Saltar al contenido
Closer Marketing

16 pasos para garantizar y proteger su ubicación


Cuando se trata de seguridad, no existe un género de seguridad específico de WordPress. Todos y cada uno de los inconvenientes de seguridad ocurren con cualquier página web o app.

Sin embargo, los problemas de seguridad de WordPress son una gran preocupación, ya que alimenta aproximadamente el 40% de la página web y es de código abierto. Si encuentra una puerta de inseguridad en el núcleo de WordPress o en los complementos, otros websites que lo usan se vuelven vulnerables, puesto que todos emplean exactamente el mismo código.

Por otro lado, hay una cantidad decente de complementos que puede utilizar para aumentar la seguridad de su sitio web.

Esta columna le indica cómo resguardar su lugar de WordPress contra diversos tipos de inseguridades, aunque el alcance de este artículo es más amplio y se aplica a toda clase de apps web.

Protección contra los orificios de seguridad de WordPress

Las clases más habituales de inseguridades son:

  1. Puertas traseras.
  2. Trucos farmacéuticos.
  3. Intentos de comienzo de sesión por fuerza salvaje.
  4. Redirecciones perjudiciales.
  5. Secuencias de comandos entre sitios (XSS).
  6. Denegación de servicio (DDoS).

publicidad

Lee abajo

Estos son las clases de inseguridades más comunes, pero eso no quiere decir que se limiten solo a estos. Por norma general, en el momento en que piensa en seguridad, debe meditar en concepto de 360 ​​grados.

No hay formas limitadas de piratear un portal de internet. Los atacantes tienen la posibilidad de utilizar muchas técnicas para entrar a su portal web.

Por poner un ejemplo, pueden hurtar su PC y poder ingresar físico a su PC. Asimismo puede utilizar técnicas de vigilancia para poder ver sus claves de acceso en el momento en que comience sesión en su página web desde una red pública.

Observemos de qué forma podemos fortalecer nuestras instalaciones de WordPress para hacer la vida un tanto mucho más bien difícil a los atacantes.

Prosiga leyendo para conseguir mucho más información sobre todas estas 16 formas de mejorar la seguridad de su página web de WordPress:

  1. Utilice HTTPS.
  2. Utilice siempre contraseñas seguras.
  3. Utilice el gestor de claves de acceso para almacenar sus claves de acceso.
  4. Habilite el captcha en los formularios de registro.
  5. Evite los intentos de inicio de sesión por fuerza bárbara.
  6. Utilice la autenticación de 2 causantes.
  7. Sostenga los complementos actualizados.
  8. Entablar encabezados HTTP de seguridad.
  9. Constituya los privilegios del archivo correctos para los ficheros de WordPress.
  10. Desactive la edición de ficheros de WordPress.
  11. Desactive todas y cada una de las funciones innecesarias.
  12. Ocultar la versión de WordPress.
  13. Instale un cortafuegos de WordPress.
  14. Mantenga backups.
  15. Utilice SFTP.
  16. Supervise la actividad del usuario.

1. Proteja su cibersitio con HTTPS

No es una coincidencia que primero aseguremos el sitio con HTTPS.

publicidad

Lee abajo

Todo cuanto haces fluye por medio de la red y los cables. HTTP intercambia datos como texto sin formato entre el navegador y el servidor. En consecuencia, cualquier persona que tenga acceso a la red entre el servidor y el navegador puede ver sus datos sin codificar.

Si no protege su conexión, existe el peligro de que los atacantes puedan descubrir información confidencial. Sus datos están encriptados con HTTPS y los atacantes no pueden leer los datos transmitidos incluso si tienen acceso a su red.

Por lo tanto, el paso más esencial para resguardar su sitio web es habilitar HTTPS. Si aún no cambió a HTTPS, puede utilizar esta guía para cambiar su WordPress a HTTPS.

Herramientas y complementos de WordPress que puede emplear para migrar HTTP a HTTPS

  1. Sustituir mejor búsqueda.
  2. Búsqueda de banco de información y remplazo de secuencia de comandos.

2. Utilice siempre claves de acceso seguras

La forma más frecuente en que los piratas informáticos acceden a los sitios web es mediante contraseñas enclenques o guardadas. Estos te hacen vulnerable a los asaltos de fuerza bárbara.

Aumente su seguridad utilizando claves de acceso más seguras que algún otro método que se enumera a continuación.

Utilice siempre y en todo momento claves de acceso seguras y compruébelas regularmente para poder ver si se han cumplido.

