5 amenazas de seguridad predeterminadas en WordPress y cómo solucionarlas

Seguridad de WordPress

WordPress es un software de código abierto masivamente popular y completamente abierto. Lo mejor de esa seguridad es que hay una gran comunidad que trabaja con ella, capaz de descubrir errores y riesgos de seguridad más rápido que uno con una solución CMS interna. (Es difícil descubrir las debilidades cuando una forma de descubrirlas es explotarlas y tener una gran base de usuarios hace que el descubrimiento sea mucho más probable).


La desventaja es que los piratas informáticos con malas intenciones saben exactamente cómo se construye su sitio web. Ya tienen el “plano” de su sitio. Y si hay alguna debilidad en el núcleo, los temas o los complementos que usa, eso es algo que podrán saber sin tener acceso al backend de su sitio.

Entonces, en esta publicación, le mostraré cómo solucionar 5 amenazas de seguridad que están presentes en cualquier instalación completamente predeterminada de WordPress. (Si ya ha tomado algunas precauciones, puede descubrir que ya ha solucionado uno o dos, pero es importante corregir los cinco para minimizar el riesgo de ser pirateado).

Tu sitio muestra que estás usando WordPress, más la versión

Versión de WordPress

La versión predeterminada de WordPress tendrá líneas de código que revelarán que su sitio está construido utilizando WordPress, incluso hasta la versión para las personas que saben dónde buscar. Dependiendo del tema, incluso podría mostrarse visualmente en cada página de su sitio web.

La razón por la que esto podría ser un riesgo para la seguridad es que las personas pueden apuntar a su sitio por ninguna otra razón que no sea que está construido en WordPress. Si alguien encuentra una debilidad de seguridad en el núcleo de WordPress, un tema o complemento, puede encontrar su camino a su sitio para explotarlo. Mientras que si hubiera ocultado con éxito que su sitio fue construido con WordPress, las personas que buscan sitios de WordPress usando bots o rastreadores serían engañados para que piensen que su sitio no es un objetivo viable.

Como arreglarlo:
Para solucionar esto, puede usar el complemento Hide My WP. Con este útil pequeño complemento, puede evitar el tráfico innecesario en su servidor y, al mismo tiempo, mantenerse a salvo de ataques que se dirigen específicamente a sitios de WordPress.

Todos saben dónde se encuentra su página de inicio de sesión / área de administración

Inicio de sesión de WordPress

Si todavía muestra que usa WordPress (es decir, no lo oculta activamente, por ejemplo, usando un complemento como Hide My WP), las personas con malas intenciones ya sabrán dónde intentar un ataque de fuerza bruta en su sitio.

Como arreglarlo:
Para solucionar esta amenaza y reducir drásticamente las posibilidades de ser pirateado, y para reducir el estrés del servidor, necesitamos evitar que personas maliciosas y bots lleguen a nuestra página de inicio de sesión.

Hay dos formas principales de hacer esto. Puede cambiar la ubicación física de su página de inicio de sesión a otra cosa utilizando un complemento (o unas pocas líneas de código), o puede limitar el acceso a su página de inicio de sesión y área de administración por direcciones IP. Puede hacer esto con un complemento dedicado a esta cosa en particular, o con un complemento de seguridad como Sucuri, Wordfence, iThemes Security Pro o Seguridad y cortafuegos todo en uno WP.

WordPress tiene un prefijo de tabla predeterminado que todos usan

Prefijo de tabla de WordPress

Un prefijo de tabla es lo que viene antes de los nombres de las tablas en su base de datos. En lugar de usuarios, con el prefijo estándar de WordPress, sería wp_users. Si utiliza el prefijo de tabla predeterminado, facilita el acceso de las personas a su sitio al explotar las posibles debilidades de inyección de SQL. Porque saben exactamente dónde inyectar información en su base de datos para luego obtener acceso a su sitio.

De hecho, tuve uno de mis sitios web pirateados debido a la inyección de SQL, por lo que esta es una amenaza muy real que debes tomar contramedidas contra.

Como arreglarlo:
Afortunadamente, es muy fácil eliminar esta amenaza. Si ya instaló WordPress con el prefijo wp_ predeterminado, puede cambiarlo fácilmente con un complemento como Sucuri. Primero, debe hacer una copia de seguridad de su base de datos antes de usar esa opción, ya que hay una pequeña posibilidad de que algo salga mal. Puede hacer esto con el clic de un botón. Luego puede elegir un nuevo prefijo o simplemente dejar que Sucuri genere aleatoriamente el nuevo prefijo para usted.

