1 Followers
26 Following
gympillow82

gympillow82

Blog

Shelf

Timeline

0 BOOKS
SPOILER ALERT!

Seguridad de WordPress

6:00 pm 18 August 2020

Tu día a día comoes una lucha constante contra elementos que quieren entrar en tu página web y utilizarla para fines… muy distintos al que habías pensado.


Reconocerlo y saberlo es el primer paso
para prosperar la.



¿Quieres saber a qué me refiero?



  • Bots(programas automáticos) que procuran vulnerabilidades en tu página web.

  • , personas con ciertos conocimientos de los sistemas, buscando entrar también.
  • Ese compañero de trabajo al que le duele tu éxito, y ha descubierto en Google como emplear
    o
    .
  • El diseñador poco profesional que te hizo la página web, y esta resentido pues has contratado a otro mejor.

Casos hay cientos, más de los que te he puesto aquí de ejemplo, y cada uno de ellos de estos, los he vivido, combatido o recuperado.


El último caso es real. No creas que no ocurre.


¿Qué encontrarás aquí?


Me avisó una web en la que había trabajado haciendo unos cambios, de que había desaparecido por completo.


Revisando los logs del servidor, vimos que la orden de borrado de todos los archivos se había hecho por FTP, y desde la IP del diseñador original de la página web. ¿Cómo se sabe que era su IP? Por el hecho de que coincide con su localidad, y por el hecho de que es exactamente la misma IP que figuraba en los logs de cuando se creo la web. Así que sí, estas cosas pasan.



Y no te pienses que por estar comenzando, no recibes ataques.Te sorprenderías con la velocidad con la que tu blog comienza a recibir estas visitas no deseadas. Y de hecho, cómo verás ,los weblogs novatos son los más vulnerables.


El único que no te he puesto es el del
hacker profesional.


Hasta yo creo que como uno se empeñe a entrar en mi web, lo logra.


Pero exactamente estos no vienen a hacer daño. Es solo la superación del reto. Y en un caso así, tambien pienso que no soy lo suficientemente importante o bien conocido para ser un reto, estando por ahi disponible la página web de la Casa Blanca.


Y que ataques puedes percibir o bien para qué:



  • Ataques de fuerza brutao de
    diccionariopara averiguar tu contraseña (hay diccionarios con más de posibles contraseñas, y que ciertamente son utilizadas por el setenta y tres por ciento de las personas).

  • Ataques de Psicología Social(el típico correo electrónico de hemos detectado un problema con su cuenta, envíe usuario y contraseña, o la llamada averiguando detalles nuestros), o bien incluso el Basureo (no, lo siento, debes leer más para saber que es esta técnica).

  • Aprovechamiento de vulnerabilidades XSS,exploits, o fallos en código. Muy técnico. Un rollo. Pero quédate con la idea que la tecnología que utilizamos puede tener fallos, y hay que aplicarle parches para cerrar esos orificios de seguridad.

  • Ataques DDoS, o bien de denegación de servicio. Esto es que recibes tantas peticiones, que te echan el servidor abajo.

  • Spam: Llenan tus artículos de enlaces ocultos, para posicionar webs fraudulentas, y a ti te tocará estar en listas negras.


Pero despreocúpate.


Respira.


Que para eso estoy aquí, para dejarte esta mega-guía con pilares que tienes quey convertirla en elde los Wordpress.


Los cinco pilares fundamentales para progresar la seguridad de WordPress


Cuando hayas reforzado estas 5 bases de tu proyecto, dormirás más apacible.


Tambien descubrirás, que contra lo que pensabas, si estas siendo atacado ahora mismo. Mas al menos ya sabes que le pusiste solución y estas protegido.


No existe ninguna parte más esencial que otra. Simplemente hay que fortalecer las 5 o el sistema tendrá un punto de fallo.


Y una vez hecho, solo es cuestión de aplicar lógica y tomar en consideración 2 o 3 medidas básicas.


¿Vamos a ello?


Pilar #1. El eslabón más débil de la cadena somos nosotros


Pues sí, voy a comenzar por el más básico, mas de algún modo el que más falla.
El eslabón más débil de la cadena de seguridad somos nosotros, y el principal punto de entrada de ataques. Así que prosigue estos consejos al pie de la letra, y conviértete en el eslabón más fuerte.


Las personas somos el eslabón débil de la cadena de seguridad.


Usa contraseñas fuertes.


El fallo número uno..


Y fuerte no significa solo larga, y con números y mayusculas y minúsculas. Fuerte significa además
aleatoria.


No sirve de nada que Luis Perez, que tiene un perro que se llama Nostradamus (Nostri es como lo llaman en la familia), ponga de contraseña Nostradamus .


Si. Es segura. Y si, un ataque de fuerza bruta lo tendrá complicado. Pero alguien que lo conozca puede tener fácil descifrarla.


Una contraseña segura es esta: 2nFBxtjGH?TR1a



Al final te cuento el secreto para recordarlas.


Usa contraseñas diferentes.


Por que claro, de nada te vale utilizar una contraseña fuerte, si luego te registras en todos y cada uno de los sitios con exactamente la misma.


Pues sabrás que no todos y cada uno de los sitios guardan la contraseña de una forma cifrada.


Y en consecuencia ese foro de cocina que tanto te agrada, o bien esa web donde te registraste mientras que procurabas vehículo, puede que este viendo tu email y contraseña. Y por lo tanto, tener acceso a tu, correo,…


O que se genere un ataque de esos que birlan miles de contraseñas, de algún servicio web, y se vean comprometidos todos tus.



Así que ya sabes, fuerte, aleatoria, y además diferente para cada cuenta y web.


¿Ves como vas a precisar algo para recordarlas?



No se las des a nadie. Nunca.


Repito. Jamás.


Si un desarrollador tiene que entrar a tu sitio, para repasar un, para hacerte cambios, etc… crea un usuario para el, que podrás desactivar después, eliminar, o bien cambiarle los permisos.


Así tendrás controlado quien entra en tu web, y cuando.


Y si no puedes crear un usuario, cambia la contraseña, y pon una temporal, y cuando finalice el trabajo, vuélvela a cambiar.


Multiplica el Nº de clics en tus contenidos


Con este
eBook gratuitode plantillas de
crearás titulos que
dispararán los clicsen tus contenidos:


  • 77 Plantillas de títulos demostradas que multiplicarán los clicks.
  • Sacaras infinitas ideas crear tus títulos.
  • Con las palabras "mágicas" redactarás textos irresistibles.
  • Vale para todo: weblogs,,, etc.

Obtén tu eBook aquí


Apúntate a nuestra
Zona VIPy descárgate tu eBook ya


Es
100 por cien gratis🙂


El
responsablede este sitio es Wenova Online sociedad limitada, cuya
finalidades el envío de información y formación sobre blogging y, con la
legitimaciónde tu permiso concedido en el formulario. buscar palabras clave para google /p>

El
destinatariode tus datos (la herramienta que usamos) es. Está situada en España y podrás ejercer tus
derechos de acceso, rectificación, limitación o bien supresión de tus datos(ver la).


Recuerda de forma eficiente y segura tantas contraseñas


No vale apuntarlas en un artículo-it, o bien en tu agenda. O en un papel que entonces arrugas y tiras a la papelera.



¿Recuerdas que te hablaba del basureo?


Pues es exactamente buscar en la mesa, o bien basura de alguien por esta clase de apuntes. Si; es una técnica de hackeo. ¿Increíble verdad?


Así que a fin de que puedas recordarpara cada cuenta o sitio web, lo mejor es emplear un gestor de contraseñas:



  • con versiones para todos los sistemas operativos habituales, aplicación para móviles y extensiones para navegador. Gratis y con versión premium. Lo que no me agrada es que las contraseñas se almacenan cifradas en sus servidores.

  • :Multiplataforma tambien, mas solo en versión de pago. Es el que empleo, porque marcha excelente, y las contraseñas están guardadas en mi propioen un archivo cifrado.

  • :Versión para Mac, Windows y aplicaciones para smartphones, y completamente sin costo. Para mi recién descubierto, pero tiene buena pinta. De haberlo encontrado ya antes quizás no hubiese comprado 1Password. Las contraseñas se guardan tambien de manera local.

