16 pasos para garantizar y proteger su ubicación
[ad_1]
Cuando se trata de seguridad, no existe un género de seguridad específico de WordPress. Todos y cada uno de los inconvenientes de seguridad ocurren con cualquier página web o app.
Sin embargo, los problemas de seguridad de WordPress son una gran preocupación, ya que alimenta aproximadamente el 40% de la página web y es de código abierto. Si encuentra una puerta de inseguridad en el núcleo de WordPress o en los complementos, otros websites que lo usan se vuelven vulnerables, puesto que todos emplean exactamente el mismo código.
Por otro lado, hay una cantidad decente de complementos que puede utilizar para aumentar la seguridad de su sitio web.
Esta columna le indica cómo resguardar su lugar de WordPress contra diversos tipos de inseguridades, aunque el alcance de este artículo es más amplio y se aplica a toda clase de apps web.
- Protección contra los orificios de seguridad de WordPress
- 1. Proteja su cibersitio con HTTPS
- 2. Utilice siempre claves de acceso seguras
- 3. Utilice el gestor de contraseñas para guardar sus contraseñas
- 4. Agregue CAPTCHA al formulario de comienzo de sesión y registro
- 5. Protéjase contra los intentos de comienzo de sesión por fuerza bárbara
- 6. Configure la autenticación de dos componentes (2FA)
- 7. Mantenga actualizado el núcleo y los complementos de WordPress
- 8. Configure los encabezados HTTP de seguridad.
- 9. Configure los privilegios de archivo correctos para los archivos de WordPress
- 10. Deshabilite la edición de ficheros de WordPress
- 11. Desactive todas y cada una de las funciones innecesarias
- 12. Esconder la versión de WordPress
- 13. Instale un cortafuegos de WordPress
- 14. Sostenga backups
- 15. Utilice SFTP
- 16. Supervisar la actividad de los clientes
- Qué realizar si te piratean
- diploma
Protección contra los orificios de seguridad de WordPress
Las clases más habituales de inseguridades son:
- Puertas traseras.
- Trucos farmacéuticos.
- Intentos de comienzo de sesión por fuerza salvaje.
- Redirecciones perjudiciales.
- Secuencias de comandos entre sitios (XSS).
- Denegación de servicio (DDoS).
publicidad
Lee abajo
Estos son las clases de inseguridades más comunes, pero eso no quiere decir que se limiten solo a estos. Por norma general, en el momento en que piensa en seguridad, debe meditar en concepto de 360 grados.
No hay formas limitadas de piratear un portal de internet. Los atacantes tienen la posibilidad de utilizar muchas técnicas para entrar a su portal web.
Por poner un ejemplo, pueden hurtar su PC y poder ingresar físico a su PC. Asimismo puede utilizar técnicas de vigilancia para poder ver sus claves de acceso en el momento en que comience sesión en su página web desde una red pública.
Observemos de qué forma podemos fortalecer nuestras instalaciones de WordPress para hacer la vida un tanto mucho más bien difícil a los atacantes.
Prosiga leyendo para conseguir mucho más información sobre todas estas 16 formas de mejorar la seguridad de su página web de WordPress:
- Utilice HTTPS.
- Utilice siempre contraseñas seguras.
- Utilice el gestor de claves de acceso para almacenar sus claves de acceso.
- Habilite el captcha en los formularios de registro.
- Evite los intentos de inicio de sesión por fuerza bárbara.
- Utilice la autenticación de 2 causantes.
- Sostenga los complementos actualizados.
- Entablar encabezados HTTP de seguridad.
- Constituya los privilegios del archivo correctos para los ficheros de WordPress.
- Desactive la edición de ficheros de WordPress.
- Desactive todas y cada una de las funciones innecesarias.
- Ocultar la versión de WordPress.
- Instale un cortafuegos de WordPress.
- Mantenga backups.
- Utilice SFTP.
- Supervise la actividad del usuario.
1. Proteja su cibersitio con HTTPS
No es una coincidencia que primero aseguremos el sitio con HTTPS.
publicidad
Lee abajo
Todo cuanto haces fluye por medio de la red y los cables. HTTP intercambia datos como texto sin formato entre el navegador y el servidor. En consecuencia, cualquier persona que tenga acceso a la red entre el servidor y el navegador puede ver sus datos sin codificar.
Si no protege su conexión, existe el peligro de que los atacantes puedan descubrir información confidencial. Sus datos están encriptados con HTTPS y los atacantes no pueden leer los datos transmitidos incluso si tienen acceso a su red.
Por lo tanto, el paso más esencial para resguardar su sitio web es habilitar HTTPS. Si aún no cambió a HTTPS, puede utilizar esta guía para cambiar su WordPress a HTTPS.
