En el fascinante mundo de la administración de servidores web, encontrar una solución amigable y potente es esencial para aquellos que están dando sus primeros pasos. HestiaCP, una interfaz de control de servidor web, se destaca como una opción ideal para principiantes. En este artículo, exploraremos los conceptos básicos de HestiaCP y cómo puede simplificar la gestión de tu servidor.
¿Qué es HestiaCP?
HestiaCP es una herramienta de panel de control de servidor, similar a cPanel, que facilita la administración de servicios como Apache, Nginx, MySQL y más. Diseñado pensando en la simplicidad, HestiaCP es perfecto para aquellos que buscan una solución fácil de usar sin sacrificar el control sobre su servidor.
Características Principales
Interfaz Intuitiva: HestiaCP ofrece una interfaz de usuario limpia y fácil de entender, lo que permite a los principiantes navegar y gestionar su servidor sin complicaciones.
Gestión de Dominios y Correos Electrónicos: Con HestiaCP, puedes agregar y gestionar fácilmente tus dominios y configurar cuentas de correo electrónico de manera rápida y eficiente.
Seguridad Integrada: La seguridad es una prioridad en HestiaCP. A través de características como la protección contra ataques DDoS y la gestión de cortafuegos, tu servidor estará protegido contra amenazas comunes.
Gestión Básica
Acceso al Panel de Control: Después de la instalación, explora cómo acceder al panel de control de HestiaCP a través de tu navegador web.
Añadir un Dominio y Configurar Correos Electrónicos: Guía a los lectores a través del proceso de agregar su primer dominio y configurar cuentas de correo electrónico asociadas.
Gestión de Aplicaciones y Bases de Datos: Explora cómo HestiaCP facilita la instalación y gestión de aplicaciones web y bases de datos.
Comparativa con otros paneles de control
Interfaz de Usuario: HestiaCP, ofrece una interfaz de usuario sencilla y fácil de entender, especialmente diseñada para principiantes. La navegación es intuitiva, lo que facilita la gestión de servicios web. Por su parte cPanel o Plesk, ambos son conocidos por sus interfaces amigables, pero a veces pueden parecer abrumadores para los principiantes debido a la cantidad de opciones disponibles.
Costos: En la actualidad, HestiaCP es una opción de código abierto y gratuito. Ideal para aquellos que buscan una solución económica sin comprometer la funcionalidad. Otros paneles suelen tener modelos de precios basados en licencias, lo que puede resultar en costos adicionales, especialmente para múltiples dominios o servidores.
Gestión de Recursos: HestiaCP, se destaca por su eficiencia en la gestión de recursos, permitiendo un rendimiento óptimo incluso en servidores con recursos limitados. En cambio, otros paneles puede ser muy potentes, pero pueden requerir más recursos del servidor, lo que podría afectar el rendimiento en entornos con restricciones.
Configuración y Flexibilidad: Por su parte, HestiaCP ofrece configuraciones simples y directas, ideal para usuarios que desean una configuración rápida y sin complicaciones.
Seguridad: El panel de Hestia, incorpora características de seguridad, como protección contra DDoS, gestión de cortafuegos, Protocolo HTTP/2 por defecto, pero con un enfoque en la simplicidad. Otros paneles conocidos ofrecen características avanzadas de seguridad y actualizaciones regulares, pero pueden requerir una mayor configuración.
HestiaCP, cPanel y Plesk son opciones respetables, cada una con sus propias fortalezas. La elección depende de las necesidades específicas del usuario. HestiaCP destaca por su simplicidad y eficiencia, mientras que cPanel y Plesk ofrecen una gama más amplia de funciones, adecuadas para usuarios con requisitos más avanzados.
El panel de control Hestia emerge como una solución perfecta para principiantes que desean administrar sus propios servidores web sin abrumarse con la complejidad. Con su interfaz intuitiva y características robustas, HestiaCP hace que la administración de servidores sea accesible para todos.
Si deseas conocer más sobre este panel de control para tus sitios web, te invitamos a visitar su sitio oficial www.hestiacp.com.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
El archivo robots.txt es una herramienta esencial para gestionar la forma en que los motores de búsqueda rastrean tu sitio web. Aprende cómo proteger tu contenido y optimizar tu sitio con nuestro artículo completo sobre el archivo robots.txt. ¡Descúbrelo ahora!
¿Qué es el archivo robots.txt?
El archivo robots.txt es un archivo de texto que contiene instrucciones para los bots (principalmente rastreadores de motores de búsqueda) que intentan acceder a un sitio web. Define qué áreas del sitio los rastreadores tienen permitido o no permitido acceder. Puedes excluir fácilmente dominios completos, directorios completos, uno o más subdirectorios, o archivos individuales del rastreo de los motores de búsqueda utilizando este simple archivo de texto. Sin embargo, este archivo no protege contra el acceso no autorizado.
El archivo robots.txt se almacena en el directorio raíz de un dominio. Por lo tanto, es el primer documento que los rastreadores abren cuando visitan tu sitio. Sin embargo, el archivo no solo controla el rastreo. También puedes integrar un enlace a tu mapa del sitio (sitemap), que proporciona a los rastreadores de motores de búsqueda una visión general de todas las URLs existentes de tu dominio.
Cómo funciona el archivo robots.txt
En 1994, se publicó un protocolo llamado REP (Protocolo de Exclusión de Robots). Este protocolo establece que todos los rastreadores de motores de búsqueda (agentes de usuario) deben buscar primero el archivo robots.txt en el directorio raíz de tu sitio y leer las instrucciones que contiene. Solo entonces, los robots pueden comenzar a indexar tu página web. El archivo debe ubicarse directamente en el directorio raíz de tu dominio y debe estar escrito en minúsculas porque los robots leen el archivo robots.txt y sus instrucciones con sensibilidad a mayúsculas y minúsculas. Desafortunadamente, no todos los robots de motores de búsqueda siguen estas reglas. Al menos, el archivo funciona con los motores de búsqueda más importantes como Bing, Yahoo y Google. Sus robots de búsqueda siguen estrictamente las instrucciones del REP y del archivo robots.txt.
En la práctica, el archivo robots.txt puede utilizarse para diferentes tipos de archivos. Si lo usas para archivos de imagen, evita que estos archivos aparezcan en los resultados de búsqueda de Google. Los archivos de recursos no importantes, como archivos de script, estilo e imagen, también pueden bloquearse fácilmente con robots.txt. Además, puedes excluir páginas web generadas dinámicamente del rastreo utilizando comandos adecuados. Por ejemplo, las páginas de resultados de una función de búsqueda interna, las páginas con IDs de sesión o las acciones de usuario como los carritos de compras pueden bloquearse. También puedes controlar el acceso de los rastreadores a otros archivos no relacionados con imágenes (páginas web) utilizando el archivo de texto. De este modo, puedes evitar los siguientes escenarios:
los robots de búsqueda rastrean muchas páginas web similares o no importantes
se desperdicia innecesariamente tu presupuesto de rastreo
tu servidor se sobrecarga por los rastreadores
Sin embargo, en este contexto, debes tener en cuenta que el archivo robots.txt no garantiza que tu sitio o páginas sub-páginas individuales no sean indexadas. Solo controla el rastreo de tu sitio web, pero no la indexación. Si no deseas que las páginas web sean indexadas por los motores de búsqueda, debes establecer la siguiente metaetiqueta en el encabezado de tu página web:
<meta name="robots" content="noindex">
Sin embargo, no deberías bloquear archivos que sean de alta relevancia para los robots de búsqueda. Ten en cuenta que los archivos CSS y JavaScript también deben estar desbloqueados, ya que se utilizan para el rastreo, especialmente por los robots móviles.
¿Qué instrucciones se utilizan en robots.txt?
Tu archivo robots.txt debe guardarse como un archivo de texto en formato UTF-8 o ASCII en el directorio raíz de tu página web. Debe haber solo un archivo con este nombre. Contiene uno o más conjuntos de reglas estructurados en un formato claramente legible. Las reglas (instrucciones) se procesan de arriba a abajo, distinguiendo entre mayúsculas y minúsculas.
Los siguientes términos se utilizan en un archivo robots.txt:
user-agent: denota el nombre del rastreador (los nombres se pueden encontrar en la base de datos de Robots)
disallow: evita el rastreo de ciertos archivos, directorios o páginas web
allow: sobrescribe disallow y permite el rastreo de archivos, páginas web y directorios
sitemap (opcional): muestra la ubicación del mapa del sitio
*: representa cualquier cantidad de caracteres
$: representa el final de la línea
Las instrucciones (entradas) en robots.txt siempre consisten en dos partes. En la primera parte, defines a qué robots (user-agents) se aplica la siguiente instrucción. La segunda parte contiene la instrucción (disallow o allow). “user-agent: Google-Bot” y la instrucción “disallow: /clients/” significan que el bot de Google no tiene permitido buscar en el directorio /clients/. Si no se desea que todo el sitio web sea rastreado por un bot de búsqueda, la entrada es: “user-agent: ” con la instrucción “disallow: /”. Puedes usar el signo de dólar “$” para bloquear páginas web que tengan una cierta extensión. La declaración “disallow: /.doc$” bloquea todas las URLs con una extensión .doc. Del mismo modo, puedes bloquear formatos de archivo específicos en robots.txt: “disallow: /*.jpg$”.
Por ejemplo, el archivo robots.txt para el sitio web https://www.example.com/ podría verse así:
¿Qué papel juega robots.txt en la optimización de motores de búsqueda?
Las instrucciones en un archivo robots.txt tienen una fuerte influencia en el SEO (Optimización de Motores de Búsqueda), ya que el archivo te permite controlar los robots de búsqueda. Sin embargo, si los agentes de usuario se restringen demasiado con instrucciones de disallow, esto podría tener un efecto negativo en el ranking de tu sitio web. También debes considerar que no clasificarás con las páginas web que hayas excluido con disallow en robots.txt.
Antes de guardar el archivo en el directorio raíz de tu sitio web, debes verificar la sintaxis. Incluso errores menores pueden llevar a que los bots de búsqueda ignoren las reglas de disallow y rastreen sitios web que no deberían ser indexados. Tales errores también pueden resultar en que las páginas ya no sean accesibles para los bots de búsqueda y que URLs completas no sean indexadas debido a disallow. Puedes verificar la corrección de tu robots.txt utilizando Google Search Console. Bajo “Estado Actual” y “Errores de Rastreo”, encontrarás todas las páginas bloqueadas por las instrucciones de disallow.
Al usar correctamente robots.txt, puedes asegurarte de que todas las partes importantes de tu sitio web sean rastreadas por los bots de búsqueda. En consecuencia, el contenido importante de tu página puede ser indexado por Google y otros motores de búsqueda.
4- El comando “crawl-delay” especifica un retraso de rastreo en segundos. Está pensado para evitar que los rastreadores sobrecarguen un servidor (es decir, que ralenticen tu web). Google ya no acepta este comando, pero otros buscadores como Bing y Yandex sí. Si quieres que el rastreador espere 10 segundos después de cada acción de rastreo, debe configurar en tu robots.txt:
User-agent: *
Crawl-delay: 10
A tener en cuenta:
Los rastreadores leen de arriba a abajo y coinciden con el primer grupo de comandos más específico. Por tanto, empieza tu archivo robots.txt con user agents específicos, y luego pasa al comodín más general (*) que coincide con todos los rastreadores.
Dejamos aquí un ejemplo complejo de un robots.txt:
En el ejemplo de arriba, el archivo le indica al bot de Google que no puede rastrear el directorio /clients. Luego, le indicamos a todos los motores de búsqueda que los directorios /archive y /support no deben ser accedidos. Por último, añadimos el sitemap de nuestro sitio web, donde básicamente en dicho archivo “sitemap.xml” le indicamos a los motores de búsqueda donde sí queremos que los mismos rastreen o indexen.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.
Docker, la innovadora herramienta que está cambiando el desarrollo de software. Facilita la gestión de aplicaciones, acelera los ciclos de desarrollo y asegura un rendimiento óptimo en cualquier entorno. ¡Indispensable para desarrolladores modernos!
Si eres parte del emocionante mundo de la tecnología de información o el desarrollo de software, es probable que hayas oído hablar de esta revolucionaria herramienta. En este artículo, te sumergirás en el fascinante universo de Docker, una plataforma de código abierto que está transformando la forma en que desarrollamos, enviamos y ejecutamos aplicaciones web. Prepárate para descubrir cómo Docker se ha convertido en un aliado esencial en el viaje del desarrollo de software moderno, simplificando la gestión de aplicaciones, acelerando los ciclos de desarrollo y asegurando que tus aplicaciones funcionen perfectamente en cualquier entorno. Acompáñanos en este viaje por el mundo de Docker y descubre por qué es una herramienta esencial en la caja de herramientas de desarrolladores y equipos de operaciones en todo el mundo.
Dicho esto, es posible que no comprendas completamente todo lo que abarca esta plataforma. Por lo tanto, explicaremos los elementos fundamentales para que puedas tener un mejor panorama de lo que es Docker.
Elementos clave de Docker
Contenedores: Este término es fundamental cuando empiezas a trabajar con Docker. Los contenedores son instancias aisladas de una aplicación y su entorno, empaquetadas juntas en una única unidad. Imagina que un contenedor es como una lonchera mágica para tu aplicación. En esta lonchera, tienes todo lo que necesitas para que tu aplicación funcione: la comida (el código de la aplicación) y los utensilios (bibliotecas, configuraciones, etc.). Todo está empaquetado en una sola caja. Ahora, cuando desees ejecutar tu aplicación en diferentes lugares, simplemente tomas la lonchera mágica contigo. Puedes abrirla y usarla en tu casa, en la oficina o en cualquier otro lugar. No importa dónde la uses, la lonchera siempre contiene todo lo necesario para que tu aplicación funcione correctamente.
Imágenes: Una imagen de contenedor es un archivo de solo lectura que contiene todo lo necesario para ejecutar una aplicación, incluyendo las bibliotecas, el código de la aplicación y las configuraciones. Las imágenes son la base de los contenedores y se utilizan para crear instancias de contenedores en tiempo de ejecución. Piensa en una imagen de contenedor como un modelo o plantilla de una lonchera mágica. Esta plantilla contiene la receta para crear una lonchera mágica, pero aún no es una lonchera real. En la plantilla se detallan todos los ingredientes y las instrucciones necesarias para preparar la lonchera mágica de tu aplicación. Esto incluye el tipo de comida (código de la aplicación), los utensilios (bibliotecas, configuraciones, etc.) y cómo deben organizarse.
Docker Hub: Docker Hub es un registro de imágenes de contenedor en línea donde los desarrolladores pueden encontrar, compartir y distribuir imágenes de contenedor. Puedes acceder a una amplia variedad de imágenes listas para usar en Docker Hub, lo que facilita el proceso de implementación de aplicaciones.
