¿Cómo hacer segura y proteger tu página WordPress sin usar plugins? ¡Hazlo tú mismo!

Por Carlos 1 mes atrásSin comentarios
Inicio  /  Mantenimiento web  /  ¿Cómo hacer segura y proteger tu página WordPress sin usar plugins? ¡Hazlo tú mismo!
Hacer tu página web WordPress segura debe ser tu prioridad, ¡pero no por ello llenándola de plugins! Te explicamos cómo proteger WordPress sin plugins.

Hacer tu página web WordPress totalmente segura debe ser prioridad en tu negocio, ¡pero no por ello que sea llenándola de plugins! En este artículo te explicamos paso a paso cómo proteger tu WordPress sin plugins tú mismo, aunque no seas un experto.

Los ataques a la seguridad de las páginas en WordPress son diarios y están a la vuelta de la esquina y, si bien es cierto que el uso de plugins de seguridad ayudan a proteger tu página web, resultan contraproducentes para tu servidor web, sobrecargándolo y haciendo que la velocidad de carga de tu WordPress disminuya.

Hacer tu página web WordPress segura debe ser tu prioridad, ¡pero no por ello llenándola de plugins! Te explicamos cómo proteger WordPress sin plugins.

Seguramente sabes que atacar la seguridad de una página en WordPress no es cosa difícil, ¿verdad? Pues bien, la mayor excusa de quienes tienen una página en WordPress, para no utilizar los plugins de seguridad y proteger sus datos y a sus usuarios, tiene que ver con que estos plugins consumen muchos recursos del servidor web y afectan a la velocidad de carga de la página. ¡Vaya problema!

Tanto la seguridad de tu web WordPress como acelerar tu WordPress son dos aspectos importantísimos en una web, ¿entonces qué puedes hacer? ¡No tienes que estar contra la espada y la pared! Es posible mejorar la seguridad de WordPress sin plugins, ¡de verdad!

Hay otras formas de blindar tu web WordPress y mantenerla a salvo, sin por ello ralentizarla ni cargar a tu servidor web.

Si deseas mejorar la seguridad en WordPress con estos útiles consejos podrás obtener grandes resultados, a la vez que puedes contar con nuestros servicios de mantenimiento, actualización y mejora de páginas en WordPress, dentro de los cuales nos encargamos de que tu web sea un sitio seguro y protegido.

¡Enamora con tu superpágina web en WordPress!

Exprimiremos tu web hasta que enamore: bien posicionada en Google, segura, rápida y, sobretodo, eficaz y rentable para tu empresa; atrayendo potenciales clientes y logrando ventas, ¡de una vez por todas!

¡Quiero mi superweb!

Si tienes algo de conocimiento de cómo mantener tu web WordPress segura, sabes que lo básico es actualizar la versión de WordPress regularmente, mantener los plugins y temas también actualizados y deshacerte de todo lo que no utilizas. Estos pasos básicos claramente son el punto de partida para evitarte dolores de cabeza, ¡pero no basta! Lamentándolo mucho, si fuera suficiente no existieran tantos reportes de malware, phishing (suplantación de identidad), man-in-the-middle (ataque de intermediario) y hackeo, pero es la dura realidad que debemos enfrentar.

¿Cómo olvidarse de los plugins de seguridad en WordPress? ¿Quieres saber cómo? ¡En este artículo te cuento paso a paso para que lo puedas hacer tú mismo!

Índice de contenidos

Consejos generales básicos para proteger tu WordPress sin plugins

Antes de empezar a hablarte sobre técnicas básicas para proteger una web WordPress sin plugins quiero que consideres que mientras más usuarios activos tengas en la web, más códigos agregues y más temas y complementos instales, aumentan tus posibilidades de sufrir un ataque y ser vulnerable.

Pero no, no tienes que acudir a los plugins sí o sí, sino que, con un poco de trabajo estarás blindando tu página WordPress y deshaciéndote de los entrometidos. Pero vamos a empezar por lo primero.