Con estos sistemas solo deberás rememorar una contraseña. La de acceso a la base de datos de contraseñas. El resto estará cifrado y seguro. Tan seguro, que si olvidas esa contraseña… ¡las perderás para siempre! (y ahora no me vayas a apuntar ésta en el blog post-it pegado a tu monitor…)


La diferencia entre que se almacene de manera local o bien remota, es que si los servidores de la empresa se ven comprometidos,. Yo soy más de tener el control, mas seguro que invierten más en seguridad que yo.


Pilar #2. Tu ordenador y sistemas siempre seguros


De nada sirve usar contraseñas fuertes y poner mil medidas de seguridad, si entonces un simple
keylogger(un programa que atrapa lo que escribimos en el teclado) atrapa tus datos de acceso.



Por lo tanto, es una parte indispensable que le des vitaminas a tu computador, para protegerlo de virus, y malware.


No es difícil manejar uno de los antivirus más potentes que ahí.


Eso se hace con un buen antivirus, y mucho sentido lógico.


Para mi los mejores antivirus serian
,y
.¿Debes emplear exclusivamente uno de estos? No, si el que tienes te va bien, no tienes pues mudar. Mas si no usas ninguno, tienes donde elegir. Indispensable si utilizas Windows.


Si eres usuario de Mac o Linux, no te confíes.
No te creas la historia de leyenda urbana de que no existen virus o bien malware para estos sistemas. No es cierta. Mas tampoco necesitas un antivirus. Sus sistemas de permisos, y que sean sistemas menos extendidos, los hace menos apetecibles a ataques. Si necesitas utilizar mucho tu sentido común.


Consejos aplicables a todos los sistemas (ordenadores o bien móviles):



  • No instales aplicaciones de procedencia sospechosa. Unos euros ahorrados por usar una aplicación pirata te pueden costar costosos. Ni instalesgratuitas «extrañas» en tu equipo de trabajo». No descargues de Softonic (curiosamente, la versión gratuita de avast te manda descargarla de softonic…).
  • Usa solo generalmente
    , que tengan reviews de bloggers independientes.

  • No abras adjuntos de correos electrónicos de desconocidos. Y de conocidos si no esperas nada, observalo con precaución.

  • Solo emplea tus claves en webs que tu mismo hayas escrito la url.

Y unos consejos extras, relacionados con las comunicaciones:


  • Por ahorrarte de nuevo unos eurillos, no compartas la conexión a Internet con vecinos o desconocidos. Mucho menos, le «robes» la conexión a nadie.
  • No uses WiFis públicas de centros comerciales u hoteles.

El motivo de esto es que es sencillísimo para alguien, «sniffar» o bien extraer toda la información que circula por esa red, para después analizarla tranquilamente. agencia diseño web recomendación es sobre todo esencial si el panel de admin de tu WP no usa https. Es un consejo básico para progresar la seguridad.


Pilar #3. La seguridad de tu Wordpress es el cimiento de tu negocio online


Tengo claro que no abrirías un bar en un edificio viejo, o bien mal construido, que consideras que se te puede venir abajo en cualquier instante.


O que los ladrones se pueden colar haciendo un simple orificio en la pared de lo debilucha que es.



¿Entonces por el hecho de que usas para tu negocio en línea servidores de poca calidad?


Yo personalmente, al igual que Berto,. Por seguridad, por soporte, y por desempeño.


Aquí te dejo una captura de sus diferentes planes y precios (haz clic en ella si deseas irte a su página web):


Los planes decon el precio después de aplicar el descuento.


Laes excepcional:


  • Medidas de seguridad
    pro-activas, para que si bien no actualices no te veas perjudicado.
  • Medidas de seguridad
    pasivas,como bloqueo por intentos fallidos repetidos de empezar sesión.
  • Bloqueo a todos los países de habla no hispana al admin de tu web. ¡Ni te imaginas lo que te quita esto de encima!

Otro servidor que me marcha realmente bien a nivel de seguridad para WordPress, y donde. Mucho más caro, mas simplemente te olvidas de gestionar seguridad o rendimiento, en tanto que es un.