Docker Compose: Docker Compose es una herramienta que permite definir y ejecutar aplicaciones multipartes en contenedores. Permite gestionar fácilmente las dependencias entre los servicios y configurar los contenedores mediante un archivo de configuración YAML. En otras palabras, Docker Compose es como un organizador de fiestas que planifica y gestiona todos los detalles de un evento divertido. En lugar de organizar cada parte de la fiesta manualmente, el organizador de la fiesta se encarga de todo por ti.
¿Por qué usar Docker?
Docker se ha convertido en una tecnología ampliamente adoptada en el desarrollo de software moderno, ya que simplifica la gestión de aplicaciones, acelera el ciclo de desarrollo y facilita la implementación de aplicaciones en diferentes entornos. Permite a los equipos de desarrollo y operaciones trabajar de manera más eficiente y garantizar que las aplicaciones se ejecuten de manera coherente en diferentes entornos, desde el entorno de desarrollo hasta la producción.
Los contenedores de Docker son altamente portátiles, lo que significa que puedes ejecutar una aplicación en cualquier lugar donde Docker esté instalado, independientemente del sistema operativo o la infraestructura subyacente. Esto simplifica la implementación y evita problemas de compatibilidad. Cada contenedor es independiente de los demás y comparte el mismo kernel del sistema operativo anfitrión, lo que garantiza que los contenedores no interfieran entre sí. Esto mejora la seguridad y la confiabilidad de las aplicaciones. Además, los contenedores se inician y detienen en cuestión de segundos, lo que acelera el proceso de desarrollo y pruebas. Esto es especialmente útil en entornos DevOps y de integración continua.
En resumen, Docker es una tecnología versátil que agiliza el desarrollo, la implementación y la administración de aplicaciones al proporcionar un entorno aislado y altamente portátil. Esto lo convierte en una elección popular para desarrolladores, equipos de operaciones y organizaciones que buscan mejorar la eficiencia y la confiabilidad de sus aplicaciones.
En nuestras próximas entradas, explicaremos con mayor profundidad y mostraremos ejemplos prácticos el funcionamiento de Docker con el entorno de hosting, ya que SitiosHispanos.com ofrece planes de hosting Docker con stacks preinstalados para Python y Java.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
En una entrega anterior hablamos sobre los errores de la serie 400, ahora veremos lo importante de mencionar la también serie 500 y lo importante que puede llegar hacer el identificar este tipo de errores, además vamos a conocer sus posibles soluciones o formas de minimizar el riesgo para evitarlos.
(Foto: Giovanni Alfredo Garciliano Diaz – Wikimedia)
Error 500
En términos generales, los errores 500 ocurren del lado del servidor. Si usas WordPress y has leído la pantalla de la muerte o el pantallazo blanco de WP, pues es el ejemplo más típico de un error 500. Puede haber muchos factores que originen un error 500, lo más común es una sobrecarga en el servidor, incompatibilidad con el PHP instalado en el servidor, recursos de PHP, entre otros. Como cliente tienes la posibilidad de investigar un poco sobre el porqué está ocurriendo este problema, quizás se restablezca por sí solo el funcionamiento de la web o por el contrario, pidas apoyo a los técnicos de Soporte, para que hagan sus verificaciones correspondientes y descarten otros problemas más profundos.
El error de la serie 500 más popular, en gran parte este problema es porque el servidor no se encuentre disponible por diferentes motivos, especialmente la sobrecarga del mismo, por ejemplo cuando el servidor apache tienen muchas peticiones y se están consumiendo todos los workers del sistema. Asimismo, puede que se estén realizando mantenimiento al servidor y momentáneamente te salte un error 500. Ante esta situación, lo más aconsejable es consultar el estado del servidor donde se encuentra alojado el sitio web involucrado.
(Foto: Giovanni Alfredo Garciliano Diaz – Wikimedia)
Error 502 Bad Gateway
Otro error que no puede faltar en esta serie de 500 es este. Para entrar en contexto, si te aparece este error debes estar claro que tu dispositivo no es el origen del problema, este radica en el servidor del hosting al cual te intentas conectar. En casos muy raros, también suele aparecer cuando dos servidores no logran comunicarse de una manera efectiva. Si eres de usar un CDN entre tu web y el mundo, es muy probable ver este error sobre todo los usuarios con Cloudflare. Entre las causas que pueden dar origen a este error pueden ser:
El servidor caído, además de esta posibilidad, otra relacionada es que esté sobrecargado.
La comunicación entre el CDN y la página web.
Si eres de los que le gusta estar anónimo en Internet y sueles usar un servidor proxy o una VPN, esta conexión también puede generar este error.
Puede que algunas aplicaciones web estén generando este problema, debido alguna configuración o fallo de la misma aplicación, que esté generando un bucle. Esto se observa mucho en las páginas escritas en PHP y la configuración de ciertos atributos o valores en el servidor.
Limitación de alguna regional.
Como solución principal a este error es la paciencia, espere un tiempo prudente y vuelva intentar entrar a donde desee.
Verificar la configuración y estado de CDN si lo posee, al igual que el servidor proxy o VPN si lo tienen.
Intente entrar desde otro navegador web o desde otro dispositivo.
Lista de otros errores 500
501 Not Implemented 504 Gateway Timeout 505 HTTP Version Not Supported 507 Insufficient Storage 508Loop Detected 510 Not Extended 511Network Authentication Required
Esperamos que este artículo le enseñe a reconocer el tipo de error que aparece en su navegador en relación con su sitio o cualquier otro sitio web en internet.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
Los certificados SSL son esenciales para asegurar la transmisión de datos en internet, protegiendo la información sensible de usuarios y empresas. Sin embargo, es común encontrarse con diversos problemas relacionados con estos certificados, desde errores de configuración hasta vencimientos inesperados.
Un tema de las consultas más comunes que tenemos en soporte técnico, sobre los certificados SSL o ¿Por qué mi sitio web no tienen HTTPS? Más que problemas son formas de aprovechar las herramientas que siempre hemos tenido a nuestra disposición. Muchas de las consultas se solucionan con un par de clics y un poco de paciencia.
Ahora vamos con lo más usual, mi navegador me lanza una alerta de que mi sitio web es “No Seguro”. No se alarme. A simple vista puede haber muchas causas, pero también puede ser que haya expirado o hubo un cambio en los DNS que pudo estar ocasionando esto, también hay otras causas muy puntuales del porqué nos mostró este cartel y se debe a que nuestro sitio web pudo haber sido infectado con un malware o redirige hacia otro sitio que realmente es No Seguro.
Lo primero es siempre verificar en nuestro panel de control, ya sea cPanel o Plesk el estado de nuestro SSL, por ejemplo en cPanel este se ve en SSL/TLS Status del área de Seguridad. Para el caso de Plesk este lo localizamos en Certificados SSL/TLS.
Una vez que se comprueba de que nuestro dominio no tienen SSL, podemos intentar instalar un certificado en la opción que dice Run AutoSSL en el Panel de control para probar instalar uno nuevo. Para Plesk debemos ir a la sección Hosting y DNS, luego a Configuración de hosting donde habrá un apartado de Seguridad, y visualizaras el Certificado a instalar que para Plesk sería Lets Encrypt, una vez realizado esto le damos al botón de Aceptar y listo. Dentro de poco tendremos nuestro sitio web protegido con un nuevo certificado SSL.
