Categories
Wordpress seo

Simplemente diga NO a los hackers: cómo endurecer su seguridad de WordPress

Cuando se trata de seguridad, no existe un tipo de seguridad específica de WordPress que exista. Todos los problemas con la seguridad son comunes para todos los sitios web o aplicaciones.

Los problemas de seguridad de WordPress son de gran interés, porque se alimenta de 40% de la web y es de código abierto. Cuando se encuentra una vulnerabilidad, ya sea en el núcleo o complementos de WordPress, otros sitios web que usan se vuelven vulnerables porque todos usan el mismo código.

Por otro lado, hay un número decente de complementos que puede usar Endurece la seguridad de su sitio web.

En esta columna, aprenderá cómo endurecer su sitio de WordPress contra diferentes tipos de vulnerabilidades, aunque el alcance de este artículo es más amplio y se aplica a todos los tipos de aplicaciones web.

salvaguardar contraVulnerabilidades de WordPress

Los tipos más comunes de vulnerabilidades son:

BackDoors.Pharma Hacks.Pharma intento de inicio de sesión. Redirecciones comercializadas. CROSS-sitio Scripting (XSS). Adelante de servicio (DDOS) .AdvertisementContinue leyendo Debajo

Estos son los tipos comunes de vulnerabilidades, pero eso no significa que se limiten a estos. Cuando piense en la seguridad, en general, debe pensar en una manera de 360 ​​°.

No hay un conjunto limitado de formas de piratear un sitio web. Los atacantes pueden usar muchas técnicas para acceder a su sitio.

Por ejemplo, pueden robar su PC y tener acceso físico a su computadora. También pueden usar técnicas de vigilancia para ver sus contraseñas al iniciar sesión desde una red pública a su sitio web.

Divida en cómo endurecer nuestro WordPress iNºC para hacer la vida un poco más difícil para los atacantes.

Sigue leyendo para aprender más sobre cada una de estas 16 maneras de endurecer su seguridad del sitio web de WordPress:

Use https.always use contraseñas strongass. Los gerentes puedan almacenar sus contraseñas. CAPTCHA ANTIGUO EN FORMULARIOS DE INICIO. INTENTOS DE INICIO DE FUERZA DE LA FUERZA DE FUERZA DE LA FUERZA DE LA FUERZA DE FUERZA. Mantenga los encabezados de la seguridad de la seguridad de los complementos actualizados. Configure los permisos de archivos correctos para los archivos de WordPress. Edición de archivos de WordPress.Disable todas las características innecesarias. Dia la versión de WordPress.Instale un firewall de WordPress. Mantenga las copias de seguridad. Uso de las actividades de los usuarios de SFTP.monitor.

1. Asegure su sitio con HTTPS No es por accidente que comenzaremos asegurando el sitio web con

HTTPS

. AnunciCementContinue leyendo.Bajo Todo lo que hace fluye a través de las redes y cables de cable.

HTTP

intercambia datos como texto simple entre navegador y servidor. Por lo tanto, cualquier persona que tenga acceso a la red entre el servidor y el navegador puede ver sus datos no cifrados.

Si no protege su conexión, está en riesgo de exponer datos confidenciales a los atacantes. Con HTTPS, sus datos se cifrarán y los atacantes no podrán leer los datos transmitidos incluso si tienen acceso a su red. Por lo tanto, el paso número uno para asegurar su sitio web está permitiendo HTTPS. Si aún no se ha mudado a HTTPS, puede usar esta guía a

Mueva su WordPress a HTTPS

.

TOUROS Y CIRPINOS DE WORDPRESS Puede usar para migrar HTTP a HTTPS

Mejor búsqueda Reemplace

.

Database busca y reemplaza el script

. 2. Siempre use contraseñas sólidas

La forma más común de los sitios web de acceso a los hackers es a través de contraseñas débiles o pwned. Estos lo hacen vulnerable a los ataques de fuerza bruta.

Mejore su seguridad utilizando contraseñas sólidas más de cualquier otra forma que se enumeran a continuación. Siempre use contraseñas sólidas y revise regularmente si han sido pwned . Funciones de WordPress para mejorar la seguridad de las contraseñas:

No permitir la contraseña de PWned

.

Descargue la contraseña de Policy Manager

.

Contraseña BCIRPT

.

