Saltar al contenido
Closer Marketing

De qué forma fortalecer la seguridad de WordPress


Cuando se trata de seguridad, no existe un género de seguridad específico de WordPress. Todos los problemas de seguridad suceden con cualquier cibersitio o app.

Sin embargo, los problemas de seguridad de WordPress son una enorme preocupación, ya que alimenta aproximadamente el 40% de la página web y es de código abierto. Si halla una puerta de inseguridad en el núcleo de WordPress o en los complementos, otros websites que lo utilizan se vuelven vulnerables, ya que todos emplean exactamente el mismo código.

Por otro lado, hay una cantidad decente de complementos que puede emplear para acrecentar la seguridad de su portal web.

Esta columna le señala de qué manera proteger su ubicación de WordPress contra diferentes tipos de inseguridades, si bien el alcance de este producto es más amplio y se aplica a toda clase de apps web.

Protección contra los orificios de seguridad de WordPress

Los modelos más comunes de inseguridades son:

  1. Puertas traseras.
  2. Trucos farmacéuticos.
  3. Intentos de inicio de sesión por fuerza salvaje.
  4. Redirecciones perjudiciales.
  5. Secuencias de comandos entre sitios (XSS).
  6. Denegación de servicio (DDoS).

propaganda

Lee abajo

Estos son los tipos de inseguridades más habituales, pero eso no significa que se limiten solo a estos. Generalmente, cuando piensa en seguridad, debe meditar en términos de 360 ​​grados.

No hay formas limitadas de piratear un portal de internet. Los atacantes tienen la posibilidad de emplear muchas técnicas para acceder a su página web.

Por poner un ejemplo, tienen la posibilidad de robar su PC y tener acceso físico a su PC. Asimismo puede utilizar técnicas de vigilancia para poder ver sus contraseñas en el momento en que empiece sesión en su página web desde una red pública.

Observemos de qué forma podemos fortalecer nuestras instalaciones de WordPress para llevar a cabo la vida un poco más bien difícil a los atacantes.

Prosiga leyendo para conseguir mucho más información sobre cada una de estas 16 formas de progresar la seguridad de su cibersitio de WordPress:

  1. Utilice HTTPS.
  2. Utilice siempre y en todo momento claves de acceso seguras.
  3. Utilice el gestor de contraseñas para almacenar sus claves de acceso.
  4. Habilite el captcha en los formularios de registro.
  5. Evite los intentos de comienzo de sesión por fuerza salvaje.
  6. Utilice la autenticación de 2 causantes.
  7. Mantenga los complementos actualizados.
  8. Detallar encabezados HTTP de seguridad.
  9. Constituya los permisos de archivo adecuados para los ficheros de WordPress.
  10. Desactive la edición de ficheros de WordPress.
  11. Desactive todas y cada una de las funcionalidades superfluas.
  12. Esconder la versión de WordPress.
  13. Instale un cortafuegos de WordPress.
  14. Mantenga backups.
  15. Utilice SFTP.
  16. Supervise la actividad del usuario.

1. Proteja su portal web con HTTPS

No es una coincidencia que primero aseguremos el sitio con HTTPS.

publicidad

Lee abajo

Todo cuanto haces fluye a través de la red y los cables. HTTP intercambia datos como artículo sin formato entre el navegador y el servidor. En consecuencia, cualquier persona que tenga acceso a la red entre el servidor y el navegador puede ver sus datos sin cifrar.

Si no resguarda su conexión, existe el riesgo de que los atacantes puedan descubrir información confidencial. Sus datos están encriptados con HTTPS y los atacantes no tienen la posibilidad de leer los datos transmitidos incluso si tienen acceso a su red.

Por consiguiente, el paso más importante para resguardar su sitio web es activar HTTPS. Si aún no ha cambiado a HTTPS, puede utilizar esta guía para cambiar su WordPress a HTTPS.

Herramientas y complementos de WordPress que puede emplear para migrar HTTP a HTTPS

  1. Reemplazar mejor búsqueda.
  2. Búsqueda de banco de información y reemplazo de secuencia de comandos.

2. Utilice siempre y en todo momento contraseñas seguras

La forma más habitual en que los piratas informáticos acceden a los websites es por medio de claves de acceso débiles o guardadas. Estos te hacen vulnerable a los ataques de fuerza salvaje.

Aumente su seguridad utilizando claves de acceso más seguras que cualquier otro método que se enumera ahora.

Utilice siempre y en todo momento claves de acceso seguras y compruébelas de forma regular para ver si se han cumplido.