En este caso, de nuevo, querer ahorrar algo de dinero, te puede costar realmente costoso entonces.


Aquí no hay más ciencia.
Si quieres seguridad en tu WP, invierte en un servidor de verdad.


Como ejemplo, decirte que uno de los más famosos,, no se porque últimamente me he encontrado abundantes clientes del servicio que lo usaban, con el weblog inficionado por Spam posicionamiento web.


Sencillamente es mejor escoger algo que te un buen soporte, y pero que ser muy famoso, saber que gestiona realmente bien sus recursos.


No hay mayor complicación para tener un buen pilar de seguridad en este sentido.



Pilar #4. La seguridad de WordPress es una cosa que no hay que olvidar


No podemos estar hablando de la seguridad en Wordpress, y no charlar de lo que se ha de hacer, para que ésta sea inmejorable.


Resultado de un escáner hecho con Sucuri Security.


Básicamente se fundamenta en reforzar varios aspectos:



  • Obligar a los usuarios a usar contraseñas fuertes(esto lo hace por defecto WordPress desde la versión 4.3, pero no esta de más asegurarnos).

  • Limitar los intentos de empezar sesión, y así bloquear los ataques a la fuerza bruta.
  • Realizar una
    búsqueda periódica de malware, a fin de que nos avise en el caso de cambios inopinados, y podamos solventarlo eficazmente y rápida.

  • Eliminar posibles vulnerabilidadeso debilidades de los
    plugins o temasque tengamos instalados.

  • Bloquear bots(programas automáticos) en busca de dichas vulnerabilidades.

Para poder hacer todo esto,, y labores periódicas de mantenimiento que hay que hacer si o bien si.


Lo más importante: Mantén WordPress actualizado


Como te he explicado, una de las formas más frecuentes de ataque es aprovechando las vulnerabilidades de plugins, temas, o bien del propio Wordpress. De ahí que a veces salen actualizaciones, que corrigen dichas debilidades, y es sumamente aplicarlas.


No debes tener miedo a actualizar, si lo haces bien, y no dejas que se acumulen las actualizaciones.



  • Nunca actualices WP tras salir la actualización. O si lo haces, asegúrate de tener una
    copia de seguridadque sepas restaurar. Por norma general se espera 2 o 3 días, a que se descubran posibles fallos o bien incompatibilidades que pueda dar. En cuanto pase el periodo de gracia ni lo pienses. Actualiza.
  • Si tienes varias actualizaciones de complementos pendientes,
    no las hagas todas y cada una de golpe. Es mejor ir de una en una, si bien tardes más. De ese modo si alguna falla, sabrás exactamente cual ha sido, y podrás solventarlo.

  • Actualiza tambien temas o bien complementos que tengas desactivados. Si bien de esto te hablaré más adelante.
  • Siempre haz una
    copia de seguridadantes de actualizar por si acaso.

Entro en muchas webs que tienen aún WordPress 3.9 o bien afín. Que absolutamente nadie que lea Ciudadano 2.0 sea de estos por favor. Ponte manos a la obra, que es sencillísimo.



Especial cuidado con actualizar los temas, puesto que si no utilizas un sistema basado enes fácil que al actualizar pierdas cambios y personalizaciones realizadas. Para eso lo mejor es usar un sistema, como en el momento en que te instalasFramework + un Child Tema. Si es tu caso, y no quieres mudar de tema, habla con un profesional para que te haga un Child Theme.


Instala un plugin todo en uno


Lo primero es instalar un plugin que nos ayude a realizar varias funciones. Aquí te voy a dar dos elecciones, ya probadas:



es el plugin que suelo utilizar para proteger mis instalaciones fuera de, y las de mis clientes. Es fácil de utilizar, y prácticamente desde su activación ya estas protegido sin haber configurado nada.


Otra opción que empleo en ciertos de mis clientes del servicio es el plugin.


Utiliza solo uno de ellos. Si bien hay gente que usa ambos combinados, creo que si no sabes lo que haces te puede dar más inconvenientes que soluciones.


Cualquiera de ellos te va a ayudar a limitar los intentos de login, bloquear bots y ataques, y fortalecer por lo general la seguridad de WP.


Simplemente emplea el que te llame más la atención.


Añadamos un extra de seguridad


Con las dos medidas precedentes, ya tienes tu Wordpress suficientemente seguro. Pero a mi me agrada añadir una medida extra.


El complemento
te ayuda a escanear en pos de malware y avisarte rapidamente si ha encontrado algo o estas en listas negras.


Tambien conserva un log de las actividades en WP (inicios de sesión, etc…) y puedes percibir estas notificaciones en tu e-mail.



Aviso:No te sobresatures de notificaciones, pues llegará un instante que no eches cuenta, y no te ayudará a mejorar la seguridad. Desactiva las que creas no te serán de utilidad.


Pilar # pago por click google . No hay nada infalible. Ten a mano un Backup


Todo puede fallar. aunque tengas.


Un día tu mismo puedes eliminar tu Web.


O un día te desatiendes y usas una wifi pública y tu contraseña se ve comprometida, y entran en tu web.


Al final ha pasado lo que tanto temías. Has perdido todo tu trabajo.


Pero si haces una política correcta de copias de respaldo, no tiene porque pasar nada.


Para hacer las
copias de seguridad
.Me gusta pues es sencillo de utilizar, sirve para todo lo que precisamos, y permite hacer restauraciones de manera sencilla.


Ten en cuenta estos consejos:


  • Las copias de respaldo siempre
    deben de hacerse en un repositorio externo, en la nube, como Dropbox o afín. No sirve de nada si se quedan en tu servidor.

  • Las copias deben ser programadas y automáticas. Siempre que puedas, prográmalas por la noche.

  • No es necesario tener una copia diaria de tus ficheros. ¿Qué puedes perder,? Así que puedes hacerla de manera semanal, y conserva cuando menos 4 copias (un mes de copias de seguridad?

  • Las bases de datos si cambian cada día(comentarios, actualizaciones de post, etc….), así que programa una copia diaria, y conserva cuando menos 7 (una semana).
  • Por último, no vale de nada una copia de respaldo, si de vez en cuando no miras en la carpetita que se esta haciendo, y verificas que efectivamente
    se hacen, están actualizadas, y puedes restaurar los ficheros.

Aparte de tenerlas programadas, no olvides hacer una a mano ya antes de actualizar, o bien después de hacer grandes cambios de diseño en tu web.


¡No te preocupes! El plugin que te recomiendo hace todo esto que te he dicho.


En seguridad, si uno de los pilares falla, la casa se cae


Como ves, y seguro que te has dado cuenta, si uno de los pilares falla, todo se cae.


  • De nada sirve tener una contraseña fuerte, si la logra un virus de tu ordenador.
  • De nada sirve que tu ordenador sea un fortín, si luego no actualizas WP y arreglas esa vulnerabilidad tan grave que hallaron hace poco.
  • De nada sirve que lo sostengas WP actualizado y blindado, si entonces te entran por vulnerabilidades del servidor.
  • De nada sirve tener un enorme servidor, a fin de que te puedan entrar por FTP por tener una contraseña débil.

Es la pescadilla que se muerde la cola. O fortaleces los 4 pilares periféricos, o bien nada hay que hacer.


Y el quinto viene a la ayuda, fortaleciendo desde el centro. Las copias de respaldo que están siempre y en todo momento ahi para asistirnos a levantarnos rápido si caemos.


Son las 5 medidas básicas que aplico en las webs que diseño, y aun no ha caído ninguna. Unete a la comunidad de bloggers que descansamos sosegado sabiendo que Wordpress es seguro.


No he podido hacer un pasito a pasito con todas y cada una de las instrucciones.


Son prácticamente 3000 palabras para explicarte cinco cosas que debes tomar en consideración para eludir ser hackeado.


Es lo único que tienes que aplicar. Y tienes enlazado tutoriales con explicaciones de las herramientas.


Haz que sean útil. Aplícalas y duerme tranquilo.



¿Has tenido alguna experiencia desapacible con tu web? ¿Piensas que conocer esto antes te hubiese ayudado?


 

Powered by BookLikes © 2015 | RSS