3. Use los administradores de contraseñas para almacenar sus contraseñas

cuando inicie sesión mientras trabaja desde una red pública, no puede estar seguro de quién está observando lo que está escribiendo en su computadora portátil o grabando sus contraseñas. en oDer Para resolver este problema, use administradores de contraseñas para acceder fácilmente a sus contraseñas y almacenarlas en un lugar seguro. Incluso si se accede a su PC, no podrá obtener sus contraseñas. Los administradores de contraseñas son complementos basados ​​en el navegador y no de WordPress.

Administrador de contraseñas Administrar el navegador Añade:

LastPass

.

1PassWord

. Just Say No to Hackers: How to Harden Your WordPress Security NordPass

. AnuncioContinue leyendo a continuación 4. Agregue CAPTCHA en el formulario de inicio de sesión y registro Just Say No to Hackers: How to Harden Your WordPress Security Cuando haya asegurado su sitio web con HTTPS y usó contraseñas fuertes, ya ha hecho que la vida sea bastante difícil.

, pero puedes hacerlo Aún más difícil agregando captcha a los formularios de inicio de sesión.

CAPTCHA son una excelente manera de proteger sus formularios de inicio de sesión contra los ataques de fuerza bruta.

Complementos para agregar CAPTCHA en el inicio de sesión de WordPress:

Inicie sesión No CAPTCHA REPAPTCHA

.

INICIO DE SEGURIDAD DE SEGURIDAD . 5. Proteger de los intentos de inicio de sesión de la fuerza bruta El inicio de sesión CAPTCHA le dará protección contra los intentos de fuerza bruta hasta cierto punto, pero no completamente. A menudo, una vez que se resuelven tokens de CAPTCHA, son válidas por unos minutos.

AnunciCementContinue La lectura a continuación

Google Recaptcha, por ejemplo, es válida durante 2 minutos. Los atacantes pueden usar esos dos minutos para probar intentos de inicio de sesión de fuerza bruta a su formulario de inicio de sesión durante ese tiempo.

Para resolver este problema, debe bloquear los intentos fallidos de inicio de sesión por dirección IP.

Los complementos de WordPress para evitar ataques de fuerza bruta:

Intentos de inicio de sesión límite de WP

. Just Say No to Hackers: How to Harden Your WordPress Security Limite los intentos de inicio de sesión recargados

. 6. Configuración de autenticación de dos factores (2FA) Just Say No to Hackers: How to Harden Your WordPress Security Con contraseñas seguras y CAPTCHA en los formularios de inicio de sesión, está más protegido, sí.

, pero ¿qué pasa si los hackers utilizaban los métodos de vigilancia y registraron la contraseña que escribió? Video Para acceder a su sitio web? Si tienen su contraseña, solo la autenticación de dos factores puede proteger su sitio web de los atacantes.

complementos de WordPress para configurar la autenticación 2FA:

Dos factores

. Autenticador de Google .

Forma de WordPress Dos factores (2FA, MFA)

 .AdervisementContinue Lectura a continuación 

7. Mantenga el núcleo de WordPress y los complementos actualizados

Vulnerabilidades

Ocurre a menudo para el núcleo y los complementos de WordPress, y cuando se encuentran y se informan. Asegúrate de actualizarTE Sus complementos con la última versión para evitar que los sitios web sean hackeados de los agujeros conocidos e informados en archivos.

No recomendaría cambiar a la actualización automática, ya que podría resultar en romper sus sitios web sin su conocimiento.

Pero

recomienda encarecidamente

que habilita las actualizaciones menores de WordPress Core agregando esta línea de código en wp-config.php, ya que estas actualizaciones incluyen parches de seguridad para el núcleo. Define (‘wp_auto_update_core’, ‘menor’); 8. Establezca los encabezados HTTP de seguridad

Los encabezados de seguridad aportan una capa adicional de protección al restringir las acciones que se pueden realizar entre el navegador y el servidor cuando uno navega por el sitio web.

Los encabezados de seguridad tienen como objetivo proteger contra Clickjacking y Scripting cruzado (Los ataques de XSS).

Los encabezados de seguridad son:

Strict-Transport-Security (HSTS) .Content-Security-Poly-Security-Security-Poly-shap-options.x-content-opt option-opt options.fetch metadata encabezados. Referencia-Política. Cache-Control.Clear-Site-Data.Feature-Policy.AdvertisementContinue Lectura A continuación

No vamos a profundizar en cada explicación de encabezado de seguridad, pero aquí hay algunos complementos para solucionarlos.

Los complementos de WordPress para habilitar los encabezados de seguridad:

encabezados HTTP para mejorar la seguridad del sitio web

.

