Lista de verificación de seguridad de WordPress: Guía paso a paso para proteger tu sitio

¿Necesitas mejorar la seguridad de tu WordPress?

Si no proteges tu sitio de WordPress, es vulnerable a los hackers. Podrían encontrar áreas débiles, cambiar tu contenido, robar información de usuarios o dañar tu sitio. Esto podría dañar seriamente tu negocio y reputación. 

¡En esta entrada de blog, te daré una lista de verificación completa de seguridad de WordPress! Aprenderás las mejores prácticas de seguridad, para que tu sitio nunca sea hackeado.

Aquí están los puntos clave:

• Elige un hosting web seguro con certificados SSL, firewalls y copias de seguridad regulares para construir una base de seguridad sólida
• Haz copias de seguridad automáticas de tu sitio en la nube para poder restaurarlo si algo sale mal
• Mantén el núcleo de WordPress, los plugins y los temas actualizados para parchear vulnerabilidades de seguridad
• Usa contraseñas seguras y únicas y habilita la autenticación de dos factores para prevenir ataques de fuerza bruta
• Instala plugins de seguridad como Sucuri para añadir firewalls, escaneo de malware y monitorización de amenazas
• Oculta tu página de inicio de sesión, limita los intentos de inicio de sesión y deshabilita funciones innecesarias como XML-RPC para reducir ataques
• Monitoriza la actividad del usuario y limita el acceso de administrador para minimizar el riesgo de brechas de seguridad internas

Tabla de Contenidos

Con millones de sitios web en todo el mundo que dependen de WordPress, puedes apostar a que la plataforma se toma la seguridad en serio. Lanzan actualizaciones periódicas para mantener el software seguro.

Pero como es una plataforma de código abierto, cualquiera puede examinar el código fuente, encontrando potencialmente vulnerabilidades para explotar. 

Sin embargo, muchos hackers acceden a sitios de WordPress por negligencia del propietario del sitio. Si tu software principal de WordPress está desactualizado o tienes una contraseña débil, puede dejar tu sitio extremadamente vulnerable. 

Esto nos dice que la seguridad de WordPress no es algo que deba tomarse a la ligera. WordPress tiene una base sólida, pero aún tendrás algunas tareas de mantenimiento rutinario para mejorar tu seguridad. 

¿Por qué es importante la seguridad de WordPress?

Has estado trabajando incansablemente en tu blog o tienda de comercio electrónico. Todo va bien hasta que te despiertas una mañana y descubres que todo ha desaparecido. 

Por eso la seguridad de WordPress es tan importante. Usando buenas medidas de seguridad, protegerás tu sitio contra amenazas. Esto reduce significativamente tus posibilidades de ser víctima de hackeos y brechas de datos. 

Además de mantener tu contenido seguro, un sitio seguro también es más atractivo para los visitantes. Cuando los visitantes saben que están seguros, es más probable que se queden. 

Además, los motores de búsqueda tienden a favorecer los sitios seguros en las clasificaciones. Cuanto más asegures WordPress, más mejorará tu SEO. 

En resumen, invertir en seguridad de WordPress es como comprar una alarma para tu casa. Puede ser un poco engorroso instalarla, pero definitivamente vale la pena al final.

Tu lista de verificación de seguridad de WordPress

Como principiante, quizás te estés preguntando: ¿por dónde empiezo?

¡He creado una lista de verificación completa de seguridad de WordPress para ti! Simplemente sigue cada paso y al final tendrás un sitio completamente seguro.

Lista de verificación rápida de seguridad de WordPress:

• Busca un alojamiento web seguro: Elige un alojamiento con protocolos de seguridad sólidos, certificados SSL, firewalls y copias de seguridad periódicas
• Haz una copia de seguridad de tu sitio web: Usa plugins como Duplicator para automatizar copias de seguridad en la nube y proteger tus datos
• Actualiza el software: Mantén actualizados el núcleo de WordPress, los plugins y los temas para parchear vulnerabilidades
• Elimina plugins y temas no utilizados: Borra el software inactivo para eliminar posibles agujeros de seguridad
• Usa contraseñas seguras: Crea contraseñas únicas y complejas con caracteres mixtos y evita frases comunes
• Actualiza el acceso de administrador: Limita los usuarios administradores, elimina las cuentas inactivas y asigna privilegios mínimos
• Oculta la página de inicio de sesión de WordPress: Personaliza la URL de inicio de sesión para evitar ataques de fuerza bruta
• Monitorizar la actividad del usuario: Rastrea las acciones del usuario para identificar brechas de seguridad y cambios no deseados
• Instalar un plugin de seguridad para WordPress: Utiliza herramientas como Sucuri para escanear malware y recibir notificaciones de seguridad
• Utilizar un cortafuegos de aplicaciones web (WAF): Bloquea el tráfico malicioso con cortafuegos a nivel DNS o de aplicación
• Escanear en busca de malware: Comprueba regularmente tu sitio en busca de virus y amenazas con plugins de seguridad
• Pasarse a SSL/HTTPS: Habilita certificados SSL para cifrar datos entre los usuarios y tu servidor
• Cambiar tu nombre de usuario: Evita nombres de usuario predecibles como “admin” para reducir las vulnerabilidades de inicio de sesión
• Actualizar los permisos de archivos: Establece permisos adecuados (755 para carpetas, 644 para archivos) para controlar el acceso
• Desactivar la edición de archivos: Desactiva el editor de archivos de WordPress para evitar que los hackers inyecten código malicioso
• Desactivar la ejecución de archivos PHP: Bloquea la ejecución de archivos PHP en directorios de subida para detener ataques
• Limitar los intentos de inicio de sesión: Restringe el número de intentos de inicio de sesión desde una única dirección IP
• Utilizar autenticación de dos factores: Añade un paso de verificación adicional con códigos móviles para la seguridad del inicio de sesión
• Cambiar el prefijo de la base de datos de WordPress: Reemplaza el prefijo predeterminado “wp_” para que los nombres de las tablas sean más difíciles de adivinar
• Proteger con contraseña las páginas de administración e inicio de sesión: Añade una capa de contraseña adicional antes de que los usuarios lleguen a la pantalla de inicio de sesión
• Desactivar la indexación y navegación de directorios: Oculta el contenido de los directorios para evitar que los archivos sean vistos
• Desactivar XML-RPC: Desactiva esta API para evitar que los hackers exploten vulnerabilidades de adivinación de contraseñas
• Cerrar sesión de usuarios inactivos: Cierra automáticamente la sesión de los usuarios inactivos para evitar el secuestro de sesiones
• Ocultar tu versión de WordPress: Elimina los números de versión del código fuente para evitar ataques dirigidos
• Restaurar tu sitio después de hackeos: Utiliza herramientas de copia de seguridad con recuperación ante desastres (Duplicator Pro) para restaurar rápidamente sitios comprometidos

1. Encuentra un hosting web seguro

Elegir un proveedor de hosting web es más que solo mirar el precio. Lo que necesitas es un proveedor que sea un apasionado de la seguridad.

Busca un proveedor de hosting web que ofrezca lo último en protocolos de seguridad. Sus servidores deben estar mantenidos y actualizados. También es genial si tiene un cortafuegos robusto y ofrece certificados SSL. 

Y, por último, averigua si el proveedor de hosting web ofrece copias de seguridad y restauraciones del sitio regulares. Esperarías no necesitar nunca esta red de seguridad, pero es bueno tener una, por si acaso.

Si actualmente tienes un plan de hosting compartido, es posible que quieras pasarte a un hosting de WordPress gestionado. Con un hosting compartido, compartirás recursos con otros sitios. Si alguien en tu servidor sufre una brecha de seguridad, podría afectar también a tu sitio web.

Pero, los proveedores de hosting compartido de buena reputación como Bluehost, Hostinger y SiteGround te protegerán de muchos problemas básicos de seguridad.

Una vez que encuentres un hosting de WordPress seguro, aquí te explicamos cómo migrar tu sitio al nuevo servidor. 

2. Haz una copia de seguridad de tu sitio web

Cuando empieces tu sitio web, probablemente estarás emocionado por escribir nuevas entradas de blog o vender productos. Sin embargo, también necesitarás hacer copias de seguridad de tu sitio regularmente.

Las copias de seguridad son una póliza de seguro para tu contenido digital. Te permiten restaurar tu sitio a su estado original si algo sale mal.

