Saltar al contenido
Closer Marketing

De qué manera hacer mas fuerte la seguridad de WordPress


Tratándose de seguridad, no existe un género de seguridad específico de WordPress. Todos los inconvenientes de seguridad suceden con cualquier portal web o aplicación.

Sin embargo, los inconvenientes de seguridad de WordPress son una gran preocupación, en tanto que nutre precisamente el 40% de la web y es de código abierto. Si encuentra una puerta de inseguridad en el núcleo de WordPress o en los complementos, otros sitios web que lo usan se vuelven vulnerables, puesto que todos emplean el mismo código.

Por otro lado, hay una cantidad decente de complementos que puede usar para aumentar la seguridad de su página web.

Esta columna le señala de qué forma proteger su ubicación de WordPress contra diferentes tipos de vulnerabilidades, aunque la llegada de este producto es más amplio y se aplica a todo tipo de apps web.

Protección contra los agujeros de seguridad de WordPress

Los modelos más frecuentes de inseguridades son:

  1. Puertas traseras.
  2. Trucos farmacéuticos.
  3. Intentos de comienzo de sesión por fuerza salvaje.
  4. Redirecciones perjudiciales.
  5. Secuencias de comandos entre sitios (XSS).
  6. Denegación de servicio (DDoS).

publicidad

Lee abajo

Estos son las clases de vulnerabilidades más frecuentes, pero eso no quiere decir que se limiten solo a estos. Por norma general, cuando piensa en seguridad, debe meditar en concepto de 360 ​​grados.

No hay formas limitadas de piratear un sitio web. Los atacantes tienen la posibilidad de usar muchas técnicas para entrar a su página web.

Por servirnos de un ejemplo, tienen la posibilidad de hurtar su PC y tener acceso físico a su PC. También puede emplear técnicas de vigilancia para ver sus claves de acceso en el momento en que comience sesión en su página web desde una red pública.

Observemos de qué manera podemos fortalecer nuestras instalaciones de WordPress para llevar a cabo la vida un tanto mucho más bien difícil a los atacantes.

Prosiga leyendo para obtener mucho más información sobre todas estas 16 maneras de mejorar la seguridad de su portal web de WordPress:

  1. Utilice HTTPS.
  2. Utilice siempre contraseñas seguras.
  3. Utilice el gestor de contraseñas para guardar sus contraseñas.
  4. Habilite el captcha en los formularios de registro.
  5. Evite los intentos de inicio de sesión por fuerza bruta.
  6. Utilice la autenticación de dos causantes.
  7. Mantenga los complementos actualizados.
  8. Entablar encabezados HTTP de seguridad.
  9. Establezca los privilegios de archivo correctos para los ficheros de WordPress.
  10. Desactive la edición de archivos de WordPress.
  11. Desactive todas las funcionalidades superfluas.
  12. Esconder la versión de WordPress.
  13. Instale un firewall de WordPress.
  14. Mantenga copias de seguridad.
  15. Utilice SFTP.
  16. Supervise la actividad del usuario.

1. Proteja su sitio web con HTTPS

No es una coincidencia que primero aseguremos el sitio web con HTTPS.

propaganda

Lee abajo

Todo cuanto haces fluye mediante la red y los cables. HTTP intercambia datos como artículo sin formato entre el navegador y el servidor. Por consiguiente, cualquier persona que tenga acceso a la red entre el servidor y el navegador puede ver sus datos sin cifrar.

Si no protege su conexión, existe el peligro de que los atacantes puedan revelar información confidencial. Sus datos están encriptados con HTTPS y los atacantes no pueden leer los datos transmitidos incluso si tienen acceso a su red.

Por lo tanto, el paso más importante para resguardar su página web es activar HTTPS. Si aún no ha cambiado a HTTPS, puede emplear esta guía para cambiar su WordPress a HTTPS.

Herramientas y complementos de WordPress que puede utilizar para migrar HTTP a HTTPS

  1. Sustituir mejor búsqueda.
  2. Búsqueda de banco de información y reemplazo de secuencia de comandos.

2. Utilice siempre y en todo momento contraseñas seguras

La forma más habitual en que los piratas informáticos entran a los websites es a través de contraseñas enclenques o guardadas. Estos te hacen vulnerable a los asaltos de fuerza salvaje.

Aumente su seguridad usando contraseñas mucho más seguras que algún otro método que se cuenta a continuación.

Utilice siempre y en todo momento contraseñas seguras y compruébelas con regularidad para ver si se han cumplido.