Ahora esto a veces puede tardar, la causa más habitual es que se realizaron cambios en el DNS recientemente, y hasta que no propague por toda la red no actualizará correctamente el certificado. Otro motivo, muchos de los certificados son gratuitos y estos tienen una cola de solicitudes por servidor, suela pasar que dicha cola se sature y tarde un poco más de lo normal.
Para conocer un poco más en detalle el procedimiento para instalar un certificado puedes visitar nuestro Centro de Ayuda: Certificados SSL.
Cuando se puede contactar a Soporte técnico, luego de haber realizado este procedimiento con 24 horas de antigüedad. Puede que esté infiriendo un agente o una configuración inusual y requiera una comprobación más exhaustiva.
Esperamos que este artículo le haya ayudado a conocer un pocas más el tema de los certificados SSL, del protocolo HTTPS, su función y de como usted mismo puede solucionar algunos incidentes desde su panel de control.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
Si has decidido utilizar WordPress para tu sitio web, es crucial llevar a cabo una serie de configuraciones iniciales antes de comenzar a diseñar y añadir plugins. Aquí tienes una lista de verificación completa, además de información adicional sobre temas relacionados para asegurar que tu sitio esté optimizado desde el principio.
En primera instancia, lo primordial es informar a los motores de búsqueda que no indexen nuestro sitio. Para hacerlo, simplemente:
Accede a “Ajustes” > “Lectura”.
Marca la opción “Pedir a los motores de búsqueda que no indexen este sitio”.
Recuerda desactivar esta opción una vez hayas finalizado el diseño de tu web para asegurarte de que tu sitio sea visible para los motores de búsqueda.
Limpia el contenido predeterminado
Es crucial realizar una limpieza inicial del contenido preinstalado. Por ejemplo, en WordPress, suele haber una entrada estándar titulada “Hello World!”. Eliminar esta entrada es esencial, ya que si permanece pública, podríamos terminar compitiendo con otros sitios que no la han eliminado al desactivar la indexación de motores de búsqueda.
Se aconseja eliminar páginas que vengan de manera predeterminada. De igual forma, es importante eliminar plugin que no sean necesarios y que no los tengas que utilizar.
Ahora nos dirigimos a la sección de “Ajustes”. En esta área, específicamente en “Ajustes Generales”, podemos personalizar aspectos clave de nuestro sitio web, como el título, la descripción, el horario y el idioma.
Si tenemos la intención de mantener un blog con publicaciones, debemos dirigirnos a “Ajustes de Escritura”. Aquí, tenemos la opción de cambiar el formato de entrada predeterminado según nuestras preferencias.
Es importante tener en cuenta que, por defecto, la página de inicio en WordPress es la página de entradas. Sin embargo, si deseamos modificar esto, primero necesitamos crear nuestra propia página de inicio. Luego, en la sección de “Ajustes de Lectura”, podemos seleccionar una página estática como nuestra página de inicio personalizada. Además, aquí también podemos especificar qué página deseamos que sirva como la página de entradas del sitio.
Te recomiendo desactivar los comentarios. Puedes hacerlo fácilmente yendo a la sección de “Ajustes”, luego seleccionando “Comentarios” y desactivando la opción que permite enviar comentarios en nuevas entradas. Igualmente, esta opción queda a tu criterio si necesitas interactuar con tus usuarios.
En cuanto a la estructura de enlaces permanentes, es importante elegir una que sea amigable para el SEO. Te sugiero seleccionar la opción de “nombre de la entrada” en la sección de “Ajustes de Enlaces Permanentes”. Esta elección suele ser la más recomendada para una configuración básica y amigable con los motores de búsqueda. Sin embargo, si prefieres ordenar tus enlaces por categorías, puedes optar por una estructura personalizada.
Por último, pero no menos importante, no olvides configurar la página de privacidad de tu sitio. Esto se puede hacer fácilmente en la sección de “Ajustes de Privacidad”. Es fundamental seleccionar la página adecuada para garantizar que tu sitio cumpla con las políticas de privacidad y protección de datos.
Eliminar temas que no usemos
Una vez que hayamos tomado una decisión, en cuanto al tema que vamos a utilizar para nuestro sitio, procedemos a instalarlo y eliminamos cualquier tema preinstalado que no vayamos a utilizar. Esto nos ayudará a liberar espacio en el servidor y mantener una instalación ordenada y eficiente.
Recuerda que, si solo vamos a utilizar un tema, no tiene sentido ocupar espacio con otros temas que no necesitamos. Además, es recomendable instalar un tema hijo para realizar cualquier modificación personalizada sin afectar al tema principal.
Esperamos que esta guía te haya proporcionado la información necesaria para realizar una configuración inicial completa y comprender las diversas funciones de WordPress. Desde la configuración de la indexación de motores de búsqueda hasta la personalización de temas y ajustes de privacidad, hemos cubierto una amplia gama de aspectos importantes para asegurar que tu sitio esté optimizado y listo para su lanzamiento. Con estos conocimientos, podrás aprovechar al máximo tu experiencia con WordPress y crear un sitio web exitoso y funcional.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.
El CMS (sistema de gestión de contenidos) más prevalente en la actualidad es WordPress, liderando con un 43,2% de presencia en la totalidad de sitios web. Sin embargo, su extensa popularidad también lo convierte en un objetivo para diversos actores malintencionados que buscan explotar las vulnerabilidades de seguridad presentes en esta plataforma.
Esto no sugiere que WordPress carezca de un sistema de seguridad eficaz; más bien, las posibles vulnerabilidades pueden surgir debido a la falta de atención de los usuarios hacia la seguridad. Por ende, es recomendable adoptar medidas preventivas antes de que alguien intente comprometer la seguridad de tu sitio web.
La importancia de la seguridad de WordPress
Existe la posibilidad de perder datos cruciales, activos y credibilidad si tu sitio web es objeto de un ataque informático. Además, un incidente de este tipo podría comprometer la seguridad de los datos personales de tus clientes y la información de facturación.
A continuación, se presentan algunos de los tipos de vulnerabilidades de seguridad más frecuentes en WordPress, según la base de datos de vulnerabilidades de WPScan:
La falsificación de solicitudes en sitios cruzados (CSRF): obliga al usuario a realizar acciones no deseadas en una aplicación web confiable.
El ataque de denegación de servicio distribuido (DDoS): incapacita los servicios en línea llenándolos de conexiones no deseadas, lo que hace que un sitio sea inaccesible.
El bypass de autenticación: permite a los piratas informáticos acceder a los recursos de tu sitio web sin tener que verificar que es un usuario real.
La inyección SQL (SQLi): obliga al sistema a ejecutar consultas SQL maliciosas y manipula los datos de la base de datos.
El Cross-site scripting (XSS): inyecta código malicioso que convierte un sitio en un transportador de malware.
La inclusión de archivos locales (LFI): requiere que el sitio procese archivos maliciosos en el servidor.
Consejos para aumentar la seguridad de WordPress
Actualizar con frecuencia la versión de WordPress
WordPress regularmente publica actualizaciones de software destinadas a mejorar tanto el rendimiento como la seguridad del sistema. Estas actualizaciones desempeñan un papel crucial en la protección de tu sitio web contra posibles ataques cibernéticos.
Una de las formas más sencillas de fortalecer la seguridad de tu instalación de WordPress es mantenerla actualizada. Sin embargo, sorprendentemente, cerca del 50% de los sitios que utilizan WordPress aún operan con versiones antiguas, lo que aumenta su vulnerabilidad.
