Seguridad del sitio web de WordPress: aquí hay 15 consejos de Semalt para proteger su sitio web



Recientemente, el tema de la seguridad de la información, con un enfoque en la seguridad de los sitios de WordPress, ha comenzado a interesarnos enormemente. La simple razón de esto es que muchos sitios web están expuestos al ciberdelito y lo sufren enormemente hasta que pierden el control de su sitio.

Siendo muy conscientes de esto, decidimos brindarle información muy útil y relevante que puede ayudarlo a protegerse de cualquier peligro contra su sitio.

Por eso, los invito a prestar especial atención a la información que se compartirá en este artículo.

Luego, descubre los consejos más básicos para proteger tu sitio web.

Los consejos más básicos para proteger su sitio web

Antes de iniciar el asesoramiento superior es importante participar en los siguientes consejos básicos:

1. Actualice su versión de WordPress con regularidad

Es cierto que esto es algo que debe darse por sentado. Pero aún así, como alguien que tiene acceso a bastantes sitios de WordPress (incluidos los sitios de clientes y los sitios que no soy de mi propiedad), me encuentro con muchos sitios con estas notificaciones de actualizaciones, obviamente, a nadie le importa mantenerlos regularmente.

WordPress es el CMS (sistema de gestión de contenido) más popular del mundo, lo que significa que como sistema es un objetivo muy popular para los piratas informáticos.

Aquellos que quieran dañar los sitios de WordPress siempre podrán encontrar varias vulnerabilidades de seguridad. Ya sea en el código central del sistema, varios complementos, plantillas o más.

Una de las razones por las que WordPress lanza actualizaciones de versión con relativa frecuencia es para tapar los agujeros de seguridad y mejorar el sistema.

Nota IMPORTANTE: cuantos más complementos tenga el sitio y más "personalizado" sea (más probable es que una actualización de la versión pueda dañar el sitio), que interrumpa su funcionamiento. La recomendación es hacer siempre una copia de seguridad completa del sitio (archivos + base de datos) antes de realizar una actualización del sistema.

2. Hemos actualizado los complementos y las plantillas con regularidad.

Inmediatamente después de la sección anterior, la mayoría de las lagunas provienen de complementos o plantillas obsoletas y/o descargadas de sitios no confiables. Siempre debe descargar complementos del repositorio oficial de WordPress, y no de sitios con los que no esté familiarizado, especialmente si no pertenecen a una fuente confiable.

Incluso la compra de plugs y plantillas no garantiza al 100% que no habrá vulnerabilidades de seguridad. Pero cuanto más obtenga lo anterior de fuentes confiables en las que pueda confiar, es menos probable que se expongan a una laguna.

La recomendación de hacer una copia de seguridad del sitio antes de actualizar la plantilla o el complemento también es válida aquí. El código abierto es una gran cosa.

Pero también tiene bastantes inconvenientes a este respecto, porque no siempre existe una compatibilidad total entre todos los componentes del sistema en sus muchas versiones diferentes.

3. Realice copias de seguridad del sitio con regularidad

Es imposible hablar de seguridad de sitios web sin hablar de copias de seguridad. No es suficiente hacer una copia de seguridad justo antes de actualizar el sitio, debe haber un conjunto de copias de seguridad completamente automático de los archivos del sitio + la base de datos. Esto suele hacerse a través de la empresa de almacenamiento, pero también es recomendable cuidar una fuente externa de respaldo que no dependa directamente de la empresa de almacenamiento.

Copias de seguridad en sitios de WordPress

Algunos complementos recomendados para WordPress:
  • UpdraftPlus - Uno de los complementos de WordPress más populares para realizar copias de seguridad. Funciona con servicios en la nube populares como Dropbox, Google Drive, Amazon S3 y otros.
  • BackupBuddy es un complemento premium pagado que ofrece muchas funciones avanzadas. La mayoría de los usuarios ciertamente pueden conformarse con el complemento anterior que mencioné.
  • Duplicador - El propósito del complemento es copiar un sitio de un lugar a otro (por ejemplo, en la transición entre almacenamientos), pero también sirve como complemento de respaldo para todo.
Si su sitio es pirateado y no tiene idea de qué lo causó o qué sucedió exactamente, una copia de seguridad disponible le permitirá regresar y restaurar el sitio a su estado original. Esto es asumiendo que el "gusano" ya no está en la versión anterior de los archivos y solo está esperando para entrar en erupción, porque este ya es un caso más complejo.

