Cómo proteger WordPress de la intrusión en su lista de verificación que debe leer
Las botnets de todo el mundo han centrado su atención en enviar correos electrónicos no deseados a piratear sistemáticamente las instalaciones de WordPress; es un negocio lucrativo dado que WordPress potencia el 40% de todos los blogs. Especialmente teniendo en cuenta que incluso fuimos víctimas de esto, ya es hora de que hagamos una publicación completa sobre cómo proteger su instalación de WordPress alojada en uno mismo..
Nota: este consejo solo se aplica a instalaciones de WordPress auto alojadas. Si usa WordPress.com, generalmente no necesita preocuparse por la seguridad, ya que se encargan de todo.. ¿Cuál es la diferencia entre WordPress.com y WordPress.org? ¿Cuál es la diferencia entre correr tu blog en Wordpress.com y Wordpress.org? ¿Cuál es la diferencia entre correr tu blog en Wordpress.com y Wordpress.org? Con Wordpress ahora alimentando 1 de cada 6 sitios web, deben estar haciendo algo bien. Tanto para desarrolladores experimentados como para el principiante completo, Wordpress tiene algo que ofrecerle. Pero justo cuando empiezas en ... Leer más
Instale el autenticador de dos pasos de Google
Si ya tiene habilitada la autenticación de dos pasos para su cuenta de Gmail u otros servicios, puede usar la misma aplicación de autenticación con este complemento para WordPress.
Afortunadamente, puede restringir la autenticación de dos pasos para que solo se use en cuentas de nivel superior, por lo que no necesita molestar a todos sus usuarios.
Login Lockdown
Un viejo plugin, pero sigue funcionando como es debido; El bloqueo de inicio de sesión comprueba la IP de los intentos de inicio de sesión y bloquea un rango de IP durante una hora si falla 3 veces en 5 minutos. Simple, eficaz.
Tomar copias de seguridad regulares
Los piratas informáticos no solo cambiarán un archivo, sino que colocarán su propio panel de control oculto en algún lugar y otras puertas traseras ocultas, de modo que incluso si arregla el hack original, volverán y lo harán todo de nuevo. Realice copias de seguridad diarias o semanales para que pueda restaurarlas fácilmente hasta un punto en el que no haya rastro del pirata informático, y asegúrese de parchear lo que sea que hicieron para ingresar. Personalmente, acabo de invertir en una licencia de desarrollador de Backup Buddy de $ 150. Es la solución de copia de seguridad más fácil y completa que he encontrado hasta ahora..
Prevenir la indexación de carpetas
Verifique la raíz de su instalación de WordPress para el archivo .htaccess (observe el período al principio; es posible que deba mostrar archivos invisibles para verlo) y asegúrese de que tenga la siguiente línea. Si no es así, agréguelo, pero primero haga una copia de seguridad ya que este archivo es muy importante.
Opciones Todos -Indexes
Manténgase actualizado
No cometa el mismo error que cometimos: siempre actualice WordPress tan pronto como haya una actualización disponible. A veces, las actualizaciones contienen correcciones de errores menores y no correcciones de seguridad, pero adquiera el hábito y no tendrá ningún problema. Si tiene más de una instalación de WordPress y no puede realizar un seguimiento de todas ellas, visite ManageWp.com, un panel de control premium para todos sus blogs que incluye análisis de seguridad.
No solo los archivos principales de WordPress, sino también los complementos: uno de los hacks de WordPress más grandes del pasado involucraba una vulnerabilidad en un script de generador de miniaturas común llamado timthumb.php, y todavía hay temas que usan la versión antigua. Aunque los complementos se actualizaron rápidamente, mantener los temas actualizados es más difícil, por supuesto, WordPress no le dirá si su tema es vulnerable y, para eso, tendrá algún tipo de complemento de escaneo de seguridad. Complementos de seguridad sección abajo para algunas sugerencias.
Nunca descargar temas aleatorios
A menos que sepa lo que está haciendo con el código PHP, es muy fácil caer en la trampa de descargar un encantador tema aleatorio de algún lugar, solo para encontrar que tiene un código desagradable allí, la mayoría de los vínculos de retroceso que no puede eliminar. Pero peor se puede encontrar. Se adhieren a diseñadores de temas premium y conocidos (como Smashing Magazine o WPShower), o para temas gratis solo usa el directorio de temas de WordPress.
Eliminar complementos y temas no utilizados
Cuanto menos código ejecutable tenga en su servidor, mejor: elimine la posibilidad de tener códigos antiguos y vulnerables eliminando los temas y complementos que ya no usa. Al deshabilitarlos, simplemente se detendrá la carga de su funcionalidad con WordPress, pero el código en sí puede ser ejecutado por un pirata informático..
Eliminar Meta cuento en su cabecera
De forma predeterminada, WordPress transmite su versión al mundo en el código de su archivo de encabezado, una forma fácil para que los piratas informáticos identifiquen instalaciones antiguas. Añade las siguientes líneas a tu tema funciones.php archivo para eliminar la versión de WordPress, la información de Windows Live Writer y una línea que ayuda a los clientes remotos a encontrar su archivo XML-RPC.
remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');
Eliminar el “administración” Cuenta
La mayoría de los ataques de fuerza bruta en WordPress implican probar repetidamente el administración cuenta: el valor predeterminado para todas las instalaciones de WordPress y un diccionario de contraseñas comunes. Si inicia sesión con admin o tiene la cuenta de administrador en la tabla de usuarios, es vulnerable a esto.
Dos formas de solucionarlo: use el complemento wp-Optimize, un excelente complemento que, entre otras cosas, le permite desactivar las revisiones posteriores y realizar la optimización de la base de datos, para cambiar el nombre de la cuenta de administrador. O simplemente cree otra cuenta con privilegios de administrador, inicie sesión como el nuevo usuario, luego elimine “administración” Cuenta asigna todas las publicaciones a tu nuevo usuario..
Contraseñas seguras
Incluso si ha deshabilitado la cuenta de administrador, puede ser posible identificar el nombre de usuario de su cuenta de administrador, en cuyo momento es vulnerable nuevamente a un ataque de fuerza bruta. Aplicar una política de contraseña segura de 16 o más caracteres aleatorios que conste de mayúsculas y minúsculas, puntuación y números.
O simplemente use el método realmente largo..
Deshabilitar la edición de archivos dentro de WordPress
Para aquellos que no les gusta iniciar sesión a través de FTP, WordPress incluye un sencillo editor en el panel de administración para los archivos PHP de temas y complementos, pero eso hace que su instalación sea vulnerable si alguien obtiene acceso. De hecho, así es como alguien logró inyectar una redirección de malware en nuestro encabezado. Añade la siguiente línea al fondo de tu wp-config.php (en la carpeta raíz) para deshabilitar todas las funciones de edición de archivos, y usar SFTP Qué es SSH y en qué se diferencia de FTP [Explicación de la tecnología] Qué es SSH y en qué se diferencia de FTP [Explicación de la tecnología] Leer más para iniciar sesión en su servidor.
define ('DISALLOW_FILE_EDIT', true);
Ocultar errores de inicio de sesión
Una contraseña incorrecta o un nombre de usuario incorrecto se pueden identificar por los errores que se dan al iniciar sesión, que se pueden usar para identificar las cuentas de forzados brutos. Esto no es bueno, obviamente, así que elimine los errores con esta adición a su tema funciones.php expediente
function no_errors_please () return 'Nope'; add_filter ('login_errors', 'no_errors_please');
Activar Cloudflare
Además de acelerar su sitio, CloudFlare mitiga muchos botnets y escáneres conocidos, incluso para llegar a su blog en primer lugar. Lea todo sobre CloudFlare Proteja y acelere su sitio web de forma gratuita con CloudFlare Proteja y acelere su sitio web de forma gratuita con CloudFlare CloudFlare es un interesante inicio de los creadores del Proyecto Honey Pot que pretende proteger su sitio web de spammers, bots y otros. monstruos malvados de la red, además de acelerar un poco su sitio ... Lea más aquí. La instalación es de un solo clic si está alojado en MediaTemple; de lo contrario, necesitará acceder al panel de control del dominio para cambiar los servidores de nombres..
Complementos de seguridad
- Better WP Security implementa muchas de estas correcciones para usted y es la solución gratuita más completa que existe.
- WordFence es un paquete premium que escanea activamente sus archivos en busca de enlaces de malware, redirecciones, vulnerabilidades conocidas, etc., y los corrige. El precio comienza en $ 18 / año para 1 sitio.
- La solución de seguridad de inicio de sesión limita los intentos de inicio de sesión y aplica contraseñas seguras.
- BulletProof security es un complemento completo pero complejo que trata algunos de los aspectos más técnicos, como la inyección XSS y los problemas de acceso .htaccess. También está disponible una versión de prueba del complemento que automatiza gran parte del proceso..
Creo que estarás de acuerdo en que esta es una lista bastante completa de pasos para fortalecer WordPress, pero no te estoy sugiriendo que implementes todos de ellos. Si tuviera que hacer todo esto en cada sitio que configuré, todavía los estaría configurando ahora. La ejecución de cualquier tipo de sistema presenta un riesgo y, en última instancia, depende de usted encontrar el equilibrio entre el nivel de seguridad que desea y el esfuerzo que desea poner para garantizarlo: nada está 100% seguro. Las frutas que cuelgan bajas aquí son:
- Manteniendo WordPress actualizado
- Deshabilitando la cuenta de administrador
- Añadiendo autenticación de dos pasos
- Instalando un complemento de seguridad
Hacer eso solo debería ponerte por encima del 99% de todos los demás blogs, lo que es suficiente para hacer que los hackers potenciales se desplacen a objetivos más fáciles.
¿Crees que me perdí algo? Dime en los comentarios.
Explore más acerca de: Seguridad en línea, Desarrollo web, Herramientas para webmasters, Wordpress.