Complementos de WordPress para prosperar la seguridad de las contraseñas:

  1. No deje que se mantenga la contraseña.
  2. Descargue el Administrador de políticas de claves de acceso.
  3. Bcrypt de contraseña.

3. Utilice el gestor de contraseñas para guardar sus contraseñas

Si empieza sesión en una red pública mientras está en el trabajo, no puede estar seguro de quién está mirando lo que redacta en su PC portátil o grabando sus contraseñas.

Para solucionar este inconveniente, use el administrador de contraseñas para entrar de manera fácil a sus contraseñas y guárdelas en un lugar seguro.

Incluso si se ingresa a su PC, no van a poder obtener sus claves de acceso. Los gestores de claves de acceso se basan en el navegador y no son complementos de WordPress.

Complementos del navegador de Password Manager:

  1. Ultimo pase.
  2. 1 contraseña.
  3. Paso Norte.

publicidad

Lee abajo

4. Agregue CAPTCHA al formulario de comienzo de sesión y registro

Si ha protegido su sitio web con HTTPS y ha utilizado claves de acceso seguras, le ha hecho la vida bastante difícil a los piratas informáticos.

Sin embargo, puede hacerlo aún mucho más difícil añadiendo CAPTCHA a los formularios de inicio de sesión.

Los captchas son una excelente forma de proteger sus formularios de registro de los ataques de fuerza salvaje.

Complementos para añadir captcha al inicio de sesión de WordPress:

  1. Comenzar sesión No Captcha reCAPTCHA.
  2. Seguridad de comienzo de sesión reCAPTCHA.

5. Protéjase contra los intentos de comienzo de sesión por fuerza bárbara

Login CAPTCHA te protege de los intentos de fuerza salvaje hasta un punto, pero no totalmente. Cuando se resuelven los tokens de captcha, suelen ser válidos durante unos minutos.

publicidad

Lee abajo

Por servirnos de un ejemplo, Google+ reCaptcha es válido por 2 minutos. Los atacantes pueden usar estos dos minutos para realizar intentos de comienzo de sesión de fuerza bruta en su formulario de inicio de sesión a lo largo de este tiempo.

Para solucionar este problema, debe denegar los intentos fallidos de inicio de sesión por dirección IP.

Complementos de WordPress para impedir asaltos de fuerza bruta:

  1. WP limita los intentos de comienzo de sesión.
  2. Limite el número de intentos de inicio de sesión recargados.

6. Configure la autenticación de dos componentes (2FA)

Con claves de acceso seguras y Captcha en los formularios de registro, está mejor protegido, sí.

Pero, ¿qué pasa si los piratas informáticos usan métodos de vigilancia y registran la contraseña que ingresó en el video para acceder a su página web?

Si tienen su contraseña, solo la autenticación de dos factores puede proteger su página web de los atacantes.

Seguridad de WordPress: 16 pasos para asegurar y proteger su sitio web

Complementos de WordPress para modificar la autenticación 2FA:

  1. 2 causantes.
  2. Autenticador de Google+.
  3. Autenticación de 2 causantes de WordPress (2FA, MFA).

publicidad

Lee abajo

7. Mantenga actualizado el núcleo y los complementos de WordPress

Las vulnerabilidades son comunes para el núcleo y los complementos de WordPress, y cuando suceden, se encuentran y también reportan. Asegúrese de actualizar sus complementos con la última versión para evitar que los websites sean pirateados mediante orificios conocidos y también informados en los ficheros.

No recomendaría cambiar a la actualización automática, ya que podría dañar sus sitios sin su conocimiento.

Pero yo poderosamente recomendado que habilite las actualizaciones menores del núcleo de WordPress añadiendo esta línea de código en wp-config.php, en tanto que estas actualizaciones contienen parches de seguridad para el núcleo.

define( 'WP_AUTO_UPDATE_CORE', 'minor' );

8. Configure los encabezados HTTP de seguridad.

Los encabezados de seguridad dan una capa adicional de protección al limitar las acciones que se tienen la posibilidad de efectuar entre el navegador y el servidor en el momento en que se navega por un sitio web.

Los encabezados de seguridad están diseñados para proteger contra asaltos de clickjacking y cross-site scripting (XSS).

Los encabezados de seguridad son:

  • Rigor Seguridad del transporte (HSTS).
  • Política de seguridad de contenido.
  • Opciones de X-frame.
  • Opciones de tipo de contenido X.
  • Obtén encabezados de metadatos.
  • Política de expedidores.
  • Control de caché.
  • Eliminar datos del ubicación.
  • Política de funcionalidades.

propaganda

Lee abajo

No entraremos en todas y cada una de las declaraciones de encabezado de seguridad, pero aquí hay algunos complementos para ayudar a solucionarlos.