Complementos de WordPress para mejorar la seguridad de las claves de acceso:

  1. No deje que se sostenga la contraseña.
  2. Descargue el Administrador de políticas de claves de acceso.
  3. Bcrypt de contraseña.

3. Utilice el administrador de claves de acceso para almacenar sus claves de acceso

Cuando inicia sesión para trabajar en una red pública, no puede estar seguro de quién está mirando lo que escribe en su computadora portátil o grabando sus claves de acceso.

Para solucionar este inconveniente, use el gestor de contraseñas para entrar de forma fácil a sus contraseñas y guárdelas en un lugar seguro.

Incluso si se accede a su PC, no podrán obtener sus claves de acceso. Los gestores de contraseñas se basan en el navegador y no son complementos de WordPress.

Complementos del navegador de Password Manager:

  1. Último pase.
  2. 1 contraseña.
  3. Paso Norte.

publicidad

Lee abajo

4. Agregue CAPTCHA al formulario de inicio de sesión y registro

Si ha protegido su portal web con HTTPS y ha utilizado claves de acceso seguras, le hizo la vida bastante difícil a los piratas informáticos.

Sin embargo, puede llevarlo a cabo aún mucho más difícil agregando CAPTCHA a los formularios de inicio de sesión.

Los captchas son una increíble manera de resguardar sus formularios de registro de los asaltos de fuerza bárbara.

Complementos para agregar captcha al comienzo de sesión de WordPress:

  1. Iniciar sesión No Captcha reCAPTCHA.
  2. Seguridad de comienzo de sesión reCAPTCHA.

5. Protéjase contra los intentos de comienzo de sesión por fuerza bruta

Login CAPTCHA te resguarda de los intentos de fuerza bruta hasta cierto punto, pero no totalmente. Una vez que se resuelven los tokens de captcha, suelen ser válidos a lo largo de unos minutos.

propaganda

Lee abajo

Por ejemplo, Google plus reCaptcha es válido por 2 minutos. Los atacantes pueden utilizar estos dos minutos para realizar intentos de comienzo de sesión de fuerza salvaje en su formulario de inicio de sesión a lo largo de este tiempo.

Para resolver este problema, debe bloquear los intentos errados de inicio de sesión por dirección IP.

Complementos de WordPress para prevenir ataques de fuerza bruta:

  1. WP limita los intentos de comienzo de sesión.
  2. Limite el número de intentos de inicio de sesión recargados.

6. Configure la autenticación de 2 causantes (2FA)

Con contraseñas seguras y Captcha en los formularios de registro, está mejor protegido, sí.

Pero, ¿qué pasa si los piratas informáticos utilizan métodos de vigilancia y registran la contraseña que ingresó en el video para entrar a su portal web?

Si tienen su contraseña, solo la autenticación de dos causantes puede resguardar su página web de los atacantes.

Simplemente diga no a los piratas informáticos: así es como fortalece su seguridad de WordPress

Complementos de WordPress para modificar la autenticación 2FA:

  1. Dos factores.
  2. Autenticador de Google plus.
  3. Autenticación de 2 factores de WordPress (2FA, MFA).

propaganda

Lee abajo

7. Sostenga actualizado el núcleo y los complementos de WordPress

Las inseguridades son recurrentes para el núcleo y los complementos de WordPress, y cuando ocurren, se encuentran y también informan. Asegúrese de actualizar sus complementos con la última versión para evitar que los sitios web sean pirateados mediante orificios populares y también informados en los archivos.

No aconsejaría cambiar a la actualización automática, en tanto que podría dañar sus sitios sin su conocimiento.

Pero yo poderosamente recomendado que habilite las actualizaciones menores del núcleo de WordPress añadiendo esta línea de código en wp-config.php, en tanto que estas actualizaciones poseen parches de seguridad para el núcleo.

define( 'WP_AUTO_UPDATE_CORE', 'minor' );

8. Configure los encabezados HTTP de seguridad.

Los encabezados de seguridad proporcionan una capa agregada de protección al limitar las acciones que se pueden efectuar entre el navegador y el servidor cuando se navega por un portal de internet.

Los encabezados de seguridad están diseñados para proteger contra ataques de clickjacking y cross-site scripting (XSS).

Los encabezados de seguridad son:

  • Rigor Seguridad del transporte (HSTS).
  • Política de seguridad de contenido.
  • Opciones de X-frame.
  • Opciones de género de contenido X.
  • Obtén encabezados de metadatos.
  • Política de remitentes.
  • Control de caché.
  • Eliminar datos del lugar.
  • Política de funciones.

propaganda

Lee abajo

No vamos a entrar en todas y cada una de las afirmaciones de encabezado de seguridad, pero aquí hay algunos complementos para contribuir a solventarlos.

