Cómo progresar la seguridad en WordPress |
9min de lectura
WordPress es uno de los sistemas de administración de contenido (CMS) más populares del mundo. En él se ejecutan el ciento ochenta y nueve por ciento de todos y cada uno de los sitios web de Internet y se ha instalado más de setenta y seis con cinco millones de veces. Desafortunadamente, la popularidad también tiene sus desventajas. Según unde hackeo de Securi, una compañía especializada en seguridad de sitios web, Wordpress es el CMS más hackeado del planeta. ¡Pero no hay que entrar en pánico! Es bastante fácil mejorar la seguridad WordPress si aplicas las mejores prácticas e implementas ciertos trucos proporcionados en este tutorial de WP.
Antes de comenzar con esta guía, necesitarás lo siguiente:
Este el primer y más importante consejo. Si deseas tener un sitio web limpio y libre de malware, es imprescindible mantener WordPress actualizado. Si bien puede parecer un consejo elemental, solo el 22 por cien de todas y cada una de las instalaciones de WordPress ejecutan la última versión.
WordPress implementó la característica de actualización automática en la versión tres.7, no obstante, solo marcha para actualizaciones de seguridad menores. En consecuencia, las actualizaciones principales deben hacerse manualmente.
¿Estás usando
admincomo tu nombre de usuario de administrador de WP? Si tu respuesta es afirmativa, estás facilitando las cosas para que los piratas informáticos intenten penetrar en tu escritorio. Se recomienda bastante mudar el nombre de usuario de admin a otra cosa o bien crea una nueva cuenta de administrador con un nombre de usuario diferente y suprime la precedente. Prosigue estos pasos si prefieres la segunda manera:
Una buena contraseña juega un papel esencial en lo que respecta a la seguridad Wordpress. Es mucho más difícil realizar un ataque de fuerza bruta a una contraseña que contiene números, letras mayúsculas y minúsculas y caracteres singulares. Herramientas comoypueden ayudarte a crear y dirigir contraseñas complejas. Además, si alguna vez precisas comenzar sesión en el panel de control de Wordpress mientras estás conectado a una red no segura (por ejemplo, en cafeterías, bibliotecas públicas, etcétera), no olvides utilizar unaque proteja tu información de registro.
La verificación en dos pasos le agrega un nivel adicional de seguridad a tu página de comienzo de sesión. Como su nombre lo sugiere, agrega otro paso que tienes que completar para iniciar sesión. Lo más probable es que lo estés usando para acceder al correo electrónico, al banco en línea o bien a cualquier otra cuenta que contenga información confidencial. ¿Por qué no usarlo en WP?
Aunque puede parecer complicado, es muy fácil habilitar la verificación de 2 pasos en el blog de WordPress. Todo cuanto necesitas es instalar la aplicación de autenticación de 2 factores y configurar tu WordPress.
Los informes de fallos de PHP pueden ser útiles si estás desarrollando tu sitio y deseas cerciorarte de que todo funcione apropiadamente. No obstante, mostrarle los errores al mundo entero es una grave falla de seguridad en WordPress.
Debes reparar esto lo antes posible. No tengas temor, no tienes que ser un programador para deshabilitar los informes de errores de PHP para Wordpress. Muchos proveedores de alojamiento tienen la opción de desactivar los informes de errores en el panel de control. Si no existe ninguno, sencillamente agrega las próximas líneas a tu archivo wp-config.php. Puedes usar elo el Administrador de ficheros para editar el archivo
wp-config.php.
Eso es todo. El informe de fallos ahora está desactivado.
Recuerda: «El único queso sin costo está en la ratonera». Podemos decir lo mismo sobre los temas y complementos cancelados de WordPress.
Hay miles de complementos y temas anulados rondando en Internet. Los usuarios pueden descargarlos de múltiples sitios Warez o bien torrents de manera gratuita. Lo que no saben es que la mayoría de ellos están infectados con malware o con links de posicionamiento en buscadores black hat.
Deja de usar plugins y temas cancelados. No solo no es ético sino exageradamente dañino para la seguridad de Wordpress. Terminarás pagando más por un desarrollador para que limpie tu sitio.
