De qué manera proteger un sitio de WordPress de los piratas informáticos

WordPress es una meta común para los piratas informáticos. Los piratas informáticos se dirigen al tema, los archivos primordiales de WordPress, los complementos e incluso la página de comienzo de sesión.

Estos son los pasos que deben tomarse para achicar la posibilidad de un ataque de piratas informáticos y permitir una restauración más fácil en el caso de que ocurra de todas formas.

Cómo atacan los piratas informáticos WordPress

Todas las páginas en la web están constantemente bajo ataque, así sea en el foro de discusión phpBB o en el sitio de WordPress, todas las páginas son buscadas por piratas informáticos. No es extraño que un pirata informático escanee una cantidad enorme de páginas o inicie sesión cientos de ocasiones al día.

Y eso es solo un hacker. Varios piratas informáticos atacan sitios web al mismo tiempo.

Por lo general, no es un individuo que procura hackearlo. Los piratas informáticos usan software automatizado para rastrear la web en pos de vulnerabilidades concretas en el sitio.

Estos programas de programa automatizados que rastrean la página web se denominan bots. Los llamo pirata informático bots para distinguirlos de los scraper bots (programa que intenta copiar contenido).

Asegure su sitio de WordPress con un cortafuegos

Un cortafuegos es un programa de software que bloquea a un intruso. A mi parecer, el más destacable cortafuegos de WordPress es un complemento llamado Wordfence.

Wordfence comprueba si el comportamiento de un visitante del página web se corresponde con el de un bot abusivo. Si el bot viola ciertas reglas, p. Ej. B. Si consulta bastantes sitios web en poco tiempo, Wordfence inhabilita automáticamente el bot.

Wordfence también está programado para permitir bots lícitos como Google+ y Bing en el sitio.

Hay funciones avanzadas que dejan a un editor ver qué bots están atacando un lugar y de dónde viene el bot, tal y como si es un bot malo de Amazon Web Services o Bluehost. Wordfence proporciona al editor la opción de denegar el bot por su dirección IP, rango completo de direcciones IP o aun por un agente de usuario de navegador falso que el bot está usando.

Por medio de agentes de usuario (UA)

A Agente de usuario identifica la información mandada por un navegador que le dice a un sitio web qué navegador es (Chrome, Firefox, Vivaldi) y exactamente en qué sistema operativo se está ejecutando (Windows 10, Mac OS X).

Por servirnos de un ejemplo, esta es una cadena de agente de usuario para un navegador Safari 11 en una computadora Mac OS X:

Mozilla firefox / 5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit / 605.1.15 (KHTML, como Gecko) versión / 11.1.2 Safari / 605.1.15

Los bots emplean muchos agentes de usuario distintas para engañar y colarse en sitios web. Por poner un ejemplo, algunos bots fingen ser un navegador en Windows XP.

La cantidad real de usuarios reales en Win XP es cercana a cero, puedo utilizar Wordfence para crear una regla para denegar todos los agentes de usuario con Windows XP como sistema operativo, y con esta regla puedo denegar una cantidad enorme de bots malos pase lo que pase su país de origen o dirección IP.

Los robots pésimos a veces responden cambiando a un agente de usuario diferente. Al conjuntar estas reglas, un editor tiene la oportunidad de denegar un sinnúmero de robots piratas informáticos maliciosos.

Y eso con la versión gratis de Wordfence.

La versión de pago puede bloquear países enteros. Por ende, si no tiene visitantes legítimos del sitio web de ciertos países, puede bloquear a cualquier visitante que provenga de esos países.

Defensa de WordPress contra exploits

Además de esto, la versión paga de Wordfence lo protegerá de varios temas y complementos en compromiso de antemano antes que esos complementos sean reparados.

Tan rápido como los investigadores de Wordfence se dan cuenta un exploit, actualizan la versión premium del cortafuegos para resguardar a los suscriptores de estos exploits, a veces semanas antes de que el desarrollador del complemento o tema puesto en compromiso solucione el exploit.

Fortalecimiento de la seguridad del portal web

Otro complemento gratis que da una capa adicional de protección lleva por nombre Sucuri Security. Sucuri (propiedad de GoDaddy) contribuye a hacer mas fuerte la seguridad de WordPress para eludir que los robots maliciosos se aprovechen de determinados tipos de ataques. También tiene una función de escaneo de software malicioso que verificará todos los archivos para ver si han sido editados.

Sucuri le notificará toda vez que alguien se registre en su sitio web y ayudará a los editores a comprender si un pirata informático se está registrando. Sucuri asimismo puede notificar a un editor en el momento en que se cambió un archivo, lo que hacen los piratas informáticos.

Estas son las especificaciones de la versión gratis de Sucuri:

• Rastreo de las ocupaciones de seguridad.
• Supervisión de la integridad de los archivos.
• Escaneo remoto de malware.
• Seguimiento de la lista negra.
• Endurecimiento efectivo de la seguridad.
• Cuestiones de inseguridad después de la piratería.
• Notificaciones de seguridad.

La versión paga de Sucuri incluye un firewall de sitio web.

Limite los inicios de sesión a su ubicación

WordFence puede denegar bots que ingresan repetidamente nombres de usuario y claves de acceso en la página de comienzo de sesión de WordPress.

Sin embargo, si quiere centrarse en limitar esos principios de sesión, hay un complemento llamado Limitar intentos de comienzo de sesión recargados que deja a los editores denegar automáticamente a cualquier pirata informático que ingrese un cierto número de combinaciones fallidas de nombre y contraseña.

Por poner un ejemplo, puede configurarlo para que los piratas informáticos sean bloqueados tras tres intentos de adivinar la contraseña.

Estas son las funciones del bloqueador de inicio de sesión:

• Limite el número de reintentos al iniciar sesión (por IP). Esto es totalmente personalizable.
• Informa al usuario del tiempo restante de reintento o bloqueo en la página de comienzo de sesión.
• Registro opcional y notificación por correo electrónico opcional.
• Es posible integrar en la lista blanca / negra IP y nombres de usuario.
• Compatibilidad con cortafuegos de sitios web de Sucuri.
• Protección de puerta de link XMLRPC.
• Protección de la página de comienzo de sesión de Woocommerce.
• Compatibilidad de múltiples sitios con configuraciones MU auxiliares.
• Cumple con GDPR. Si esta función está activada, todas y cada una de las IP registradas se ofuscan (md5 hash).
• Soporte de orígenes de IP customizados (Cloudflare, Sucuri, etcétera.)

El complemento Limit Login Reloaded da una forma rápida de inhabilitar hack bots que intentan adivinar una contraseña.

Asegure su sitio de WordPress

Es importante tener una backup diaria de su portal web automáticamente. Cualquier acontecimiento catastrófico que provoque la caída del sitio se puede restaurar desde una backup.

Hay muchas soluciones de copia de seguridad, pero la que hallé extremadamente útil se llama UpdraftPlus WordPress Backup Plugin. Con la confianza de más de dos millones de usuarios, UpdraftPlus es una alternativa muy reconocida.

Se puede modificar para enviar las backups diariamente por mail o en una localización de almacenamiento en la nube como Dropbox.

Una vez eliminé accidentalmente todos y cada uno de los ficheros de diseño de un sitio y eliminé por completo el aspecto del lugar. Pero pude restaurar el ubicación exactamente como estaba antes con una backup de UpdraftPlus. Fue fácil de llevar a cabo y estaba muy complacido.

Actualizar todos y cada uno de los temas y complementos

Es esencial actualizar siempre y en todo momento todos y cada uno de los temas y complementos. WordPress da una manera de actualizar de forma automática todos los complementos, lo que es útil para los editores o compañías que no se registran y actualizan con cierta frecuencia.

Al habilitar la función de actualización automática, un editor puede estar seguro de que tiene el programa mucho más reciente. Un complemento desactualizado es una de las principales causas de los asaltos de piratas informáticos.

Hay razones para no activar la función de actualización automática, pero los negativos por lo general son extraños. Por poner un ejemplo, posiblemente un complemento actualizado no sea compatible con otros complementos.

Pero para los sitios que no cambian con cierta frecuencia, esta es la La actualización automática es probablemente una buena opción.

Precaución con los complementos abandonados

Una última observación sobre complementos dejados. Ciertos complementos pueden funcionar a lo largo de años una vez que fueron dejados por sus programadores. Lo que puede ocurrir es que estos complementos viejos logren contener una puerta de inseguridad. Pero ya que están dejados, jamás se arreglarán.

Otro inconveniente es que los piratas informáticos en ocasiones adquieren complementos antiguos y los actualizan con malware y virus.

Verifique sus complementos de WordPress para cerciorarse de que no hayan sido abandonados y se actualicen regularmente.

Proteja su lugar de WordPress de los piratas informáticos

Para bastantes sitios web, sencillamente proseguir estos pequeños pasos para garantizar un portal de internet es suficiente para evitar que los websites sean pirateados. Las versiones gratuitas de estos complementos proponen una protección inusual y las versiones premium ofrecen aún más protección.

Existen muchos complementos de seguridad y ciertos de ellos poseen vulnerabilidades. Wordfence y Sucuri son las más utilizadas opciones de seguridad de WordPress a mi parecer.

Citas

Seguridad de WordFence

Jugos de seguridad

Limite el número de intentos de inicio de sesión recargados

AufwindPlus

---

Créditos fotográficos: Paulo Bobita