Complementos de WordPress para activar encabezados de seguridad:

  1. Encabezados HTTP para mejorar la seguridad del página web.
  2. Cabecera de seguridad GD.

9. Configure los privilegios del archivo correctos para los ficheros de WordPress

Los privilegios del archivo son reglas para el sistema operativo que aloja sus archivos de WordPress. Estas reglas determinan de qué forma se pueden leer, modificar y realizar los archivos. Esta medida de seguridad es fundamental, en especial si está alojando un portal de internet en un hosting compartido.

Si un sitio web es pirateado en hospedaje compartido, los atacantes configurados incorrectamente pueden acceder a los ficheros de su cibersitio y leer todo el contenido allí, especialmente wp-config.php, y obtener ingreso terminado a su sitio web.

  • Todos y cada uno de los archivos han de ser 644.
  • Todas y cada una de las carpetas deben ser 775.
  • wp-config.php ha de ser 600.

publicidad

Lee abajo

Las reglas anteriores significan que su cuenta de usuario de alojamiento puede leer y cambiar archivos y el servidor web (WordPress) puede cambiar, eliminar y leer ficheros y carpetas.

Otros clientes no tienen la posibilidad de leer el contenido de wp-config.php. Si la configuración 600 para wp-config.php está cerrando su página web, cámbiela a 640 o 644.

10. Deshabilite la edición de archivos de WordPress

Es una característica muy conocida en WordPress que puede editar archivos desde el backend de administración.

Realmente no es necesario ya que los desarrolladores emplean SFTP y raras veces lo usan.

Simplemente diga no a los piratas informáticos: así es como fortalece su seguridad de WordPress

11. Desactive todas y cada una de las funcionalidades superfluas

WordPress tiene muchas especificaciones que es posible que no necesite en lo más mínimo. Por poner un ejemplo, el punto final XML-RPC se creó en WordPress para comunicarse con apps externas. Los atacantes podrían emplear este punto y final para principios de sesión de fuerza bárbara.

propaganda

Lee abajo

Deshabilite XML-RPC con el complemento Deshabilitar XML-RPC-API.

Otro inconveniente que WordPress ha incorporado es proporcionar un punto final de API REST para enumerar a todos y cada uno de los individuos en el sitio web.

Si agrega «/ wp-json / wp / v2 / users» a una instalación de WordPress, va a ver una lista de nombres de usuario e ID de usuario como datos JSON.

Deshabilite la API REST de los usuarios agregando esta línea de código a functions.php

function disable_users_rest_json( $response, $user, $request )

 return '';

add_filter( 'rest_prepare_user', 'disable_users_rest_json', 10, 3 );

12. Ocultar la versión de WordPress

WordPress introduce de forma automática un comentario con la versión de WordPress en el código HTML de la página. Le da al atacante la versión de su WordPress instalado como información adicional.

Simplemente diga no a los piratas informáticos: así es como fortalece su seguridad de WordPress

Por servirnos de un ejemplo, si está utilizando una versión de WordPress cuyo núcleo tiene una puerta de inseguridad, el atacante sabrá que puede usar la tecnología informada para piratear su portal web.

propaganda

Lee abajo

Esconda las metaetiquetas de la versión de WordPress con estos complementos:

  1. Eliminador de información de versión y metagenerador.
  2. Removedor de generador de WP de Dawsun.

13. Instale un cortafuegos de WordPress

Un cortafuegos es una aplicación web que se ejecuta en websites y examina las peticiones HTTP entrantes. Emplea una lógica delicada para filtrar las peticiones que pueden representar una amenaza.

Puede modificar sus reglas aparte de las reglas incorporadas del firewall para denegar solicitudes. Entre los tipos de ataque más frecuentes es la inyección de SQL.

Por servirnos de un ejemplo, afirmemos que está corriendo un complemento de WordPress que es predispuesto a las inyecciones de SQL y no lo sabe. Si usa un cortafuegos, el atacante no puede piratear el sitio incluso si conoce el agujero de seguridad en el complemento.

Esto se origina por que el firewall inhabilita las consultas que poseen inyecciones de SQL.

Los cortafuegos bloquean estas peticiones de la IP y evitan que lleguen sucesivas peticiones peligrosas. Los firewalls asimismo pueden prevenir los ataques DDoS al detectar y bloquear demasiadas solicitudes de una sola IP.

publicidad

Lee abajo

También es viable realizar firewalls de nivel DNS antes de que se efectúen peticiones a un servidor web. Un caso de muestra es el firewall DNS de Cloudflare.