Los piratas informáticos con frecuencia emplean “vacíos” o loopholes en temas o plugins para inficionar Wordpress con malware. Por lo tanto, es crucial escanear tu blog frecuentemente. Existen muchos complementos bien codificados para este propósito perose resalta entre la multitud. Ofrece opciones de escaneo manuales y automáticas así como numerosas configuraciones diferentes. Aun puede restaurar archivos modificados/infectados con solo dos clicks. Es sin costo y de código abierto. Estos factores deberían ser suficientes a fin de que instales este complemento ya.
Otros complementos de seguridad populares de WordPress:
No vaciles en probarlos todos. Puedes localizar una guía completa sobre cómo instalar plugins de Wordpress.
Puede sonar como un consejo extraño, mas las estadísticas muestran que más del 40 por cien de los sitios web de WordPress fueron hackeados debido a vacíos de seguridad en las cuentas de alojamiento web. Este número por sí mismo debería obligarte a replantear tu elección de alojamiento web actual ya un hosting más seguro. Algunos factores clave a tener en cuenta al buscar un nuevo hosting:
Incluso los sitios web más grandes son hackeados todos y cada uno de los días a pesar del hecho de que sus dueños gastan miles para fortalecer la seguridad de Wordpress.
Aún si estás siguiendo las mejores prácticas y cumples con otros consejos de este artículo, prosigue siendo crucial hacer una copia de respaldo de tu sitio web de Wordpress de manera regular.
Hay bastantes formas de crear copias de respaldo. Por ejemplo, puedes descargar manualmente ficheros de WP y exportar la base de datos o bien emplear la herramienta de copias de respaldo de tu proveedor de alojamiento web. Otra forma es emplear complementos de WP. Los complementos de copia de respaldo de WP más populares son:
Incluso puedes automatizar el proceso de copias de seguridad y almacenar copias de respaldo de Wordpress en Dropbox.
Como sabrás, Wordpress tiene un editor de archivos incorporado que deja editar ficheros PHP. Aunque esta característica es muy útil, también puede hacer mucho daño. Si el atacante obtiene acceso a tu panel de administrador, la primera cosa que buscará es el Editor de archivos. Algunos usuarios de Wordpress prefieren deshabilitar totalmente esta función. Se puede desactivar editando el archivo
wp-config.phpe incluyendo la siguiente línea de código:
Eso es todo cuanto debes hacer para deshabilitar la edición de ficheros en WordPress.
IMPORTANTE: Caso de que desees volver a habilitar esta función, use el cliente del servicio FTP o el Administrador de archivos de tu distribuidor de alojamiento web y suprime este código del fichero wp-config.php.
Haz una limpieza de tu lugar de Wordpress y suprime todos y cada uno de los plugins y temas no empleados. Los piratas informáticos acostumbran a buscar temas y complementos deshabilitados y desactualizados (aun los plugins oficiales de Wordpress) y utilizarlos para conseguir acceso a tu escritorio o bien cargar ficheros maliciosos en tu servidor. Al quitar complementos y temas que dejaste de utilizar (y seguramente olvidaste actualizar) hace bastante tiempo, reduces el peligro y haces que el sitio de Wordpress sea un tanto más seguro.
Se requiere un fichero .htaccess para que los links de WP funcionen adecuadamente. agencia community manager , obtendrías muchos fallos cuatrocientos cuatro.
No muchos usuarios saben que .htaccess se puede utilizar para mejorar la seguridad de Wordpress. Por ejemplo, con .htaccess puedes bloquear el acceso o bien deshabilitar la ejecución de PHP en carpetitas específicas. Los ejemplos a continuación muestran cómo se puede utilizar .htaccess para fortalecer la seguridad de Wordpress.
IMPORTANTE Ya antes de realizar cualquier cambio, se recomienda efectuar una copia de seguridad del fichero .htaccess anterior. Puedes usar elo el
Administrador de archivospara esto.
El siguiente código permitirá el acceso al área de administrador de Wordpress solo desde direcciones IP específicas.
Ten en cuenta que debes cambiar
XX.XX.XX.XXXpor tu dirección IP. Puedes usarpara contrastar tu IP actual. Si empleas más de una conexión para administrar tu sitio de Wordpress, asegúrate de incluir también todas las otras direcciones IP (no vaciles en añadir todas y cada una de las líneas de permiso que precises). No se recomienda utilizar este código si tienes una dirección IP dinámica.