Nota: Si solo instala WordPress por primera vez, puede cambiarlo en la interfaz de instalación.

Los archivos de plugins y temas de WordPress son editables a través del panel de control

WordPress Plugin Editor

El problema con esto es que si un hacker obtiene acceso a su sitio web, puede causar mucho daño. Pueden hacer que su sitio web infeste a otras personas con malware (lo que podría terminar con que su sitio sea incluido en la lista negra de Google y desindexado de los motores de búsqueda), desfigurar su sitio web o abrir fácilmente puertas traseras.

Como arreglarlo:
Puede agregar esta línea de código a su archivo wp-config.php:

define ('DISALLOW_FILE_EDIT', verdadero);

O use un complemento de seguridad para hacerlo por usted (que básicamente solo insertará esa línea de código por usted). El único problema es que hay complementos que permiten a las personas activar y desactivar esta capacidad, por lo que un hacker muy dedicado podría instalar un complemento, activar el complemento y luego obtener acceso al código de edición sin acceso FTP.

Si desea ser extremadamente exhaustivo y protegerse contra esto, puede deshabilitar todas las actualizaciones / instalaciones de complementos y temas agregando esta línea de código a wp-config.php:

define ('DISALLOW_FILE_MODS', verdadero);

Pero, obviamente, esto significaría que tendría que cambiar su valor a falso cada vez que quisiera actualizar o instalar un complemento o tema (realmente no recomendamos esta opción, ya que mantener los temas y complementos actualizados es una de las mejores maneras para garantizar que su sitio sea menos vulnerable).

WordPress tiene una configuración de firewall muy abierta que puede permitir que incluso los robots maliciosos conocidos intenten ataques

Servidores de cortafuegos de WordPress

La configuración predeterminada del firewall de WordPress está en el lado liberal. Esto significa que algunos robots indeseables y otros visitantes no deseados obtienen luz verde.

Como arreglarlo:
Puede mejorar esto instalando las reglas básicas del cortafuegos de la lista negra 5G, copiándolo manualmente en su archivo .htaccess (puede encontrarlo aquí) o instalando este complemento, o use un complemento de seguridad para optimizar mejor las reglas en su .htaccess.

Intentos ilimitados de inicio de sesión de WordPress

Si bien la configuración predeterminada es de hecho intentos de inicio de sesión ilimitados, es posible que haya elegido limitar los intentos de inicio de sesión cuando instaló WordPress en su sitio. Si no lo hizo, sin embargo, es una solución increíblemente fácil.

Como arreglarlo:
Simplemente instale el Complemento Limitar intentos de inicio de sesión. O, si está utilizando el alojamiento WPEngine, esta es una característica que ya han incorporado para usted, ¡no se requiere ningún complemento! Si ya protege su área de inicio de sesión al permitir que sus propias direcciones IP accedan al tablero de datos, no necesitará hacerlo. Pero si solo escondió la dirección de su página de inicio de sesión, es una buena protección doble contra posibles ataques de fuerza bruta.

Conclusión

El delito cibernético está creciendo rápidamente e Internet se está convirtiendo en el hogar de más delincuentes que “el mundo real”. En algunos países esto ya ha sucedido. Y aunque gran parte de esto es fraude bancario y de tarjetas de crédito, hay un número creciente de piratas informáticos, y como propietarios de sitios web tenemos que protegernos a nosotros mismos y a nuestros sitios lo mejor que podamos.

Si bien una instalación predeterminada de WordPress tiene algunas debilidades, la belleza de WordPress radica en la facilidad con la que puede resolver prácticamente cualquiera de sus problemas con su sitio, incluidas las amenazas de seguridad mencionadas en esta publicación. Más allá de tener un nombre de usuario único y una contraseña segura, al instalar un complemento de seguridad, editar algunas configuraciones y quizás insertar una línea de código o dos, ya puede reducir significativamente el riesgo de que su sitio sea pirateado o infestado de malware.

¿Has tomado alguna medida para mejorar la seguridad de tu sitio de WordPress? ¿Que tipo? ¡Nos encantaría escuchar algunos de tus consejos y trucos! Por favor, háganos saber en los comentarios.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map