceso y mucho más.
Para más información, puede ver nuestra detallada reseña / valoración de Sucuri.
Activar un cortafuegos de aplicaciones web (WAF)
La forma más sencilla de proteger su sitio y estar tranquilo acerca de la seguridad de WordPress es utilizar un cortafuegos de aplicaciones web (WAF).
Un cortafuegos de sitios web bloquea todo el tráfico malintencionado incluso antes de que llegue a su sitio web.
- Un cortafuegos de sitios web a nivel de DNS enruta el tráfico de su sitio web a través de sus servidores proxy en la nube. Esto le permite enviar solo tráfico genuino a su servidor web.
- Un cortafuegos a nivel de aplicación examina el tráfico una vez que llega a su servidor pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficaz como el cortafuegos a nivel de DNS para reducir la carga del servidor.
Para obtener más información, consulte nuestra lista de los mejores plugins de cortafuegos para WordPress.
Utilizamos Sucuri en WPBeginner durante muchos años y todavía lo recomendamos como uno de los mejores firewalls de aplicaciones web para WordPress. Recientemente cambiamos de Sucuri a Cloudflare porque necesitábamos una red CDN más grande con características más enfocadas a clientes empresariales.
Puede leer acerca de cómo Sucuri nos ayudó a bloquear 450.000 ataques a WordPress en un mes.
La mejor parte acerca del cortafuegos de Sucuri es que también viene con una garantía de limpieza de malware y eliminación de listas negras. Eso significa que si fueras hackeado bajo su vigilancia, te garantizan que corregirán tu sitio web, sin importar cuántas páginas tengas.
Esta es una garantía bastante fuerte porque reparar sitios web hackeados es caro. Los expertos en seguridad normalmente cobran más de 250 dólares por hora, mientras que puedes obtener toda la pila de seguridad Sucuri por 199 dólares durante todo un año.
Dicho esto, Sucuri no es el solo proveedor de cortafuegos a nivel de DNS que existe. El otro competidor popular es Cloudflare. Vea nuestra comparación de Sucuri vs. Cloudflare (Pros y Contras).
Traslade su sitio WordPress a SSL/HTTPS
SSL (Secure Sockets Layer) es un protocolo que cifra la transferencia de datos entre su sitio web y el navegador / explorador del usuario. Este cifrado dificulta que alguien husmee y robe información.
Una vez que active SSL, la dirección de su sitio web utilizará HTTPS en lugar de HTTP. También verá un candado o un icono similar al lado de la dirección de su sitio web en el navegador / explorador.
Los certificados SSL suelen ser emitidos por autoridades de certificación y sus precios oscilan entre 80 y cientos de dólares al año. Debido al coste añadido, la mayoría de los propietarios de sitios web han optado en el pasado por seguir utilizando este protocolo inseguro.
Para corregirlo, una organización sin ánimo de lucro llamada Let’s Encrypt decidió ofrecer certificados SSL gratuitos a los propietarios de sitios web. Su proyecto es compatible con / dar soporte a Google Chrome, Facebook, Mozilla, y muchas más empresas.
Ahora es más fácil que nunca empezar a utilizar SSL para todos sus sitios web WordPress. Muchas empresas de alojamiento ofrecen ahora un certificado SSL gratuito para su sitio web WordPress.
Si su empresa de alojamiento no ofrece uno, puede adquirir un certificado SSL en Domain.com. Tienen las mejores y más fiables ofertas de SSL del mercado. El certificado viene con una garantía de seguridad de 10.000 dólares y un sello de seguridad TrustLogo.
Seguridad de WordPress para usuarios aficionados
Si haces todo lo que hemos mencionado hasta ahora, entonces estás en muy buena forma.
Pero como siempre, hay más cosas que puede hacer para reforzar la seguridad de su WordPress.
Tenga en cuenta que algunos de estos pasos pueden requerir conocimientos de código.
Cambiar el nombre de usuario de administrador por defecto
Antiguamente, el nombre de usuario por defecto del administrador de WordPress era ‘admin’. Dado que los nombres de usuario constituyen la mitad de las credenciales de acceso, esto facilitaba a los hackers los ataques de fuerza bruta.
Afortunadamente, WordPress ha cambiado esto y ahora le obliga a seleccionar un nombre de usuario personalizado en el momento de instalar WordPress.
Sin embargo, algunos instaladores de WordPress de 1-click todavía establecen el nombre de usuario de administrador por defecto en ‘admin’. Si advierte que este es el caso, probablemente sea una buena idea cambiar de alojamiento web.
Dado que WordPress no permite cambiar los nombres de usuario por defecto, hay tres métodos que puede utilizar para cambiar el nombre de usuario.
- Crea un nuevo nombre de usuario administrador y borra el antiguo.
- Utiliza el plugin de cambio de nombre de usuario
- Actualizar nombre de usuario desde phpMyAdmin
Hemos cubierto estos tres aspectos en nuestra guía detallada sobre cómo cambiar correctamente su nombre de usuario de WordPress.
Nota: Para que quede claro, estamos hablando de cambiar el nombre de usuario llamado ‘admin’, no el perfil de usuario administrador, que a veces también se llama ‘admin’.
Desactivar la edición de archivos
WordPress incorpora un editor de código que permite editar los archivos de temas y plugins directamente desde el área de administración de WordPress.
En las manos equivocadas, esta característica puede ser un riesgo para la seguridad, por lo que recomendamos desactivarla.
Puede hacerlo fácilmente añadiendo el siguiente código a su archivo wp-config. php o con un plugin de fragmentos de código como WPCode (recomendado):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Le mostramos cómo hacerlo paso a paso en nuestra guía sobre cómo desactivar los editores de temas y plugins desde el panel de administrador de WordPress.
Alternativamente, puede hacer esto con 1 clic usando la característica de Refuerzo en el plugin gratuito de Sucuri mencionado anteriormente.
Desactivar la ejecución de archivos PHP en ciertos directorios de WordPress
Otra forma de reforzar la seguridad de WordPress es desactivando la ejecución de archivos PHP en directorios donde no sea necesario, como /wp-content/uploads/.
Para ello, abre un editor de texto como el Bloc de notas y pega este código:
<Files *.php>
deny from all
</Files>
A continuación, debe guardar este archivo como .htaccess y subirlo a la carpeta /wp-content/uploads/ de su sitio web mediante un cliente FTP.
Para una explicación más detallada, consulte nuestra guía sobre cómo desactivar la ejecución de PHP en determinados directorios de WordPress.
Alternativamente, puede hacer esto con 1 clic usando la característica de Refuerzo en el plugin gratuito de Sucuri que mencionamos anteriormente.
Limitar los intentos de acceso
Por defecto, WordPress permite a los usuarios intentar acceder tantas veces como quieran. Esto hace que su sitio WordPress sea vulnerable a ataques de fuerza bruta. Aquí es donde los hackers intentan descifrar las contraseñas tratando de acceder con diferentes combinaciones.
Esto se puede corregir fácilmente limitando los intentos fallidos de acceso que puede hacer un usuario. Si utiliza el cortafuegos de aplicaciones web mencionado anteriormente, esto se solucionará automáticamente.
Sin embargo, si no tiene el cortafuegos establecido, puede seguir los pasos que se indican a continuación.
En primer lugar, debes instalar y activar el plugin gratuito Limit Login Attempts Reloaded. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Una vez activado, el plugin empezará a limitar el número de intentos de acceso que los usuarios pueden realizar.
La configuración predeterminada funcionará para la mayoría de los sitios web, sin embargo, puede personalizarla visitando la página Configuración ” Limitar intentos de inicio de sesión y haciendo clic en la pestaña “Configuración” en la parte superior. Por ejemplo, para cumplir con las leyes GDPR, puedes hacer clic en la casilla “Cumplimiento GDPR”.
Para obtener instrucciones detalladas, eche un vistazo a nuestra guía sobre cómo y por qué debería limitar los intentos de acceso / acceso en WordPress.
Añadir autenticación de dos factores (2FA)
El método de autenticación de dos factores requiere 2 pasos diferentes para que los usuarios puedan acceder:
- El primer paso es el nombre de usuario y la contraseña.
- El segundo paso requiere que utilices un código de un dispositivo o aplicación en tu posesión al que los hackers no puedan acceder, como tu smartphone.
La mayoría de los principales sitios web en línea como Google, Facebook y Twitter, le permiten activarlo para sus cuentas. También puede añadir la misma funcionalidad a su sitio de WordPress.
Primero, necesitas instalar y activar el plugin WP 2FA – Two-factor Authentication. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Un asistente fácil de usar le ayudará a establecer el plugin y luego se le dará un código QR.
Tendrás que explorar el código QR utilizando una aplicación de autenticación en tu teléfono, como Google Authenticator, Authy y LastPass Authenticator.
Te recomendamos usar LastPass Authenticator o Authy porque te permiten hacer copias de seguridad de tus cuentas en la nube. Esto es muy útil en caso de que pierdas tu teléfono, se restablezca o compres uno nuevo. Todos los accesos / accesos a tus cuentas se restaurarán fácilmente.
La mayoría de estas aplicaciones funcionan de forma similar y, si utilizas Authy, sólo tienes que hacer clic en el botón “+” o “Añadir cuenta” de la aplicación de autenticación.
Esto te permitirá explorar el código QR en tu ordenador utilizando la cámara de tu teléfono. Es posible que primero tengas que dar permiso a la aplicación para acceder a la cámara.
Después de dar un nombre a la cuenta, puedes guardarla.
La próxima vez que acceda a su sitio web, se le pedirá el código de autenticación de dos factores después de introducir su contraseña.
Sólo tienes que abrir la aplicación de autenticación en tu teléfono y verás un código de un solo uso.
A continuación, puede introducir el código en su sitio web para terminar de acceder.
Cambiar el prefijo de la base de datos de WordPress
Por defecto, WordPress utiliza wp_ como prefijo para todas las tablas de su base de datos de WordPress.
Si su sitio WordPress está utilizando el prefijo de base de datos por defecto, entonces es más fácil para los hackers adivinar cuál es el nombre de su tabla. Por eso recomendamos cambiarlo.
Puede cambiar el prefijo de su base de datos siguiendo nuestro tutorial paso a paso sobre cómo cambiar el prefijo de la base de datos de WordPress para mejorar la seguridad.
Nota: Cambiar el prefijo de la base de datos puede romper su sitio si no se hace correctamente. Solo hazlo si te sientes cómodo con tus habilidades de código.
Contraseña Proteger WordPress administrador y página de acceso
Normalmente, los hackers pueden solicitar su carpeta wp-admin y su página de acceso / login sin ninguna restricción. Esto les permite probar sus trucos de hacking o ejecutar ataques DDoS.
Puede añadir protección de contraseña adicional a nivel de servidor, lo que bloqueará eficazmente esas peticiones.
Sólo tiene que seguir nuestras instrucciones paso a paso sobre cómo proteger con contraseña su directorio de administrador de WordPress (wp-admin).
Desactivar la indexación y exploración de directorios
Cuando escriba la dirección de una de las carpetas de su sitio web en un navegador / explorador, se le mostrará la página web llamada index. html si existe. Si no existe, se le mostrará un listado de los archivos de esa carpeta. Esto se conoce como navegación por directorios.
La exploración de directorios puede ser utilizada por piratas informáticos para averiguar si tiene algún archivo con vulnerabilidades conocidas, de modo que puedan aprovecharse de estos archivos para obtener acceso.
La exploración de directorios también puede ser utilizada por otras personas para ver tus archivos, copiar imágenes, averiguar tu estructura de directorios y otra información. Por este motivo, se recomienda encarecidamente desactivar la indexación y exploración de directorios.
Conéctese a su sitio web mediante FTP o el gestor de archivos de su proveedor de alojamiento. A continuación, localice el archivo . htaccess en el directorio raíz de su sitio web. Si no puede verlo allí, consulte nuestra guía sobre por qué no puede ver el archivo .htaccess en WordPress.
