Desde que se introdujo por primera vez hace más de dos décadas, WordPress ha crecido (y ha crecido) ahora con seguridad ser nombrado como el más popular del mundo sistema de gestión de contenido. Hoy en día, más de una cuarta parte de los sitios web que existen se ejecutan en WordPress.
Sin embargo, desde tiempos inmemoriales, cuanto más popular es algo, más gente quiere aprovechar para obtener medios infames. Basta con mirar a Microsoft Windows y la Gran cantidad de malware, virus y otros exploits. Diseñado para apuntar solo a este sistema operativo específico.
Por qué tu WordPress blog es un objetivo valioso?
En caso de que se esté preguntando por qué un hacker querría controlar su Wordpress blog, hay varias razones que incluyen;
- Usándolo para enviar en secreto correos electrónicos no deseados
- Robar sus datos, como una lista de correo o información de tarjeta de crédito
- Agregando su sitio a una botnet que pueden usar más tarde
Afortunadamente, WordPress es una plataforma que te ofrece multitud de oportunidades para defenderte.
Después de haber ayudado a configurar y administrar varios sitios web y blogs, me gustaría compartir con usted algunas de las cosas más básicas que puede hacer para ayudar a proteger su WordPress .
Estos son algunos consejos de seguridad procesables de 10 que puede utilizar.
Asegure su WordPress Página de inicio
La protección de su página de inicio de sesión no se puede lograr mediante ninguna técnica específica, pero ciertamente hay pasos y complementos de seguridad gratuitos que puede tomar para hacer que cualquier ataque tenga muchas menos probabilidades de éxito.
La página de inicio de sesión de su sitio es sin duda una de las páginas más vulnerables de su sitio web, así que comencemos a hacer su WordPress la página de inicio de sesión del sitio es un poco más segura.
1. Elija un buen nombre de usuario administrador
Usa nombres de usuario inusuales. anteriormente con WordPress, tenía que comenzar con un nombre de usuario de administrador predeterminado, pero eso ya no es así. Aún así, la mayoría de los nuevos administradores web usan el nombre de usuario predeterminado y necesitan cambiar su nombre de usuario. Puedes usar Admin Renamer Extended para cambiar su nombre de usuario de administrador.
Las páginas de inicio de sesión de fuerza bruta son una de las formas comunes de ataques web a los que es probable que se enfrente su sitio web. Si tiene una contraseña o un nombre de usuario fáciles de adivinar, es casi seguro que su sitio web no solo será un objetivo, sino una víctima. Por experiencia, la mayoría de los intentos de pirateo del sitio intentan iniciar sesión con tres opciones principales de nombres de usuario. Los dos primeros son siempre 'admin' o 'administrador', mientras que el tercero generalmente se basa en su nombre de dominio.
Por ejemplo, si su sitio es crazymonkey33.com, el pirata informático podría intentar iniciar sesión con 'crazymonkey33'.
2. Asegúrate de usar una contraseña segura
A estas alturas, probablemente piense que la gente sabría usar contraseñas seguras y complejas para proteger su cuenta, pero todavía hay muchos que piensan que la "contraseña" es excelente.
Splash Data compiló una lista de contraseñas de uso frecuente en 2018. Contraseña por rango en términos de uso.
- 123456
- la contraseña
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- sol
- QWERTY
- te amo
Si utiliza una de esas contraseñas y su sitio web recibe algún tipo de tráfico, es muy probable que su sitio web sea retirado tarde o temprano.
Una contraseña segura incluirá una mezcla de:
- Caracteres en mayúsculas y minúsculas
- Ser alfanumérico (AZ y az)
- Incluir un carácter especial (!, @, #, $, Etc.)
- Al menos 8 caracteres de longitud
Cuanto más aleatoria sea su contraseña, más segura será. Intenta usar un administrador de contraseñas para generar una contraseña aleatoria segura si tiene problemas para encontrar una.
3. Implemente un reCaptcha
reCaptcha fue diseñado para evitar que las herramientas automatizadas trabajen en un sitio. Por supuesto, dada la complejidad de las herramientas de hacking de hoy en día, estas pueden omitirse con bastante facilidad, pero al menos existe una capa adicional de seguridad.
Existen una serie de complementos reCaptcha Puede usarlo con su instalación que funcionará prácticamente de forma inmediata.
4. Utilice la autenticación de dos factores (2FA)
2FA es un método de autenticación que requiere una verificación en su inicio de sesión. Por ejemplo, una vez que haya iniciado sesión con su nombre de usuario y contraseña, el sistema puede enviar un SMS a su teléfono móvil o enviarlo por correo electrónico con un código que debe ingresar para verificar su identidad.
Este método de autenticación ofrece una buena protección y es utilizado por muchos bancos e instituciones financieras en la actualidad. Una vez más, esta necesidad se puede satisfacer fácilmente con un Complemento 2FA.
Vea cómo funciona miniOrange (un complemento 2FA) con WordPress inicia sesión en el siguiente video.
T5. Cambie el nombre de su URL de inicio de sesión
La mayoría de los piratas intentarán iniciar sesión a través de la configuración predeterminada. wordpress página de inicio de sesión, que suele ser algo así como
sample.com/wp-admin.
Para agregar otra capa de protección, cambie la URL de la página de inicio de sesión de forma rápida y sin esfuerzo con una herramienta como WPS Hide Login.
6. Limite el número de intentos de inicio de sesión
Esta es una técnica increíblemente sencilla para detener los ataques de fuerza bruta en su página de inicio de sesión. Un ataque de fuerza bruta funciona intentando obtener su nombre de usuario y contraseña correctamente al intentar múltiples combinaciones una y otra vez.
Si se rastrea la IP particular que está perpetrando el ataque, entonces puede bloquear los repetidos intentos de fuerza bruta y mantener su sitio seguro. Esta es también la razón por la cual los ataques DDOS globales ocurren con múltiples direcciones IP con diferentes orígenes de ataque, para lanzar servicios de alojamiento y seguridad del sitio web indefenso.
Login LockDown y Solución de seguridad de inicio de sesión ambos ofrecen excelentes soluciones para proteger las páginas de inicio de sesión de su sitio web. Realizan un seguimiento de las direcciones IP y limitan el número de intentos de inicio de sesión para proteger su sitio web.
Endurecer el muro de seguridad del sitio
Hemos discutido varias tácticas para asegurar su WordPress página de inicio de sesión: los pasos mencionados anteriormente son los conceptos básicos que puede hacer. También debe tener en cuenta que algunos servidores web imponen algunas de estas prácticas de seguridad a sus usuarios. Hay una serie de otras prácticas de seguridad que puede implementar en sus sitios.
7. Protege tu directorio wp-admin
El directorio wp-admin es el corazón de su WordPress instalación. Como medida de seguridad adicional, proteja con contraseña este directorio.
Para hacerlo, deberá iniciar sesión en el panel de control de su cuenta de alojamiento. Ya sea que esté utilizando cPanel o Plesk, la opción que está buscando es 'Directorios protegidos por contraseña".
Alternativamente, puede proteger con contraseña un directorio ajustando su .htaccess y archivos .htpasswds. La guía detallada paso a paso y un generador de código están disponibles de forma gratuita en Unidad dinámica.
Tenga en cuenta que proteger con contraseña su carpeta wp-admin romper AJAX público para WordPress – deberá permitir permisos para administrar ajax a través de .htaccess para evitar errores en el sitio.
8. Utiliza SSL para cifrar datos
Aparte del sitio en sí, también querrá salvaguardar la conexión entre usted y el servidor y aquí es donde SSL entra para cifrar sus comunicaciones. Al tener una conexión cifrada, los piratas no podrán interceptar datos (como su contraseña) cuando se está comunicando con su servidor.
Aparte de esto, también es una buena práctica implementar SSL ahora, ya que los motores de búsqueda están penalizando cada vez más los sitios que consideran "no seguros".
Para bloggers individuales y pequeñas empresas, un SSL gratuito y compartido, que generalmente puede obtener de su proveedor de alojamiento, Let's Encrypto Cloudflare - suele ser más que suficiente. Para las empresas que procesan el pago de los clientes, es mejor que comprar un certificado SSL dedicado desde su servidor web o una autoridad de certificación (CA).
Obtenga más información sobre SSL en nuestro completo Guía AZ de SSL.
9. Haga uso de una red de distribución de contenido (CDN)
Si bien esto podría no salvar su sitio de ser pirateado, ayuda a mitigar los ataques maliciosos contra él. Algunos hackers pretenden derribar sitios web, haciéndolos inaccesibles para el público. Un CDN ayudará a amortiguar el golpe de un Denegación de servicio distribuido Ataque en su sitio.
Aparte de eso, también ayuda a su acelera tu sitio un poco almacenando en caché algún contenido. Para explorar esta opción, mire hacia Cloudflare como ejemplo. Cloudflare ofrece servicios de CDN en niveles de precios de varios niveles, por lo que incluso puede usar las funciones básicas de forma gratuita.
Aprende más sobre cómo Cloudflare funciona y las ventajas de utilizar el servicio.
10. Asegúrese de que TODO su software esté actualizado
No importa cuán bueno o costoso sea el software, siempre se encontrarán nuevas debilidades que podrían dejarlas abiertas para explotar. WordPress no es una excepción y el equipo lanza constantemente nuevas versiones con correcciones y actualizaciones.
Los piratas informáticos casi siempre buscan aprovechar la debilidad y una vulnerabilidad conocida que no se ha solucionado es simplemente pedir problemas. Esto es el doble para los complementos que a menudo son creados por compañías mucho más pequeñas con menos recursos.
Si está utilizando complementos, asegúrese de que las actualizaciones se publiquen regularmente, o considere buscar complementos populares con una funcionalidad similar que se mantiene actualizada.
Dicho esto, NO te recomiendo que uses automáticamente WordPress y actualizaciones de complementos, especialmente si estás ejecutando un sitio en vivo. Algunas actualizaciones pueden causar problemas, ya sea internamente o por conflictos con otros complementos y configuraciones.
Idealmente, cree un entorno de prueba que refleje su sitio en vivo y pruebe las actualizaciones allí. Una vez que esté seguro de que todo funciona bien, puede aplicar la actualización al sitio en vivo.
Los paneles de control como Plesk le dan la opción de crear un sitio clonar para este propósito.
11. Copia de seguridad, copia de seguridad y copia de seguridad!
No importa qué medidas de seguridad o qué tan cauteloso seas, los accidentes ocurren. Ahórrese un aplastante dolor de corazón y cientos de horas de trabajo simplemente asegurándose de contar con los servicios de respaldo adecuados.
Normalmente, su proveedor de alojamiento web incluirá al menos algunas características básicas de respaldo, pero si está paranoico como yo, siempre asegúrese de realizar sus propios respaldos independientes. La copia de seguridad no es tan simple como copiar solo algunos archivos, sino que también tiene en cuenta la información de su base de datos.
Busque una solución de respaldo que haya sido probada y probada. Incluso una pequeña inversión vale la pena para ahorrar en las lágrimas en caso de emergencia. Algo como BackupBuddy Puede ayudarlo a guardar todo, incluyendo su base de datos de una sola vez.
12. ¡Su servidor web cuenta!
Aunque tradicionalmente las empresas de alojamiento web simplemente ofrecían espacio para alojar nuestros sitios web, los tiempos han cambiado. Proveedores de alojamiento web, comprender las vulnerabilidades, han intensificado para aumentar la seguridad y muchos ofrecen servicios de valor agregado para complementar su alojamiento web.
Toma por ejemplo HostGator, uno de los nombres más establecidos en el juego. Aparte de lo básico Cloudflare características, HostGator (al precio de $10+/mes) también viene con protección sin spam, eliminación automatizada de malware, copias de seguridad automatizadas, privacidad de dominio y más.
Gestionado WordPress hosting proveedor, Kinsta, crea firewalls de hardware y monitorea activamente sus servidores en busca de malware y ataques DDoS con su sistema personalizado.
Si esto es algo que todavía no se te ha ocurrido, te recomiendo que veas qué funciones de seguridad ofrece tu host y las compare con las que están disponibles actualmente.
Para una lista completa puede revisar La compilación de WHSR de los mejores servidores web aquí.
¿Ahora que?
Antes de ejecutar Wild y comenzar a navegar por Internet en pánico, busque un millón y una de soluciones de seguridad: respire hondo. Como con todo lo demás, alguien ya te habrá ayudado a entrar en pánico y buscará una solución.
Incluso si implementas tantas soluciones de seguridad como puedas encontrar, estás seguro ¿estás seguro?
Aquí es donde algo como Ninja seguridad entra, lo que te ayuda a sondear tu sitio en busca de debilidades.
Hay un par de razones convincentes para usar algo como Security Ninja, pero permítame decirle que es una herramienta que recomendaría usar en varias etapas de su viaje para asegurar su sitio.
Primero, ejecútelo en su sitio web 'tal como está', antes de realizar cambios. Deje que el plugin toque y produzca su sitio antes de darle los resultados.
Luego, basándose en esos resultados, trabaje para asegurar su sitio. Security Ninja realiza más pruebas de 50 para probar sus defensas. Incluso después de haber realizado los cambios, ejecútelo nuevamente (y cada vez que haya cambios en el sitio o actualizaciones de complementos) solo para probar su sitio.
Si esto le parece demasiado trabajo, Security Ninja también viene con una gran cantidad de módulos adicionales (versión pro, sitio único $ 29) que puede ayudarte a solucionar los problemas que encuentra.
Algunas otras características clave en estos módulos incluyen:
- Escanee archivos principales de WP para identificar archivos problemáticos
- Restaurar archivos modificados con un clic
- Reparar actualizaciones automáticas de WP rotas
- Prohibir 600 millones de direcciones IP incorrectas recopiladas de millones de sitios atacados
- Lista de actualizaciones automáticas, sin necesidad de mantenimiento ni trabajo manual
- Proteja el formulario de inicio de sesión de ataques de fuerza bruta
Consideraciones finales
Si bien todo esto puede parecer un poco excesivo para el promedio WordPress usuario, te aseguro que todo ello (y más) es necesario. Ignorando las estadísticas de piratería en todo el mundo y todo eso por un tiempo, permítanme compartir con ustedes información personal en uno de los sitios más oscuros que ayudo a administrar.
Originalmente comenzó como un sitio de biografía simple, creé www.timothyshim.com. Obviamente, fue algo que configuré y la mayoría de las veces lo dejo solo, simplemente como un punto de referencia. En cada período de un mes, este sitio que Básicamente no hace nada y no recoge datos., caras sobre ataques 30 - una combinación de fuerza bruta y complejos.
Todo lo que necesita es que uno de ellos tenga éxito y yo tendría una realmente mal día.