Para verificar si tienes la versión más reciente de WordPress, accede a tu panel de administración y dirígete a “Escritorio” => “Actualizaciones” en el menú de la izquierda. Si observas que tu versión no está actualizada, se recomienda encarecidamente que realices la actualización lo antes posible.
Es esencial estar atento a las fechas de lanzamiento de las futuras actualizaciones para asegurarse de que tu sitio web no esté utilizando una versión obsoleta de WordPress.
Además, se recomienda encarecidamente actualizar tanto los temas como los plugins instalados. Aquellos que no estén actualizados pueden generar interferencias con el software central recién actualizado de WordPress, ocasionando errores y representando una potencial amenaza para la seguridad del sitio. Mantener todos los componentes actualizados contribuye significativamente a la robustez y seguridad general de tu plataforma.
Para eliminar los temas y plugins obsoletos, sigue estos pasos:
1 – Debes acceder al panel de administración de WordPress y buscar la sección Escritorio => Actualizaciones. 2 – Desplázate hacia abajo hasta las secciones de Plugins y Temas y revisa la lista de los plugins que deben actualizarse. Ten en cuenta que se pueden actualizar todos de una vez. 3 – Pulsa en el botón «Actualizar plugins».
Utiliza credenciales de inicio de sesión seguras de Wp-admin
Un error común es emplear nombres de usuario fácilmente comprensibles, como “administrador”, “admin” o “test”, lo cual incrementa el riesgo de ataques de fuerza bruta. Además, los atacantes también se dirigen a sitios de WordPress que cuentan con contraseñas débiles.
Por ende, se recomienda encarecidamente que tanto el nombre de usuario como la contraseña sean más complejos y difíciles de prever.
Si necesitas crear una nueva cuenta de administrador en WordPress, sigue estos pasos:
Ve a Usuarios en el panel de control de WordPress y selecciona Añadir nuevo usuario.
Para crear un nuevo usuario con el rol de Administrador, sigue estos pasos:
Inicia sesión en tu panel de administración de WordPress.
Dirígete a “Usuarios” en el menú de la izquierda y selecciona “Añadir nuevo”.
Completa los campos requeridos, como nombre de usuario y dirección de correo electrónico.
Asigna el rol de “Administrador” en la sección “Rol del usuario”.
Genera una contraseña robusta que incluya letras mayúsculas y minúsculas, números y símbolos. Se recomienda una longitud superior a 12 caracteres.
Pulsa el botón “Añadir nuevo usuario” para completar el proceso.
Para crear contraseñas seguras, puedes utilizar herramientas en línea como LastPass y 1Password. Estas plataformas pueden generar y almacenar contraseñas de manera segura. Además, facilitan la gestión de contraseñas, eliminando la necesidad de memorizarlas y contribuyendo así a mantener la seguridad de tus credenciales.
Configura una lista de bloqueo y seguridad para la página de administración
La activación del bloqueo de la URL ayuda a proteger tu página de acceso contra direcciones IP no autorizadas y ataques de fuerza bruta. Para lograrlo, se requiere la implementación de un servicio de firewall de aplicaciones web (WAF) como Cloudflare o Sucuri.
En el caso de Cloudflare, es posible configurar una regla de bloqueo de zona especificando las URLs que deseas bloquear y el rango de IPs autorizadas para acceder a ellas. Esto garantiza que las direcciones fuera de este rango no tengan acceso.
Por otro lado, Sucuri ofrece la función de lista negra de rutas de URL. Inicialmente, se añade la URL de la página de inicio de sesión a la lista negra para que no sea visible. Luego, se crea una lista de direcciones IP autorizadas que pueden acceder de manera segura.
Adicionalmente, puedes limitar el acceso a la página configurando el archivo .htaccess en el directorio raíz de tu sitio web. Para ello, sigue estos pasos:
Accede al directorio raíz de tu sitio web.
Abre el archivo .htaccess.
Agrega la siguiente regla para limitar el acceso a wp-login.php a una sola IP:
<Files wp-login.php>
order deny,allow
deny from all
allow from tu_direccion_IP
</Files>
De esta manera, esta regla restringirá el acceso a la página de inicio de sesión (wp-login.php) a la dirección IP especificada, impidiendo que los atacantes accedan desde otras ubicaciones.
Esta regla debe agregarse después de «#End WordPress», para que pueda funcionar correctamente. Incluso si no tienes una IP estática, esta regla se aplica porque puedes restringir los inicios de sesión al rango normal de tu ISP.
Esta regla también se puede usar para restringir otras URLs autenticadas, como /wp-admin.
Los temas de WordPress denominados “nulled” son reproducciones no autorizadas de los temas originales premium de WordPress. A menudo, se comercializan a precios más bajos para atraer a los usuarios, pero suelen estar plagados de problemas de seguridad.
Estos temas, proporcionados por vendedores de versiones nulled, son frecuentemente elaborados por piratas informáticos que modifican el tema premium original e insertan código malicioso, como malware y enlaces de spam. Además, pueden contener vulnerabilidades que facilitan otros tipos de ataques perjudiciales para tu sitio de WordPress.
Dado que los temas nulled se distribuyen de manera ilegal, los desarrolladores no ofrecen soporte a los usuarios. En caso de problemas, deberás solucionarlos y asegurar tu sitio de WordPress por tu cuenta.
Para evitar estos riesgos, es aconsejable seleccionar temas de WordPress únicamente desde su directorio oficial o de desarrolladores de confianza, garantizando así la integridad y seguridad de tu sitio.
Configurar el certificado de seguridad SSL
El protocolo de transferencia de datos Secure Sockets Layer (SSL) cifra la información compartida entre los usuarios y los sitios web, dificultando significativamente a los atacantes el robo de datos sensibles.
Además de fortalecer la seguridad, los certificados SSL contribuyen a mejorar la optimización para motores de búsqueda (SEO), lo que se traduce en un aumento de visitantes y tráfico en el sitio web. Los sitios web que cuentan con un certificado de seguridad mostrarán “HTTPS” en lugar de “HTTP”, lo que facilita su identificación.
Después de instalar un certificado SSL en tu cuenta de hosting, es crucial activarlo en tu sitio web de WordPress. Plugins como Really Simple SSL o SSL Insecure Content Fixer simplifican este proceso, manejando los aspectos técnicos y la activación en pocos clics. La versión premium de Really Simple SSL incluso ofrece la opción de habilitar encabezados HSTS (Seguridad de transporte HTTP rigurosa), que obligan a utilizar HTTPS al acceder al sitio.
La última acción es cambiar la URL de tu sitio web de HTTP a HTTPS. Para ello, ve a “Ajustes” => “Generales” y modifica el campo “Dirección del sitio”. Este paso finaliza la transición hacia una conexión segura y encriptada en tu sitio de WordPress.
Eliminar los temas y plugins de WordPress que no se utilicen
Es cierto que mantener plugins y temas no utilizados, especialmente si no se han actualizado, puede ser perjudicial para la seguridad de tu sitio web. Los plugins y temas desactualizados aumentan el riesgo de ciberataques, ya que los piratas informáticos pueden aprovechar posibles vulnerabilidades para acceder a tu sitio.
Para desinstalar un plugin de WordPress que no se está utilizando, sigue estos pasos:
Ingresa a la sección “Plugins” y selecciona “Plugins instalados”.