Complementos de WordPress para prosperar la seguridad de las contraseñas:

  1. No deje que se mantenga la contraseña.
  2. Descargue el Administrador de políticas de claves de acceso.
  3. Bcrypt de contraseña.

3. Utilice el administrador de claves de acceso para almacenar sus claves de acceso

Cuando inicia sesión para trabajar en una red pública, no puede estar seguro de quién mira lo que redacta en su PC portátil o grabando sus claves de acceso.

Para solucionar este problema, use el gestor de contraseñas para entrar fácilmente a sus contraseñas y guárdelas en un espacio seguro.

Incluso si se accede a su PC, no podrán conseguir sus contraseñas. Los administradores de claves de acceso se fundamentan en el navegador y no son complementos de WordPress.

Complementos del navegador de Password Manager:

  1. Último pase.
  2. 1 contraseña.
  3. Paso Norte.

propaganda

Lee abajo

4. Agregue CAPTCHA al formulario de comienzo de sesión y registro

Si ha protegido su página web con HTTPS y ha empleado contraseñas seguras, le ha hecho la vida bastante bien difícil a los piratas informáticos.

Sin embargo, puede llevarlo a cabo aún mucho más bien difícil añadiendo CAPTCHA a los formularios de comienzo de sesión.

Los captchas son una excelente manera de proteger sus formularios de registro de los ataques de fuerza bruta.

Complementos para añadir captcha al comienzo de sesión de WordPress:

  1. Comenzar sesión No Captcha reCAPTCHA.
  2. Seguridad de inicio de sesión reCAPTCHA.

5. Protéjase contra los intentos de comienzo de sesión por fuerza bruta

Login CAPTCHA te resguarda de los intentos de fuerza bárbara hasta determinado punto, pero no completamente. En el momento en que se resuelven los tokens de captcha, suelen ser válidos durante unos minutos.

publicidad

Lee abajo

Por poner un ejemplo, Google plus reCaptcha es válido por 2 minutos. Los atacantes pueden emplear estos dos minutos para efectuar intentos de comienzo de sesión de fuerza salvaje en su formulario de comienzo de sesión a lo largo de este tiempo.

Para solucionar este problema, debe bloquear los intentos errados de inicio de sesión por dirección IP.

Complementos de WordPress para prevenir asaltos de fuerza bárbara:

  1. WP limita los intentos de comienzo de sesión.
  2. Limite el número de intentos de inicio de sesión recargados.

6. Configure la autenticación de dos causantes (2FA)

Con claves de acceso seguras y Captcha en los formularios de registro, está mejor protegido, sí.

Pero, ¿qué pasa si los piratas informáticos utilizan métodos de supervisión y registran la contraseña que ingresó en el vídeo para acceder a su sitio web?

Si tienen su contraseña, solo la autenticación de 2 factores puede resguardar su página web de los atacantes.

Simplemente diga no a los piratas informáticos: así es como fortalece su seguridad de WordPress

Complementos de WordPress para modificar la autenticación 2FA:

  1. 2 causantes.
  2. Autenticador de Google+.
  3. Autenticación de dos causantes de WordPress (2FA, MFA).

propaganda

Lee abajo

7. Mantenga actualizado el núcleo y los complementos de WordPress

Las vulnerabilidades son comunes para el núcleo y los complementos de WordPress, y cuando suceden, se encuentran y también reportan. Asegúrese de actualizar sus complementos con la última versión para eludir que los sitios web sean pirateados por medio de orificios populares e informados en los ficheros.

No recomendaría cambiar a la actualización automática, ya que podría dañar sus websites sin su conocimiento.

Pero yo fuertemente recomendado que habilite las actualizaciones inferiores del núcleo de WordPress agregando esta línea de código en wp-config.php, puesto que estas actualizaciones contienen parches de seguridad para el núcleo.

define( 'WP_AUTO_UPDATE_CORE', 'minor' );

8. Configure los encabezados HTTP de seguridad.

Los encabezados de seguridad proporcionan una capa adicional de protección al limitar las acciones que se tienen la posibilidad de realizar entre el navegador y el servidor cuando se navega por un sitio web.

Los encabezados de seguridad están diseñados para proteger contra ataques de clickjacking y cross-site scripting (XSS).

Los encabezados de seguridad son:

  • Rigor Seguridad del transporte (HSTS).
  • Política de seguridad de contenido.
  • Opciones de X-frame.
  • Opciones de tipo de contenido X.
  • Obtén encabezados de metadatos.
  • Política de remitentes.
  • Control de caché.
  • Borrar datos del lugar.
  • Política de funciones.

publicidad

Lee abajo

No entraremos en todas y cada una de las declaraciones de encabezado de seguridad, pero aquí existen algunos complementos para contribuir a solventarlos.

Complementos de WordPress para activar encabezados de seguridad:

  1. Encabezados HTTP para progresar la seguridad del sitio web.
  2. Cabecera de seguridad GD.

9. Configure los permisos de archivo correctos para los archivos de WordPress

Los privilegios de archivo son reglas para el sistema operativo que aloja sus archivos de WordPress. Estas reglas determinan cómo se pueden leer, modificar y ejecutar los ficheros. Esta medida de seguridad es fundamental, especialmente si está alojando un sitio web en un hospedaje compartido.

Si un sitio web es pirateado en hosting compartido, los atacantes configurados incorrectamente tienen la posibilidad de acceder a los ficheros de su sitio web y leer todo el contenido allí, en especial wp-config.php, y obtener ingreso terminado a su página web.

  • Todos los archivos deben ser 644.
  • Todas las carpetitas han de ser 775.
  • wp-config.php debe ser 600.

propaganda

Lee abajo

Las reglas anteriores significan que su cuenta de usuario de hosting puede leer y cambiar ficheros y el servidor web (WordPress) puede cambiar, remover y leer archivos y carpetitas.

Otros clientes no pueden leer el contenido de wp-config.php. Si la configuración 600 para wp-config.php está cerrando su portal web, cámbiela a 640 o 644.

10. Deshabilite la edición de archivos de WordPress

Es una característica muy conocida en WordPress que puede modificar ficheros desde el backend de administración.

Verdaderamente no es necesario ya que los programadores utilizan SFTP y rara vez lo usan.

Simplemente diga no a los piratas informáticos: así es como fortalece su seguridad de WordPress

11. Desactive todas las funcionalidades superfluas

WordPress incluye muchas funcionalidades que es posible que no necesite en lo más mínimo. Por ejemplo, el punto y final XML-RPC se creó en WordPress para comunicarse con aplicaciones externas. Los atacantes podrían utilizar este punto y final para comienzos de sesión de fuerza bruta.

propaganda

Lee abajo

Deshabilite XML-RPC con el complemento Deshabilitar XML-RPC-API.

Otro problema que WordPress ha incorporado es proveer un punto y final de API REST para enumerar a todos los clientes en el sitio web.

Si añade «/ wp-json / wp / v2 / users» a una instalación de WordPress, va a ver una lista de nombres de usuario e ID de usuario como datos JSON.

Deshabilite la API REST de los individuos agregando esta línea de código a functions.php

function disable_users_rest_json( $response, $user, $request )

 return '';

add_filter( 'rest_prepare_user', 'disable_users_rest_json', 10, 3 );

12. Ocultar la versión de WordPress

WordPress introduce de forma automática un comentario con la versión de WordPress en el código HTML de la página. Le da al agresor la versión de su WordPress instalado como información agregada.

Simplemente diga no a los piratas informáticos: así es como fortalece su seguridad de WordPress

Por ejemplo, si está usando una versión de WordPress cuyo núcleo tiene una puerta de inseguridad, el agresor sabe que puede utilizar la tecnología informada para piratear su cibersitio.

publicidad

Lee abajo

Esconda las metaetiquetas de la versión de WordPress con estos complementos:

  1. Eliminador de información de versión y metagenerador.
  2. Removedor de generador de WP de Dawsun.

13. Instale un cortafuegos de WordPress

Un cortafuegos es una aplicación web que se ejecuta en websites y analiza las peticiones HTTP entrantes. Usa una lógica sofisticada para filtrar las peticiones que pueden representar una amenaza.

Puede configurar sus reglas aparte de las reglas integradas del firewall para bloquear peticiones. Entre los géneros de ataque más comunes es la inyección de SQL.

Por poner un ejemplo, digamos que está corriendo un complemento de WordPress que es predispuesto a las inyecciones de SQL y no lo sabe. Si utiliza un cortafuegos, el agresor no puede piratear el sitio aun si conoce el agujero de seguridad en el complemento.

Esto se origina por que el firewall bloquea las consultas que contienen inyecciones de SQL.

Los cortafuegos bloquean estas solicitudes de la IP y evitan que lleguen consecutivas solicitudes peligrosas. Los firewalls también pueden prevenir los ataques DDoS al advertir y bloquear demasiadas peticiones de solo una IP.

publicidad

Lee abajo

También es viable realizar firewalls de nivel DNS antes de que se efectúen peticiones a un servidor web. Un ejemplo es el cortafuegos DNS de Cloudflare.

La ventaja de este método es que es más robusto contra los ataques DDoS.

Los firewalls de nivel de app que se ejecutan en el servidor dejan que las solicitudes HTTP lleguen al servidor web y luego lo bloqueen. Eso significa que el servidor está gastando algunos recursos de únidad central de procesamiento / RAM para bloquearlos.

Con firewalls a nivel de DNS, no consumen recursos del servidor y, por lo tanto, son mucho más resistentes a los ataques.

Complementos de cortafuegos de WordPress que puede emplear:

  1. Seguridad de Wordfence.
  2. Jugos
  3. Todo en un cortafuegos y seguridad WP.
  4. Seguridad a prueba de balas.
  5. Escudo de seguridad.

Nota: Si escoge disponer firewalls, es posible que tengan características como protección de fuerza bruta en el comienzo de sesión o autenticación 2F y puede emplear sus funciones en lugar de instalar los complementos precedentes.

14. Sostenga copias de seguridad

Si lo piratean, la mejor manera de restaurar el sitio es volver a poner la última versión que no estaba infectada.

publicidad

Lee abajo

Si no sostiene copias de seguridad del cibersitio, adecentar el sitio web puede ser un desarrollo que requiere bastante tiempo. En algunos casos, posiblemente no resulte posible recobrar toda la información pues el software malicioso ha eliminado todos y cada uno de los datos.

Para eludir estos escenarios, realice backups periódicas de la banco de información y los archivos de su cibersitio.

Pregunte a su soporte de hospedaje si ofrecen la función de backup diaria y actívela. En caso contrario, puede utilizar estos complementos para realizar copias de seguridad:

  1. BackWPup.
  2. UpdraftPlus.
  3. BackupBuddy.
  4. BlogVault.

15. Utilice SFTP

Muchos desarrolladores ahora emplean SFTP para conectarse a servidores web, pero es esencial recordar esto caso de que aún no lo lleve a cabo.

De la misma HTTPS, SFTP emplea encriptado para transferir archivos a través de la red, lo que provoca que sea imposible leer artículo sin cifrar aun si tiene ingreso a la red.

publicidad

Lee abajo

16. Supervisar la actividad de los usuarios

Hemos analizado muchas formas de resguardar su cibersitio de piratas informáticos desconocidos. Pero, ¿qué sucede si uno de sus usados que tiene ingreso a la administración del lugar hace cosas turbias como añadir enlaces al contenido?

Ninguno de los métodos anteriores puede advertir a un usado sospechoso.

Esto se puede hacer observando los registros de actividad. Si mira la actividad de cada usuario, puede encontrar que entre los empleados editó un factor que no estaba designado a ellos.

Asimismo puede investigar ocupaciones sospechosas y ver qué cambios se han realizado.

Complementos de WordPress para monitorear la actividad del usuario:

  1. Registro de ocupaciones.
  2. Registro de actividad del usuario.
  3. Registro de actividad de WP.

Tenga en cuenta que es posible que desee limitar la cantidad de tiempo (o la cantidad de registros) que estos complementos guardan. Si hay bastantes, su banco de información se sobrecargará y podría afectar el rendimiento y la velocidad del página web.

propaganda

Lee abajo

Qué realizar si te piratean

Aun con todos y cada uno de los consejos de los especialistas en seguridad y sabiendo de qué forma sostener sus websites seguro de los asaltos, siempre y en todo momento suceden. todavía.

Si su página web fué pirateado, estos son los pasos que debe proseguir para recobrarlo:

  1. Cambie su correo y otras contraseñas personales primero por el hecho de que los piratas informáticos pueden haber logrado ingreso a su correo electrónico primero y, por ende, tener acceso a su página web.
  2. Restaure su cibersitio con la última backup no pirateada famosa.
  3. Restablecer las contraseñas de todos y cada uno de los usuarios del portal web.
  4. Actualice todos y cada uno de los complementos cuando haya actualizaciones libres.

Conclusión

Piense en 360 ° cuando se trata de seguridad. Enfatice la relevancia de la seguridad para todos sus empleados para que comprendan las consecuencias que la empresa puede padecer si no siguen las reglas de seguridad.

Si es pirateado,]restaure su portal web desde la copia de seguridad y cambie todas las claves de acceso de su portal web y mails lo antes posible.

Simplemente diga no a los piratas informáticos: así es como fortalece su seguridad de WordPress



Tabla de Contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *