1 Followers
26 Following
gympillow82

gympillow82

Blog

Shelf

Timeline

0 BOOKS
SPOILER ALERT!

Cómo prosperar la seguridad en WordPress

10:12 am 15 May 2020

9min de lectura


Introducción


WordPress es uno de los sistemas de administración de contenido (Content Management System) más populares del planeta. En él se ejecutan el 18.9 por ciento de todos los sitios web de Internet y se ha instalado más de 76,5 millones de veces. Desafortunadamente, la popularidad también tiene sus desventajas. Según unde hackeo de Securi, una compañía experta en seguridad de sitios, WordPress es el Content Management System más hackeado del mundo. ¡Pero no hay que entrar en pánico! Es bastante fácil progresar la seguridad Wordpress si aplicas las mejores prácticas e implementas ciertos trucos proporcionados en este tutorial de Wordpress.


Lo que necesitarás


Antes de empezar con esta guía, necesitarás lo siguiente:


  • Acceso al área de administrador de WordPress
  • Acceso a tu cuenta de alojamiento web (opcional)

Paso 1 – Sostener tu Wordpress actualizado


Este el primer y más importante consejo. Si quieres tener un sitio web limpio y libre de malware, es indispensable mantener Wordpress actualizado. Aunque puede parecer un consejo elemental, solo el 22 por cien de todas y cada una de las instalaciones de Wordpress ejecutan la última versión.


WordPress implementó la característica de actualización automática en la versión tres.7, sin embargo, solo funciona para actualizaciones de seguridad menores. En consecuencia, las actualizaciones primordiales deben hacerse manualmente.


Paso 2 – Utilizar credenciales de inicio de sesión poco comunes



¿Está diseño web wordpress pontevedra >admincomo tu nombre de usuario de administrador de Wordpress? Si tu contestación es afirmativa, estás facilitando las cosas para que los piratas informáticos intenten irrumpir en tu escritorio. Se recomienda bastante mudar el nombre de usuario de admin a otra cosa o bien crea una nueva cuenta de administrador con un nombre de usuario diferente y elimina la anterior. Sigue estos pasos si prefieres la segunda manera:


  1. Accede al escritorio de WordPress
  2. Navega a la sección de
    Usuariosy presiona
    Añadir nuevo.
  3. Crea un nuevo usuario y asígnale la función de administrador.
  4. Vuelve a iniciar sesión en WordPress con tu nuevo nombre de usuario.
  5. Dirígete otra vez a la sección Usuarios y suprime el usuario “admin”.

Una buena contraseña juega un papel importante en lo que respecta a la seguridad WP. Es mucho más difícil realizar un ataque de fuerza bruta a una contraseña que contiene números, letras mayúsculas y minúsculas y caracteres especiales. Herramientas comoypueden asistirte a crear y regentar contraseñas complejas. Además, si alguna vez necesitas empezar sesión en el panel de control de WP mientras estás conectado a una red no segura (por servirnos de un ejemplo, en cafeterías, bibliotecas públicas, etc.), no olvides utilizar unaque proteja tu información de registro.


Paso tres – Habilitar la autenticación de dos pasos


La verificación en 2 pasos le agrega un nivel auxiliar de seguridad a tu página de comienzo de sesión. optimización buscadores en malaga su nombre lo sugiere, agrega otro paso que tienes que llenar para comenzar sesión. Lo más probable es que lo estés usando para acceder al correo electrónico, al banco en línea o bien a cualquier otra cuenta que contenga información reservado. ¿Por qué no utilizarlo en WP?


Aunque puede parecer complicado, es muy fácil habilitar la verificación de dos pasos en el weblog de WP. Todo lo que necesitas es instalar la aplicación de autenticación de dos factores y configurar tu Wordpress.


Paso 4 – Deshabilitar los informes de errores de PHP


Los informes de fallos de PHP pueden ser útiles si estás desarrollando tu sitio web y deseas cerciorarte de que todo funcione correctamente. No obstante, mostrarle los fallos a todo el mundo es una grave falla de seguridad en Wordpress.


Debes arreglar esto cuanto antes. presupuesto posicionamiento web lugo , no tienes que ser un programador para deshabilitar los informes de errores de PHP para WordPress. Muchos proveedores de hosting tienen la opción de desactivar los informes de errores dentro del panel de control. Si no existe ninguno, simplemente añade las próximas líneas a tu fichero wp-config.php. Puedes emplear elo el Administrador de ficheros para editar el archivo
wp-config.php.


Eso es todo. El informe de fallos ahora está desactivado.


Paso 5 – No utilizar los temas cancelados de WordPress


Recuerda: «El único queso gratis está en la ratonera». Podemos decir lo mismo sobre los temas y complementos anulados de WP.


Hay miles y miles de complementos y temas anulados rondando en Internet. Los usuarios pueden descargarlos de múltiples sitios Warez o torrents de manera gratuita. Lo que no saben es que la mayoría de ellos están infectados con malware o bien con enlaces de posicionamiento en buscadores black hat.


Deja de emplear plugins y temas anulados. No solo no es ético sino más bien exageradamente dañino para la seguridad de WordPress. Terminarás pagando más por un desarrollador para que limpie tu sitio web.


Paso seis – Escanear WP para advertir malware


Los piratas informáticos de manera frecuente utilizan “vacíos” o bien loopholes en temas o bien plugins para infectar WP con malware. En consecuencia, es crucial escanear tu blog frecuentemente. Existen muchos plugins bien codificados para este propósito perose resalta entre la multitud. Ofrece opciones de escaneo manuales y automáticas así como numerosas configuraciones diferentes. Incluso puede restaurar ficheros modificados/infectados con solo dos clics. Es sin costo y de código abierto. Estos factores deberían ser suficientes a fin de que instales este plugin ahora mismo.


Otros complementos de seguridad populares de WordPress:


  • : en contraste a WordFence, que hemos descrito anteriormente, BulletProof no escaneará tus archivos, pero te proporcionará un firewall, seguridad de base de datos y más. De las mejores cosas es que se puede configurar e instalar con solo unos pocos clicks.
  • : este plugin te protegerá de los ataques DOS, mantendrá una lista negra, escaneará tu sitio en busca de malware y administrará tu firewall. Si detecta algo, te lo notificará por correo electrónico. Google, Norton, McAfee: todos estos motores de listas negras se incluyen en este plugin.

No dudes en probarlos todos. Puedes localizar una guía completa sobre cómo instalar plugins de WP.


Paso siete – Migrar el sitio de WP a un alojamiento más seguro


Puede sonar como un consejo extraño, pero las estadísticas muestran que más del 40 por ciento de los sitios web de WP fueron hackeados debido a vacíos de seguridad en las cuentas de alojamiento. Este número por sí mismo debería obligarte a reconsiderar tu elección de alojamiento actual ya un alojamiento web más seguro. Ciertos factores clave a tomar en consideración al buscar un nuevo hosting:


  • Si se trata de alojamiento compartido, asegúrate de que tu cuenta esté aislada de otros usuarios y no haya peligro de que un sitio web infecte a todos los demás en el servidor.
  • Tiene la función de copias de respaldo automáticas.
  • Debe tener una herramienta de escaneo de virus y de firewall por parte del servidor.

Paso 8 – Hacer copias de respaldo con la mayor frecuencia posible



Incluso los sitios más grandes son hackeados todos los días pese al hecho de que sus propietarios gastan miles para reforzar la seguridad de WP.


Aún si estás siguiendo las mejores prácticas y cumples con otros consejos de este artículo, prosigue siendo crucial hacer una copia de respaldo de tu sitio de WP de forma regular.


Hay bastantes formas de crear copias de respaldo. Por servirnos de un ejemplo, puedes descargar manualmente ficheros de WP y exportar la base de datos o bien emplear la herramienta de copias de respaldo de tu proveedor de hosting. Otra forma es emplear complementos de Wordpress. Los complementos de backup de WordPress más populares son:


Incluso puedes mecanizar el proceso de copias de seguridad y guardar copias de respaldo de WordPress en Dropbox.


Paso 9 – Desactivar la edición de archivos


Como sabrás, Wordpress tiene un editor de archivos incorporado que deja editar ficheros PHP. Aunque esta característica es muy útil, también puede hacer mucho daño. Si el atacante consigue acceso a tu panel de administrador, lo primero que buscará es el Editor de ficheros. Algunos usuarios de WP prefieren deshabilitar absolutamente esta función. Se puede desactivar editando el archivo
wp-config.phpe incluyendo la próxima línea de código:


Eso es todo cuanto tienes que hacer para deshabilitar la edición de ficheros en WordPress.


IMPORTANTE: Caso de que quieras regresar a habilitar esta función, use el cliente FTP o bien el Administrador de ficheros de tu distribuidor de alojamiento web y elimina este código del fichero wp-config.php.


Paso diez – Suprimir temas y plugins no utilizados


Haz una limpieza de tu sitio de WordPress y elimina todos los complementos y temas no empleados. Los piratas informáticos acostumbran a buscar temas y complementos deshabilitados y desactualizados (aun los complementos oficiales de WordPress) y utilizarlos para obtener acceso a tu escritorio o cargar archivos maliciosos en tu servidor. Al eliminar complementos y temas que dejaste de usar (y probablemente olvidaste actualizar) hace un buen tiempo, reduces el riesgo y haces que el lugar de WordPress sea un tanto más seguro.


Paso 11 – Emplear .htaccess para mayor seguridad


Se requiere un fichero .htaccess a fin de que los enlaces de WordPress funcionen apropiadamente. Sin las reglas adecuadas en el archivo .htaccess, obtendrías muchos fallos cuatrocientos cuatro.


No muchos usuarios saben que .htaccess se puede usar para prosperar la seguridad de Wordpress. Por poner un ejemplo, con .htaccess puedes bloquear el acceso o deshabilitar la ejecución de PHP en carpetas específicas. Los ejemplos a continuación muestran cómo se puede utilizar .htaccess para reforzar la seguridad de Wordpress.


IMPORTANTE Antes de realizar cualquier cambio, se aconseja realizar una copia de respaldo del archivo .htaccess precedente. Puedes utilizar elo el
Administrador de archivospara esto.


El siguiente código permitirá el acceso al área de administrador de WordPress solo desde direcciones IP específicas.


Ten en cuenta que debes cambiar
XX.XX.XX.XXXpor tu dirección IP. Puedes usarpara verificar tu IP actual. Si utilizas más de una conexión para dirigir tu lugar de WP, asegúrate de incluir también todas las otras direcciones IP (no vaciles en agregar todas las líneas de permiso que precises). No se aconseja utilizar este código si tienes una dirección IP dinámica.



Deshabilitar la ejecución de PHP en carpetitas específicas


A los atacantes les gusta cargar scripts de puerta trasera a la carpetita de carga de WP. De manera predeterminada, esta carpetita se emplea para cargar solo ficheros multimedia. En consecuencia, no debería contener ningún fichero PHP. Puedes desactivar fácilmente la ejecución de PHP creando un nuevo fichero .htaccess en
/wp-content/uploads/con estas reglas:



Proteger el archivo wp-config.php


El fichero wp-config.php contiene la configuración del núcleo de Wordpress y los detalles de la base de datos MySQL. Por lo tanto, es el archivo de WordPress más importante. Es por eso que es el principal objetivo de los hackers de WP. No obstante, puedes proteger fácilmente este archivo usando las reglas .htaccess:


Paso 12 – Cambiar el prefijo predeterminado de la base de datos de WP para evitar inyecciones de SQL


La base de datos de WordPress guarda y almacena toda la información crucial requerida a fin de que tu sitio funcione. Como resultado, se convierte en un fin atractivo para hackers y spammers que ejecutan código automatizado para efectuar inyecciones de SQL. Al instalar Wordpress, la mayoría de las personas ni tan siquiera se incordian en cambiar el prefijo de base de datos predeterminado
wp_. Según“1 de cada cinco casos de hackeo de WordPress ocurren debido a las inyecciones de SQL”. Como
**wp**es la configuración predeterminada, los piratas informáticos intentarán agredir ese valor primero. En este paso, vamos a ofrecer una breve descripción de cómo puedes resguardar tu lugar de Wordpress contra dichos ataques.


Cambiar el prefijo de tabla para un lugar de WP existente


¡IMPORTANTE! La seguridad es lo primero. Asegúrate de
hacer una copia de seguridad de tu base de datos MySQL de WordPressantes de seguir.


Parte 1 – Cambiar el prefijo en wp-config.php


Usando elo el Administrador de ficheros, encuentra tu
wp-config.phpy busca el valor
dólares americanos table_prefix.


Puede añadir números, letras o bien guiones bajos. Después de eso, guarda los cambios y continúa con el próximo paso. En este tutorial, usaremos
wp_1secure1_como el nuevo prefijo de tabla.


Mientras estés en tu fichero
wp-config.php, busca también el nombre de tu base de datos, a fin de que sepas qué base de datos precisas editar. Busca la sección
define('DB_NAME'


Parte dos – Actualizar todas y cada una de las tablas de la base de datos


Ahora, necesitarás actualizar todas las entradas en tu base de datos de Wordpress. Esto se puede hacer mediante phpMyAdmin.


Encuentra la base de datos que identificaste en la parte 1 y acceda a ella.


Una instalación predeterminada de WP tiene doce tablas y cada una tiene que ser actualizada. Sin embargo, se puede hacer más rápido utilizando la sección
SQLde phpMyadmin.


Cambiar cada tabla manualmente tomaría una cantidad de tiempo excesiva, por consiguiente, utilizaremos consultas SQL para acelerar las cosas. Usa la próxima sintaxis para actualizar todas y cada una de las tablas en tu base de datos.


Algunos temas o bien plugins de WordPress pueden crear tablas adicionales en la base de datos. Caso de que tengas más de 12 tablas en tu base de datos MySQL, agrega el resto de ellas manualmente a la lista de consultas SQL y ejecútalas.


Parte tres – Contrastar las tablas options y usermeta


Dependiendo de la cantidad de complementos que tengas instalados, algunos valores en tu base de datos deberán actualizarse manualmente. Eso se puede hacer ejecutando consultas SQL separadas en las tablas
optionsy
usermeta.


Para la tabla de
options, deberías usar:


Para la tabla
usermetadeberías usar:


Cuando obtengas los resultados de la consulta SQL, sencillamente actualiza todos los valores de
wp_con tu prefijo recién configurado y listo. En la tabla
usermetanecesitarás editar el campo
meta_key, al tiempo que en
options, el valor de
option_namedeberá ser cambiado.


Asegurar nuevas instalaciones de WordPress


Si planeas instalar nuevos sitios de WP, no será necesario efectuar este proceso nuevamente. Sencillamente podrás cambiar tu prefijo de tabla de WordPress durante la instalación:


¡Felicitaciones! Has mejorado con éxito la protección de la base de datos de Wordpress contra las inyecciones de SQL.


Conclusión


Aunque WP es el CMS más hackeado del mundo, no es difícil progresar su seguridad. En este tutorial proporcionamos diez consejos que deberías seguir para mejorar la seguridad en WP.


 

Powered by BookLikes © 2015 | RSS