Cabeceros de seguridad de GD

.

9. Establezca los permisos de archivos correctos para los archivos de WordPress

Los permisos de archivos Just Say No to Hackers: How to Harden Your WordPress Security son ​​reglas en el sistema operativo que aloje sus archivos de WordPress; Estas reglas establecen cómo se pueden leer, editar y ejecutar los archivos. Esta medida de seguridad es esencial, especialmente cuando alberga un sitio web en HO compartidoSting.

Si se establece incorrectamente, cuando se hackean un sitio web en el alojamiento compartido, los atacantes pueden acceder a los archivos en su sitio web y leer cualquier contenido allí, específicamente WP-CONFIG.PHP, y obtener acceso completo a su sitio web. Just Say No to Hackers: How to Harden Your WordPress Security Todos los archivos deben ser 644.Las carpetas deben ser 775.WP-CONFIG.PHP deben ser 600.AdVerisementContinue Lecturas a continuación Las reglas anteriores significan que su cuenta de usuario de alojamiento puede leer y modificar los archivos y el servidor web (WordPress) puede modificar , elimine y lee archivos y carpetas.

Otros usuarios no pueden leer el contenido de WP-CONFIG.PHP. Si la configuración 600 para WP-CONFIG.PHP toma su sitio web, modifícalo a 640 o 644.

10. Deshabilitar la edición de archivos de WordPress

Es una función conocida en WordPress que puede editar archivos del backend de administrador.

Es reaLly no es necesario porque los desarrolladores usan SFTP y rara vez usan esto.

 

11. Desactive todas las funciones innecesarias

WordPress viene con muchas características que es posible que no necesite en absoluto. Por ejemplo, se creó el punto final XML-RPC en WordPress para comunicarse con aplicaciones externas. Los atacantes pueden usar este punto final para los inicios de sesión de la fuerza bruta.

advertisementcontinue Lectura a continuación

Deshabilitar XML-RPC utilizando el complemento

Deshabilitar XML-RPC-API Just Say No to Hackers: How to Harden Your WordPress Security.

Otro problema que WordPress Ha incorporado es proporcionar un punto final de API de descanso para enumerar a todos los usuarios en el sitio web. Just Say No to Hackers: How to Harden Your WordPress Security Si agrega “/ wp-json / wp / v2 / usuarios” a cualquier instalación de WordPress, verá una lista de los nombres de usuario y las identificaciones de usuario como datos de JSON.

Desactive los usuarios de REST-API agregando esta línea de código a Funtions.php

FUNCIÓN DESABLE_USER_UST_REST_JSON ($ Respuesta, $ usuario, $ Solicitud) {return ”;} add_filter (‘resto_prepare_user’, ‘desable_users_rest_json’, 10, 3); 12. Ocultar la versión de WordPress WordPress automáticamente inyecta un comentario con la versión de WordPress en el HTML de la página. Le da al atacante la versión de su WordPress instalada como información adicional.

Por ejemplo, si está utilizando una versión de WordPress cuyo núcleo Se informó que tenía una vulnerabilidad, el atacante sabe que puede usar la técnica reportada para hackear su sitio web.

AnunciCementContinue Lectura a continuación

Ocultar etiquetas meta de WordPress Versión usando estos complementos:

Generador meta y información de la versión Removedor .

Removedor de generador WP por DAWSUN

.

13. Instale un firewall de WordPress

Un firewall es una aplicación web que se ejecuta en sitios web y analiza las solicitudes HTTP entrantes. Aplica la lógica sofisticada para filtrar las solicitudes que potencialmente pueden ser una amenaza.

Se puede configurar sus reglas en la parte superior de las reglas incorporadas del firewall para bloquear las solicitudes. Uno de los tipos comunes de ataques es la inyección de SQL.

Diga que ejecuta un complemento de WordPress que es vulnerable a las inyecciones de SQL y no lo sabe. Si ejecuta un firewall, incluso si el atacante conoce la falla de seguridad en el complemento, no podrá hackear el sitio web. Esto se debe a que el firewall bloqueará las solicitudes que contienen inyecciones de SQL. Los firewalls bloquearán aquellas solicitudes de la IP y evitarán que sucesivasQuests de venir. Los firewalls también pueden prevenir los ataques de DDOS al detectar demasiadas solicitudes de una sola IP y bloquearlas. AnunciCementContinue Lectura a continuación También es posible ejecutar firewalls de nivel DNS que se ejecutan antes de que se realicen solicitudes. Un ejemplo es Firewall DNS de CloudFlare .

La ventaja de este método es que es más robusto contra los ataques de DDOS.

Firewalls de nivel de aplicación que se ejecutan en el servidor. HTTP Las solicitudes golpean el servidor web y luego lo bloquean. Eso significa que el servidor pasa algunos recursos de CPU / RAM para bloquearlos.

Con firewalls de nivel DNS, no gasta los recursos del servidor, por lo que es más sostenible a los ataques.

Firewall de WordPress. Puede usar:

Seguridad de WordFence

.

Sucuri . Todos en un WP Security & Firewall . Seguridad a prueba de balas . Seguridad de escudo . Nota: Si decide instalar firewalls, pueden tener características como Inicie sesión Protección de la fuerza bruta o la autenticación 2F y puede usar sus funciones en lugar de instalar los complementos mencionados anteriormente.

14. Mantenga las copias de seguridad

Si se hace hackeado, la mejor manera de recuperarse es restaurar el sitio web desde la última versión que no estaba infectada.

AnunciCementContinue leyendo a continuación

Si no almacena las copias de seguridad del sitio web. , la limpieza del sitio web puede ser una operación que consume mucho tiempo. Y en algunos casos, puede que no sea posible restaurar toda la información porque el malware borró todos los datos.

Para evitar dichos escenarios, realizan copias de seguridad regulares de su base de datos de sitios weby los archivos.

Consulte con su asistencia de alojamiento, ya sea que proporcionen la funcionalidad diaria de copias de seguridad y le permiten. Si no, puede usar estos complementos para ejecutar copias de seguridad:

BackWPUP

.

UpdraftPlus

.

BackupBuddy

.

Blogvault . 15. Use SFTP Muchos desarrolladores ya usan SFTP para conectarse a servidores web, pero es importante hacer un recordatorio de esto, en caso de que aún no lo haga. Como HTTPS, SFTP Utiliza el cifrado para transferir archivos a través de la red, lo que hace que sea imposible leer un texto sin formato, incluso si uno tiene acceso a la red.

AnunciCementContinue leyendo a continuación

16. Monitorear la actividad de los usuarios

Hemos discutido muchas formas de asegurar su sitio web de piratas informáticos desconocidos. Pero, ¿qué pasa cuando uno de sus empleados que tiene acceso a las webs?¿El administrador de ITE hace cosas con sombra, como agregar enlaces en el contenido?

Ninguno de los métodos anteriores es capaz de detectar un empleado sombreado.

que se puede hacer al ver registros de actividades. Al analizar la actividad de cada usuario, es posible que uno de los empleados editó un artículo que no se suponía. También puedes investigar la actividad que se vea sospechosa y ver qué cambios se hicieron.

Los complementos de WordPress para monitorear la actividad de los usuarios:

Registro de actividades

.

Registro de actividad del usuario

. Registro de actividades WP Just Say No to Hackers: How to Harden Your WordPress Security. Tenga en cuenta que Es posible que desee limitar el período (o el número de registros), estos complementos se mantengan. Si hay demasiados, sobrecargará su base de datos y puede afectar el rendimiento y la velocidad del sitio web. Just Say No to Hackers: How to Harden Your WordPress Security AnuncioContinue leyendo a continuación Qué hacer si¿Se haces hacked?

Incluso con todos los consejos de expertos de seguridad y conociendo las formas de endurecer sus sitios web de hacks, todavía suceden. Si su sitio web fue hackeado, necesitas Realice estos pasos a continuación para recuperar: Cambie todo su correo electrónico y otras contraseñas personales primero , ya que los hackers pueden haber recibido acceso a su correo electrónico primero y, por lo tanto, podrán acceder a su sitio web. Reserva su sitio web a la Las últimas contraseñas conocidas no hackeadas. Retrason contraseñas de todos los usuarios del sitio web. Para todos los complementos si hay actualizaciones disponibles. Conclusión Piense en 360 ° cuando se trata de seguridad. Subraya la importancia de la seguridad a todos sus empleados, por lo que comprendan las consecuencias que la compañía puede sufrir si no siguen las reglas de seguridad. Si consigues HACKED,] Recupere su sitio web desde la copia de seguridad y cambie todas las contraseñas a su sitio web y correos electrónicos lo antes posible.

Leave a Reply

Your email address will not be published. Required fields are marked *