Proteja su cibersitio contra malware y contenido publicitario
No es sorprendente que la seguridad se haya transformado en una preocupación importante para los desarrolladores web y los dueños de websites. Debido a el reconocimiento de Internet y al nuevo tipo primordial de comunicación, investigación y compras, los controles de seguridad del portal web son necesarios para evitar la propagación de malware y contenido publicitario.
Así sea que tenga un pequeño blog personal o un enorme comercio online multinacional, siempre existe el riesgo de piratería. Algunas personas dañan y también incorporan software malicioso en su cibersitio, procuran robar información suya o de sus clientes y suprimen contenido esencial de su servidor. Necesita protegerse y resguardar su información confidencial.
Descubra en este momento qué tan seguro es su cibersitio. También compartimos algunos consejos para liberarse del malware de fruta madura que usa el creador. WordPress está ya listo para salir de la caja, pero arreglarlo necesita algo de trabajo.
- Comprobación de seguridad del portal web: ¿Por qué es esencial?
- De qué forma realizar una verificación de seguridad del sitio web
- Subscripción de correo
- Garantizar su cibersitio: consejos y herramientas
- Herramientas de seguridad del cibersitio que precisa entender
- Lista de verificación de seguridad del cibersitio
- Generalizar
Comprobación de seguridad del portal web: ¿Por qué es esencial?
Puede meditar que su cibersitio es pequeño y también sin importancia y absolutamente nadie se molesta en encontrarlo. O quizás jamás antes pensó en la seguridad y cree que da igual.
Como resultado, mucho más del 70% de las instalaciones de WordPress fueron atacables a los asaltos en 2013. Muchos de estos ataques se tienen que a programa anticuado; dado a que la mayoría de la gente no saben lo bastante o no se preocupan por resguardar sus websites, esto ha llevado a muchos hackers para atacar las instalaciones de WordPress.
¿Qué sucede si su lugar es pirateado de manera accidental? Esto no es solo un simple problema que se puede solucionar de manera fácil cambiando la contraseña.
- Posiblemente su página web haya ingresado un código que hace que los visitantes infecten su malware, que puede ser realmente difícil de conseguir y eliminar.
- Sus palabras clave tienen la posibilidad de estar rotas, en blanco o repletas de enlaces a websites ilegales.
- Esto puede conducir a la supresión de contenido como publicaciones y páginas de blogs.
- La información confidencial (como credenciales o información de la tarjeta de crédito) sobre usted, sus individuos o sus clientes puede ser robada y vendida en línea.
- El ataque podría alcanzar a otros websites del servidor.
- Si Google plus detecta software malicioso en su portal web, bloquea su empleo y lo elimina de los resultados de búsqueda, lo que estropea la optimización de buscadores web (SEO).
- El nombre de usuario y la contraseña de la cuenta de gestor se tienen la posibilidad de cambiar, lo que impide completamente el acceso al sistema back-end.
Si tiene una tienda en línea, un sitio web pirateado tiene la posibilidad de tener un gran encontronazo.
Más allá de que puede decir que su página web es irrelevante, no todos y cada uno de los ataques tienen como objetivo. Muchos asaltos de WordPress son automatizados: los robots detectan inseguridades en su página web y lanzan ataques sin intervención humana.
Por esta razón, en cualquier caso, debe tomar medidas para proteger su portal web.
¿Por qué razón se piratea WordPress?
La piratería está muy extendida, pero ¿cuáles son las vulnerabilidades más frecuentes que utilizan los piratas informáticos para irrumpir en su cibersitio?
Puede meditar que acceder a un portal de internet es un desarrollo difícil que necesita días o semanas de trabajo y un sinnúmero de conocimientos sobre PCs, codificación y servidores. Esta situación puede perjudicar los intentos dirigidos de romper la seguridad de grandes sitios web seguros, pero la situación es muy diferente para los pequeños dominios de WordPress.
La mayoría de los ataques de WordPress tienen éxito pues la gente utilizan claves de acceso fáciles de adivinar y no actualizan sus temas y extensiones. Los piratas informáticos utilizan programas automatizados para entrar a la mayoría de estos websites.
Hackear una contraseña es la manera más simple de hackear, pero es tan común porque es eficiente. Varios consideran que su inicio de sesión de WordPress es el por defecto "Administrador"que elimina la mitad de las conjeturas, y después utiliza una contraseña fácil para adivinar.
Si esto falla, los piratas informáticos explotarán inseguridades comunes en complementos populares o versiones desactualizadas de WordPress. Por eso es tan esencial mantener a todos informados.
Existen muchas formas más complicadas y también complicadas de entrar a un sitio web. Aún de este modo, la mayor parte de los asaltos de WordPress utilizan claves de acceso inseguras y software obsoleto, lo que hace que el sitio sea muy simple de emplear.
De qué forma realizar una verificación de seguridad del sitio web
El paso inicial para resguardar su sitio web: determinar qué tan seguro ya es su cibersitio. ¿Hay debilidades obvias en su sistema en background que deban arreglarse inmediatamente, o puede hacer arreglos sencillos en este momento?
Utilice herramientas online
Una manera rápida y sencilla de escanear su lugar en busca de malware y inseguridades es utilizar un escáner on line. Estos escanean su ubicación de forma remota e identifican problemas comunes. Es muy favorable porque no necesita software ni complementos y solo toma unos segundos.
Hay docenas de escáneres en Internet para elegir, enumeraremos algunos más en la sección Herramientas a continuación, pero por el momento, elegimos un escáner popular y fácil de usar: Sucuri SiteCheck.
Esta herramienta es una excelente opción por el hecho de que puede instalar el complemento Sucuri y solucionar cualquier inconveniente que observe de inmediato.
Tras escanear, Sucuri incluirá su sitio web en la lista negra, intentando encontrar problemas obvios como spam o programa desactualizado, y escaneando brevemente cualquier código que pueda emplear para detectar software malicioso. También incluye algunas sugerencias para hacer mas fuerte su sitio web contra asaltos.
Estas herramientas son un increíble punto de inicio para detectar software malicioso oculto y otros problemas.
Escanee su cibersitio con el complemento de WordPress
Si bien un escáner en línea marcha bien, lo destacado es disponer una extensión que profundice en la raíz del código y halle inseguridades o malware bien difícil de advertir.
Ahora hemos citado a las zorras como opción alternativa. Asimismo hay otros 2 complementos de seguridad populares: seguridad y firewall de WP integrados, y el complemento de seguridad de Wordfence mucho más descargado del archivo.
Después de disponer la extensión que seleccionó, posiblemente se le pida escanear en el instante. La ventaja de estas extensiones sobre los escáneres remotos es que pueden eliminar malware y efectuar cambios de forma automática.
Aguardando cambios extraños
Si sospecha o sabe que su portal web está infectado con software malicioso, en ocasiones puede ser difícil detectar la fuente. Aquí hay algunos cambios inexplicables que puede ver y los archivos que los piratas informáticos suelen extraer:
- De pronto, se vincula al sitio web de otra persona que no ha añadido
- Nuevos productos y páginas que no creó, o cambios repentinos en el contenido de las páginas que ya están.
- Cambios en la configuración que no ha realizado
- Un nuevo usuario, singularmente un usuario con permisos más altos que no ha agregado
- Extensiones o temas que no has instalado
- El programa malintencionado frecuenta introducir código malintencionado en sus archivos. Busque extensiones y archivos de temas, wp contenido / descarga Carpeta, los archivos centrales de WordPress están en el directorio incorrecto, wp-config.php, con .htaccessAntes de efectuar cambios sensibles, debe proteger su cibersitio y comprender el código.
FTP le permite conectarse a su sitio, con lo que puede organizar el código que no habría de estar allí por el último fichero que alteró.
Si su lugar se infecta regularmente con malware y no puede localizar la causa en el fichero, el inconveniente puede estar en su servidor u otros sitios en el servidor.
Asegúrate de que todo esté actualizado
Como se mencionó previamente, el software desactualizado es, con mucho, el vector de infección más común en WordPress. Si solo hay una cosa que puede llevar a cabo para resguardar su portal web, es mejor sostener WordPress actualizado.
La forma mucho más fácil de comprobar el estado de todo el programa en un sitio web es visitar tablero > renovar, Se le notificará en el momento en que un kernel, tema o extensión haya caducado.
Ya que WordPress ha realizado actualizaciones automáticas desde la versión 5.5, nada debería estar desactualizado salvo que tenga una versión desactualizada de WordPress. Si no es así, puede actualizar todo en esta pantalla.
Si sabe que hay una exclusiva versión de WordPress pero no se expone, realice click en Revísalo de nuevo Boton de abajo versión de hoy.
Asimismo puedes consultar el tuyo Conectar > Extensiones instaladas o Apariencia > tema Actualice la página.
Es esencial sostener PHP actualizado, especialmente si está usando una versión anterior a la 7.3, puesto que puede tener esenciales fallas de seguridad.
Resguarde su cuenta y contraseña
Una contraseña débil en su cuenta primordial provoca que sea mucho más simple forzar a cualquier persona a su lugar, dándoles acceso de gestor y la capacidad de cambiar cualquier cosa.
Más allá de que las claves de acceso complicadas son bien difíciles de recordar y el comienzo de sesión es más fácil, recuperar un lugar de los piratas informáticos es aún mucho más bien difícil. Definitivamente debería usar una contraseña mucho más segura, aun si tiene que escribirla.
Su contraseña debe contener letras mayúsculas y minúsculas, números y símbolos. Es mejor no recurrir a expresiones del diccionario o información personal de adivinanzas (como su dirección o los nombres de los integrantes de su familia).
Idealmente, su contraseña consta de un conjunto largo de caracteres aleatorios. Le aconsejamos que utilice la administración de claves de acceso. Utilice sitios web como 1Password o LastPass para crear una contraseña segura e imposible de adivinar.
Puede actualizar su contraseña y mail en WordPress de las siguientes formas: usuario > Todos y cada uno de los individuos O ir derecho usuario > contornosDesplácese hacia abajo y busque Mail debajo Información del contacto, con Una nueva contraseña debajo Administración de cuentas.
Si eres tu usuario Page, verifique a todos los clientes y asegúrese de que no haya clientes que no conozca o que tengan los privilegios incorrectos. Debe remover inmediatamente cualquier usuario no reconocido que tenga derechos de gestor.
Asimismo le aconsejamos que lea nuestras normas sobre de qué forma limitar el ingreso de los usuarios para que solo su cuenta logre editar archivos confidenciales en su sitio web.
Compruebe su certificado SSL
Si su certificado SSL ha caducado, en general lo sabrá de inmediato; Los navegadores como Google plus Chrome bloquean el acceso a su cibersitio y le avisan en el momento en que caduca el certificado. Si no está seguro o ha recibido este error, compruebe su certificado SSL para cerciorarse de que sea la última versión y que esté utilizando la última versión de SSL / TLS.
Cuando visita un portal de internet, ve un icono de candado en la barra de direcciones de la mayoría de los navegadores. Si su certificado ha caducado, este candado puede ser rojo o discontinuo.
Lleve a cabo click en el icono de candado y, a continuación, vuelva a hacer clic para ver la información del certificado, incluida la fecha de vencimiento.
Asimismo puede utilizar la función de verificación de certificado SSL para contrastar su lugar y cerciorarse de que su certificado no haya caducado y que no haya brechas en el protocolo SSL.
Vulnerabilidades recurrentes
Varios sitios de WordPress están llenos de pequeños vectores que se utilizan para ataques que semejan inofensivos pero que pueden proporcionar mucho más información de la que desea comunicar.
Una versión visible de WordPress en su interfaz puede reportar a los piratas informáticos sobre las inseguridades en su cibersitio. En especial si está utilizando una versión desactualizada de WordPress, es posible que desee esconder esta información.
Apreciarás debajo del editor de archivos Apariencia > Editor de temas con Conectar > Editor de complementos En tu fondo.
Más allá de que estas herramientas son muy útiles, asimismo son geniales para cualquier persona que acceda a su portal web para descifrar contenido. Por consiguiente, si desea deshabilitarlo, puede agregar esta función wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );
La inyección SQL es una manera común de llegar a un lugar. Si tiene formularios u otra entrada de usuario, restrinja el uso de letras y números especiales y permita que unicamente se carguen géneros de archivos genéricos y seguros.
Finalmente, para mayor protección, puede resguardar con contraseña el directorio de ficheros.
Garantizar su cibersitio: consejos y herramientas
Si su cibersitio contiene malware, una buena extensión de seguridad debería poder suprimirlo. Hemos abordado ciertas vulnerabilidades que debe revisar.
Disponemos otros consejos veloces para asistirlo a sostener su sitio web seguro y prevenir infecciones. Puede usar la mayor parte de estas técnicas en minutos. Aun si no está familiarizado con WordPress y la seguridad de la red, habrían de ser fáciles de disponer.
Elija un host seguro
Cuando los piratas informáticos procuran maneras de entrar a su cibersitio, generalmente recurren al servidor para conseguir las inseguridades. Existen varios servicios de hospedaje económicos, pero no siempre invierten en el servidor mucho más seguro.
El hospedaje compartido puede ser una infección. Si un portal de internet ha recibido malware, puede extenderse a cualquier sitio web del servidor. Por lo tanto, puede acabar con un sitio web lleno de virus y contenido publicitario de SEO, y ni siquiera es culpa suya.
De ahí que es esencial investigar y elegir un host que se preocupe por la seguridad y también invierta en un servidor seguro. Aún tiene trabajo por realizar para sostener su cibersitio seguro, pero a nivel de servidor, su información está segura.
Encender la verificación en dos pasos (2FA)
La verificación en dos pasos (también conocida como verificación en dos pasos o 2FA) añade un nuevo paso en el registro. Además de su nombre de usuario y contraseña, usted o alguien que finja que precisa otra información: un código agregada de una sola vez.
Puede ser un código digital enviado a su teléfono móvil, lo que hace que sea casi irrealizable transcribir su cuenta de WordPress de forma fuerte bárbara. O puede que necesite una confirmación por correo o simplemente la información que conoce.
Si bien no existe una forma dentro de habilitar la autenticación en dos pasos, muchos complementos añaden la utilidad de WordPress.
Kinsta ofrece autenticación de 2 pasos para todos y cada uno de los clientes. Si no es un usuario de Kinsta, la extensión de seguridad de Wordfence mencionada previamente tiene un 2FA incorporado. Asimismo puede probar otras herramientas de seguridad de sitios web, como: B. una extensión de dos pasos para códigos de mail o un Duo que configura la autenticación telefónica de dos pasos a través de una app.
Respaldo diario
La protección de su portal web no impide que los usuarios procuren ingresar, pero si algo pasa, protegerlo es incalculable. Esto puede representar la diferencia entre semanas o aun años de perder un trabajo y volver a poner una backup antes de piratear.
Si trabaja con Kinsta, le damos backups automáticas del día a día que se preservan durante dos semanas (30 días en el Programa de socios proxy de Kinsta). Además, puede crear cinco copias de seguridad manuales y una backup descargable cada semana, y los complementos opcionales se tienen la posibilidad de respaldar cada hora o exportarse a la nube.
Los complementos como UpdraftPlus también tienen la posibilidad de ayudar. Es mejor escoger un servicio que realice copias de seguridad por lo menos una vez al día para minimizar la pérdida de datos.
Utilice un firewall de aplicaciones web
Web Application Cortafuegos, o WAF, utiliza reglas estrictas para filtrar el tráfico entrante y poner en la lista negra las direcciones IP que se sabe que están socias con piratería informática o ataques DDoS. Puede eludir que muchos asaltos accedan a su servidor.
Si bien puede usar WAF a nivel de servidor, la manera mucho más fácil es obtener servicios en la nube como los proporcionados por Cloudflare o Sucur.
Conéctese a través de SSH o SFTP
A veces, necesita conectarse a su sitio a través de FTP para añadir o cambiar ficheros allí. Siempre es preferible emplear SFTP en lugar de FTP, la diferencia es bien simple: SFTP es seguro, pero FTP no.
Los datos no están encriptados a través de FTP. Si alguien logra interceptar la conexión entre usted y su servidor, va a ver todo, desde su comienzo de sesión FTP hasta todos los ficheros que descargue. Utilice siempre una conexión SFTP.
Posiblemente también desee estimar el uso de SSH, que le permite conectarse a un símbolo del sistema y dirigir su sitio directamente. Es seguro, fiable y puede realizar tareas sencillos de forma remota. Si tiene alguna contrariedad, nuestra guía SSH le ayudará.
Prevenir ataques DDoS
Los ataques DDoS ralentizan la velocidad de rastreo de su página web al enviar miles de peticiones falsas a su servidor para evitar que los lectores o clientes del servicio potenciales accedan a él. Ahora, se proponen ciertos avisos para detenerlos antes de que sucedan:
- Haga un plan cuando ocurra un ataque DDoS. Si necesita que le recuerden esto, no querrá que su proveedor de hosting web entre en pavor y detenga el ataque.
- Utilice una red que pueda advertir un firewall de app de tráfico falso.
- Utilice programa DDoS personalizado en particular.
- Deshabilite xmlrpc.php para evitar que aplicaciones de terceros accedan a su servidor.
- Deshabilite la API REST para individuos públicos.
Prevenir ataques de fuerza bárbara
Un ataque de fuerza salvaje es similar a un ataque DDoS, pero el propósito es acertar la contraseña del administrador y también irrumpir en el sitio en vez de apagar el servidor. En otras palabras, estos también ralentizarán su sitio web.
- WAF también puede filtrar el tráfico robótico y los intentos flagrantes de fuerza salvaje.
- Utilice la verificación en 2 pasos para su cuenta de administrador.
- Configure el registro de actividad y preste particular atención a los intentos de inicio de sesión no autorizados.
- Cambie la URL de la página de comienzo de sesión y limite el número de intentos de comienzo de sesión.
- Proteja con contraseña su página de inicio de sesión.
- Utilice una contraseña extendida generada al azar y cámbiela una vez por año.
Herramientas de seguridad del cibersitio que precisa entender
Aparte de lo previo, aquí existen algunas herramientas de seguridad on-line que puede utilizar para bloquear su portal web:
- Intruder.io: halla los últimos agujeros de seguridad.
- Pruebas de servidor SSL: una herramienta de avance para analizar un certificado SSL e detectar inseguridades.
- Limpiador de HTML: filtra el código malicioso / XSS. Si tiene un código infectado que precisa limpieza, esto es genial.
- Observatorio Mozilla: proposiciones viables para emprender vulnerabilidades de código recurrentes.
- sqlmap: una herramienta de prueba de intrusiones que identifica vulnerabilidades en el código SQL.
- Identificar: escanee su app web con piratas informáticos éticos.
- WPScan: escáner de WordPress apoyado en CLI.
- SonarQube: escriba código estándar sin orificios de seguridad.
Lista de verificación de seguridad del cibersitio
¿Tu portal web es seguro? Asegúrese de haber verificado prácticamente toda la información de esta lista:
- ¿Está utilizando un entorno de host seguro y de alta calidad?
- ¿Usa complementos o escáneres online para escanear su portal web en pos de virus?
- ¿Instaló el registro de actividad y lo ha supervisado para advertir cambios anormales?
- ¿Utilizan usted y todos los individuos con mayores privilegios contraseñas seguras y autenticación de 2 pasos? ¿Son adecuados todos y cada uno de los e-mails?
- ¿Están actualizados los sistemas latentes como WordPress, sus temas y extensiones y PHP?
- ¿El certificado SSL es seguro y está actualizado?
- ¿Ha revisado los enlaces que agregó a sitios web, configuraciones o archivos en busca de cambios, eliminaciones o adiciones incomprensibles?
- ¿Su página de inicio de sesión está protegida con contraseña y tiene intentos de inicio de sesión limitados?
- ¿Busca nuevos usuarios que no se hayan añadido?
- ¿Son seguros los formularios, los campos de comentarios y otras fuentes de entrada del usuario? (Los letras y números destacables están prohibidos y las descargas de archivos están limitadas a géneros de archivos populares).
- Has discapacitado xmlrpc.php ¿Y la API REST para impedir ataques DDoS?
- ¿Ha desactivado la edición de temas y extensiones en la pantalla agregada?
- ¿Tiene un servicio de respaldo diario?
- ¿Ha instalado un firewall de apps web?
Generalizar
La seguridad del cibersitio no es un asunto trivial. Entonces, si aún no los domina, es hora de ponérselos primero. La piratería no solo es molesta: puede provocar daños en el SEO, pérdida destructora de datos, pérdida de la seguridad del usuario y el regreso del software malicioso constantemente.
No es requisito que sea un creador experto para realizar algunos pasos auxiliares para resguardar su cibersitio. Esto comienza con las comprobaciones de seguridad correctas del cibersitio. Aun cosas sencillos como seleccionar una mejor contraseña o pasar a un host mucho más seguro pueden diferenciarse.
¿Precisas más consejos de seguridad? Conozca mucho más 19 maneras de resguardar su portal web. ¡Y no dude en comunicar sus recomendaciones en los comentarios a continuación!
Ahorre tiempo, dinero y maximice el rendimiento del sitio:
- Asistencia inmediata de especialistas en alojamiento de WordPress, 24 horas cada día, 7 días por semana.
- Integración de Cloudflare.
- La audiencia global incluye 28 centros de datos en todo el mundo.
- Utilice la supervisión dentro del desempeño de las aplicaciones para optimizar.
Todo lo mencionado y más en un plan sin contratos en un largo plazo, asistencia migratoria y garantía de devolución de dinero de 30 días. Consulte los proyectos o hable con un representante de ventas para localizar un plan que funcione para usted.
Deja una respuesta