4. Uso adecuado de nombre de usuario y contraseña

No es sorprendente que muchos editores utilicen el usuario "administrador" predeterminado, que es muy fácil de adivinar. Se recomienda utilizar otro nombre de usuario, cualquier cosa que se le ocurra, pero no se quede como administrador.

Este cambio básico por sí solo puede reducir la posibilidad de que intenten entrar en un ataque de fuerza bruta (un ataque que tiene como objetivo adivinar el nombre de usuario y la contraseña de la administración del sitio de forma automática y rápida mediante muchas combinaciones diferentes) en unas pocas decenas de por ciento.

Si ya tiene un usuario llamado "admin", siga estos pasos:
  • Cree un nuevo usuario con el mismo permiso.
  • Eliminar el usuario anterior + asociar su contenido con el nuevo usuario (WordPress te pedirá que lo hagas automáticamente cuando elimines al usuario anterior).
Use una contraseña compleja - incluso si cambió su nombre de usuario, no será de mucha ayuda si su contraseña es "123456" o "abcde" o incluso su número de teléfono/seguro social. Es cierto que estas son contraseñas memorables y todo eso, pero haga de su sitio un objetivo muy fácil para este tipo de ataque. La recomendación es utilizar una contraseña que consista en letras pequeñas y grandes, signos y números, de manera que no se pueda adivinar de ninguna manera y en muchos casos hará que el simple hacker se dé por vencido y busque el próximo objetivo.

Ejemplo de una contraseña que es casi imposible de descifrar:
  • nSJ @ $ #
  • J24f8sn!
  • NmSuWP
Otra forma buena y muy eficaz contra los ataques de fuerza bruta es utilizar autenticaciones en dos pasos. Una vez que inicia sesión en el sitio, se envía un código de seguridad a su teléfono inteligente y garantiza que solo usted tendrá acceso al sitio.

Puede utilizar el complemento de verificación de 2 pasos de WordPress para este propósito.

5. Otorgue el permiso correspondiente a otros usuarios del sitio.

Si trabaja con redactores de contenido o alimentadores de contenido, es recomendable abrirles una sesión de usuario con un permiso mínimo para las acciones que necesitarán realizar.

Por ejemplo, un usuario que se ocupa solo de contenido (escritura + edición) no necesita permiso de administrador. Un enfoque de tipo "escritor" o "editor" será sin duda suficiente. Cualquiera que escriba una publicación de invitado contigo y solo quieras agregar su firma al final de la publicación, solo podrá aceptar el permiso del "donante".

La siguiente es una explicación de los permisos de usuario de WordPress:
  • Suscripción (suscriptor) - Alguien registró el sitio, sin ningún acceso de edición a los contenidos del sitio, aparte del perfil (si lo hay).
  • Colaborador (colaborador) - Pueden redactar y gestionar sus propias publicaciones, pero no publicarlas (necesitarán la aprobación del director). Un ejemplo clásico: sitios de artículos/sitios que reciben contenido de surfistas (sin aprobación automática).
  • Escribir (autor) - Solo pueden escribir y publicar sus propias publicaciones.
  • Editor (editor) - Pueden escribir y publicar sus publicaciones, páginas y otros, pero sin los enfoques de las áreas de gestión de sitios "sensibles", como plantillas, edición de archivos y otros aditivos de gestión.
  • Administrador (administrador) - permiso del webmaster para cualquier sistema de gestión que incluya.
Cuanto mayores sean los permisos para más usuarios, más formas de acceder al sitio. Minimice estas entradas tanto como sea posible.

6. Restricción de intentos de ingresar al sitio

Otro paso que te ayudará a lidiar con los ataques de fuerza bruta. Este es un truco muy simple: si un usuario no puede conectarse al sitio después de 2-3 intentos (por lo general, se puede establecer el número de intentos), se bloqueará durante un tiempo determinado que también se puede determinar.

Un complemento recomendado para esto (que también viene con la instalación de Softalicious): Loginizer.

7. Elegir una empresa de almacenamiento de calidad

La elección de una empresa de alojamiento tiene mucho peso en el rendimiento de su sitio, en varios aspectos: la velocidad del sitio, su disponibilidad y también la seguridad. Siempre es recomendable permanecer en una empresa que esté al tanto de los diversos problemas de seguridad, con énfasis en las vulnerabilidades de WordPress, y ponga este tema en primer plano. El almacenamiento de calidad puede ser más caro que el almacenamiento "estándar" por unos pocos dólares al mes, pero esa brecha definitivamente vale la pena su tranquilidad y su tiempo, al menos en mi opinión.

8. Reducir el uso de complementos al mínimo posible

Hablé un poco sobre esto en la sección 2, pero déjame ser claro: los complementos son una de las causas más comunes de vulnerabilidades de seguridad en los sitios de WordPress.

El hecho de que en un sistema de código abierto cualquiera pueda escribir un complemento y distribuirlo al mundo sin más control, es una laguna que pide a los ladrones.

Además, el uso excesivo de complementos que no son necesarios solo carga el sistema y puede causar una desaceleración en la velocidad de carga del sitio.

Por tanto, la recomendación es minimizar el uso de plugins al mínimo posible, y utilizar solo aquellos que sean necesarios para el correcto funcionamiento del sitio. Se recomienda realizar cualquier cambio que se pueda realizar en el sitio sin el uso de un complemento (y asumiendo que no se trata de un cambio del archivo fuente que pueda anularse en la próxima versión de WordPress) por medios "limpios".

9. Análisis periódico de los archivos del sitio y complementos de seguridad.

Así como tiene un antivirus en su computadora y realiza análisis con regularidad (con suerte), se recomienda que tenga antivirus y controles de rutina de los archivos infectados en el servidor.

Hay varias maneras de hacer esto:

A- Escaneando usando un antivirus que está en el servidor mismo (usando cPanel por ejemplo) - en mi experiencia no está demasiado actualizado y no detecta varias vulnerabilidades.

B- Escanee usando varios complementos de seguridad. Éstos son algunos de los más populares:

Wordfence - El complemento de seguridad de WordPress más popular. Este complemento cierra bastantes rincones que menciono en el artículo actual, pero como todo, no proporciona una protección al 100%, sino que simplemente dificulta el trabajo de los piratas informáticos.

Seguridad Sucuri - Otro popular complemento de seguridad de la empresa de seguridad Sucuri. Es un poco más liviano que WordPress, pero también ofrece bastantes funciones que incluyen escaneo de malware en el sitio, un firewall, prevención de ataques de fuerza bruta y más.

Seguridad de iThemes - ofrece muchas características que ayudan a proteger el sitio, como autenticación de dos factores, escaneo de archivos infectados, registros y seguimiento de la actividad del usuario, comparación de archivos para detección de virus y más.

10. Conecta el sitio a Google Search Console.

Conectar el sitio a las herramientas para webmasters de Google no solo ayuda a comunicarse con Google directamente y proporciona información amplia sobre aspectos de SEO, sino que también permite alertas de seguridad sobre el sitio.

Consejos avanzados

Los consejos más avanzados para proteger los sitios de WordPress son para usuarios que saben cómo trabajar con servidores, FTP, bases de datos y más. No hace falta ser un gran experto en ninguno de los anteriores, pero sí con alguna experiencia básica para no hacer tonterías.

11. Cambiar los permisos de archivo

WordPress tiene varios archivos y varios tipos de carpetas, algunas contienen información más sensible y otras menos. Cada tipo de archivo y carpeta tiene los permisos predeterminados. Pero también hay permisos más estrictos que se pueden configurar para archivos confidenciales (por ejemplo, wp-config) y/o con el potencial de piratería.

12. Seguridad mediante archivo .htaccess

El archivo Htaccess está en los servidores Apache y se encuentra en la carpeta principal del sitio. Este es un archivo importante y poderoso que es responsable, entre otras cosas, de realizar redireccionamientos 301 desde la dirección X a la dirección Y, para bloquear permisos para ciertos archivos o carpetas, para el almacenamiento en caché a nivel del servidor, para bloquear varios agentes de usuario, y más. .

Se pueden usar innumerables comandos para reforzar y mejorar el nivel de seguridad en los sitios de WordPress. Soy reacio a saberlo todo, pero mencionaremos aquí algunas de las cosas importantes y sencillas de implementar que vale la pena conocer:

Protección de archivos importantes:

Evite el acceso a archivos importantes como wp-config, php.ini y el archivo de registro de errores.

<FilesMatch "^. * (Error_log | wp-config \ .php | php.ini | \. [HH] [tT] [aApP]. *) $">
Orden denegar, permitir
Negar todo
</FilesMatch>

Impedir el acceso a las carpetas del sitio:

Evitar el acceso a las carpetas del sitio evita que los usuarios vean las carpetas del sitio a través del navegador. Esto hace que sea difícil para alguien que quiera infiltrarse en un archivo malicioso en una carpeta en particular, ver qué complementos/plantillas están instalados en el sitio, etc.

Opciones de todos los índices.

Bloquear la ejecución de archivos PHP con código malicioso en la carpeta de cargas.

De forma predeterminada, la carpeta de cargas debe contener principalmente imágenes/PDF. Si le han proporcionado archivos con una extensión PHP, el siguiente código en el archivo htaccess le impedirá ejecutar estos archivos:

<Directorio "/ var/www/wp-content/uploads /">
<Archivos "* .php">
Orden denegar, permitir
Negar todo
</Files>
</Directorio>

13. Seguimiento de registros y actividad del sitio

El seguimiento de la actividad de los usuarios en el sitio le permite, hasta el nivel más pequeño del individuo, saber qué cambios se han realizado en el sitio.También permite realizar un seguimiento de las actividades de diferentes usuarios y, por lo tanto, quizás plantear usos problemáticos. que podría causar daños al sitio.

14. Protección informática

Un virus en el sitio puede provenir no solo de una fuente externa sino también de nuestra computadora. Si su computadora está infectada con un virus, malware o cualquier otra cosa, y estos archivos llegan al servidor, de ahí la forma más corta de infectar el sitio y este es un formato para problemas.

Mi recomendación: no escatime y compre una licencia anual para el software antivirus profesional que también realizará un escaneo en tiempo real de las carpetas en las que se encuentra y los sitios que navega para advertir de posibles daños. Además del antivirus, debe estar equipado con un software que pueda escanear y tratar con archivos de malware, localmente en su computadora.

Si su computadora está limpia, al menos sabrá que la fuente del problema en el sitio probablemente no sea su computadora. Si hay otros usuarios (especialmente aquellos con privilegios administrativos) en el sitio, también debe informarles sobre este problema.

15. Cambiar el prefijo de la base de datos

Una de las vulnerabilidades más populares y comunes en los sitios de WordPress se llama "Inyección SQL". Su objetivo es explotar una debilidad en la base de datos del sitio e insertar código malicioso que puede realizar todo tipo de acciones que pueden validar permisos, como información de acceso al sitio, información del usuario y más.

El prefijo predeterminado de la base de datos de WordPress es wp_. Cambiar el prefijo, como cualquier otra cosa, no le garantizará una protección hermética contra las inyecciones de SQL. Pero desafiará al atacante que tendrá que trabajar más duro y encontrar la estructura de las tablas en la base de datos y tal vez simplemente pasar a los pelos menos difíciles de la próxima víctima.

Se recomienda establecer un prefijo diferente para las tablas desde la etapa de instalación. Pero esto también se puede hacer después, ya sea usando un complemento o manualmente.

En conclusión

Espero que hayas disfrutado de la guía. Como ha visto a lo largo de esta guía, el tema de la seguridad del sitio no es algo que deba tomarse a la ligera. Por lo tanto, si no tiene las habilidades adecuadas para garantizar la seguridad de su sitio, le aconsejo que llame a los expertos. Esto no solo evitará que pierda su inversión, sino que también transformará su sitio en un lugar de confianza para los usuarios de Internet.

Entonces, si desea saber más, por favor Contáctenos y concertar una cita para una consulta gratuita. ¡Será un placer ayudarte!

Además, Semalt tiene un Blog sobre temas que cubren regularmente temas esenciales en SEO.



mass gmail