El beneficio de este método es que es más robusto contra los asaltos DDoS.

Los firewalls de nivel de app que se ejecutan en el servidor permiten que las peticiones HTTP lleguen al servidor web y después lo bloqueen. Eso quiere decir que el servidor está gastando algunos recursos de únidad central de procesamiento / RAM para bloquearlos.

Con firewalls a nivel de DNS, no consumen elementos del servidor y, por consiguiente, son más resistentes a los ataques.

Complementos de cortafuegos de WordPress que puede usar:

  1. Seguridad de Wordfence.
  2. Jugos
  3. Todo en un cortafuegos y seguridad WP.
  4. Seguridad a prueba de balas.
  5. Escudo de seguridad.

Nota: Si escoge disponer firewalls, es posible que tengan especificaciones como protección de fuerza salvaje en el comienzo de sesión o autenticación 2F y puede emplear sus funciones en lugar de instalar los complementos precedentes.

14. Mantenga copias de seguridad

Si lo piratean, la mejor manera de volver a poner el sitio web es volver a poner la última versión que no estaba infectada.

publicidad

Lee abajo

Si no mantiene copias de seguridad del portal web, limpiar el sitio puede ser un proceso que requiere un buen tiempo. En algunos casos, es posible que no resulte posible recobrar toda la información pues el malware ha eliminado todos y cada uno de los datos.

Para eludir estos niveles, realice copias de seguridad periódicas de la base de datos y los ficheros de su página web.

Pregunte a su soporte de alojamiento si proponen la función de backup diaria y actívela. En caso contrario, puede utilizar estos complementos para ejecutar backups:

  1. BackWPup.
  2. UpdraftPlus.
  3. BackupBuddy.
  4. BlogVault.

15. Utilice SFTP

Varios programadores ahora utilizan SFTP para conectarse a servidores web, pero es importante rememorar esto en el caso de que aún no lo realice.

Al igual que HTTPS, SFTP usa cifrado para transladar ficheros a través de la red, lo que provoca que sea imposible leer artículo sin cifrar aun si tiene ingreso a la red.

propaganda

Lee abajo

16. Supervisar la actividad de los individuos

Hemos analizado muchas formas de resguardar su cibersitio de piratas informáticos desconocidos. Pero, ¿qué ocurre si uno de sus empleados que tiene ingreso al gestor del página web hace cosas turbias como añadir enlaces al contenido?

Ninguno de los métodos precedentes puede detectar a un empleado sospechoso.

Esto se puede realizar observando los registros de actividad. Si observa la actividad de cada usuario, puede hallar que uno de los empleados editó un elemento que no se encontraba destinado a ellos.

Asimismo puede investigar ocupaciones sospechosas y ver qué cambios se realizaron.

Complementos de WordPress para monitorear la actividad del usuario:

  1. Registro de ocupaciones.
  2. Registro de actividad del usuario.
  3. Registro de actividad de WP.

Tenga presente que es posible que desee limitar la proporción de tiempo (o la cantidad de registros) que estos complementos guardan. Si hay bastantes, su base de datos se sobrecargará y podría perjudicar el desempeño y la velocidad del cibersitio.

propaganda

Lee abajo

Qué llevar a cabo si te piratean

Incluso con todos y cada uno de los consejos de los expertos en seguridad y sabiendo de qué manera sostener sus websites a salvo de los asaltos, siempre suceden. todavía.

Si su cibersitio fué pirateado, estos son los pasos que debe seguir para recobrarlo:

  1. Cambie su correo y otras claves de acceso personales primero porque los piratas informáticos tienen la posibilidad de haber obtenido ingreso a su e-mail primero y, por lo tanto, tener acceso a su cibersitio.
  2. Restaure su sitio web con la última copia de seguridad no ilegal conocida.
  3. Establecer nuevamente las claves de acceso de todos y cada uno de los clientes del portal web.
  4. Actualice todos y cada uno de los complementos cuando haya actualizaciones disponibles.

graduación

Piense en 360 ° cuando se trata de seguridad. Enfatice la relevancia de la seguridad para sus usados a fin de que entiendan las secuelas que la compañía puede padecer si no siguen las reglas de seguridad.

Si es pirateado,]restaure su cibersitio desde la copia de seguridad y cambie todas y cada una de las contraseñas de su cibersitio y mails lo antes posible.

Simplemente diga no a los piratas informáticos: así es como fortalece su seguridad de WordPress



Tabla de Contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *