¿Por qué actualizar las vulnerabilidades de WordPress de tu blog?

¿Por qué actualizar las vulnerabilidades de WordPress de tu blog? / Wordpress y desarrollo web

Tengo muchas cosas buenas que decir sobre WordPress. Es una pieza de software de código abierto popular internacionalmente que permite a cualquier persona iniciar su propio blog o sitio web. Es lo suficientemente potente como para ser extensible por los programadores experimentados, pero lo suficientemente simple como para que las personas analfabetas en tecnología puedan beneficiarse de él. Incluso tenemos una mini-guía para comenzar su propio sitio de WordPress 10 Primeros pasos esenciales al iniciar un blog de Wordpress 10 Primeros pasos básicos al iniciar un blog de Wordpress Al haber creado bastantes blogs, me gustaría pensar que tengo un buen sistema Abajo por esos primeros pasos esenciales, y espero que pueda ser de utilidad para usted también. Siguiendo ... Leer más .

Sin embargo, al igual que con todo el software relacionado con Internet, siempre habrá agujeros de seguridad que necesitan parches. Incluso cuando los orificios pasados ​​son fijos, las nuevas características inevitablemente introducirán orificios nuevos, y luego esos orificios deben ser arreglados. Es un proceso que nunca termina, por lo que es tan importante para usted actualiza tu WordPress regularmente.

Actualizar WordPress es la mejor manera de parchar las últimas vulnerabilidades de seguridad de WordPress. ¿Qué tipo de vulnerabilidades de seguridad? Aquí hay un resumen de los más comunes que encontrarás.

1. Cuenta de administrador predeterminada

Cuando instale WordPress por primera vez, se llamará a su cuenta de administrador básica. “administración” Con una contraseña igualmente simple. Mantener las credenciales de seguridad en su configuración predeterminada puede ser una gran vulnerabilidad porque los piratas informáticos y piratas informáticos sabrán cuáles son esas configuraciones predeterminadas y, por lo tanto, las explotarán con facilidad.

En realidad, este no es un problema exclusivo de WordPress. Todo lo que viene con las credenciales de acceso predeterminadas de todo el producto 3 Contraseñas predeterminadas que debe cambiar y por qué 3 Contraseñas predeterminadas que debe cambiar y por qué las contraseñas son inconvenientes, pero necesarias. Muchas personas tienden a evitar las contraseñas siempre que sea posible y están felices de usar la configuración predeterminada o la misma contraseña para todas sus cuentas. Este comportamiento puede hacer que sus datos y ... Leer más (como los inicios de sesión del enrutador o los códigos de desbloqueo del teléfono) tengan inherentemente esta vulnerabilidad de WordPress. Pero mientras que los enrutadores y los teléfonos generalmente requieren su presencia física para hacer daño, cualquier persona puede hackear su sitio de WordPress siempre y cuando tenga la URL..

Entonces que puedes hacer? La solución más sencilla es crear una nueva cuenta de administrador en su sitio de WordPress y eliminar la predeterminada “administración” cuenta. Esto no deja ninguna previsibilidad en términos de acceso de administrador.

2. Prefijos de base de datos predeterminados

Cuando WordPress se instala por primera vez, las tablas de la base de datos se nombran con un prefijo predeterminado de wp_. Esto se hace para que todas las tablas permanezcan organizadas en su base de datos en caso de que esté trabajando con otros paquetes de software en la misma base de datos. los wp_ significa que esas tablas específicas están relacionadas con WordPress.

Pero aquí está el problema: si un pirata informático está intentando entrometerse con su sitio de WordPress, este poco de previsibilidad lo hace un paso más cerca de manipular las tablas de su base de datos. Al conocer los nombres de las tablas de su base de datos, un hacker puede empujarlas manualmente hasta que obtenga acceso..

Piénsalo de esta manera. Supongamos que un ladrón quiere robar algo de su casa pero su casa está equipada con puertas especiales que tienen orificios ocultos hasta que llame a la derecha “nombre” por esa puerta Si el ladrón sabe que el nombre de tu puerta es “Arenoso”, entonces todo lo que necesita hacer es abrir la cerradura, pero si el ladrón no sabe el nombre de su puerta, primero debe resolverlo de alguna manera antes de que pueda comenzar a hacerlo..

Entonces que puedes hacer? Sencillo. WordPress le permite instalar utilizando un prefijo de tabla que es diferente del prefijo predeterminado.

3. Archivos y directorios accesibles

Con cualquier sitio web, la cantidad de archivos a los que realmente quiere que accedan los usuarios es mucho menor que la cantidad de archivos necesarios para potenciar ese sitio web. Puede tener una gran cantidad de archivos de funciones, archivos de clase, archivos de plantilla, archivos de configuración y más, ninguno de los cuales debería estar disponible públicamente. Lo mismo ocurre con los directorios..

Al utilizar CHMOD, puede establecer permisos en varios archivos y directorios para evitar que usuarios no deseados accedan a materiales confidenciales. Si un usuario tuviera acceso a su archivo de configuración, por ejemplo, podría alterar la configuración de WordPress y romper su sitio web. WordPress es vulnerable cuando los archivos y directorios de su sitio web no están protegidos con la configuración de permisos adecuada.

Entonces que puedes hacer? Realmente tuve que lidiar con este problema recientemente, y la solución no es demasiado difícil. Asegúrese de que su instalación de WordPress esté de acuerdo con el esquema de permisos de WordPress.

4. Inyecciones de SQL y secuestro

Las inyecciones de SQL no son exclusivas de WordPress; De hecho, son una de las formas más comunes (y destructivas) de ataques de servidores web en el mundo. ¿No está familiarizado con el término? Dar mi introducción al artículo de inyecciones de SQL ¿Qué es una inyección de SQL? [MakeUseOf explica] ¿Qué es una inyección SQL? [MakeUseOf Explica] El mundo de la seguridad de Internet está plagado de puertos abiertos, puertas traseras, agujeros de seguridad, troyanos, gusanos, vulnerabilidades de cortafuegos y una gran cantidad de otros problemas que nos mantienen en alerta todos los días. Para usuarios privados,… Lea más para obtener una comprensión básica del problema.

En esencia, WordPress ha tenido algunos agujeros de seguridad de inyección SQL en su código a lo largo de los años. Algunos han sido parcheados, mientras que otros permanecen descubiertos o no detectados. Si un pirata informático obtiene acceso a uno de estos agujeros, puede inyectar código SQL malicioso en su base de datos, que puede usarse para robar datos o simplemente eliminarlos por completo..

Entonces que puedes hacer? Bueno, aquí está el problema: si no está lo suficientemente equipado para saber cómo vencer las inyecciones de SQL, entonces probablemente no tenga los conocimientos técnicos para crear una protección en primer lugar. Probablemente pueda buscar complementos de WordPress que puedan abordar posibles orificios de inyección, pero la mayoría de los usuarios simplemente tendrán que esperar al próximo parche de seguridad de WordPress.

Complementos recomendados

  • Exploración de seguridad WP - Este complemento escaneará la configuración de su sitio web y buscará posibles vulnerabilidades de seguridad. Cubre todo tipo de áreas, desde permisos de archivos hasta agujeros de bases de datos, administración de contraseñas y más.
  • WordPress File Monitor Plus: en caso de que alguien haya accedido a la estructura de archivos de su sitio, este complemento le informará. Monitorea regularmente los archivos y directorios de su sistema y toma nota de cualquier discrepancia..
  • WordPress Firewall 2: este complemento configura un muro metafórico alrededor de su sitio, analizando todos los datos ingresados ​​y el tráfico en busca de intenciones maliciosas. Es bastante bueno para prevenir ataques como inyecciones SQL y otros ataques a bases de datos..
  • Wordfence: Wordfence es algo así como un complemento de conjunto de seguridad todo en uno que incluye protección contra ataques maliciosos, análisis antivirus, un firewall y más. Definitivamente vale la pena intentarlo.

Conclusión

Si bien WordPress puede ser tanto de código abierto como ampliamente popular, eso no significa que no esté exento de defectos. Las vulnerabilidades de WordPress aparecen de vez en cuando y cuando una está arreglada, la otra suele estar a la vuelta de la esquina. Con un monitoreo cuidadoso y pasos preventivos, puede minimizar el riesgo que enfrenta su sitio de WordPress.