De qué forma resguardar un lugar de WordPress de los piratas informáticos
WordPress es un propósito común para los piratas informáticos. Los piratas informáticos se dirigen al tema, los ficheros primordiales de WordPress, los complementos e inclusive la página de comienzo de sesión.
Estos son los pasos que tienen que tomarse para reducir la posibilidad de un ataque de piratas informáticos y permitir una recuperación más fácil caso de que ocurra de todas formas.
- Cómo atacan los piratas informáticos WordPress
- Asegure su sitio de WordPress con un firewall
- Defensa de WordPress contra exploits
- Fortalecimiento de la seguridad del página web
- Limite los inicios de sesión a su lugar
- Asegure su lugar de WordPress
- Actualizar todos los temas y complementos
- Cuidado con los complementos dejados
- Resguarde su sitio de WordPress de los piratas informáticos
Cómo atacan los piratas informáticos WordPress
Todas y cada una de las páginas en la web están todo el tiempo bajo ataque, así sea en el foro phpBB o en el lugar de WordPress, todas y cada una de las páginas son buscadas por piratas informáticos. No es extraño que un pirata informático escanee miles de páginas o empiece sesión cientos de veces al día.
Y eso es solo un hacker. Múltiples piratas informáticos atacan sitios web al tiempo.
Por lo general, no es un individuo que procura hackearlo. Los piratas informáticos usan software automatizado para rastrear la página web en pos de inseguridades concretas en el sitio web.
Estos programas de programa automatizados que rastrean la página web se nombran bots. Los llamo hacker bots para distinguirlos de los scraper bots (programa que intenta copiar contenido).
Asegure su sitio de WordPress con un firewall
Un cortafuegos es un programa de programa que inhabilita a un intruso. A mi parecer, el mejor cortafuegos de WordPress es un complemento llamado Wordfence.
Wordfence verifica si el accionar de un visitante del sitio web se corresponde con el de un bot abusivo. Si el bot viola algunas reglas, p. Ej. B. Si solicitud demasiados websites en escaso tiempo, Wordfence bloquea de manera automática el bot.
Wordfence también está planificado para permitir bots legítimos como Google+ y Bing en el sitio web.
Hay funciones destacadas que dejan a un editor ver qué bots están atacando un sitio y de dónde procede el bot, tal y como si es un bot malo de Amazon Web Services o Bluehost. Wordfence ofrece al editor la opción de bloquear el bot por su dirección IP, rango completo de direcciones IP o incluso por un agente de usuario de navegador falso que el bot está utilizando.
Mediante agentes de usuario (UA)
A Agente de usuario identifica la información mandada por un navegador que le afirma a un portal de internet qué navegador es (Chrome, Mozilla firefox, Vivaldi) y exactamente en qué S.O. se está ejecutando (Windows 10, Mac OS X).
Por poner un ejemplo, esta es una cadena de agente de usuario para un navegador Safari 11 en una computadora Mac OS X:
Mozilla firefox / 5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit / 605.1.15 (KHTML, como Gecko) versión / 11.1.2 Safari / 605.1.15
Los bots emplean muchos agentes de usuario diferentes para engañar y colarse en sitios web. Por poner un ejemplo, ciertos bots fingen ser un navegador en Windows XP.
La cantidad real de usuarios reales en Win XP es próxima a cero, puedo utilizar Wordfence para hacer una regla para denegar todos y cada uno de los agentes de usuario con el sistema operativo de Windows XP como sistema operativo, y con esta regla puedo bloquear una cantidad enorme de bots pésimos sin importar qué su país de origen o dirección IP.
Los robots malos en ocasiones responden cambiando a un agente de usuario diferente. Al conjuntar estas reglas, un editor tiene la posibilidad de bloquear un sinnúmero de robots piratas informáticos maliciosos.
Y eso con la versión gratuita de Wordfence.
La versión de pago puede bloquear países enteros. Por consiguiente, si no posee visitantes legítimos del página web de ciertos países, puede denegar a cualquier visitante que proceda de esos países.
Defensa de WordPress contra exploits
Además de esto, la versión paga de Wordfence lo resguardará de varios temas y complementos en compromiso de antemano antes de que se solventen esos complementos.
Tan pronto como los investigadores de Wordfence se dan cuenta un exploit, actualizan la versión premium del cortafuegos para resguardar a los suscriptores de estos exploits, a veces semanas antes que el desarrollador del complemento o tema comprometido encuentre una solución el exploit.
Fortalecimiento de la seguridad del página web
Otro complemento gratuito que da una cubierta adicional de protección tiene por nombre Sucuri Security. Sucuri (propiedad de GoDaddy) asiste para fortalecer la seguridad de WordPress para eludir que los robots maliciosos se utilicen de determinados tipos de ataques. Asimismo tiene una función de escaneo de software malicioso que comprobará todos los archivos para ver si fueron editados.
