De qué forma resguardar un sitio de WordPress de los piratas informáticos

WordPress es un fin común para los piratas informáticos. Los piratas informáticos se dirigen al tema, los ficheros primordiales de WordPress, los complementos e inclusive la página de inicio de sesión.

Estos son los pasos que deben tomarse para reducir la oportunidad de un ataque de piratas informáticos y aceptar una recuperación mucho más simple caso de que ocurra de todos modos.

Cómo atacan los piratas informáticos WordPress

Todas y cada una de las páginas en la web están todo el tiempo bajo ataque, así sea en el foro phpBB o en el ubicación de WordPress, todas y cada una de las páginas son buscadas por piratas informáticos. No es extraño que un pirata informático escanee cientos de páginas o empiece sesión cientos y cientos de ocasiones al día.

Y eso es solo un hacker. Varios piratas informáticos atacan websites al tiempo.

Por lo general, no es un individuo que procura hackearlo. Los piratas informáticos usan software automatizado para rastrear la página web en busca de inseguridades específicas en el sitio.

Estos programas de software automatizados que rastrean la web se denominan bots. Los llamo hacker bots para distinguirlos de los scraper bots (programa que intenta copiar contenido).

Asegure su lugar de WordPress con un firewall

Un firewall es un programa de programa que bloquea a un entrometido. Bajo mi punto de vista, el mejor cortafuegos de WordPress es un complemento llamado Wordfence.

Wordfence comprueba si el comportamiento de un visitante del sitio web se corresponde con el de un bot abusivo. Si el bot viola algunas reglas, p. Ej. B. Si consulta demasiados sitios web en poco tiempo, Wordfence bloquea de forma automática el bot.

Wordfence asimismo está planificado para permitir bots lícitos como Google plus y Bing en el sitio web.

Hay funciones destacadas que permiten a un editor ver qué bots están atacando un lugar y de dónde procede el bot, tal y como si es un bot malo de Amazon Web Services o Bluehost. Wordfence da al editor la opción de bloquear el bot por su dirección IP, rango terminado de direcciones IP o aun por un agente de usuario de navegador falso que el bot está utilizando.

A través de agentes de usuario (UA)

EN Agente de usuario identifica la información mandada por un navegador que le afirma a un portal de internet qué navegador es (Google chrome, Mozilla firefox, Vivaldi) y en qué sistema operativo se está corriendo (Windows 10, Mac OS X).

Por servirnos de un ejemplo, esta es una cadena de agente de usuario para un navegador Safari 11 en una computadora Mac OS X:

Mozilla firefox / 5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit / 605.1.15 (KHTML, como Gecko) versión / 11.1.2 Safari / 605.1.15

Los bots emplean muchos agentes de usuario distintas para engañar y colarse en sitios web. Por servirnos de un ejemplo, ciertos bots fingen ser un navegador en Windows XP.

La cantidad real de clientes reales en Win XP es cercana a cero, puedo usar Wordfence para hacer una regla para bloquear todos y cada uno de los agentes de usuario con Windows XP como S.O., y con esta regla puedo bloquear miles de bots pésimos sin importar lo más mínimo qué su país de origen o dirección IP.

Los robots pésimos en ocasiones responden mudando a un agente de usuario diferente. La combinación de estas reglas le da a un editor la oportunidad de bloquear una gran cantidad de robots piratas informáticos maliciosos.

Y eso con la versión gratis de Wordfence.

La versión de pago puede bloquear países enteros. En consecuencia, si no tiene visitantes legítimos del página web de determinados países, puede denegar a cualquier visitante que provenga de esos países.

Defensa de WordPress contra exploits

Además, la versión paga de Wordfence lo protegerá de varios temas y complementos comprometidos por adelantado antes que esos complementos sean reparados.

Tan rápido como los estudiosos de Wordfence descubren un exploit, actualizan la versión premium del cortafuegos para resguardar a los suscriptores de estos exploits, en ocasiones semanas antes de que el creador del complemento o tema comprometido encuentre una solución el exploit.

Fortalecimiento de la seguridad del portal web

Otro complemento gratuito que proporciona una cubierta adicional de protección tiene por nombre Sucuri Security. Sucuri (propiedad de GoDaddy) ayuda a fortalecer la seguridad de WordPress para eludir que los bots maliciosos se aprovechen de determinados géneros de asaltos. Asimismo tiene una función de escaneo de software malicioso que verificará todos y cada uno de los archivos para ver si han sido editados.

Sucuri le notificará toda vez que alguien se registre en su portal web y ayudará a los editores a saber si un pirata informático se está registrando. Sucuri también puede avisar a un editor en el momento en que se cambió un archivo, lo que hacen los piratas informáticos.

