Cómo mantener seguro su sitio de afiliación en WordPress

Los sitios afiliados a WordPress son objetivos principales para los hackers que buscan propagar malware, crear una red de bots o generar maliciosamente un ingreso pasivo a lo largo del tiempo.

Pero hay ciertas cosas que puede hacer para reducir drásticamente tus posibilidades de convertirte en objetivo de un ataque malicioso de este tipo.

Así que vamos a profundizar en estas contramedidas de hacking fáciles de implementar, para que juntos podamos mejorar la seguridad de su sitio de afiliados de WordPress.

No pase por alto las contraseñas seguras

La primera capa de protección para su sitio afiliado WordPress es su contraseña. No se conforme con el nivel mínimo de seguridad. Elige una contraseña segura.

¿Quieres saber un secreto? Una contraseña mixta con números y caracteres especiales es genial... pero no es la opción más segura. La longitud de la contraseña es aún más eficaz. Una frase fácil de recordar como "Janet encontró el osito de peluche en la caja de juguetes" le llevaría al hacker medio... 4 cientos octodecil millones de años de crackear con fuerza bruta. El mismo hacker podría forzar 'ymJl99%a!' en unas 3 semanas. La longitud importa.

Por supuesto, puede tener lo mejor de ambos mundos en forma de largas y contraseñas complejas si utiliza un gestor central de contraseñas. Entonces sólo tendrá que recordar una única contraseña larga para tener acceso a contraseñas infinitamente seguras para cada sitio y cuenta que utilice.

Por fin, Activar la autenticación de dos factores (2FA). Entonces alguien necesitará tanto tu contraseña como tu dispositivo de autenticación para avanzar. Puede encontrar muchos plugins gratuitos diferentes para 2FA en la web Directorio de plugins de WordPress.

¿Qué es WAF?

A Cortafuegos de aplicaciones webo WAF, le permite tener una medida de protección para su sitio afiliado de WordPress nada más sacarlo de la caja. Básicamente solicitudes de filtros que entran en su sitio, en busca de algunos de los vectores de ataque más comunes que utilizan los piratas informáticos.

Cloudflare ha anunciado que quiere que todo el mundo tenga protección WAF gratuitaasí que aprovéchalo. Y de paso, su cuenta gratuita de Cloudflare también puede darte una protección DDOS básica. Genial, ¿verdad?

SSL debe ser automático

Capa de sockets seguros (SSL) es vital para proteger su sitio WordPress, especialmente si se trata de una plataforma de comercio electrónico o de afiliación.

SSL cifra los datos entre el servidor y el navegador, protegiendo la información confidencial y aumentando la confianza de los visitantes.

Para activar SSL en su sitio de WordPress, primero póngase en contacto con su proveedor de alojamiento para comprobar si SSL está incluido o si se requieren instrucciones especiales. A continuación, elija e instale un certificado como CifremosConfigure WordPress para que utilice "https" y, por último, confirme la conexión segura buscando el icono del candado en la barra de direcciones del navegador.

Si tienes algún problema, el equipo de asistencia de tu proveedor de alojamiento web puede ayudarte.

Detener el fraude de los afiliados

A veces tu peor enemigo se hace pasar por amigo. Por eso deberías utilizar una herramienta de gestión de afiliados que evite desde el fraude por clic hasta los ataques de "cookie stuffing".

En Plugin Coupon Affiliates ha incorporado en WordPress herramientas de seguridad para sitios de afiliados, incluyendo medidas antifraude. Puede más información aquí.

Una vez que instale Coupon Affiliates, la gran mayoría de los ataques de fraude de afiliación deberían cortarse de raíz... ¡si mantiene su software actualizado! Pero, ¿cuál es la mejor manera de hacerlo?

Póngale un parche

Mantener actualizados los plugins, los temas y el núcleo de WordPress es esencial para la seguridad del sitio web.

Estas actualizaciones suelen incluir parches para vulnerabilidades conocidas que podrían ser explotadas por piratas informáticos. Cuando ejecuta versiones obsoletas, deja su sitio susceptible a malware, violaciones de datos y otros ataques maliciosos que pueden afectar gravemente a la funcionalidad de su sitio web y a la información de sus usuarios. Las actualizaciones periódicas no sólo mejoran la seguridad, sino que también proporcionan nuevas funciones y mejoras que pueden optimizar el rendimiento de su sitio web y la experiencia del usuario.

Si no desea buscar manualmente nuevos parches de software de forma periódica, puede utilizar un sistema de gestión de parches. Por ejemplo, Patchstack tiene un nivel gratuito que te ayudarán a mantener todo al día para tu pequeño o mediano sitio WordPress. Si te animas, hay disponibles niveles de pago para automatizar instalaciones más complejas.

Cabe señalar que Coupon Affiliates forma parte de la Patchstack Programa de divulgación de vulnerabilidades. Esto significa que los informes y la integración de los errores y actualizaciones de seguridad de Coupon Affiliate se comunican automáticamente a Patchstack, que se encarga de gestionarlos.

Darle la vuelta

Otro componente que debe tener en cuenta es protección contra robots. No hay nada peor que los ataques automatizados que crean usuarios falsos, consultas falsas e interacciones de chatbot falsas. Es una enorme pérdida de tiempo.

Turnstile de Cloudflare es un alternativa CAPTCHA gratuita que te permitirá eliminar la mayoría de los bots maliciosos comunes con facilidad. Si creces (y te conviertes en un objetivo), puedes optar por uno de los planes de pago para acabar con los bots más sofisticados con niveles adicionales de protección.

Tenemos un Guía de WordPress Affiliate Turnstile aquí. Eso le mostrará todo el proceso de implementación, para que esté debidamente protegido contra los ataques automatizados comunes a sus formularios.

Arrancar los rodillos

Para reducir los posibles dolores de cabeza de los usuarios que, por descuido, podrían dejar su sesión iniciada en terminales de invitados, así como los posibles ataques de denegación de recursos, querrá instalar algo que automáticamente fuerza un cierre de sesión si alguien está inactivo durante demasiado tiempo.

En Plugin de cierre de sesión inactivo es ideal para esto. Puedes establecer tiempos de espera personalizados para roles más elevados, si quieres que los administradores tengan periodos de inactividad válidos más largos. También funciona con WooCommerce, proporcionando esa capa adicional de protección.

No permita ataques de fuerza bruta

Es aconsejable tener política estricta de inicio de sesión fallido que la configuración por defecto de WordPress. Usted no quiere que nadie sea capaz de adivinar la contraseña de un usuario. Así que es aconsejable tener límites más estrictos de intentos de inicio de sesión y tiempos de espera más largos para múltiples fallos.

Un plugin como Bloqueo de inicio de sesión es tu mejor amigo en este caso. Esto le permitirá personalizar casi todo sobre los intentos fallidos de inicio de sesión.

Otra gran opción para proteger sus formularios de inicio de sesión de ataques de fuerza bruta y spam es la aplicación Torniquete simple de Cloudflare plugin.

Busque ayuda profesional si la necesita

Por último, si sólo quieres que alguien si no para manejar su seguridad, puede obtener un Plan de cuidados de WordPress.

Un ejemplo de ello es RelyWP. Su paquete incluye la gestión de la instalación y el mantenimiento de WordPress, pruebas automatizadas y análisis de malware.

También obtendrá copias de seguridad seguras en la nubeque es muy útil porque sirve como un simple plan de recuperación de desastres. Si ocurre lo peor (que puede ir desde la quiebra de tu proveedor de alojamiento hasta un hackeo masivo de día cero que afecte a millones de sitios de WordPress en todo el mundo), tendrás una copia de seguridad de tu sitio en un servicio independiente en la nube y podrás restaurarla en cuanto haya un alojamiento seguro disponible.

Consulte los planes de servicio de RelyWP aquí.

Unas palabras finales

Recuerde que los estafadores suelen intentar ataques de ingeniería social, con la esperanza de que usted simplemente dile a su contraseña o sus datos de autenticación de dos factores. No comparta nunca esta información con nadie. Los verdaderos técnicos de soporte que gestionan su sitio web pueden simplemente restablecer su contraseña por usted, nunca necesitan pedírsela. Tenga cuidado.

Bill Ricardi

Bill Ricardi es un antiguo administrador de sistemas de Silicon Valley y probador de rendimiento del año 2010 de uTest. Fue director de pruebas de Deloitte antes de convertirse en autor a tiempo completo en 2017, y también es colaborador habitual del blog Coupon Affiliates.