Verás una lista de todos los plugins instalados. Bajo el nombre del plugin que deseas eliminar, haz clic en “Borrar”.
Este procedimiento contribuirá a mantener la seguridad de tu sitio, eliminando software innecesario y reduciendo las posibles superficies de ataque. Además, se recomienda revisar y eliminar regularmente cualquier plugin o tema que no estés utilizando para garantizar la seguridad continua de tu sitio web.
Es importante destacar que el botón de eliminar estará disponible recién después de desactivar un plugin en WordPress.
En cuanto a la eliminación de un tema no utilizado, sigue estos pasos:
Accede a “Apariencia” => “Temas” desde el panel de administración de WordPress.
Selecciona el tema que deseas eliminar.
Aparecerá una ventana emergente con información sobre el tema. En la esquina inferior derecha, haz clic en el botón “Eliminar”.
Al seguir estos pasos, podrás desinstalar el tema seleccionado y así mantener tu sitio web más limpio y seguro. La eliminación de temas y plugins innecesarios reduce las posibles amenazas de seguridad y contribuye a un entorno más eficiente y protegido.
Cómo usar plugins de seguridad de WordPress
El uso de plugins representa otra estrategia efectiva para mejorar la seguridad de WordPress. Es un método sencillo y conveniente para proteger tu sitio web. No obstante, es crucial evitar la instalación de todos los plugins de seguridad al mismo tiempo, ya que esto puede ralentizar el rendimiento de tu sitio.
Para comenzar, es recomendable evaluar tus necesidades específicas y elegir plugins que se adapten a ellas de manera efectiva. Algunos de los plugins de seguridad comunes incluyen soluciones para firewall, escaneo de malware, protección contra ataques de fuerza bruta y monitoreo de actividad.
Recuerda que la calidad es más importante que la cantidad al seleccionar plugins. Opta por soluciones confiables y bien revisadas que cumplan con tus requerimientos de seguridad sin comprometer el rendimiento de tu sitio web. Además, mantén tus plugins actualizados para asegurar que estén equipados con las últimas funciones de seguridad y correcciones de vulnerabilidades.
1- Configurar la autenticación de dos factores para Wp-admin
Puedes activar la autenticación de dos factores (2FA) para facilitar el proceso de iniciar sesión en WordPress. Este método de autenticación requiere la introducción de un código único para completar el proceso, agregando una segunda capa de seguridad a la página de inicio de sesión de WordPress.
Siguiendo nuestra guía explicada aquípodrás activar 2FA en tu WordPress.
2 – Realizar copias de seguridad regulares de WordPress
Un componente fundamental en la gestión de riesgos es realizar periódicamente copias de seguridad del sitio, ya que esto facilita la recuperación después de eventos adversos, como ciberataques o daños físicos al centro de datos. Es esencial abarcar todos los archivos relacionados con la instalación de WordPress, englobando tanto la base de datos como los archivos fundamentales, dentro del archivo de copia de seguridad.
Para realizar esta tarea en WordPress es necesario contar con algún plugin que se encargue de esta función, como UpdraftPlus.
3- Limitar la cantidad de intentos de inicio de sesión
WordPress permite a los usuarios realizar un número ilimitado de intentos de inicio de sesión en tu sitio web. No obstante, esta característica crea una oportunidad propicia para que los piratas informáticos intenten acceder mediante diversas combinaciones de contraseñas hasta dar con la correcta.
Por consiguiente, resulta fundamental restringir los intentos de inicio de sesión fallidos para prevenir este tipo de ataques en la web. Además, limitar la cantidad de intentos no exitosos te permite supervisar cualquier actividad sospechosa que pueda ocurrir en tu sitio.
La mayoría de los usuarios normalmente necesitan solo uno o unos pocos intentos fallidos, por lo que debes permanecer alerta ante cualquier dirección IP sospechosa que alcance el límite de intentos.
Una estrategia eficaz para reducir el número de intentos de inicio de sesión y fortalecer la seguridad en WordPress es emplear un plugin. Existen numerosas opciones disponibles, tales como:
Limit Login Attempts Reloaded: limita la cantidad de intentos fallidos para direcciones IP específicas, agrega usuarios a la lista blanca o los bloquea por completo, e informa a los usuarios sobre el tiempo de bloqueo restante.
Loginizer: proporciona características de seguridad de inicio de sesión como la autenticación de dos factores, reCAPTCHA y preguntas de inicio de sesión con desafíos.
Limit Attempts de BestWebSoft: bloquea automáticamente las direcciones IP que superan el límite de intentos de inicio de sesión y las agrega a una lista de rechazos.
Un riesgo de implementar esta medida de seguridad es que un usuario fiable sea bloqueado en la administración de WordPress. Sin embargo, no debes preocuparte, ya que existen numerosas formas de recuperar cuentas de WordPress bloqueadas.
4 – Convertir la URL de la página de inicio de sesión de WordPress en una nueva
Considera modificar la URL de acceso para mejorar la defensa contra ataques de fuerza bruta.
La URL predeterminada para iniciar sesión en todos los sitios web de WordPress es misitioweb.com/wp-admin. Sin embargo, el uso de esta dirección facilita el acceso no autorizado de hackers a tu página.
La utilización de plugins como WPS Hide Login y Change WP Admin Login te brinda la posibilidad de personalizar esta URL.
Si optas por el plugin WPS Hide Login, sigue estos pasos para cambiar la URL de inicio de sesión de WordPress:
Accede a “Ajustes” > “WPS Hide Login” en tu panel de control.
Completa el campo de URL de acceso con tu elección personalizada.
Para finalizar el proceso, haz clic en el botón “Guardar cambios”.
5 – Cerrar automáticamente la sesión de los usuarios inactivos
Numerosos usuarios tienden a dejar sus sesiones sin cerrar, lo que puede permitir que otras personas con el mismo dispositivo accedan a sus cuentas de usuario y utilicen información confidencial. Esta práctica es especialmente riesgosa para aquellos que emplean computadoras públicas en bibliotecas o cibercafés.
Por este motivo, es esencial configurar tu sitio web de WordPress para que los usuarios inactivos se desconecten automáticamente. Este enfoque es comúnmente adoptado por sitios web bancarios para prevenir accesos no autorizados y salvaguardar la información de sus clientes.
Una manera conveniente de cerrar automáticamente las cuentas de usuarios inactivos es mediante el uso de un plugin de seguridad de WordPress, como Inactive Logout. Este plugin tiene la capacidad de cerrar sesiones de usuarios inactivos y enviarles un mensaje personalizado para notificarles que su sesión está a punto de finalizar.
6 – Controlar las acciones de los usuarios
Para detectar cualquier actividad no autorizada o maliciosa que pueda comprometer la seguridad de tu sitio web, es crucial realizar un seguimiento de las acciones en tu área de administración.
Este enfoque se vuelve especialmente recomendable para aquellos que gestionan varios usuarios o autores que acceden al sitio web, ya que los usuarios podrían realizar ajustes no deseados, como cambiar temas o configurar plugins, que podrían afectar la integridad del sitio.
Al monitorear activamente estas actividades, podrás identificar responsables de cambios no autorizados y detectar si alguna persona no autorizada ha ingresado a tu sitio web de WordPress.
Una forma sencilla de llevar a cabo este monitoreo es mediante el uso de plugins específicos para WordPress, tales como:
WP Activity Log: Realiza un seguimiento de cambios en diversos aspectos del sitio web, incluyendo publicaciones, páginas, temas y plugins. También registra archivos que se añaden, eliminan o modifican.