Estas son las especificaciones de la versión gratuita de Sucuri:

• Seguimiento de las actividades de seguridad.
• Supervisión de la integridad de los ficheros.
• Escaneo recóndito de malware.
• Rastreo de la lista negra.
• Endurecimiento efectivo de la seguridad.
• Cuestiones de inseguridad después de la piratería.
• Notificaciones de seguridad.

La versión paga de Sucuri incluye un firewall de portal web.

Limite los inicios de sesión a su lugar

WordFence puede denegar bots que ingresan reiteradamente nombres de usuario y claves de acceso en la página de comienzo de sesión de WordPress.

Sin embargo, si quiere centrarse en limitar esos principios de sesión, hay un complemento llamado Limitar intentos de comienzo de sesión recargados que deja a los editores bloquear automáticamente a cualquier pirata informático que ingrese un cierto número de combinaciones fallidas de nombre y contraseña.

Por poner un ejemplo, puede configurarlo a fin de que los piratas informáticos sean bloqueados tras tres intentos de adivinar la contraseña.

Estas son las funcionalidades del bloqueador de inicio de sesión:

• Limite el número de reintentos al comenzar sesión (por IP). Esto es completamente personalizable.
• Comunica al usuario del tiempo sobrante de reintento o bloqueo en la página de inicio de sesión.
• Registro opcional y notificación por e-mail opcional.
• Es viable incluir en la lista blanca / negra IP y nombres de usuario.
• Compatibilidad con firewall de websites de Sucuri.
• Protección de puerta de enlace XMLRPC.
• Protección de la página de comienzo de sesión de Woocommerce.
• Compatibilidad de múltiples sitios con configuraciones MU adicionales.
• Cumple con GDPR. Si esta función está activada, todas las IP registradas se ofuscan (md5 hash).
• Soporte de orígenes de IP customizados (Cloudflare, Sucuri, etcétera.)

El complemento Limit Login Reloaded proporciona una manera rápida de desactivar hack bots que intentan adivinar una contraseña.

Asegure su lugar de WordPress

Es importante tener una copia de seguridad diaria de su sitio web de forma automática. Cualquier acontecimiento catastrófico que provoque la caída del lugar se puede volver a poner desde una copia de seguridad.

Hay muchas soluciones de copia de seguridad, pero la que hallé extremadamente útil lleva por nombre UpdraftPlus WordPress Backup Complemento. Con la seguridad de más de dos millones de usuarios, UpdraftPlus es una alternativa muy respetada.

Se puede modificar para enviar las copias de seguridad diariamente por correo o en una ubicación de almacenamiento en la nube como Dropbox.

Una vez eliminé de manera accidental todos los archivos de diseño de tema de un lugar y eliminé por completo el aspecto del ubicación. Pero pude restaurar el lugar exactamente como se encontraba antes con una backup de UpdraftPlus. Fue simple de llevar a cabo y se encontraba muy agradecido.

Actualizar todos los temas y complementos

Es esencial actualizar siempre todos los temas y complementos. WordPress ofrece una manera de actualizar automáticamente todos los complementos, lo que es útil para los editores o empresas que no se registran y actualizan habitualmente.

Al habilitar la función de actualización automática, un editor puede estar seguro de que tiene el programa más reciente. Un complemento desactualizado es una de las principales causas de los asaltos de piratas informáticos.

Hay razones para no activar la función de actualización automática, pero los negativos por lo general son raros. Por ejemplo, posiblemente un complemento actualizado no sea compatible con otros complementos.

Pero para los sitios que no cambian frecuentemente, el automático es La utilidad de actualización probablemente sea una buena opción.

Cuidado con los complementos abandonados

Una última observación sobre complementos abandonados. Algunos complementos pueden funcionar a lo largo de años después de que fueron dejados por sus programadores. Lo que puede ocurrir es que estos complementos viejos puedan contener una puerta de inseguridad. Pero ya que están dejados, nunca se arreglarán.

Otro problema es que los piratas informáticos a veces adquieren complementos antiguos y los actualizan con malware y virus.

Verifique todos sus complementos de WordPress para cerciorarse de que no hayan sido abandonados y se actualicen de forma regular.

Proteja su lugar de WordPress de los piratas informáticos

Para bastantes websites, simplemente continuar estos pequeños pasos para garantizar un portal de internet es suficiente para evitar que los websites sean pirateados. Las versiones gratis de estos complementos proponen una protección inusual y las versiones premium proponen aún más protección.

Existen varios complementos de seguridad, y ciertos de ellos poseen inseguridades. Wordfence y Sucuri son las mejores opciones de seguridad de WordPress bajo mi punto de vista.

Citas

Seguridad de WordFence

Jugos de seguridad

Limite el número de intentos de inicio de sesión recargados

AufwindPlus

Créditos fotográficos: Paulo Bobita