A continuación, debe añadir la siguiente línea al final del archivo .htaccess:
Opciones -Índices
No olvide guardar o subir el archivo .htaccess a su sitio.
Para más información sobre este debate, consulte nuestro artículo sobre cómo desactivar la navegación por directorios en WordPress.
Desactivar XML-RPC en WordPress
XML-RPC es una API del núcleo de WordPress que ayuda a conectar tu sitio WordPress con aplicaciones web y móviles. Está activada / activa por defecto desde WordPress 3.5.
Sin embargo, debido a su potente naturaleza, XML-RPC puede amplificar significativamente los ataques de fuerza bruta.
Por ejemplo, si un hacker tradicionalmente quería probar 500 contraseñas diferentes en su sitio web, entonces tendrían que hacer 500 intentos de acceso separados. Esto puede ser detectado y bloqueado por el plugin Limit Login Attempts Reloaded.
Pero con XML-RPC, un hacker puede utilizar la función system.multicall para probar miles de contraseñas con, digamos, 20 o 50 peticiones.
Por eso, si no utiliza XML-RPC, le recomendamos que lo desactive.
Hay 3 formas de desactivar XML-RPC en WordPress, y las hemos cubierto todas en nuestra guía práctica paso a paso sobre cómo desactivar XML-RPC en WordPress.
Consejo: El método .htaccess es el mejor porque es el que menos recursos consume. Los otros métodos son más fáciles para los principiantes.
Alternativamente, esto se hace de forma automática si está utilizando un cortafuegos de aplicaciones web (WAF) como hemos mencionado anteriormente.
Salir automáticamente de los usuarios inactivos en WordPress
Los usuarios conectados pueden a veces alejarse de la pantalla, lo que supone un riesgo para la seguridad. Alguien puede secuestrar su sesión, cambiar contraseñas o hacer cambios en su cuenta.
Esta es la razón por la que muchos sitios bancarios y financieros desconectan automáticamente a los usuarios inactivos. También puede establecer una funcionalidad similar en su sitio de WordPress.
Tendrás que instalar y activar el plugin Cierre de sesión inactivo. Una vez activado, visite la página Configuración “ Cierre de sesión inactivo para personalizar los ajustes de cierre de sesión.
Sólo tienes que establecer la duración y añadir un mensaje de cierre de sesión. A continuación, no olvide hacer clic en el botón “Guardar cambios” situado en la parte inferior de la página para establecer los ajustes.
Para obtener instrucciones paso a paso, consulte nuestra guía sobre cómo salir automáticamente de los usuarios inactivos en WordPress.
Añadir preguntas de seguridad a la pantalla de acceso de WordPress
Si añade una pregunta de seguridad a la pantalla de acceso de WordPress, será aún más difícil que alguien acceda / acceda sin autorización.
Puede añadir preguntas de seguridad instalando el complemento Autenticación de dos factores. Tras la activación, debe visitar la página Autenticación multifactor ” Dos factores para configurar los ajustes del complemento.
Esto le permitirá añadir varios tipos de autenticación de dos factores a su sitio, incluyendo preguntas de seguridad.
Para obtener instrucciones más detalladas, consulte nuestro tutorial sobre cómo añadir preguntas de seguridad a la pantalla de acceso de WordPress.
Explorar WordPress en busca de malware y vulnerabilidades
Si tiene instalado un plugin de seguridad para WordPress, éste comprobará de forma rutinaria la existencia de malware y signos de fallos de seguridad.
Sin embargo, si observa una caída repentina en el tráfico del sitio web o en las clasificaciones de búsqueda, entonces es posible que desee explorar en busca de malware manualmente. Puedes hacerlo utilizando tu plugin de seguridad de WordPress o uno de los mejores escáneres de malware y seguridad.
Ejecutar estos exploradores en línea es bastante sencillo. Solo tiene que introducir la URL de su sitio web y sus rastreadores lo analizarán en busca de malware conocido y código malintencionado.