Activity Log: Permite supervisar diversas actividades en el panel de administración de WordPress y establecer reglas para notificaciones por correo electrónico.
Simple History: Ofrece soporte para varios plugins de terceros como Jetpack, WP Crontrol y Beaver Builder, y registra toda la actividad relacionada con ellos.
7 – Examinar tu sitio en busca de malwares
Es esencial realizar exploraciones periódicas en tu sitio web, ya que los atacantes desarrollan constantemente nuevos métodos de ataque.
Afortunadamente, existe una amplia gama de plugins diseñados para escanear malware y fortalecer la seguridad en WordPress.
Nuestros expertos recomiendan la instalación y uso de los siguientes plugins de seguridad:
Wordfence: Este popular plugin de seguridad para WordPress proporciona actualizaciones en tiempo real de firmas de malware y alertas notificativas, informándote si tu sitio ha sido bloqueado por otra página debido a actividades sospechosas.
BulletProof Security: Ofrece herramientas de copia de seguridad y restauración de la base de datos, una función de cierre de sesión inactiva, y carpetas de plugins ocultas que refuerzan la protección de tu sitio web de WordPress.
Sucuri Security: Considerado uno de los mejores plugins de seguridad disponibles, Sucuri Security ofrece diversos certificados SSL, escaneos remotos de malware y funciones de acción de seguridad post-hack.
Conclusiones
La inyección de malware y los ataques de denegación de servicio distribuido (DDoS) representan solo algunas de las diversas manifestaciones que pueden adoptar los ciberataques. Dada la amplia adopción del sistema de gestión de contenidos (CMS), los hackers suelen dirigir sus ataques con frecuencia hacia los sitios web de WordPress.
En consecuencia, es imperativo que los propietarios de sitios web estén conscientes de cómo salvaguardar sus páginas contra estas amenazas.
Si te ha gustado este artículo, suscríbete a nuestro canal de YouTube para ver videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
En ocasiones anteriores, hemos hablado de los registros SPF oSender Policy Framework, ese mecanismo de autenticación para que nuestros correos electrónicos no sean blanco de spoofing y phishing, así como la forma de evitar que estos caigan en el correo no deseado o correo basura. En la siguiente nota conocerás otros problemas que puede surgir a raíz del registro de SPF, como el error de las múltiples búsquedas DNS.
Tener el registro SPF válido, siempre será una buena practica para mantener una capa de seguridad en el correo electrónico de nuestro sitio web. A medida que avanzamos con este tema, se suele editar el registro SPF para darle cierta prioridad a otros servicios de correo más grandes como los de Google Workspace, Gmail, Hotmail o Outlook, entre otros.
A continuación, presentamos un ejemplo visual y común de cómo es el registro SPF de Google Workspace::
v=spf1 include:_spf.google.com ~all
El registro SPF trae ciertas reglas, que muchos webmasters o administradores de paginas web, las pasan desapercibidas. Añadir un nuevo fragmento al registro SPF, puede conllevar a generar múltiples búsquedas de DNS y generar un error permanente del registro SPF. Uno de los limites de búsquedas de DNS es de 10 consultas, sobrepasar esta regla podría provocar un fallo en el DMARC, haciendo que tu correo termine en la carpeta de correo no deseado del destinatario.
Error mayor a 10 consultas.
En el ejemplo anterior, utilizamos una herramienta online mencionada en nuestro artículo, ¿Cómo evitar que tu correo sea clasificado de spam?. La cual nos ha funcionado para determinar si nuestro hosting a caído en una Lista Negra y no referimos a MX Toolbox. Esta vez usaremos la opción de “SuperTool” con la selección de “SPF Record Lookup”. Donde nos muestra en este caso un problema con 11 consultas. Como no nos muestra más detalles en la versión libre, vamos hacer uso de otra utiliza online que si nos brindará un poco más de información y esta nos los va a dar EasyDmarc con la herramienta SPF Record Checker.
Una vez escaneado nuestro sitios web, podremos ver indicio del error:
Donde nos confirma que hemos excedido el limites de consultas DNS. Si seguimos leyendo el reporte, nos brindara un árbol detallado de todas las consultas que se hacen.
Una peculiaridad que podemos observar que detrás del fragmento del SPF de Google, se pueden visualizar otro más:
Esto quiere decir que, solo el fragmento de SPF de Google usa 4 consultas. Ahora bien, vamos a comentar como reducir un poco esta lista de consultas y no podamos exceder el limite.
Un registro SPF básico, es así:
v=spf1 +mx +a ip4:192.168.0.1 include: -all
La primera recomendación para los problemas de consultas de DNS es reducir los includes, que no sean necesario o sean redundante.
Otra aclaración que pueden considerar, los métodos ip4 y/o ip6 no entran en las consultas.
Un ejemplo de ellos seria sustituir el _spf.google.com por:
Esto nos reduciría tres consultas. Hay otro caso es eliminar el método +a, si este esta definido en correctamente en la zona DNS de tu hosting, ya que es redundante.
Esperamos que este artículo le haya ayudado a cómo configurar, editar y verificar correctamente el registros SPF para evitar problemas de múltiples búsquedas de DNS o SPF Permerror.
Si te ha gustado este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
Es indiscutible la importancia de resguardarse contra el spam, un problema persistente que, aunque ha experimentado una notable disminución en años recientes, continúa siendo una preocupación. Para salvaguardar los formularios de comentarios, registro y acceso en WordPress, es esencial incorporar CAPTCHA mediante plugins que ofrezcan medidas de seguridad adecuadas.
En este manual, se detallará cómo integrar CAPTCHA en todos los formularios de WordPress con el fin de combatir el correo no deseado en tu página web.
Es común que los sitios web en WordPress en producción reciban en algún momento mensajes de spam que contienen enlaces hacia páginas de reputación cuestionable y contenido irrelevante para los objetivos de la página.
Si bien contar con un cortafuegos robusto puede actuar como primera línea de defensa ante bots maliciosos, el uso de CAPTCHA representa una barrera adicional que obstaculiza los intentos de los spammers.
Una de las vulnerabilidades que permite al spam alcanzar sus objetivos radica en la falta de protección al crear formularios en WordPress, ya sea para comentarios, registros, entre otros. Esta carencia no solo puede perjudicar el SEO, sino también la reputación y presencia online del sitio.
Por consiguiente, se abordará el procedimiento para implementar reCAPTCHA mediante un plugin para WordPress, lo que permitirá proteger de manera sencilla y eficaz los principales formularios de tu sitio web.
¿Qué es Google reCAPTCHA?
El sistema reCAPTCHA de Google representa una versión mejorada del CAPTCHA.
¿Qué implica el CAPTCHA, entonces? Se trata de una medida de seguridad conocida como autenticación mediante preguntas y respuestas.
El CAPTCHA requiere que superes una sencilla prueba para demostrar que eres un ser humano y no una computadora o un robot, con el fin de proteger tus formularios del spam y la suplantación de contraseñas.
La prueba más común consiste en mostrar una imagen con una serie de letras y números distorsionados que debes ingresar correctamente.
Google ofrece dos versiones principales de CAPTCHA.
reCAPTCHA v2
Es un componente visual que requiere que marques una casilla de verificación para confirmar que no eres un robot. Aunque, en ocasiones, incluso después de completar esta validación inicial, podría solicitar verificaciones adicionales mostrando imágenes que debes seleccionar según las indicaciones dadas.
reCAPTCHA v3 (invisible)
En este contexto, ya no es necesario activar un checkbox, ya que Google reCAPTCHA evalúa el comportamiento del usuario durante su navegación en línea para discernir su naturaleza humana.