Herramientas y complementos de WordPress que puede emplear para migrar HTTP a HTTPS
- Sustituir mejor búsqueda.
- Búsqueda de banco de información y remplazo de secuencia de comandos.
2. Utilice siempre claves de acceso seguras
La forma más frecuente en que los piratas informáticos acceden a los sitios web es mediante contraseñas enclenques o guardadas. Estos te hacen vulnerable a los asaltos de fuerza bárbara.
Aumente su seguridad utilizando claves de acceso más seguras que algún otro método que se enumera a continuación.
Utilice siempre y en todo momento claves de acceso seguras y compruébelas regularmente para poder ver si se han cumplido.
Complementos de WordPress para prosperar la seguridad de las contraseñas:
- No deje que se mantenga la contraseña.
- Descargue el Administrador de políticas de claves de acceso.
- Bcrypt de contraseña.
3. Utilice el gestor de contraseñas para guardar sus contraseñas
Si empieza sesión en una red pública mientras está en el trabajo, no puede estar seguro de quién está mirando lo que redacta en su PC portátil o grabando sus contraseñas.
Para solucionar este inconveniente, use el administrador de contraseñas para entrar de manera fácil a sus contraseñas y guárdelas en un lugar seguro.
Incluso si se ingresa a su PC, no van a poder obtener sus claves de acceso. Los gestores de claves de acceso se basan en el navegador y no son complementos de WordPress.
Complementos del navegador de Password Manager:
- Ultimo pase.
- 1 contraseña.
- Paso Norte.
publicidad
Lee abajo
4. Agregue CAPTCHA al formulario de comienzo de sesión y registro
Si ha protegido su sitio web con HTTPS y ha utilizado claves de acceso seguras, le ha hecho la vida bastante difícil a los piratas informáticos.
Sin embargo, puede hacerlo aún mucho más difícil añadiendo CAPTCHA a los formularios de inicio de sesión.
Los captchas son una excelente forma de proteger sus formularios de registro de los ataques de fuerza salvaje.
Complementos para añadir captcha al inicio de sesión de WordPress:
- Comenzar sesión No Captcha reCAPTCHA.
- Seguridad de comienzo de sesión reCAPTCHA.
5. Protéjase contra los intentos de comienzo de sesión por fuerza bárbara
Login CAPTCHA te protege de los intentos de fuerza salvaje hasta un punto, pero no totalmente. Cuando se resuelven los tokens de captcha, suelen ser válidos durante unos minutos.
publicidad
Lee abajo
Por servirnos de un ejemplo, Google+ reCaptcha es válido por 2 minutos. Los atacantes pueden usar estos dos minutos para realizar intentos de comienzo de sesión de fuerza bruta en su formulario de inicio de sesión a lo largo de este tiempo.
Para solucionar este problema, debe denegar los intentos fallidos de inicio de sesión por dirección IP.
Complementos de WordPress para impedir asaltos de fuerza bruta:
- WP limita los intentos de comienzo de sesión.
- Limite el número de intentos de inicio de sesión recargados.
6. Configure la autenticación de dos componentes (2FA)
Con claves de acceso seguras y Captcha en los formularios de registro, está mejor protegido, sí.
Pero, ¿qué pasa si los piratas informáticos usan métodos de vigilancia y registran la contraseña que ingresó en el video para acceder a su página web?
Si tienen su contraseña, solo la autenticación de dos factores puede proteger su página web de los atacantes.
Complementos de WordPress para modificar la autenticación 2FA:
- 2 causantes.
- Autenticador de Google+.
- Autenticación de 2 causantes de WordPress (2FA, MFA).
publicidad
Lee abajo
7. Mantenga actualizado el núcleo y los complementos de WordPress
Las vulnerabilidades son comunes para el núcleo y los complementos de WordPress, y cuando suceden, se encuentran y también reportan. Asegúrese de actualizar sus complementos con la última versión para evitar que los websites sean pirateados mediante orificios conocidos y también informados en los ficheros.
No recomendaría cambiar a la actualización automática, ya que podría dañar sus sitios sin su conocimiento.
Pero yo poderosamente recomendado que habilite las actualizaciones menores del núcleo de WordPress añadiendo esta línea de código en wp-config.php, en tanto que estas actualizaciones contienen parches de seguridad para el núcleo.
define( 'WP_AUTO_UPDATE_CORE', 'minor' );
8. Configure los encabezados HTTP de seguridad.
Los encabezados de seguridad dan una capa adicional de protección al limitar las acciones que se tienen la posibilidad de efectuar entre el navegador y el servidor en el momento en que se navega por un sitio web.