Duplicator es un plugin de copias de seguridad que facilita la creación de copias de tu sitio. Admite copias de seguridad automáticas y almacenamiento en la nube, por lo que nunca perderás datos.

A menudo es mejor almacenar las copias de seguridad en un servidor en la nube separado para una capa adicional de seguridad. De esta manera, tus copias de seguridad no se perderán si ocurre un problema con el servidor.

Con Duplicator, puedes hacer copias de seguridad de tu sitio en la nube. Simplemente conecta tu servicio de almacenamiento en la nube preferido y selecciónalo cuando crees una copia de seguridad.

Podrás personalizar qué datos se guardan en la copia de seguridad. Así, puedes hacer copias de seguridad sin esfuerzo solo de tu base de datos, biblioteca de medios u otros datos si es necesario.

Tu sitio web se actualiza constantemente con nuevo contenido, por lo que necesitarás hacerle copias de seguridad regularmente. Afortunadamente, Duplicator te permite automatizar las copias de seguridad.

¡Al configurar programaciones, nunca tendrás que preocuparte por las copias de seguridad manuales! Tu sitio estará constantemente seguro ante cualquier problema porque puedes simplemente revertir tu sitio cuando ocurran.

Además de Duplicator, hay muchos otros plugins de copias de seguridad que puedes usar. UpdraftPlus, Jetpack y BlogVault son algunas opciones populares. 

3. Actualiza el software

Las actualizaciones de software juegan un papel crucial en la seguridad de WordPress. No solo añaden funcionalidad extra, sino que también parchean cualquier vulnerabilidad potencial. 

WordPress instalará automáticamente las actualizaciones menores. Pero, tendrás que instalar manualmente cualquier versión importante. 

Encuentra la página de Actualizaciones y realiza cualquier actualización de tu software principal, plugins y temas.

Las actualizaciones de seguridad ocurren todo el tiempo, así que tendrás que estar atento a ellas. Para tu comodidad, también puedes automatizarlas. 

Sin embargo, te recomiendo probar las nuevas versiones de WordPress, plugins y temas en un sitio de staging primero. Esto te ayuda a evitar cualquier conflicto de software que a veces ocurre después de actualizaciones fallidas.

4. Elimina plugins y temas no utilizados

Limpiar tu sitio puede darle un buen impulso de seguridad. Es una buena idea desechar cualquier tema y plugin de WordPress que no estés utilizando activamente. 

Esto se debe a que los hackers pueden usar plugins y temas desactualizados para acceder a tu sitio web. Al eliminar el software inactivo, fortalecerás la seguridad de tu WordPress. 

¿Necesitas una regla general? Si no lo has usado en los últimos seis meses, despídete. Es una forma fácil de optimizar tu sitio de WordPress y mejorar su seguridad. 

5. Usa contraseñas seguras

Una buena contraseña debe ser única, impredecible y conocida solo por ti. Recomendamos usar una combinación de letras mayúsculas y minúsculas, números y símbolos. 

Recuerda, ¡‘Password123’ es un error de novato! Es como dejar la llave de tu casa debajo del felpudo, invitando prácticamente a posibles amenazas cibernéticas a hacer una visita.

En los ataques de fuerza bruta, los hackers o bots intentarán adivinar tu contraseña. Probarán opciones populares hasta que consigan entrar. Por lo tanto, cuanto más compleja sea tu contraseña, mejor. 

Aparte de eso, evita usar cualquier información identificable relacionada contigo. No uses tu nombre, fecha de cumpleaños o el nombre de tu mascota (sin importar lo adorable que pueda ser).

Intenta no usar la misma contraseña para todos tus sitios y usuarios. Al igual que no usarías la misma llave para tu casa, coche y oficina, mantén tus llaves digitales variadas para evitar una brecha de seguridad.

Considera usar un gestor de contraseñas como LastPass para almacenar tus contraseñas de forma segura. Puede generar automáticamente opciones seguras y simplificar el proceso de inicio de sesión.

6. Actualiza el acceso de administrador

Cuando se trata de la seguridad de WordPress, actualizar tu acceso de administrador es imprescindible. Este paso hace que tu sitio sea menos vulnerable a intrusiones o hackeos no deseados. 