Mantén tu WordPress actualizado siempre

Aunque a mucha gente le estresa tener que estar actualizando WordPress, esto es necesario; cada actualización trae consigo cambios y mejoras en pro de la seguridad del sitio. Por lo tanto, ignorar dichas actualizaciones, o esperar mucho tiempo para hacerlas, es como ponerte una soga al cuello.

Mantener tu WordPress actualizado es el inicio para mejorar la seguridad de la web.

Lo que sucede es que, aunque WordPress es el país de las mil maravillas, tiene fallos en su seguridad, lo que da vía libre a los hackers e intrusos.

Para empezar a mejorar tu seguridad sin plugins en WordPress, cada vez que veas la notificación  de ‘actualizar’ en tu panel de WordPress, haz la actualización de inmediato. Este es el comienzo para hacer de tu web una fortaleza impenetrable por los malintencionados.

Por cierto, si crees que puedes perder alguna información con la actualización, recuerda haz una copia de seguridad de tus archivos antes, como indiqué en otro artículo cuando expliqué cómo actualizar WordPress.

Los plugins y temas también deben actualizarse

Los plugins (complementos) y themes (plantillas o temas) que se instalan en WordPress son un pequeño pasadizo secreto por donde se puede filtrar cualquiera, y es por eso que hay que mantenerlos actualizados, para evitar fuga de información o la entrada de terceros.

Limpia tu WordPress y deshazte de lo que no utilizas

Como te decía al inicio del post, otra medida para proteger WordPress sin plugins, es justamente deshacerte de los plugins y los temas que ya no utilizas.

No se trata sólo de desactivar los plugins y los temas, ¡sino de eliminarlos por completo!

¿Para qué tener algo instalado que es inútil? Además, son puertas traseras para atacar la seguridad de tu página web.

Descarga plugins y temas solo de sitios de confianza

Descargar plugins y temas de sitios que no son de confianza podría jugarte una mala pasada; no te des este lujo por más atractivo que parezca el tema o más útil que pueda lucir ese plugin.

Lo mejor es que siempre vayas a la sección oficial de plugins de WordPress.org, pues así evitas caer en manos desconocidas o utilizar plugins y temas que no son seguros.

Configura y protege los directorios de tu servidor web

Configurar los directorios de tu servidor web también es básico para proteger tu WordPress sin usar plugins.

Por regla general, los permisos deben ser  644 para los archivos y 755 para las carpetas. Evita los permisos 777.

Además, configura de manera especial el archivo wp-config.phpcon permisos 600.

Cambia tu nombre de usuario al panel “wp-admin”

Por defecto, al instalar WordPress el nombre de usuario del administrador siempre es ‘admin’, pero esto les hace el trabajo más fácil a los hackers.

Mantener tu nombre de usuario predeterminado (“admin”) sólo hará que el hacker tenga que adivinar tu contraseña y, créeme, ¡son muy astutos en eso!

Por lo tanto, una de las cosas que debes hacer después de instalar WordPress, es cambiar tu nombre de usuario por uno totalmente aleatorio, combinando letras con números, así los intrusos no podrán adivinarlo.

Cambia tu contraseña de acceso con frecuencia

Cambiar tu contraseña con frecuencia ayuda a proteger tu web WordPress sin plugins.

Eso sí, trata de crear contraseñas que verdad funcionen y tengan un cierto nivel de dificultad. Por ejemplo, las contraseñas donde se combinan letras y números (alfanuméricas) suelen ser las más efectivas y seguras.

Si ya han pirateado tu web WordPress varias veces y no sabes cómo crear contraseñas eficientes, utiliza un generador de contraseñas, para que te ayude en esto, como por ejemplo Norton Password Generator.

Insta a tus usuarios a usar nombres y contraseñas seguros

No sólo tienes que proteger tu nombre de usuario y contraseña de acceso al panel de WordPress, sino que es importante que hagas que tus usuarios creen nombres de usuario y contraseñas completamente seguros.

A fin de cuentas, no sólo quieres protegerte tú, sino que tus usuarios son la razón principal por la que tu web debe ser segura, ¿cierto? Entonces persuádelos para que ellos también colaboren con la seguridad de la web WordPress y protejan sus propios datos.

Configura un sistema autenticación de dos pasos

Un sistema de seguridad basado en la autenticación de dos pasos es un paso grande para aumentar la seguridad y proteger tu WordPress sin usar plugins.

La doble autenticación consiste en que se te pide una segunda contraseña para intentar acceder, o se te envía un código que es enviado por SMS o por email.

De esta manera, aunque un intruso averigüe tu contraseña principal, no podrá acceder porque no recibirá ni conocerá esa segunda contraseña que el sistema WordPress le está solicitando.

Existen plugins muy sencillos y livianos, que no cargarán nada tu servidor web ni ralentizará tu WordPress, para implementar la autenticación de dos pasos, muy fáciles de instalar y utilizar como Google Authenticator, por ejemplo.

Establece límites para el inicio de sesión en WordPress

¿Cómo adivina un hacker tu contraseña? Te aseguro que no es por arte de magia, ¡ni que tuvieran súper poderes! Pero sí tienen mucha paciencia e intentará iniciar sesión en tu web cuantas veces sea necesario, hasta que dé con tu contraseña.

Para no permitir que un hacker pruebe tu contraseña una y otra vez, limita los intentos de inicio de sesión en tu página WordPress.

Esto consiste en que tú restringes la cantidad de veces que se puede tratar de iniciar sesión desde una misma dirección IP y en un tiempo determinado.

Un buen plugin, muy sencillo y que no sobrecargará nada tu WordPress, es Login LockDown.

Limita los accesos a los usuarios de WordPress

Una de las principales ventajas en WordPress es que se pueden crear todos los usuarios que se necesiten, para que colaboren y realicen infinidad de tareas en tu página web. Pues bien, aunque esto es maravilloso desde el punto de vista de creación de contenidos, ya que facilita el proceso y lo optimiza, es muy negativo para la seguridad.

Mi consejo básico es que no les des acceso a demasiadas personas, sino sólo a aquellas que en verdad lo necesiten. Además, una vez que algún usuario termina sus labores en tu página web, si no lo va a necesitar más, elimina ese usuario y cierra esa “puerta trasera”.

La verdad es que, mientras más personas accedan a tu web como usuarios, hay mayores probabilidades de ser vulnerada tu web.

Programa y automatiza la creación de copias de seguridad

Las copias de seguridad programas son muy útiles para hacer WordPress más seguro, frente a lo que pueda pasar, y existen plugins muy sencillos con los que puedes programar la creación de las copias de seguridad.

Con las copias de seguridad garantizas que, si tu web ha sido vulnerada, podrás restaurar la versión anterior de WordPress, ¡y no pasa nada!

Al tener una copia de seguridad, todos tus datos y los de tus clientes, estarán resguardados y bien protegidos.

UpdraftPlus WordPress Backup podría ser un plugin perfecto para las copias de seguridad programadas, además es muy liviano y ni va a sobrecargar tu servidor ni ralentizar la carga de tu página web.

Utiliza puntualmente un escáner de seguridad

Instalar un escáner de seguridad en WordPress te ayudará a escanear tus temas, archivos y plugins, pues así analizas si hay algún virus o malware en ellos.

Aunque los plugins de este tipo de escáners de seguridad son más “pesados” que los otros plugins que te estoy recomendado en este artículo, lo que sí podría ralentizar tu página web, te propongo activarlo y usarlo de forma periódica, por ejemplo, quincenalmente.

Es decir, lo instalas, lo activas, realizas un escáner completo de la web, realizas las acciones de mejor que te proponga el escáner, y luego, cuando hayas acabado lo desactivas y lo eliminas.

Wordfence Security es un plugin con un sistema de escáner potente que te ayudará al mantenimiento de tu WordPress; limpio y protegido. Es un plugin pesado, es cierto, por eso te aconsejo seguir los pasos arriba indicados.

Instala un certificado SSL en tu servidor y accede por HTTPS

Habilitar un certificado SSL a tu WordPress evitará que la información que se comparte entre el navegador y el servidor web sea alterada o intervenida por terceros.

Al contar con un certificado SSL, tu página web será una web más segura a la que se accede por conexión segura (HTTPS).

Puedes encontrar más información desde otro artículo donde expliqué por qué Google y Firefox etiquetan tu web como ‘no seguro’, por no tener acceso vía HTTPS.

Habilita un sistema de Firewall (cortafuegos)

Instalar un Firewall, en tu ordenador y en el servidor web, es clave para evitar los accesos no autorizados y mantener tu página web de datos protegida.

Existen varios tipos de cortafuegos (Firewall) para tu ordenador, así que, si tu sistema operativo no trae un Firewall competitivo por defecto, instala uno que además ofrezca seguridad contra hackers y piratas informáticos. Uno muy interesante y gratuito es Zone Alarm Free Firewall.

Para disponer de un sistema Firewall en tu página WordPress, inevitablemente tendrás que recurrir a un plugin “pesado”. No hay otra opción. De todos los plugins WordPress de Firewall, el que más me gusta, porque respeta mucho los recursos del servidor web y apenas ralentiza la carga de la web, es All In One WP Security & Firewall.

Seguridad básica WordPress a través de wp-config.php y header.php

Proteger WordPress sin plugins a través de wp-config.php y header.php

Recoloca el archivo wp-config.php

El archivo wp-config.php, que se halla en el directorio raíz de tu servidor web, es quizás el archivo más importante de toda tu página web WordPress, pues en él se almacena todo lo relacionado con el acceso a tu base de datos; contiene la información de tu usuario, contraseña y los nombres de tu base de datos.

Es por ello que es muy recomendable moverlo a una carpeta, una vez que instalas o configuras WordPress, para evitar que sea localizado por los intrusos, clave para proteger tu WordPress sin usar plugins.

No muestres los reportes de errores

Los mensajes de error pueden ser útiles para los intrusos ya que con ellos marcan una ruta para atacar tu página web e, incluso, obtener información de tu servidor web, ¡así que no los muestres!

Deshabilitar los mensajes de error es muy sencillo, sólo tienes que agregar este código a tu archivo wp-config.php (preferiblemente al inicio):

error_reporting (0);
@ini_set (‘display_errors’, 0);

Crea nuevas claves secretas

Al instalar WordPress se crean cuatro claves ‘secretas’ predeterminadas en tu archivo wp-config.php.

Estas claves pueden que no sean tan secretas y que, por ser claves por defecto de WordPress, sean más fáciles de adivinar para los hackers. De hecho, te sorprenderías de la cantidad de tiempo que estos malintencionados invierten tratando de adivinar estas claves y perfeccionando su arte delictiva en internet.

Debes crear nuevas contraseñas y copiarlas en el archivo wp-config.php, con alguna herramienta de generación de contraseñas como las que te recomendé arriba.

No dejes referencias de tu tema de WordPress

Mientras menos sepan los terceros del tema que estás utilizando de WordPress, mejor.

Si un hacker sabe qué tema estás utilizando, más fácil será para él detectar qué problemas de seguridad puede tener tu página web e idear una forma de atacarte.

¿Cómo eliminar las referencias de tu tema WordPress? En el archivo header.php, elimina el siguiente fragmento de código:

<meta name=»generator» content=»WordPress» />

Protección avanzada de WordPress a través functions.php

¿Qué es el archivo functions.php?

Functions.php es el archivo de funciones del tema en WordPress; una plantilla que sirve para establecer las acciones, funciones, registrar estilos, definir filtros y agregar clases que serán utilizadas en otras plantillas, etc.

Con este archivo puedes agregar un poco más de seguridad a WordPress con sólo incluir algunos fragmentos de código simples.

Al incluir algunos códigos a functions.php, cubrimos algunos problemas de seguridad que presenta WordPress por defecto.

¿Qué fragmentos se pueden incluir?  Un fragmento para ocultar información detallada en WordPress, para cargar scripts de forma segura, para modificar los mensajes de error al iniciar sesión con una contraseña o usuario inválido.

Oculta la versión de WordPress utilizas

La versión  WordPress que estás utilizando se muestra por defecto en el encabezado HTML de tu página web.

Aunque parezca algo inofensivo mostrar dicha información se sabe que, muchos piratas informáticos, aprovechan esa información para descubrir brechas de seguridad y acabar accediendo a la programación de tu página web. Esto sucede porque, al conocer cuáles son las vulnerabilidades de seguridad de cada versión, les resulta fácil aprovecharse de ellas.

Eliminar este dato es muy fácil agregando el siguiente código a tu archivo functions.php:

remove_action(‘wp_head’, ‘wp_generator’);

Por cierto, asegúrate también de eliminar el archivo readme.html.

Bloquea los informes de error del login

Ya te había explicado que los informes de error al momento de iniciar sesión pueden no ser tu mejor aliado, pues le dan mucha información al hacker.

Para encargarte de este problema deberás agregar un fragmento de código que devuelva el error, sin importar qué es lo que está mal. Es decir, si es el nombre de usuario o si es la contraseña la que no coincide.

Puedes agregar este código en functions.php:

function one_default_error_message() {
return ‘Tus datos no son correctos.’;
}
add_filter( ‘login_errors’, ‘one_default_error_message’ );

Carga los scripts de manera segura

Cargar scripts de forma segura evita que algún tipo de código malintencionado pueda ser cargado en tu página web cuando algún usuario está navegando en ella.

Para ello, tienes que utilizar un SSL o protocolo de seguridad, en tu página HTTPS. Si tu WordPress utiliza JQuery, que es lo más probable, con agregar el siguiente código podrás mantener tus scripts a salvo:

if (! is_admin ()) {
wp_deregister_script (‘jquery’);
wp_register_script (‘jquery’, («https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js»), false);
wp_enqueue_script (‘jquery’);
}

Oculta el nombre de usuario  de los autores

Como ya todos sabemos que es fácil adivinar el nombre de usuario de un autor en WordPress, entonces hay que ocultarlo.

Para que le des batalla al hacker y no le reveles el ‘username’, copia este fragmento en el archivo functions.php:

add_action(‘template_redirect’, ‘bwp_template_redirect’);
function bwp_template_redirect(){
if (is_author()) {
wp_redirect( home_url() ); exit;
}
}

Medidas de seguridad WordPress desde el archivo .htaccess

Medidas de seguridad WordPress desde el archivo .htaccess

¿Qué es .htaccess?

.htaccess es un archivo de configuración que se utiliza con el software Apache Web Server (un servidor HTTP de código abierto) para activar o deshabilitar funcionalidades del software, como las redirecciones de errores 404 y la reescritura de las URLs, y para agregar características extras.

¿Cómo modificar el archivo .htaccess?

Los archivos .htaccess poseen instrucciones para saber cómo tratarlos dados diversos escenarios, por lo que hay varias formas de modificarlos; estas son las más comunes:

  • Utilizar un editor de texto y SSH (protocolo para acceso remoto a un servidor a través de una vía segura)
  • Utilizar un modo de edición de un FTP, editando el archivo y luego cargándolo al FTP
  • Utilizar el administrador de archivos de cPanel

Protege el archivo .htaccess

Como el archivo .htaccess cumple tantas funciones y ejecuta diversas acciones en y desde el servidor, es necesario resguardarlo; para ello, agrega el siguiente fragmento de código al principio de este archivo:

<files ~ «^.*\.([Hh][Tt][Aa])»>
order allow,deny
deny from all
satisfy all
</files>

También, protege tu archivo wp-config.php

Arriba te expliqué qué es el archivo wp-config.php, por lo que ya sabes cuál es su importancia, así que es momento de que lo protejas de los intrusos. Agrega el siguiente código en este archivo:

<files wp-config.php>
order allow,deny
deny from all
</files>

Protege el directorio wp-admin

El directorio wp-admin es otro objetivo de los hackers, así que también debe ser protegido.

Si sólo utilizas un mismo equipo para entrar en la web con tu usuario, restringe el inicio de sesión (o pantalla de inicio de sesión) sólo a tu equipo y dirección IP.

En cambio, si aparte de ti también tienes autores que, obviamente deben iniciar sesión, entonces debes añadir también sus direcciones IP para que puedan acceder a la carpeta /wp-admin/ y a tu archivo wp-login.php.

Para hacer las restricciones por direcciones IP, agrega el siguiente fragmento de código donde, en xx.xxx.xxx.xxx deberás incluir la dirección IP desde donde tú o tus colaboradores os conectáis:

<Files wp-login.php>
order deny,allow
deny from all
allow from xx.xxx.xxx.xxx
</Files>

No olvides proteger el directorio wp-includes

El directorio wp-includes es el que contiene toda la información necesaria para que tu WordPress funcione. Es como el alma de tu web, por lo que es el blanco principal de los ataques de Spam, malware y cualquier usurpación de identidad o phishing.

Puedes protegerlo con el siguiente fragmento de código en tu .htaccess:

<ifmodule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</ifmodule>

Protege tu archivo error_log

El archivo de error_log también debe ser protegido, pues en él se almacena información acerca de los errores que aparecen a la hora de procesar solicitudes. Recuerda, los informes de error pueden ser como las migas de Hanzel y Gretel que guían a los intrusos para ‘regresar a casa’, o mejor dicho, ¡para ingresar a ella!

Agregando el siguiente fragmento al código, borrarás esas migas:

<files error_log>
order allow,deny
deny from all
</files>

Protege tus archivos PHP

Sigo con el asunto de proteger y resguardar, y ahora es el turno de los archivos PHP, por lo que debes asegurarte de que nadie pueda acceder a ellos de manera directa.

Para proteger tus archivos PHP, agrega el siguiente fragmento en tu .htaccess:

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]

Protege tu WordPress de la inyección de SQL

SQL es un lenguaje de consultas con el que se puede acceder a la información que almacenas en tu base de datos.

Hoy día, la inyección de SQL es una de las formas más comunes que tienen los hackers para robarte los datos de tus clientes, adivinar tus contraseñas y hasta obtener información financiera, tuya o de los usuarios, por lo que tienes que esforzarte por proteger tu página web.

¿Cómo combatir estos ataques? Pues bien, agregar este fragmento de código a .htaccess te mantendrá a salvo:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (< |%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Evita que exploren tus directorios

Tus directorios son precisamente eso, ¡tuyos! No tienen entrada libre para que cualquier pueda husmear en ellos, así que evita que la gente los explore añadiendo este código en tu .htaccess:

# Disable directory browsing
Options All –Indexes

No dejes que escaneen tu lista de autores

WordPress, como sabes, te permite crear muchos usuarios, ¡todos cuantos necesites! Pues bien, al ir creando usuarios o autores y autores, para que se encarguen de meter contenido en tu página, se va creando una lista, y mientras más autores, pues más vulnerable podría estar tu web.

Por ello, protege estas listas de autores de cualquier escaneo que puedan hacerle, pues es una práctica bien conocida de los hackers el apostar por esta técnica para quebrantar tu seguridad a costa de todo.

¿Cómo bloquear estos escaneos? Con el siguiente código en tu .htaccess:

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* – [F]

Protege tu archivo XMLRPC WordPress

XMLRPC es un protocolo de estructuración y transmisión de datos, utilizado por XML y HTTP. En WordPress, funge como una interfaz que permite conectar WordPress con sitios externos, dentro de los que hay muchos de dudosa reputación.

Los ataques a XMLRPC.php de WordPress están a la vuelta de la esquina, y cada vez son más comunes, debido a que conecta con servicios externos, dejando mucha libertad a los intrusos.

Muchas veces, esta interfaz no se utiliza, así que lo mejor es bloquearla; con el siguiente código puedes hacerlo:

<files xmlrpc.php>
order deny,allow
deny from all
</files>

Protégete del hotlinking

Otro enemigo de la seguridad de tu web es el hotlinking; una práctica parásita que trata de robar tus recursos web, como las imágenes, alojadas en tu servidor web para que terceros las muestren en sus propias páginas.

Esta práctica no sólo afecta el funcionamiento de tu servidor web, sino que vulnera la seguridad de tu web WordPress. Si quieres proteger tu WordPress sin plugins debes asegurarte de «cerrar esa puerta».

Lo mejor, es protegerte de ella, agregando este código para no dejar que te roben estos recursos, donde debes sustituir “example.com” por tu dominio web:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?example.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

¿Cuándo sí debemos utilizar un plugin de seguridad en WordPress?

Antes de terminar, ¡no quiero que te cierres a esta opción!

Intenta todo lo que aquí te he recomendado, sin utilizar plugins de seguridad de WordPress, y te seguro que tendrás un WordPress más seguro.

Sin embargo, si deseas reforzar aún más la seguridad de tu web, entonces sí te recomiendo que elijas un plugin. Eso sí, antes revisa bien sus características y asegúrate de que en verdad sea útil, y que vaya mucho más allá del archivo .htaccess, ¡porque este archivo ya lo puedes proteger y optimizar tú mismo sin el plugin!

Algunas buenas opciones de plugins para la seguridad de WordPress son WordFence Security, JetPack, BulletProof Security y iThemes Security. Haz una lista con las ventajas de cada uno y sus contras, compáralos para saber cuál encaja más con tu tipo de página web, y elije el mejor.

También puedes contactar con nosotros para que hagamos todo este estudio de tu página web y te ayudemos a proteger tu página web y, dado el caso y necesidad, elegir el plugin que mejor se adapta a tu página web.

¡Te ayudamos a mantener tu web siempre al 110%!

Nos encargamos de todo lo relacionado con tu web para que dé resultados a tu empresa sin causarte molestias ni pérdida de tiempo, con lo que podrás centrarte completamente en tu negocio.

¡Empecemos con tu web!

Conclusión: ¡proteger WordPress va más allá de un plugin de seguridad!

Creo que la conclusión más grande que espero que te lleves de este post es que no necesitas un súper plugin de seguridad para proteger WordPress. ¡Ve más allá de eso! Pues no siempre es tan fácil como instalar un plugin y darnos media vuelta, ¡hay que ponerle amor y dedicarle tiempo!

Quizás parezca tedioso tener que hacer ‘arreglos’ en los archivos que te he ido comentando arriba y añadir los diferentes códigos en tu WordPress, pero es lo más factible y tendrás resultados óptimos.

Para poder recapitular y a modo de resumen de todo lo comentado, para irme despidiendo quiero compartir contigo esta fantástica infografía de Sucuri que te dará una vista general para planificar tus acciones (puedes clicar para ampliarla):

¿Cómo proteger WordPress sin plugins?

Tu web puede ser blanco perfecto de ataques de malware, mad-in-th-middle y phishing justo en este momento, mientras me lees, así que mejor pon manos a la obra y haz que tu página tenga una defensa bien sólida para combatir a los intrusos. ¿Lo pruebas y me vas contando?

Si te ha parecido de ayuda este post para proteger tu WordPress sin plugins, te invito a compartirlo en las redes sociales, para que otros mejoren su seguridad en WordPress.

Abajo encontrarás un pequeño formulario, el cual te invito a rellenar para que puedas hacernos llegar tus dudas y comentarios. ¡Con gusto te ayudaremos!

Foto cortesía de Freepik

¿Te resultó interesante? ¡Compártelo y danos un empujón! :-)
Categorías:
  Mantenimiento web, Programación WordPress

Dejar un comentario

Su dirección de correo electrónico no será publicada.

¡Tenemos muchas cosas chulas que contarte!

Inscríbete gratis y te enviaremos novedades de los Xploradores y de este Blog, ¡junto a promociones y otros secretos! Pero con cero Spam, ¡palabra!  :-)

¡Hey! ¡Gracias! Te hemos enviado un email con un enlace para que confirmes tu suscripción. Sólo enviaremos cosas chulas y 0% de Spam ¡Prometido!  :-)

Powered byRapidology