Sucuri le notificará toda vez que alguien se registre en su portal web y va a ayudar a los editores a entender si un pirata informático se está registrando. Sucuri asimismo puede avisar a un editor cuando se ha cambiado un fichero, lo que hacen los piratas informáticos.
Estas son las peculiaridades de la versión gratuita de Sucuri:
- Rastreo de las ocupaciones de seguridad.
- Supervisión de la integridad de los ficheros.
- Escaneo remoto de malware.
- Seguimiento de la lista negra.
- Endurecimiento efectivo de la seguridad.
- Cuestiones de inseguridad tras la piratería.
- Notificaciones de seguridad.
La versión paga de Sucuri incluye un cortafuegos de cibersitio.
Limite los inicios de sesión a su lugar
WordFence puede denegar bots que ingresan repetidamente nombres de usuario y claves de acceso en la página de inicio de sesión de WordPress.
No obstante, si quiere centrarse en limitar esos principios de sesión, existe un complemento llamado Limitar intentos de inicio de sesión recargados que permite a los editores bloquear automáticamente a cualquier pirata informático que ingrese un cierto número de combinaciones erradas de nombre y contraseña.
Por poner un ejemplo, puede configurarlo a fin de que los piratas informáticos sean bloqueados después de tres intentos de acertar la contraseña.
Estas son las funciones del bloqueador de comienzo de sesión:
- Limite el número de reintentos al comenzar sesión (por IP). O sea absolutamente personalizable.
- Comunica al usuario del tiempo restante de reintento o bloqueo en la página de inicio de sesión.
- Registro opcional y notificación por e-mail opcional.
- Es viable integrar en la lista blanca / negra IP y nombres de usuario.
- Compatibilidad con cortafuegos de websites de Sucuri.
- Protección de puerta de enlace XMLRPC.
- Protección de la página de comienzo de sesión de Woocommerce.
- Compatibilidad de múltiples sitios con configuraciones MU adicionales.
- Cumple con GDPR. Si esta función está activada, todas y cada una de las IP registradas se ofuscan (md5 hash).
- Soporte para orígenes de IP customizados (Cloudflare, Sucuri, etcétera.)
El complemento Limit Login Reloaded da una forma rápida de inhabilitar hack bots que intentan acertar una contraseña.
Asegure su lugar de WordPress
Es importante tener una backup diaria de su página web automáticamente. Cualquier evento catastrófico que provoque la caída del lugar se puede restaurar desde una backup.
Existen muchas resoluciones de copia de seguridad, pero la que hallé increíblemente útil se llama UpdraftPlus WordPress Copia de seguridad Complemento. Con la seguridad de más de un par de millones de individuos, UpdraftPlus es una alternativa muy respetada.
Se puede configurar para mandar las backups diariamente por correo electrónico o en una localización de almacenamiento en la nube como Dropbox.
Una vez eliminé accidentalmente todos los archivos de diseño de un lugar y eliminé completamente el aspecto del lugar. Pero pude restaurar el sitio precisamente como estaba antes con una copia de seguridad de UpdraftPlus. Fue simple de hacer y estaba muy agradecido.
Actualizar todos los temas y complementos
Es importante actualizar siempre y en todo momento todos y cada uno de los temas y complementos. WordPress da una manera de actualizar de manera automática todos los complementos, lo que es útil para los editores o compañías que no se registran y actualizan con frecuencia.
Al activar la función de actualización automática, un editor puede estar seguro de que tiene el programa mucho más reciente. Un complemento desactualizado pertence a las primordiales causas de los ataques de piratas informáticos.
Hay razones para no habilitar la función de actualización automática, pero los negativos por lo general son extraños. Por servirnos de un ejemplo, posiblemente un complemento actualizado no sea compatible con otros complementos.
Pero para los sitios que no cambian habitualmente, esta es la La actualización automática es probablemente una buena opción.
Cuidado con los complementos dejados
Una última observación sobre complementos abandonados. Ciertos complementos pueden marchar durante años una vez que fueron dejados por sus programadores. Lo que puede suceder es que estos complementos antiguos puedan contener una vulnerabilidad. Pero gracias a que están abandonados, nunca se arreglarán.
Otro inconveniente es que los piratas informáticos a veces adquieren complementos viejos y los actualizan con software malicioso y virus.
Compruebe sus complementos de WordPress para asegurarse de que no hayan sido dejados y se actualicen de manera regular.
Resguarde su sitio de WordPress de los piratas informáticos
Para bastantes sitios web, simplemente seguir estos pequeños pasos para asegurar un portal de internet es suficiente para eludir que los websites sean pirateados. Las ediciones gratuitas de estos complementos proponen una protección excepcional y las ediciones premium ofrecen aún mucho más protección.
Hay varios complementos de seguridad y algunos de ellos poseen inseguridades. Wordfence y Sucuri son las mejores opciones de seguridad de WordPress en mi opinión.
Deja una respuesta