Deshabilitar la ejecución de PHP en carpetas específicas
A los atacantes les agrada cargar scripts de puerta trasera a la carpetita de carga de WP. consultor seo girona , esta carpeta se utiliza para cargar solo ficheros multimedia. Por tanto, no debería contener ningún fichero PHP. Puedes desactivar fácilmente la ejecución de PHP creando un nuevo archivo .htaccess en
/wp-content/uploads/con estas reglas:
Proteger el archivo wp-config.php
El fichero wp-config.php contiene la configuración del núcleo de WP y los detalles de la base de datos MySQL. Por lo tanto, es el archivo de WordPress más esencial. De ahí que que es el principal objetivo de los piratas informáticos de WP. Sin embargo, puedes resguardar fácilmente este archivo utilizando las reglas .htaccess:
La base de datos de WordPress guarda y almacena toda la información crucial requerida a fin de que tu lugar funcione. Como resultado, se transforma en un propósito atrayente para piratas informáticos y spammers que ejecutan código automatizado para efectuar inyecciones de SQL. Al instalar Wordpress, la mayoría de las personas ni tan siquiera se incordian en cambiar el prefijo de base de datos predeterminado
wp_. Según“1 de cada cinco casos de hackeo de WordPress ocurren debido a las inyecciones de SQL”. Como
**wp**es la configuración predeterminada, los piratas informáticos intentarán agredir ese valor primero. En este paso, ofreceremos una breve descripción de cómo puedes resguardar tu sitio de WP contra dichos ataques.
¡IMPORTANTE! La seguridad es lo primero. Asegúrate de
hacer una copia de respaldo de tu base de datos MySQL de WordPressantes de proseguir.
Usando elo el Administrador de archivos, halla tu
wp-config.phpy busca el valor
$ table_prefix.
Puede añadir números, letras o guiones bajos. Después de eso, guarda los cambios y continúa con el próximo paso. En este tutorial, usaremos
wp_1secure1_como el nuevo prefijo de tabla.
Mientras estés en tu archivo
wp-config.php, busca también el nombre de tu base de datos, para que sepas qué base de datos precisas editar. Busca la sección
define('DB_NAME'
Ahora, necesitarás actualizar todas las entradas en tu base de datos de WordPress. Esto se puede hacer mediante phpMyAdmin.
Encuentra la base de datos que identificaste en la parte 1 y acceda a ella.
Una instalación predeterminada de Wordpress tiene 12 tablas y cada una tiene que ser actualizada. No obstante, se puede hacer más rápido utilizando la sección
SQLde phpMyadmin.
Cambiar cada tabla manualmente tomaría una cantidad de tiempo excesiva, por tanto, utilizaremos consultas SQL para acelerar las cosas. Utiliza la siguiente sintaxis para actualizar todas y cada una de las tablas en tu base de datos.
Algunos temas o plugins de WordPress pueden crear tablas auxiliares en la base de datos. En el caso de que tengas más de doce tablas en tu base de datos MySQL, agrega el resto de ellas manualmente a la lista de consultas SQL y ejecútalas.
Dependiendo de la cantidad de plugins que tengas instalados, ciertos valores en tu base de datos deberán actualizarse manualmente. Eso se posicionamiento seo google mallorca SQL separadas en las tablas
optionsy
usermeta.
Para la tabla de
options, deberías usar:
Para la tabla
usermetadeberías usar:
Cuando consigas los resultados de la consulta SQL, sencillamente actualiza todos y cada uno de los valores de
wp_con tu prefijo recién configurado y listo. En la tabla
usermetanecesitarás editar el campo
meta_key, al tiempo que en
options, el valor de
option_namedeberá ser cambiado.
Si planeas instalar nuevos sitios de WP, no será preciso efectuar este proceso de nuevo. Sencillamente podrás mudar tu prefijo de tabla de WP durante la instalación:
¡Felicitaciones! Has mejorado exitosamente la protección de la base de datos de WordPress contra las inyecciones de SQL.
Aunque Wordpress es el CMS más hackeado del planeta, no es difícil progresar su seguridad. En este tutorial damos diez consejos que deberías seguir para progresar la seguridad en Wordpress.
| Комментировать | « Пред. запись — К дневнику — След. запись » | Страницы: [1] [Новые] |