Complementos de WordPress para activar encabezados de seguridad:

  1. Encabezados HTTP para mejorar la seguridad del cibersitio.
  2. Cabecera de seguridad GD.

9. Configure los privilegios de archivo correctos para los archivos de WordPress

Los privilegios de archivo son reglas para el S.O. que aloja sus archivos de WordPress. Estas reglas determinan cómo se tienen la posibilidad de leer, modificar y realizar los ficheros. Esta medida de seguridad es fundamental, especialmente si está alojando un sitio web en un hosting compartido.

Si un sitio web es pirateado en alojamiento compartido, los atacantes configurados incorrectamente tienen la posibilidad de entrar a los archivos de su portal web y leer todo el contenido allí, en especial wp-config.php, y conseguir acceso terminado a su sitio web.

  • Todos y cada uno de los archivos han de ser 644.
  • Todas las carpetas han de ser 775.
  • wp-config.php ha de ser 600.

publicidad

Lee abajo

Las reglas anteriores significan que su cuenta de usuario de hosting puede leer y cambiar ficheros y el servidor web (WordPress) puede cambiar, eliminar y leer archivos y carpetitas.

Otros individuos no tienen la posibilidad de leer el contenido de wp-config.php. Si la configuración 600 para wp-config.php está cerrando su cibersitio, cámbiela a 640 o 644.

10. Deshabilite la edición de ficheros de WordPress

Es una característica bien conocida en WordPress que puede modificar archivos desde el backend de administración.

Realmente no es necesario en tanto que los programadores usan SFTP y raras veces lo emplean.

Seguridad de WordPress: 16 pasos para asegurar y proteger su sitio web

11. Desactive todas y cada una de las funciones innecesarias

WordPress tiene muchas características que posiblemente no necesite en absoluto. Por ejemplo, el punto final XML-RPC se creó en WordPress para estar comunicado con apps ajenas. Los atacantes podrían emplear este punto final para comienzos de sesión de fuerza salvaje.

publicidad

Lee abajo

Deshabilite XML-RPC con el complemento Deshabilitar XML-RPC-API.

Otro problema que WordPress ha incorporado es proveer un punto final de API REST para enumerar a todos los usuarios en el sitio.

Si añade «/ wp-json / wp / v2 / users» a una instalación de WordPress, va a ver una lista de nombres de usuario e ID de usuario como datos JSON.

Deshabilite la Interfaz de programación de aplicaciones REST de los clientes añadiendo esta línea de código a functions.php

function disable_users_rest_json( $response, $usuario, $request )

 return '';

add_filter( 'rest_prepare_user', 'disable_users_rest_json', 10, 3 );

12. Esconder la versión de WordPress

WordPress inserta de forma automática un comentario con la versión de WordPress en el código HTML de la página. Le da al agresor la versión de su WordPress instalado como información agregada.

Seguridad de WordPress: 16 pasos para asegurar y proteger su sitio web

Por servirnos de un ejemplo, si está utilizando una versión de WordPress cuyo núcleo tiene una puerta de inseguridad, el agresor sabrá que puede emplear la tecnología informada para piratear su página web.

publicidad

Lee abajo

Oculte las metaetiquetas de la versión de WordPress con estos complementos:

  1. Eliminador de información de versión y metagenerador.
  2. Removedor de generador de WP de Dawsun.

13. Instale un cortafuegos de WordPress

Un cortafuegos es una app web que se ejecuta en sitios web y analiza las solicitudes HTTP entrantes. Utiliza una lógica delicada para filtrar las solicitudes que pueden representar una amenaza.

Puede modificar sus reglas aparte de las reglas incorporadas del cortafuegos para bloquear solicitudes. Uno de los géneros de ataque más comunes es la inyección de SQL.

Por poner un ejemplo, digamos que está ejecutando un complemento de WordPress que es propenso a las inyecciones de SQL y no lo sabe. Si emplea un firewall, el atacante no puede piratear el sitio incluso si conoce el orificio de seguridad en el complemento.

Esto se debe a que el cortafuegos inhabilita las consultas que contienen inyecciones de SQL.

Los cortafuegos bloquean estas peticiones de la IP y evitan que lleguen sucesivas peticiones peligrosas. Los firewalls también pueden impedir los ataques DDoS al detectar y bloquear demasiadas peticiones de una sola IP.

propaganda

Lee abajo

También es posible realizar firewalls de nivel DNS antes que se efectúen peticiones a un servidor web. Un ejemplo es el firewall DNS de Cloudflare.

La ventaja de este método es que es mucho más robusto contra los ataques DDoS.

Los firewalls de nivel de aplicación que se ejecutan en el servidor dejan que las solicitudes HTTP lleguen al servidor web y después lo bloqueen. Eso quiere decir que el servidor está gastando ciertos elementos de CPU / RAM para bloquearlos.

Con firewalls a nivel de DNS, no consumen elementos del servidor y, por ende, son más resistentes a los ataques.

Complementos de cortafuegos de WordPress que puede utilizar:

  1. Seguridad de Wordfence.
  2. Jugos
  3. Todo en un cortafuegos y seguridad WP.
  4. Seguridad a prueba de balas.
  5. Escudo de seguridad.

Nota: Si elige instalar firewalls, es posible que tengan características como protección de fuerza bruta en el inicio de sesión o autenticación 2F y puede usar sus funcionalidades en lugar de instalar los complementos precedentes.

14. Sostenga backups

Si lo piratean, la mejor forma de restaurar el sitio web es restaurar la última versión que no estaba inficionada.

propaganda

Lee abajo

Si no mantiene backups del sitio web, adecentar el sitio web puede ser un proceso que necesita mucho tiempo. En algunos casos, es posible que no resulte posible recuperar toda la información por el hecho de que el software malicioso ha eliminado todos y cada uno de los datos.

Para evitar estos escenarios, realice backups periódicas de la base de datos y los ficheros de su página web.

Pregunte a su soporte de hospedaje si proponen la función de copia de seguridad diaria y actívela. En caso contrario, puede usar estos complementos para realizar backups:

  1. BackWPup.
  2. UpdraftPlus.
  3. BackupBuddy.
  4. BlogVault.

15. Utilice SFTP

Muchos desarrolladores ya utilizan SFTP para conectarse a servidores web, pero es importante rememorar esto caso de que aún no lo lleve a cabo.

De la misma HTTPS, SFTP emplea cifrado para transferir archivos a través de la red, lo que provoca que sea imposible leer artículo sin codificar incluso si tiene acceso a la red.

publicidad

Lee abajo

16. Supervisar la actividad de los clientes

Hemos analizado muchas maneras de resguardar su portal web de piratas informáticos desconocidos. Pero, ¿qué ocurre si uno de sus usados que tiene ingreso al administrador del página web hace cosas turbias como agregar links al contenido?

Ninguno de los métodos anteriores puede detectar a un empleado sospechoso.

Esto se puede hacer observando los registros de actividad. Si mira la actividad de cada usuario, puede conseguir que uno de los empleados editó un factor que no se encontraba destinado a ellos.

También puede investigar ocupaciones sospechosas y ver qué cambios se realizaron.

Complementos de WordPress para monitorear la actividad del usuario:

  1. Registro de actividades.
  2. Registro de actividad del usuario.
  3. Registro de actividad de WP.

Tenga en cuenta que es posible que quiera limitar la proporción de tiempo (o la cantidad de registros) que estos complementos guardan. Si hay demasiados, su banco de información se sobrecargará y podría afectar el desempeño y la agilidad del cibersitio.

publicidad

Lee abajo

Qué realizar si te piratean

Incluso con todos y cada uno de los consejos de los expertos en seguridad y sabiendo de qué manera proteger sus sitios web de los ataques, todavía suceden.

si Si su sitio web ha sido pirateado, debe continuar los pasos ahora para recobrarlo:

  1. Cambie su mail y otras claves de acceso personales Primero por el hecho de que los piratas informáticos tienen la posibilidad de haber obtenido acceso a su correo electrónico primero y, en consecuencia, poder ingresar a su portal web.
  2. Restaure su sitio web con la última backup no pirateada famosa.
  3. Restablecer las contraseñas de todos y cada uno de los clientes del página web.
  4. Actualice todos y cada uno de los complementos en el momento en que haya actualizaciones disponibles.

diploma

Piense en 360 ° cuando se trata de seguridad. Enfatice la relevancia de la seguridad para todos sus usados a fin de que comprendan las consecuencias que la empresa puede sufrir si no siguen las reglas de seguridad.

Si es pirateado,]restaure su cibersitio desde la backup y cambie todas y cada una de las claves de acceso de su cibersitio y correos electrónicos cuanto antes.

Seguridad de WordPress: 16 pasos para asegurar y proteger su sitio web



Tabla de Contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *