Categories
Noticias

Cómo proteger un sitio de WordPress de los hackers

WordPress es un objetivo frecuente para la piratería. Los hackers están apuntando al tema, los archivos de WordPress, los complementos y incluso la página de inicio de sesión. Estos son los pasos a tomar para que sea menos probable que sea hackeado y pueda recuperarse más fácil si aún debería suceder.

Cómo los hackers atacan a WordPress

Todos los sitios en la web están debajo Ataque constante, ya sea un foro de PHPBB o un sitio de WordPress, todos los sitios están siendo investigados por piratas informáticos. No es inusual que un pirata informático escanee miles de páginas ni intente iniciar sesión en cientos de veces al día.

y eso es solo un hacker. Los sitios están bajo ataque por varios hackers al mismo tiempo.

Por lo general, no es una persona que está tratando de hackearte. Hackers emplean software automatizado para rastrear la web para sondear para debilidades específicas en las telasITE.

Estos programas de software automatizados que se arrastran la red se llaman bots. Los llamo bots de hacker para distinguirlos de los robots de rascadores (software que intenta copiar contenido).

AnunciCementContinue Lectura a continuación

Proteja su sitio de WordPress con un firewall

Un software es un software Programa que bloquea un intruso. En mi opinión, el mejor firewall de WordPress es un complemento llamado WordFence.

Lo que hace WordFence es verificar si un comportamiento de un visitante de un sitio web coincide con el de un bot abusivo. Si el BOT rompe ciertas reglas, como pedir demasiadas páginas web en un corto período de tiempo, WordFence bloqueará automáticamente el bot.

WordFence también está programado para permitir los bots legítimos como Google y Bing en el sitio .

Hay FE avanzadoAtures que permiten a un editor ver qué bots están atacando un sitio y para ver de dónde viene el bot, como si su Bot está viniendo de servicios web de Amazon o de BlueHost, por ejemplo. WordFence proporciona al editor la capacidad de bloquear el BOT por su dirección IP, todo el rango de direcciones IP o incluso mediante un agente de usuario del navegador falso que está utilizando el bot.

sobre los agentes de usuario (UA)

AnunciCementContinue Lectura a continuación A Agente de usuario

está identificando la información que envía un navegador que le dice a un sitio web qué navegador es (Chrome, Firefox, Vivaldi) y qué sistema operativo está operando En (Windows 10, Mac OS X).

Por ejemplo, esta es una cadena de agentes de usuario para un navegador Safari 11 en una computadora Mac OS X:

 

Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebkit / 605.1.15 (khtml, como gecko) versión / 11.1.2 safari / 605.1.15

Los bots usan muchos agentes de usuarios diferentes para engañar a los sitios web y escabullirse. Por ejemplo, algunos Los bots pretenden ser un navegador en Windows XP.

La cantidad real de usuarios reales en Win XP está cerca de cero, puedo crear una regla con WordFence para bloquear a todos los agentes de usuario con Windows XP como sistema operativo y Con esa regla, puedo bloquear miles de robots malos, independientemente de qué país vienen o de dirección IP.

Los Bad Bots a veces responderán cambiando a otro agente de usuario, por lo que combinando estas reglas, un Publisher tiene una posibilidad de bloquear una amplia gama de Bad Hacker Bots.

Y eso es con la versión gratuita de WordFence.

La versión de pago puede bloquear todo COno se trata de Entonces, si no tiene visitantes legítimos de sitios de ciertos países, puede bloquear a todos los visitantes que viene de esos países.

Defensa de WordPress contra explotaciones

Además, la versión pagada de WordFence protegerá Usted tiene por antelación de muchos temas y complementos comprometidos antes de que esos complementos se fijen.

Una vez que los investigadores de WordFence son conscientes de una explotación, actualizarán la versión premium del firewall para proporcionar a los suscriptores la protección de esas hazlas, a veces semanas antes. El exploit está fijado por el tema comprometido o el desarrollador de plugin.

Endurecimiento de la seguridad del sitio web

Otro complemento libre que proporciona una capa adicional de protección se llama, Sucuri Security. Sucuri (propiedad de Godaddy) ayuda a endurecer el WordPress SECuridad para bloquear los malos bots de aprovechar ciertos tipos de ataques. También tiene una función de escaneo de malware que comprueba todos los archivos para ver si se han alterado. AnunciCementContinue Reading a continuación

Sucuri le avisará cada vez que alguien inicie sesión en su sitio, ayudando a los editores a identificar si un hacker está registrando. En. Sucuri también puede alertar a un editor si se cambió un archivo, algo que hacen los hackers.

Estas son las características de la versión gratuita de Sucuri:

“Seguridad Actividad Auditoría Monitoreo MonitoreoTremote Malware ScanningLIZLIZMIGUARIO MONITORENEFICIONAL DE SEGURIDAD DE SEGURIDAD DE MONITORIZADORIA HACK ACCIÓN DE SEGURIDAD Notificaciones de seguridad “

La versión pagada de Sucuri incluye un firewall de un sitio web.

Limitar los inicios de sesión a su sitio WordFence es capaceso Bloques de bloques que se llenan repetidamente en los nombres de usuario y las contraseñas en la página de inicio de sesión de WordPress.

, pero si desea enfocarse en la limitación de esos inicios de sesión, hay un complemento llamado, limite los intentos de inicio de sesión recargados que permiten a los editores automáticamente Bloquee todos los piratas informáticos que ingresan un número establecido de combinaciones de nombre y contraseña fallidos. Por ejemplo, puede configurarlo para bloquear a los piratas informáticos después de tres intentos de adivinar la contraseña.

son ​​las características del bloqueo de inicio de sesión:

Publicidad PublicidadContinue Lectura a continuación “Limite el número de Reintentar intentos al iniciar sesión (por cada IP). Esto es totalmente personalizable. Informe al usuario sobre los reintentos restantes o el tiempo de bloqueo en la página de inicio de sesión. Notificación de email y correo electrónico opcional. Es posible para Whitelist / Blacklist IPs y usarRnames.Sucuri Sitio web Firewall Compatibilidad.xMLRPC Gateway Protection.WoOCOMMERCE Iniciar sesión Página Protection.Multi-Site Compatibilidad con la configuración de MU adicionales. Cumple. Con esta característica encendida, todos los ips registrados se obtienen OfCustated (MD5-HAshed) .Custom IP Origins Soporte (CloudFlashare, Sucuri, etc.) “

El complemento recargado de inicio de sesión límite proporciona una forma rápida de apagar los bots que intentan Para adivinar una contraseña.

Copia de seguridad de su sitio de WordPress

Es importante crear automáticamente una copia de seguridad diaria de su sitio web. Cualquier evento catastrófico que lleva el sitio hacia abajo se puede recuperar de una copia de seguridad.

Hay muchas soluciones de copia de seguridad, pero la que he encontrado que es inmensamente útil se llama el complemento de copia de seguridad de UpdraftPlus WordPress. UpdraftPlus se confía en más de dos millones de usoRS, es una opción bien considerada.

Se puede configurar para enviar por correo electrónico las copias de seguridad cada día o enviarlas a una ubicación de almacenamiento en la nube como Dropbox.

Una vez eliminé accidentalmente todos los archivos de diseño de TEMA Desde un sitio, eliminó completamente el aspecto del sitio. Pero pude restaurar el sitio para exactamente cómo fue antes utilizando una copia de seguridad de UPDRAFTPLUS. Era fácil de hacer y estaba tan agradecido. Screenshot of WordPress Autoupdate feature AnunciCementContinue Lectura a continuación

Actualizar todos los temas y complementos Screenshot of WordPress Autoupdate feature Es importante actualizar siempre todos los temas y complementos. WordPress proporciona una forma de actualizar todos los complementos automáticamente, lo cual es conveniente para los editores o empresas que no inician sesión y no se actualizan a menudo.

Al habilitar la función AutoUpDate, se puede asegurar que el publicador mayor sea Fecha Software. Tener un complemento fuera de fecha es una de las principales causas de ser hackeado.

Hay razones por las que no permiten habilitar la función AutoUpdate, Pero los negativos tienden a suceder raramente. Por ejemplo, un complemento actualizado puede ser incompatible con otros complementos.

AnunciCementContinue Lectura a continuación

Pero para sitios que no cambian con frecuencia, la función AutoUpdate es probablemente una buena cosa para habilitar.

Cuidado de complementos abandonados

Una advertencia final sobre los complementos abandonados. Algunos complementos pueden continuar trabajando años después de haber sido abandonados por su desarrollador. Lo que puede suceder es que estos complementos antiguos pueden contener una vulnerabilidad. Pero como están abandonados, nunca se arreglará.

Otro problema es que los hackers a veces compran los viejos.Los complementos y actualizándolos con malware y virus.

Revise todos sus complementos de WordPress para asegurarse de que no se hayan abandonado y parezcan que se actualicen de manera bastante frecuente.
Proteja su sitio de WordPress Desde hackers para muchos sitios, simplemente tomar estos pequeños pasos para asegurar un sitio web es suficiente para evitar que los sitios sean hackeados. Las versiones gratuitas de estos complementos proporcionan una cantidad extraordinaria de protección y las versiones premium proporcionan aún más protección.

Hay muchos complementos de tipo de seguridad y algunos de los que realmente han contenido vulnerabilidades. WordFence y Sucuri están en mi opinión las mejores opciones para la seguridad de WordPress. AnunciCementContinue Lectura a continuación Citas

Seguridad de WordFence

HTTPS: //wordpress.org/plugins/wordfence/

◆sucuri Security

https://wordpress.org/plugins/sucuri-scanner/

Limite los intentos de inicio de sesión recargados https://wordpress.org/plugins/limit-login-attempts-reloaded/ UpdraftPlus https://wordpress.org/plugins/updraftplus/

Leave a Reply

Your email address will not be published. Required fields are marked *