Primero, limita el número de usuarios con el rol de ‘administrador’. Tener varios usuarios administradores puede ser un riesgo de seguridad. Asegúrate de tener solo unos pocos administradores de confianza. 

A continuación, revisa tu lista de usuarios regularmente, eliminando cualquier cuenta que ya no esté en uso. Esto reduce el riesgo de que las cuentas inactivas sean explotadas por hackers. 

Por último, asigna los privilegios mínimos necesarios para un rol de usuario. No todo el mundo necesita acceso de administrador.

Un usuario debe tener suficientes derechos para hacer su trabajo, pero no más. Esto minimiza la posibilidad de daños si esa cuenta es hackeada.

Si no estás seguro de qué usuarios deberían tener cierto acceso, lee esta guía sobre roles y permisos de usuario de WordPress.

7. Oculta la página de inicio de sesión de WordPress

Cada día, usas la página de inicio de sesión para acceder a tu sitio de WordPress. Todos los sitios de WordPress tienen páginas de inicio de sesión que terminan en wp-admin o wp-login. Por lo tanto, los usuarios malintencionados podrían acceder a la tuya y abusar de ella. 

Ocultar tu página de inicio de sesión de WordPress puede proteger tu sitio de intentos de hackeo. Cuando los hackers no pueden encontrar la página de inicio de sesión, no pueden intentar ataques de fuerza bruta para abrir tu panel de administración.

Algunos plugins pueden ayudarte a lograr esto fácilmente, como WPS Hide Login. Puedes personalizar fácilmente tu URL de inicio de sesión para que solo tú sepas dónde está.

8. Monitoriza la actividad del usuario

Cuando tu sitio tiene muchos usuarios, uno podría ser hackeado o compartir credenciales de inicio de sesión con la persona equivocada. Si la cuenta de usuario tiene acceso de administrador, tus temas, plugins o configuraciones podrían ser alterados.

Para identificar la brecha de seguridad, podrías monitorizar la actividad del usuario. Identificarás qué usuario realizó el cambio no deseado y lo eliminarás rápidamente de tu sitio.

Aquí tienes algunos plugins que pueden ayudarte a hacer un seguimiento de tus usuarios de WordPress:

• Registro de actividad de WP
• Historial simple

Estas herramientas pueden ser especialmente útiles si administras una multisitio de WordPress. Puedes tener una gran cantidad de propietarios de sitios web, autores, editores y otros usuarios diferentes. Es importante saber exactamente qué usuario causó una vulnerabilidad.

9. Instala un plugin de seguridad de WordPress

Los plugins de seguridad hacen exactamente lo que esperas: añaden seguridad extra a tu sitio. Están diseñados para identificar y abordar vulnerabilidades potenciales. Por ejemplo, proporcionan escaneos de seguridad regulares, protección de firewall y filtrado de spam. 

Uno de los mejores plugins de seguridad de WordPress es Sucuri Security. Esta herramienta ofrece escaneo de malware remoto, notificaciones de seguridad y soluciones post-hackeo.

Usando Sucuri, puedes fortalecer tu seguridad fácilmente. En la configuración de Hardening, puedes habilitar un firewall, deshabilitar editores de plugins y temas, ocultar tu versión de WordPress y más.

Esta es una forma amigable para principiantes de mejorar la seguridad de tu WordPress. ¡Además, hay una versión gratuita en WordPress.org!

10. Usa un Firewall de Aplicaciones Web (WAF)

Un Firewall de Aplicaciones Web (WAF) es una herramienta que supervisa y filtra el tráfico entrante a tu sitio web. Ayuda a proteger tu sitio de WordPress de amenazas como inyección SQL y scripting entre sitios (XSS).

Un firewall puede disuadir muchas amenazas cibernéticas comunes. Actúa como una barrera protectora entre tu sitio y todo el tráfico entrante, bloqueando solicitudes maliciosas.

Aquí están los diferentes tipos de firewalls:

• Firewall a nivel DNS: envía y evalúa el tráfico a través de servidores proxy en la nube.
• Firewall a nivel de aplicación: plugins de firewall que evalúan el tráfico una vez que llega a tu servidor.

Sucuri ofrece la forma más fácil de configurar un firewall en tu sitio web de WordPress. Es una herramienta tan efectiva que ayudó a WPBeginner a bloquear 450.000 ciberataques en solo 3 meses.

Con Sucuri, evitarás malware, ataques DDoS, ataques de fuerza bruta y otras preocupaciones de seguridad. 

11. Escanea en busca de malware

Escanear regularmente tu sitio web en busca de malware es una parte crucial del mantenimiento de la seguridad de tu WordPress. Plugins populares como Wordfence y Sucuri pueden ayudarte con esta tarea. 

Estas herramientas de seguridad están diseñadas específicamente para encontrar y eliminar cualquier amenaza potencial en tu sitio web. Monitorean activamente tu sitio web, alertándote rápidamente sobre cualquier actividad sospechosa y proporcionando soluciones para su eliminación.

Sucuri también tiene un comprobador de malware gratuito. Al ingresar la URL de tu sitio web, descubrirás si hay algún virus.

12. Pasa a SSL/HTTPS

SSL (Secure Sockets Layer) es un protocolo que cifra los datos entre el navegador de un usuario y tu servidor. Dificulta que los ciberatacantes intercepten y roben datos.

Cuando habilitas SSL, la URL de tu sitio utiliza HTTPS (Protocolo Seguro de Transferencia de Hipertexto). Esto se muestra con un icono de candado junto a tu dominio en la ventana del navegador.

Para pasar a HTTPS, necesitarás comprar e instalar un certificado SSL en tu servidor. Muchos proveedores de hosting ofrecen un certificado SSL gratuito a través de Let's Encrypt. Después de eso, asegúrate de que tu sitio de WordPress use HTTPS en su configuración y URLs. 

Si aún no tienes un certificado SSL, ¡aquí te mostramos cómo configurar uno!

13. Cambia tu nombre de usuario

Usar "admin" como nombre de usuario es una práctica común, pero es uno de los errores graves de seguridad de WordPress que querrás evitar. Le da la mitad de tus datos de inicio de sesión a los atacantes.

Para ayudar a asegurar tu sitio web, considera cambiar tu nombre de usuario por uno menos predecible y más único. 

Dirígete a tu panel de WordPress y crea un nuevo usuario con privilegios de administrador. Una vez hecho esto, cierra la sesión y vuelve a iniciarla como el nuevo administrador.

A continuación, elimina el usuario "admin" antiguo. Asegúrate de transferir todo el contenido del usuario eliminado al nuevo. Es así de simple. 

14. Actualiza los permisos de archivo

Los permisos de archivo regulan quién puede leer, escribir y ejecutar tus archivos. Permisos mal configurados podrían ofrecer una puerta abierta a intrusos.

Aquí están los ajustes que recomendamos usar:

• 755 para carpetas y subcarpetas
• 644 para todos los archivos

Ten en cuenta que corregir los permisos de archivos y carpetas puede ser complejo sin experiencia técnica. Si no estás seguro, siempre es mejor consultar con tu proveedor de hosting o un desarrollador cualificado.

15. Deshabilita la edición de archivos

El panel de WordPress permite a los administradores cambiar los archivos PHP de plugins y temas. Puede ser útil pero también peligroso.

Si un hacker accede a tu panel, puede hacer un mal uso del editor de archivos para introducir código malicioso en tus archivos de WordPress. Para evitar esta amenaza de seguridad, deberías desactivar la edición de archivos ajustando tu archivo wp-config.php.

Aunque esto suena técnico, en realidad es un proceso sencillo. Accede a tu instalación de WordPress a través de FTP y localiza el archivo wp-config.php. Abre este archivo y añade el siguiente fragmento de código: 

define( 'DISALLOW_FILE_EDIT', true );

Una vez que guardes el archivo, la configuración actualizada comenzará a funcionar de inmediato para proteger contra código malicioso. 

Haz esto solo si estás de acuerdo con modificar los archivos de tu sitio web. Si no estás seguro, pide ayuda experta. 

16. Deshabilita la ejecución de archivos PHP

Desactivar la ejecución de archivos PHP en ciertos directorios de WordPress es un paso clave para proteger tu sitio. Si no se hace, abre una puerta a ataques maliciosos. 

Los hackers pueden aprovechar esta vulnerabilidad desplegando archivos php en tu carpeta de subidas u otros directorios. Estos archivos pueden entonces ejecutar código malicioso, comprometiendo tu sitio web.

Para solucionar este problema, puedes desactivar la ejecución de archivos PHP en cualquier directorio que no la necesite (como /wp-content/uploads/). 

Abre un editor de texto y pega este código:

<Files *.php>

deny from all

</Files>

Nombra el archivo .htaccess y añádelo a la carpeta uploads. 

17. Limita los intentos de inicio de sesión

Como mencioné anteriormente, los bots podrían intentar acceder a tu sitio intentando iniciar sesión una y otra vez.  Para mantener tu sitio seguro, establece un límite en cuántos intentos de inicio de sesión pueden provenir de una única dirección IP.

Al limitar los intentos de inicio de sesión, reducirás las posibilidades de un ataque de fuerza bruta exitoso. Aunque WordPress permite inicios de sesión ilimitados, puedes establecer un límite con un plugin como Limit Login Attempts Reloaded.

Limit Login Attempts Reloaded bloqueará una dirección IP después de un cierto número de intentos de inicio de sesión fallidos. Puedes crear un tiempo de bloqueo personalizado y recibir automáticamente correos electrónicos sobre nuevos bloqueos. 

18. Usa autenticación de dos factores

La autenticación de dos factores (2FA) añade una capa extra de protección a tu sitio de WordPress. Además de tu contraseña, necesitas un código de verificación que normalmente se envía a tu teléfono móvil. 

Este sistema de doble verificación aumenta la seguridad, haciendo que sea difícil para los hackers acceder. Incluso si descifran tu contraseña, todavía necesitan el código de verificación. 

WP 2FA es un plugin que configura rápidamente la autenticación de dos factores en tu sitio de WordPress. Generará códigos de inicio de sesión para aplicaciones de autenticación como Google Authenticator o Authy. Los usuarios introducen un código junto con su contraseña.

Con esta función, los hackers o bots no pueden acceder a tu sitio incluso si obtienen tu contraseña. Hay un paso adicional para los inicios de sesión, al que no se puede acceder fácilmente. 

19. Cambia el prefijo de la base de datos de WordPress

WordPress asigna un prefijo a las tablas de tu base de datos. El prefijo predeterminado es wp_.

Si se deja como predeterminado, los hackers pueden adivinar fácilmente los nombres de tus tablas. Por lo tanto, es una buena práctica cambiarlo.

Sin embargo, esto no es muy fácil para los principiantes. Y, podrías terminar rompiendo tu sitio.

Si estás seguro de que quieres continuar, sigue esta guía sobre cómo cambiar correctamente el prefijo de la base de datos de WordPress. 

20. Protege con contraseña las páginas de administración e inicio de sesión

Otra forma de proteger tus páginas de inicio de sesión de WordPress es añadir protección con contraseña a tu directorio de administrador. Siempre que alguien intente acceder al área de administrador, tendrá que introducir una contraseña antes de ver una página de inicio de sesión.

Para habilitar la protección con contraseña del administrador, puedes usar la privacidad de directorios de cPanel. Esto te permitirá proteger tu directorio de administrador sin usar ningún código.

21. Deshabilita la indexación y navegación de directorios

La navegación por directorios puede ser un punto débil en la seguridad de tu sitio web. Si esta función está habilitada, cualquiera puede ver el contenido de los directorios de tu sitio web. Los hackers podrían aprovechar esto si ven archivos con vulnerabilidades. 

Para resolver este problema, añade una simple línea de código en la parte inferior de tu archivo .htaccess. 

Opciones -Indexes

Esto evita que la gente revise las carpetas de tu sitio y protege los archivos ocultos.

22. Deshabilita XML-RPC

Desde WordPress 3.5, XML-RPC es una API principal de WordPress. Permite a los desarrolladores usar aplicaciones remotas para actualizar WordPress.

XML-RPC te permite usar aplicaciones móviles para publicar entradas de blog. También hace posible conectar tu sitio con servicios de terceros como Zapier. 

Esta función de WordPress permite que otras aplicaciones se comuniquen con tu sitio web. Pero, también crea una brecha de seguridad que los hackers pueden usar. 

Si alguien intenta hackear tu página de inicio de sesión, realiza intentos de inicio de sesión separados. Con XML-RPC, los hackers podrían usar una función system.multicall para adivinar miles de opciones de contraseña en solo unas 20-50 solicitudes.

Por lo tanto, desactivar XML-RPC puede ayudarte a evitar posibles amenazas cibernéticas.

23. Cierra la sesión de usuarios inactivos

Los inicios de sesión desatendidos pueden convertirse en una puerta de entrada para el acceso no autorizado. Su sesión podría ser secuestrada. Es por eso que el sitio web de tu banco te cierra la sesión después de un cierto período de tiempo.

Es mejor que tu sitio de WordPress cierre la sesión automáticamente a los usuarios cuando estén inactivos. Esto puede reducir en gran medida las posibilidades de cualquier problema.

Puedes usar plugins como Inactive Logout para automatizar este proceso. Con este plugin gratuito, establecerás periodos de tiempo de inactividad.

También te permitirá personalizar los mensajes de cierre de sesión. Harás saber a los usuarios cuándo se les está cerrando la sesión debido a la inactividad. 

24. Oculta tu versión de WordPress

Por defecto, tu código fuente mostrará la versión de WordPress de tu sitio.

Exponer tu última versión de WordPress puede parecer inofensivo, pero podría dejar tu sitio en riesgo. Los hackers utilizan esta información para explotar vulnerabilidades de seguridad conocidas en versiones específicas. 

Hay muchas maneras de ocultar tu versión de WordPress, pero te recomendamos usar WPCode. Este plugin de fragmentos de código tiene un fragmento predefinido para eliminar tu número de versión de WordPress.

Todo lo que tendrás que hacer es buscar el fragmento y usarlo. 

¡Luego, activa el nuevo fragmento!

25. Restaura tu sitio después de hackeos

Incluso si haces todo bien, un hacker podría entrar en tu sitio web y causar daños. En caso de que esto suceda, necesitarás estar preparado. 

Restaurar tu sitio de WordPress después de un hackeo puede parecer desalentador. Pero, es fácil con las herramientas adecuadas.

Duplicator Pro es un plugin de copias de seguridad de WordPress que restaura tu sitio en segundos. Después de un hackeo, encuentra la copia de seguridad más reciente y sin errores y pulsa el botón Restaurar junto a ella.

Algunos hackers pueden bloquearte el acceso a tu panel de administración de WordPress. Para evitar esto, asegúrate de configurar la recuperación ante desastres de antemano.

Crea una copia de seguridad completa de tu sitio. Luego, haz clic en el icono de la casa azul junto a ella.

Una vez que configures la recuperación ante desastres, Duplicator te proporcionará un enlace de recuperación y un archivo lanzador. Cualquiera de estos restaurará tu sitio inmediatamente después de un ciberataque.

Personalmente, prefiero el enlace de recuperación. Simplemente tendrás que abrir una ventana del navegador y pegarlo. Esto abrirá el asistente de recuperación de Duplicator (sin necesidad de tu panel).

Para asegurar tu sitio web, guarda el enlace de recuperación o el archivo lanzador en un lugar seguro. Deberá estar fuera del sitio, por si tu sitio web llegara a caerse. 

Si quieres asegurarte de que has eliminado cualquier puerta trasera y otras vulnerabilidades de seguridad, lee este tutorial sobre cómo arreglar un sitio de WordPress hackeado. 

Preguntas frecuentes sobre seguridad en WordPress

Conclusión

¡En este punto, su sitio está listo para luchar contra cualquier amenaza de seguridad!

Ya que estás aquí, creo que te gustarán estas guías adicionales de WordPress:

• Cómo limpiar un sitio WordPress
• Cómo proteger su sitio web de hackers
• ¿Es WordPress seguro? Revelando la verdad
• 8+ Mejores Plugins de Seguridad para WordPress
• 11 tareas de mantenimiento de WordPress que no querrá olvidar

¿Quiere evitar la pérdida de datos por hackeos inesperados? ¡Descargue Duplicator Pro para copias de seguridad automáticas en la nube!