Buenas preguntas, la seguridad es su problema principal y es el mismo para todos los que se comprometen a buscar administrar sus propios sitios web. WordPress no es el sistema de administración de contenido más seguro del planeta, sin embargo, se puede proteger con un buen alojamiento y un buen conocimiento de qué asegurar y garantizar.
Hospedaje
La forma más segura de alojar su sitio es en un VPS o dedicado, suponiendo que tenga una buena seguridad en el sistema operativo. El problema con el alojamiento compartido es que el malware puede propagarse de una cuenta a otra, a pesar de que están en las cárceles, estos piratas informáticos encuentran su camino e infectan múltiples sitios. GoDaddy, por ejemplo, fue pirateado el mes pasado y dejó 100,000 sitios web pirateados con inserciones de vínculo de retroceso gris.
Por lo que he leído, desea utilizar un VPS, pero es importante que desee algo para administrar sus copias de seguridad, lo que necesita es un VPS con CentOS6 con Cpanel. Deberá pagar más por el Cpanel, pero esto hará que la configuración de sitios web y la copia de seguridad de la base de datos y el sistema de archivos sea automatizada, así como el envío diario de correos electrónicos cuando la copia de seguridad se haya completado o haya fallado por una razón u otra.
Ahora no sé cuán fuertes son las habilidades que tiene dentro de Linux, pero VPS a menudo puede traer otros problemas de seguridad si no es fuerte en este departamento. Afortunadamente en estos días tenemos cosas como Google y puedes aprender cómo proteger tu VPS con facilidad. Lo básico de su caja VPS es asegurarse de que está utilizando una clave SSL que tiene en su computadora, lo que significa que incluso si conocen la contraseña, no pueden acceder a su sistema sin esa certificación. Además, para evitar que la gente adivine la contraseña, siempre puede cambiar el puerto ssh.
Hay muchas cosas que puede hacer para evitar el acceso a su Box y Google sirve mejor, hay muchos para enumerar.
WordPress
Asegurar Wordpress es bastante sencillo, mi mejor consejo es asegurar los archivos de plantilla dentro de /wp-content/themes directory
. Dado que su esposa no va a editar los archivos de plantilla que desea modificar, estos no se pueden escribir directamente desde WordPress. Hay una configuración dentro de la configuration.php
que puede configurar, pero en serio simplemente CHMOD utilizando FTP o si va y utiliza un VPS cambie la propiedad de estos archivos www-data
a root
. De esta forma, no se pueden cambiar desde WordPress ni ningún otro software que se ejecute en el servidor. La mayoría de las inyecciones, basadas en scripts, atacarán los index.php
archivos de las plantillas y agregarán el malware. Además, hay algunos .htaccess
ataques de redireccionamiento, por lo tanto, vuelva .htaccess
a modificar el archivo para que no se pueda escribir una vez que tenga la configuración deseada, o vuelva a cambiar de www-data a root. También elconfiguration.php
debe configurarlo como root o chmod para que no puedan ser leídos por invitados y extraños.
No subestimes el poder del CHMOD, cuantos más archivos puedas hacer que no se puedan escribir, mejor. Intenta evitar complementos innecesarios de WordPress. Si bien algunos son geniales, pregúntate si lo necesitas. Cuanto más haya instalado, más tendrán que jugar sus hackers, así que evite los complementos tanto como pueda y no hinche el sitio con ellos.
WordPress se actualiza semanalmente o mensualmente, actualice lo antes posible: hay una razón por la que tienen tantas actualizaciones y una de ellas son los problemas de seguridad y las lagunas que han encontrado.
Además, por defecto tendrá una cuenta de "contraseña" de "administrador", cree otro administrador como sus nombres de mujer junto con una buena contraseña. Luego elimine esa cuenta de administrador.
Plan de prueba
Siempre puede imitar su sitio, es decir, tener un clon. Usando cpanel, podría configurar un subdominio test.subdomain.com y hacer que ejecute el mismo WordPress junto con un clon de la base de datos.
Personalmente, si no está utilizando las principales extensiones para WordPress, podría desconectar el sitio, es decir, Mantenimiento en curso. y luego actualice el sistema, si algo sale mal, entonces tiene la copia de seguridad automatizada o una copia de seguridad que hizo mientras estaba en mantenimiento. de esa manera su caja fuerte de cualquier manera.
Siempre es mejor actualizar en modo de mantenimiento, mientras que algunas actualizaciones no preguntan, otras sí. Lo mejor es desconectarlo para que tenga una BUENA tienda instantánea.
Control de versiones
Con cada copia de seguridad diaria que haga, tendrá una fecha, dentro de GZ / Zip podrá leer el archivo de configuración con los números de versión de WordPress.
Los
sistemas Uptime Good Vps lo monitorearán por usted y se reiniciarán si es necesario, ya que usted opera el servidor, siempre puede instalar un trabajo cron que le enviará un correo electrónico si el servidor se cae, pero nuevamente. Un buen servidor nunca se cae realmente, elija una buena compañía de VPS que opere en una nube con fuentes de alimentación redundantes y hardware, Rackspace, por ejemplo, o Amazon trabaje en una nube.
De nuevo la versión de prueba, simplemente clone el sitio en un subdominio que use una contraseña .htaccess.
Espero que esto ayude, y si tiene alguna pregunta adicional, por favor pregunte.