ReCAPTCHA v3 elimina la necesidad de que el usuario seleccione imágenes o ingrese texto. En cambio, el sistema analiza cómo interactúa el usuario con el sitio web para determinar su condición humana.
Por ejemplo, comportamientos como movimientos erráticos, clics constantes en botones o cualquier otra acción sospechosa pueden llevar al sistema a clasificar al usuario como un robot.
A lo largo del tiempo, el sistema construye un perfil del usuario basado en su historial de actividad. Esta información es utilizada para generar una puntuación que determinará si el usuario es considerado humano o robot. Dependiendo de esta evaluación, se facilitará el acceso al contenido o se requerirán pruebas adicionales para verificar la identidad del usuario.
Las diferencias principales entre reCAPTCHA v2 y v3 radican en el método utilizado para determinar si un usuario es un robot. Mientras que la versión v3 se centra en el análisis del comportamiento del usuario en el sitio web, la versión v2 ofrece la opción de presentar imágenes con caracteres distorsionados para su verificación.
¿Son necesarias las medidas de CAPTCHA en WordPress?
Es evidente que la implementación de CAPTCHA o reCAPTCHA, e incluso la versión más reciente, CAPTCHA Invisible V3, es crucial. ¿Por qué? Simplemente porque los spammers emplean bots para llevar a cabo actividades de SEO fuera de la página, vinculando sus sitios web con el tuyo.
Es cierto que un individuo podría realizar estas acciones de manera directa y manual, pero llevaría más tiempo y sería un proceso más tedioso, con un alcance limitado.
La introducción de medidas de seguridad en los formularios justo antes de su envío asegura que dicho envío sea auténtico y realizado por un humano, en lugar de un script o un robot.
¿Cómo se pueden obtener las claves de reCAPTCHA?
Para integrar CAPTCHA en WordPress, es necesario registrar el servicio reCAPTCHA de Google en tu sitio web.
Si dispones de una cuenta de Google, puedes acceder al sitio web oficial de Google reCAPTCHA. En la parte superior del sitio, encontrarás un enlace que te dirigirá a la Consola de Administración.
Si ya tienes un sitio web que funciona con reCAPTCHA, puedes agregar sitios adicionales al modelo gratuito usando el ícono «+» dentro de las limitaciones de sitios que permite este servicio en la Consola de Administración.
Si no tienes sitios, verás la siguiente pantalla directamente:
Al registrar un dominio en Google reCAPTCHA, es importante considerar los siguientes campos:
Etiqueta: asigna un nombre para identificar el dominio; incluir el nombre del dominio es una sugerencia útil. Esto permite gestionar múltiples dominios desde la misma consola, facilitando la asociación de cada clave con su respectiva instalación.
Tipo de reCAPTCHA: se recomienda seleccionar la versión v3, compatible con plugins como Contact Form 7 (versiones posteriores a la 5.1) y Elementor, entre otros.
Dominio: indica el dominio en el que se implementará el reCAPTCHA. Puedes especificar un subdominio junto con el dominio principal, por ejemplo, si posees una tienda online con el subdominio “tienda” (tienda.tu-dominio.com).
Una vez que hayas completado los campos necesarios, procede a hacer clic en “Enviar”. Si toda la información es correcta, serás redirigido a una pantalla donde encontrarás una opción desplegable que proporciona claves de reCAPTCHA públicas y privadas para el dominio especificado.
Copia estas claves y luego guárdalas en un lugar seguro.
Configurar reCAPTCHA de Google en WordPress
Para incorporar un CAPTCHA en WordPress, puedes optar por uno de los numerosos plugins disponibles en el directorio oficial de plugins de WordPress.
En esta guía, he seleccionado el plugin reCAPTCHA by BestWebSoft para ilustrar el proceso de registro.
Este plugin integra reCAPTCHA, el sistema de verificación de Google diseñado para combatir el spam y los ataques de bots, añadiendo una capa extra de seguridad a tu sitio web WordPress.
Algunas de las características destacadas de este plugin son:
Fácil instalación y configuración, sin necesidad de conocimientos técnicos o edición de código.
Compatible con varias versiones de reCAPTCHA, incluyendo las versiones 2 y 3.
Permite personalizar la apariencia del formulario de verificación.
Funciona con diversos formularios y plugins populares de WordPress.
Registra intentos de verificación para detectar posibles ataques de bots.
Cumple con las normativas del RGPD (Reglamento General de Protección de Datos).
Permite establecer restricciones de acceso basadas en dirección IP, país y otros factores.
Para instalar este plugin, busca “reCAPTCHA” en la sección de Plugins > Añadir nuevo en el panel de administración de WordPress y selecciona el plugin “reCAPTCHA by BestWebSoft”. Una vez instalado y activado, encontrarás una nueva opción en el menú llamada “reCAPTCHA”. Desde allí, en la sección de ajustes, podrás configurar el servicio para que se active en tu sitio web.
Al final de la primera pestaña de ajustes, encontrarás la opción para deshabilitar la presentación de reCAPTCHA para ciertos perfiles de usuario, como el administrador. Esto evita que los usuarios internos tengan que validar frecuentemente.
Una vez que hayas configurado todos los aspectos del plugin y guardado los cambios, verifica que todos los formularios donde lo hayas activado lo muestren y funcionen correctamente.
Conclusión
La adopción de Google reCAPTCHA v3 para asegurar los formularios con CAPTCHA en WordPress se posiciona como una medida esencial en la lucha contra el spam y las actividades maliciosas. Esta herramienta de seguridad avanzada no solo resguarda de manera efectiva tu sitio web, sino que también optimiza la experiencia del usuario al eliminar la necesidad de realizar verificaciones manuales.
Al implementar Google reCAPTCHA v3, se garantiza la integridad y fiabilidad de los formularios, proporcionando a los visitantes una interacción segura y sin inconvenientes.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.
Así como el cPanel tienen el editor de zonas DNS, Plesk no se queda atrás a la hora de poseer una opción para editar, agregar o eliminar los registros DNS de nuestro sitio web.
El primer paso es ingresar a nuestra cuenta de Plesk.
Dentro de la sección “Sitios web y dominios” ubicamos la pestaña de “Hosting y DNS”. Donde podremos configurar nuestros DNS.
En la sección de Hosting y DNS, podremos visualizar la opción llamada DNS que tiene Plesk. En la misma podremos agregar, eliminar, editar los registros DNS de nuestro sitio web.
Primeramente, se observa una lista con los registros que tenemos de nuestro sitios web, los tipos y los valores determinados.
Haciendo clic en el botón “Añadir registro”, podrás agregar un nuevo registro, donde defines el tipo, nombre del dominio, TTL y la IP o valor del mismo. Haciendo clic en ACEPTAR, guardaras todos los datos suministrado. Una vez hecho esto, los cambios empezaran a propagarse por la red.
Conociendo como agregar los registros, también los podrás editar. De igual forma, puedes especificar otros registros de recurso que afecten la forma en la que se accede a los servicios de su sitio web a través de Internet.
Para conocer más en detalle sobre los registros DNS, visite nuestro artículo:
Esperamos que este artículo le haya ayudado a aprender cómo configurar, agregar o eliminar, los registros DNS desde el panel de control de Plesk.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.