Ahora, tenga en cuenta que la mayoría de los escáneres de seguridad de WordPress solo pueden advertirle si su sitio contiene malware. No pueden quitar / eliminar el malware o limpiar un sitio WordPress hackeado.
Esto nos lleva a la siguiente sección, la limpieza de malware y sitios WordPress hackeados.
Corregir un sitio WordPress hackeado
Muchos usuarios de WordPress no se dan cuenta de la importancia de las copias de seguridad y la seguridad del sitio web hasta que su sitio web es pirateado.
Los piratas informáticos instalan puertas traseras en los sitios afectados, y si estas puertas traseras no se corrigen correctamente, es probable que su sitio web vuelva a ser pirateado.
Para los usuarios aventureros y aficionados al bricolaje, hemos recopilado una guía paso a paso para corregir un sitio WordPress hackeado.
Sin embargo, limpiar un sitio de WordPress puede ser muy difícil y llevar mucho tiempo. Nuestro consejo sería dejar que un profesional se encargue de ello.
Si usted está pagando para utilizar el plugin de seguridad Sucuri que mencionamos anteriormente, entonces la reparación del sitio hackeado está incorporada en el precio.
También puede utilizar el servicio de reparación de sitios hackeados de WPBeginner Pro Services. Esto requiere un pago único de $249 e incluye determinación de archivos premium, eliminación de códigos maliciosos, actualizaciones de software y seguridad, y una copia de seguridad limpia del sitio.
Garantizamos la reparación de su sitio web o le devolvemos su dinero. También cubrimos su sitio web durante 30 días después de la reparación, por lo que si le vuelven a hackear durante ese tiempo, estaremos allí para arreglarlo.
Llevamos más de 10 años limpiando y protegiendo sitios web WordPress, por lo que podrá estar tranquilo cuando utilice nuestro servicio de reparación de sitios hackeados.
Consejo adicional: Contrate un servicio de mantenimiento de WordPress
Como propietario de una pequeña empresa muy ocupada, es posible que no tenga tiempo para supervisar la seguridad de su sitio web y protegerlo de las vulnerabilidades. Así que, para aliviar su mente y aligerar su carga de trabajo, puede contratar un servicio de mantenimiento de WordPress para la supervisión de la seguridad 24/7.
WPBeginner Pro Services ofrece un mantenimiento integral de sitios web WordPress a un precio asequible. Incluye supervisión de la seguridad, copias de seguridad rutinarias en la nube, actualizaciones de WordPress, supervisión del tiempo de actividad y mucho más.
Sólo tiene que elegir un paquete de servicio de mantenimiento mensual que se adapte a sus necesidades y obtendrá un sitio de WordPress más seguro y tiempo libre adicional para trabajar en otros aspectos de su negocio.
Si desea otras recomendaciones, puede consultar nuestra selección de los mejores servicios de mantenimiento de sitios web para WordPress.
Preguntas frecuentes sobre la seguridad de WordPress
Dado que la seguridad de WordPress es tan importante, a menudo nos hacen preguntas al respecto. Aquí tienes las respuestas a las preguntas más frecuentes sobre cómo mantener los sitios web de WordPress a salvo de ataques.
¿Es seguro utilizar WordPress?
WordPress está diseñado para ser seguro, especialmente si se mantiene actualizado con regularidad. Sin embargo, debido a su popularidad, los hackers suelen atacar los sitios web de WordPress.
Pero no te preocupes. Siguiendo sencillos consejos de seguridad como los de este artículo, puedes reducir en gran medida las posibilidades de que alguien piratee tu sitio web.
¿Qué puede poner en peligro mi sitio web WordPress?
Los hackers intentan acceder a los sitios web de distintas formas. Algunas amenazas comunes incluyen adivinar contraseñas, instalar software dañino (malware) y encontrar puntos débiles en el código de su sitio web para robar información o tomar el control.
¿Con qué frecuencia debo actualizar mi sitio web WordPress?