Los encabezados de seguridad están diseñados para proteger contra asaltos de clickjacking y cross-site scripting (XSS).
Los encabezados de seguridad son:
- Rigor Seguridad del transporte (HSTS).
- Política de seguridad de contenido.
- Opciones de X-frame.
- Opciones de tipo de contenido X.
- Obtén encabezados de metadatos.
- Política de expedidores.
- Control de caché.
- Eliminar datos del ubicación.
- Política de funcionalidades.
propaganda
Lee abajo
No entraremos en todas y cada una de las declaraciones de encabezado de seguridad, pero aquí hay algunos complementos para ayudar a solucionarlos.
Complementos de WordPress para activar encabezados de seguridad:
- Encabezados HTTP para mejorar la seguridad del cibersitio.
- Cabecera de seguridad GD.
9. Configure los privilegios de archivo correctos para los archivos de WordPress
Los privilegios de archivo son reglas para el S.O. que aloja sus archivos de WordPress. Estas reglas determinan cómo se tienen la posibilidad de leer, modificar y realizar los ficheros. Esta medida de seguridad es fundamental, especialmente si está alojando un sitio web en un hosting compartido.
Si un sitio web es pirateado en alojamiento compartido, los atacantes configurados incorrectamente tienen la posibilidad de entrar a los archivos de su portal web y leer todo el contenido allí, en especial wp-config.php, y conseguir acceso terminado a su sitio web.
- Todos y cada uno de los archivos han de ser 644.
- Todas las carpetas han de ser 775.
- wp-config.php ha de ser 600.
publicidad
Lee abajo
Las reglas anteriores significan que su cuenta de usuario de hosting puede leer y cambiar ficheros y el servidor web (WordPress) puede cambiar, eliminar y leer archivos y carpetitas.
Otros individuos no tienen la posibilidad de leer el contenido de wp-config.php. Si la configuración 600 para wp-config.php está cerrando su cibersitio, cámbiela a 640 o 644.
10. Deshabilite la edición de ficheros de WordPress
Es una característica bien conocida en WordPress que puede modificar archivos desde el backend de administración.
Realmente no es necesario en tanto que los programadores usan SFTP y raras veces lo emplean.
11. Desactive todas y cada una de las funciones innecesarias
WordPress tiene muchas características que posiblemente no necesite en absoluto. Por ejemplo, el punto final XML-RPC se creó en WordPress para estar comunicado con apps ajenas. Los atacantes podrían emplear este punto final para comienzos de sesión de fuerza salvaje.
publicidad
Lee abajo
Deshabilite XML-RPC con el complemento Deshabilitar XML-RPC-API.
Otro problema que WordPress ha incorporado es proveer un punto final de API REST para enumerar a todos los usuarios en el sitio.
Si añade "/ wp-json / wp / v2 / users" a una instalación de WordPress, va a ver una lista de nombres de usuario e ID de usuario como datos JSON.
Deshabilite la Interfaz de programación de aplicaciones REST de los clientes añadiendo esta línea de código a functions.php
function disable_users_rest_json( $response, $usuario, $request ) return ''; add_filter( 'rest_prepare_user', 'disable_users_rest_json', 10, 3 );
12. Esconder la versión de WordPress
WordPress inserta de forma automática un comentario con la versión de WordPress en el código HTML de la página. Le da al agresor la versión de su WordPress instalado como información agregada.
Por servirnos de un ejemplo, si está utilizando una versión de WordPress cuyo núcleo tiene una puerta de inseguridad, el agresor sabrá que puede emplear la tecnología informada para piratear su página web.
publicidad
Lee abajo
Oculte las metaetiquetas de la versión de WordPress con estos complementos:
- Eliminador de información de versión y metagenerador.
- Removedor de generador de WP de Dawsun.
13. Instale un cortafuegos de WordPress
Un cortafuegos es una app web que se ejecuta en sitios web y analiza las solicitudes HTTP entrantes. Utiliza una lógica delicada para filtrar las solicitudes que pueden representar una amenaza.
Puede modificar sus reglas aparte de las reglas incorporadas del cortafuegos para bloquear solicitudes. Uno de los géneros de ataque más comunes es la inyección de SQL.
Por poner un ejemplo, digamos que está ejecutando un complemento de WordPress que es propenso a las inyecciones de SQL y no lo sabe. Si emplea un firewall, el atacante no puede piratear el sitio incluso si conoce el orificio de seguridad en el complemento.
Esto se debe a que el cortafuegos inhabilita las consultas que contienen inyecciones de SQL.
Los cortafuegos bloquean estas peticiones de la IP y evitan que lleguen sucesivas peticiones peligrosas. Los firewalls también pueden impedir los ataques DDoS al detectar y bloquear demasiadas peticiones de una sola IP.
propaganda
Lee abajo
También es posible realizar firewalls de nivel DNS antes que se efectúen peticiones a un servidor web. Un ejemplo es el firewall DNS de Cloudflare.
La ventaja de este método es que es mucho más robusto contra los ataques DDoS.
Los firewalls de nivel de aplicación que se ejecutan en el servidor dejan que las solicitudes HTTP lleguen al servidor web y después lo bloqueen. Eso quiere decir que el servidor está gastando ciertos elementos de CPU / RAM para bloquearlos.
Con firewalls a nivel de DNS, no consumen elementos del servidor y, por ende, son más resistentes a los ataques.
Complementos de cortafuegos de WordPress que puede utilizar:
- Seguridad de Wordfence.
- Jugos
- Todo en un cortafuegos y seguridad WP.
- Seguridad a prueba de balas.
- Escudo de seguridad.
Nota: Si elige instalar firewalls, es posible que tengan características como protección de fuerza bruta en el inicio de sesión o autenticación 2F y puede usar sus funcionalidades en lugar de instalar los complementos precedentes.
14. Sostenga backups
Si lo piratean, la mejor forma de restaurar el sitio web es restaurar la última versión que no estaba inficionada.
propaganda
Lee abajo
Si no mantiene backups del sitio web, adecentar el sitio web puede ser un proceso que necesita mucho tiempo. En algunos casos, es posible que no resulte posible recuperar toda la información por el hecho de que el software malicioso ha eliminado todos y cada uno de los datos.
Para evitar estos escenarios, realice backups periódicas de la base de datos y los ficheros de su página web.
Pregunte a su soporte de hospedaje si proponen la función de copia de seguridad diaria y actívela. En caso contrario, puede usar estos complementos para realizar backups:
- BackWPup.
- UpdraftPlus.
- BackupBuddy.
- BlogVault.
15. Utilice SFTP
Muchos desarrolladores ya utilizan SFTP para conectarse a servidores web, pero es importante rememorar esto caso de que aún no lo lleve a cabo.
De la misma HTTPS, SFTP emplea cifrado para transferir archivos a través de la red, lo que provoca que sea imposible leer artículo sin codificar incluso si tiene acceso a la red.
publicidad
Lee abajo
16. Supervisar la actividad de los clientes
Hemos analizado muchas maneras de resguardar su portal web de piratas informáticos desconocidos. Pero, ¿qué ocurre si uno de sus usados que tiene ingreso al administrador del página web hace cosas turbias como agregar links al contenido?
Ninguno de los métodos anteriores puede detectar a un empleado sospechoso.
Esto se puede hacer observando los registros de actividad. Si mira la actividad de cada usuario, puede conseguir que uno de los empleados editó un factor que no se encontraba destinado a ellos.
También puede investigar ocupaciones sospechosas y ver qué cambios se realizaron.
Complementos de WordPress para monitorear la actividad del usuario:
- Registro de actividades.
- Registro de actividad del usuario.
- Registro de actividad de WP.
Tenga en cuenta que es posible que quiera limitar la proporción de tiempo (o la cantidad de registros) que estos complementos guardan. Si hay demasiados, su banco de información se sobrecargará y podría afectar el desempeño y la agilidad del cibersitio.
publicidad
Lee abajo
Qué realizar si te piratean
Incluso con todos y cada uno de los consejos de los expertos en seguridad y sabiendo de qué manera proteger sus sitios web de los ataques, todavía suceden.
si Si su sitio web ha sido pirateado, debe continuar los pasos ahora para recobrarlo:
- Cambie su mail y otras claves de acceso personales Primero por el hecho de que los piratas informáticos tienen la posibilidad de haber obtenido acceso a su correo electrónico primero y, en consecuencia, poder ingresar a su portal web.
- Restaure su sitio web con la última backup no pirateada famosa.
- Restablecer las contraseñas de todos y cada uno de los clientes del página web.
- Actualice todos y cada uno de los complementos en el momento en que haya actualizaciones disponibles.
diploma
Piense en 360 ° cuando se trata de seguridad. Enfatice la relevancia de la seguridad para todos sus usados a fin de que comprendan las consecuencias que la empresa puede sufrir si no siguen las reglas de seguridad.
Si es pirateado,]restaure su cibersitio desde la backup y cambie todas y cada una de las claves de acceso de su cibersitio y correos electrónicos cuanto antes.
[ad_2]
Deja una respuesta