Es muy importante mantener actualizados el sitio web, los temas y los plugins de WordPress. Las nuevas actualizaciones suelen incluir correcciones de problemas de seguridad. Intenta utilizar las actualizaciones automáticas o buscarlas tú mismo al menos una vez a la semana e instalarlas rápidamente.
¿Necesito un plugin especial para la seguridad?
No tiene por qué utilizar un plugin de seguridad, pero pueden hacer que su sitio web sea mucho más seguro. Los plugins de seguridad actúan como guardias adicionales para tu sitio web, protegiéndote de hackers y malware.
¿Cómo sé si alguien ha pirateado mi sitio web?
Si notas que ocurren cosas extrañas en tu sitio web, puede ser una señal de que has sido hackeado. Esto podría incluir ver nuevos usuarios o archivos que no has creado, que tu sitio web envíe visitantes a diferentes sitios web, que tu sitio web funcione lentamente o que recibas advertencias de Google o de tu proveedor de alojamiento web.
¿Qué debo hacer si piratean mi sitio web?
Si cree que su sitio web ha sido pirateado, no se asuste, pero actúe con rapidez. Puede ponerse en contacto con su empresa de alojamiento web y pedir ayuda. También puedes utilizar un plugin de seguridad o pedir a un experto en seguridad que limpie tu sitio web.
Si tienes una copia de seguridad de tu sitio web, restáuralo a partir de ella. Asegúrate de cambiar todas las contraseñas, incluidas las del área de administración de WordPress, la base de datos y el FTP.
Esperamos que este artículo le haya ayudado a conocer las mejores prácticas para proteger su sitio web y nuestra lista de comprobación de seguridad recomendada para WordPress. También puedes consultar nuestra lista de las principales razones por las que los sitios de WordPress son hackeados y nuestra selección de los mejores plugins de seguridad para WordPress.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Leanne
This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!
WPBeginner Support
You’re welcome and glad you’ve found our content helpful
Administrador
Daniel
You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!
WPBeginner Support
You’re welcome
Administrador
Power
Thanks for the article, its really useful
WPBeginner Support
You’re welcome
Administrador
Mydas
This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ Wordpress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD
WPBeginner Support
You’re welcome, glad our guide was helpful
Administrador
Splendor Edesiri
Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.
WPBeginner Support
No, that is not required
Administrador
Kam
Thank you for this article. It is essential reading!
If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?
WPBeginner Support
While some hosts offer backups, we still recommend creating your own backups for safety
Administrador
Kyle B.
Changing the database prefix won’t make any difference. Other than that, not a bad article.
WPBeginner Support
Thanks for sharing your opinion and glad you liked our article
Administrador
kalmoa
just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‘Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)
WPBeginner Support
Thank you for sharing this for the users who specifically are using Nginx for their site.
Administrador
Tom
What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?
WPBeginner Support
If you are concerned an update would break your site, we would recommend testing the update by following our guide on how to create a staging environment below:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Administrador
Kartik Satija
Amazing article, very well articulated and documented.
Thank you all so much for this.
More power to you guys, keep up the good work.
Cheers,
Kartik.
WPBeginner Support
Glad you found our guide helpful
Administrador
MIMIFTAH
Very Informative content. Thanks
WPBeginner Support
You’re welcome
Administrador
Liz
Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!
WPBeginner Support
It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue
Administrador
Gary Starling
Very helpful suggestions and well explained from the basic to the complex
Thank you four your explanations
WPBeginner Support
You’re welcome, glad our article could be helpful
Administrador
Andrei
Hi guys,
After the first user enumeration, brute force a security plugin will block that IP address.
If you password protect the wp-admin directory the plugin can no longer block that IP.
Is that a correct assessment?
WPBeginner Support
Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin
Administrador
Andrei
Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.
Peter
Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.
WPBeginner Support
You’re welcome, glad our guide was helpful
Administrador
Aqib khan
i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.
WPBeginner Support
Thank you, glad you’ve enjoyed our content
Administrador
mahmoud
I love this site. you’re offering precious information.
I’m a beginner and this is helpful.
but can I only have a strong password and disable indexing to do the matter?
what about all these plugins I think they will affect the site speed or this not installed on the site?
WPBeginner Support
For your concern with plugins slowing down your site, you shouldn’t need to worry, we explain our reasoning behind this here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Administrador
Krishna
Hi WP Beginner Team,
Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.
THANKS AGAIN…
WPBeginner Support
You’re welcome, glad our article was helpful
Administrador
Kushal
I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.
WPBeginner Support
We would recommend sticking with only one plugin for a specific feature but for in general how many plugins to use you would want to take a look at our article here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Administrador
Leighann
This was SO helpful. Thanks for the information and saving me so much time!
WPBeginner Support
You’re welcome, glad our guide could be helpful
Administrador
Dietrich
Hi
Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.
WPBeginner Support
We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.
Administrador
Yiannis Christodoulou
Very helpful article.
Thank you for sharing.
WPBeginner Support
You’re welcome, glad our article could help
Administrador
Steve Schultz
Your free Sucuri Security plugin link is broken … 404 error.
WPBeginner Support
Thanks for letting us know, the link should be fixed
Administrador
Monty parihar
Now my website is secured, after read your post immidiatly we install security plugin. Thank u WP Beginner.
WPBeginner Support
You’re welcome
Administrador
Melvin Adame
Amazing read! Security should always be the #1 priority for any website owner, for their sake and their visitors.
WPBeginner Support
Thank you, glad you like our content
Administrador
Adil
Thanks for all this info!
WPBeginner Support
You’re welcome
Administrador
Mark Bunner
Some good tips here. I have already used a lot of them; but it gives a few other areas to think about.
WPBeginner Support
Thank you, glad you like our recommendations
Administrador
Chukwuemeka Ebuka
Am very grateful for this article, all thanks to wpbeginner.com.
WPBeginner Support
You’re welcome, glad our article could be helpful
Administrador
Heidi
Great article, thanks! I think I’ve done most of these things now (except ones requiring coding). I did however have a problem setting a password for the admin folder. While I worked out how to do this in cPanel (under ‘directory privacy’), when I went back to my dashboard I found I was locked out. Then I spent over an hour on chat support with Bluehost only to discover what I suspected – that when you log in to WP from Bluehost it takes you straight to the admin area, so there is no opportunity to login to the admin folder, which means you just get locked out. Guess this is a problem with Bluehost and the only solution they gave me was install a plugin
WPBeginner Support
If you’re using their link from the hosting dashboard to log into your site that may be true but if you add /wp-admin to your domain then it should take you to the login page which will bring up the additional login requirement
Administrador
Heidi
Ok great thanks, I’ll try that.
Julian Song
Awesome article on security. Setup WordPress is easy, but to managed it need lots of study & research. Your blog helps the community more than you can imagine. I even share your blog on the recent WordPress meet-up as one of the best guidelines.
WPBeginner Support
Thank you for your kind words and sharing our articles
Administrador
Malith
Thank you very much!
WPBeginner Support
You’re welcome, glad our guide could be helpful
Administrador
Shiva Prasad
Thanks for being a good mentor and for guiding me on the right path. I will always be thankful to you.
WPBeginner Support
Glad our guides could help you
Administrador
Majid
Hi,
I am new to wordpress, I am using bluehost to host my website, when I cliked on the wordpress button, it automatically took me to cPanel, without asking any password, which passwords are we talking about?
P.S at the right top corner I could see Howdy, my name…does that mean is that my username?
I do’t remember installing wordpress on bluehost, neither did I enter any username or password separately for wordpress.
Please help.
WPBeginner Support
That is BlueHost’s tool to make setting up your WordPress site easier, our article is talking about the password for your WordPress site. You can change your password for your site under Users>Your Profile. The name next to Howdy should be your username.
Administrador
Terence Vickers
You may have a typo in the XML-RPC section which is a bit confusing.
Presently reads: “This is why if you’re not using XML-RPC, then we recommend that you disable it.”
If I’m not using i There would likely be no way to disable it.
WPBeginner Support
Apologies for any confusion, with that statement we mean if you’re not using it for a specific plugin or other need then we would recommend disabling it rather than meaning if it is disabled to disable it. We’ll look into clarifying that
Administrador
Syed Gallani
I understand keeping wordpress updated is essential for security, but is it really necessary ,from security point of view, to update all the plugins. How outdated plugins can make your website more prone to being hacked?
WPBeginner Support
It would depend on the plugin for how it could make your site vulnerable but some plugins may have code that could be out of date for a newly discovered issue with a piece of code.
Administrador
David Anozie
A big thank you! Your the boss.
WPBeginner Support
Thank you for being one of our readers
Administrador
Nick
Would blocking Search Engine Spiders (via robots.txt) from Indexing directories help with security?
WPBeginner Support
No, it would only mean those search crawlers would not look at your site.
Administrador
寒星
It’s turely helpful to maintaining WP. I love it and thank you so much.
WPBeginner Support
You’re welcome, glad our article was helpful
Administrador
peg
i’m learning the hard way! : ) i’m so glad to have found you. i have a hacked 5-year old site hosted on godaddy (can’t get into the admin at all) … they want $300 to fix it, so i’m rebuilding on bluehost and implementing your security suggestions. looking forward to learning much more! thank you so much for this resource.
WPBeginner Support
You’re welcome, glad our guide can help
Administrador
Jeff Moyer
Great comprehensive list thank you! Limiting the amount of login attempts I find is a big one since it will discourage a lot of hackers right from the get go. It might be frustrating if you lost or forget your passwords but still well worth it.
WPBeginner Support
You’re welcome, glad you liked our article
Administrador
Tanmay Kapse
An awesomely detailed post!! each and every thing is described perfectly. Keep up the good work
WPBeginner Support
Thank you, glad you liked our content
Administrador
Sunny Chawla
Much obliged to you for supportive page improve my site
WPBeginner Support
Glad our guide could be helpful
Administrador
Santhosh Naikar
What are things I need to worry when it is hosted on a internal network[Has access to only systems with in our office network]?
WPBeginner Support
Your main concern for an intranet would be to ensure each user has the correct privileges for their role, after that it would be protecting yourself from brute force attacks and similar.
Administrador
steven suslick
I find this and many of the posts very helpful. I have a hack related question. Google analytics is reporting strange pages that do not actually existing in my posts. The all seem to have a /?s= for example /?s=dox. I can not seem to locate source any suggestions?
WPBeginner Support
Those pages are from users using the search on your site, for the second someone searched for the word dox
Administrador
Emmanuel Ikechukwu
This is the best wordpress online tutor i have come across so far.
WPBeginner Support
Glad our articles are helpful
Administrador
Bobbie Camp
Found this article to be very helpful. I am very new and not “techy” and need all the assistance I can get. Appreciate your easy to read instructions.
WPBeginner Support
Glad our articles could help
Administrador
Jemes
It is very helpful. Thanks
WPBeginner Support
You’re welcome
Administrador
NICHOLAS AMOL GOMES
Thank you for helpful page improve my site
WPBeginner Support
You’re welcome
Administrador
Brad Vincent
Hey guys,
I must agree with your mentions of Sucuri – they have sorted out a couple of hacked sites of mine over the years. Worth every penny!
I am really loving these extended posts with all the info I need. I have been following your website speed post and that has made a big difference to my sites. After I have finished with that I will be following this one for sure.
Awesome work and much appreciated.
WPBeginner Support
Thank you, glad you find our articles helpful
Administrador
Brian
What are your thoughts on Wordfence and Sucuri on the same WP installation? They seem to have some similar functionality so was wondering how much more I get with both versus just one security tool. Is Wordfence a reasonable alternative?
WPBeginner Support
We would recommend only one at a time to prevent conflicts between the plugins.
Administrador
Mark
I use Wordfence and Sucuri for different functions. While they may at first appear to be competitors, they are actually complementary. I’ve had no issues running both … so far … but of course there are incompatibilities among plugins in general.