Cómo NO asegurar su sitio web de WordPress

Cómo NO asegurar su sitio de WordPress

¿Qué es lo primero que harías cuando quieras asegurar tu sitio de WordPress? Descubra los cinco complementos de seguridad principales, considere cuán asequibles son y luego continúe e instale uno. Hecho esto, ahora puedes sentarte y relajarte, ¿verdad? Incorrecto!


El uso de un complemento de seguridad no garantiza la seguridad. La seguridad no es una cosa absoluta y nadie puede garantizar la seguridad completa. Lo mejor que podemos hacer es reducir el riesgo de un hack. Y, contrariamente a la creencia popular, el propietario del sitio debe participar para mantener el sitio web seguro. Saber qué debe hacer y qué no debe hacer es importante.

Si bien hay varias guías sobre lo que debe hacer para mantener seguro su sitio de WordPress, le ofrecemos una guía sobre lo que debe EVITAR en su lugar. Notará que los consejos aquí están en conflicto con la creencia general. Pero según nuestra experiencia, muchos consejos están desactualizados y ofrecen una falsa sensación de seguridad..

Si el tema de la seguridad de WordPress te molesta tanto como a nosotros, mira lo siguiente.

1. No use demasiados complementos de seguridad

Dada la amplia gama de complementos disponibles, con varios conjuntos de funciones, es tentador usar más de un complemento de seguridad de WordPress. Para ser honesto, es una exageración. Es normal estar preocupado por la seguridad de su sitio, pero debe preguntarse si realmente necesita más de un complemento de seguridad. ¿Cuáles son las características esenciales para los requisitos de su sitio? ¿Las características van a pisar los dedos del otro??

Por ejemplo, puede surgir un conflicto cuando los complementos comienzan a modificar archivos como wp-config.php o htaccess. Los complementos pueden manipular fácilmente estos archivos, pero no los modifican de manera unánime. Esto podría crear conflictos y hacer que su sitio web sea lento.

Con los sitios de WordPress, las cosas pueden salir mal de vez en cuando. Todos odian la temida Pantalla Blanca de la Muerte. Tener múltiples complementos que afecten profundamente su sitio web puede dificultar los problemas de depuración. Ahora, si hubiera habido un solo complemento, encontrar y corregir la causa del error hubiera sido más fácil y menos complicado.

2. No cambie el prefijo de base de datos

Hay varias formas en que un sitio de WordPress puede verse comprometido. El hacker puede obtener acceso a la base de datos de un sitio a través del ataque de inyección SQL. Una vulnerabilidad en un complemento o tema se puede usar para entrar en la base de datos del sitio (por lo que le sugerimos que utilice un Complemento de copia de seguridad de la base de datos de WordPress para evitar trampas similares). Un método popular para evitar que los hackers profundicen en su sitio es cambiar el prefijo de tabla predeterminado. Como puede ver en la imagen a continuación, en WordPress, el prefijo de tabla predeterminado es “wp_”. WordPress le permite cambiar el prefijo de tabla (por ejemplo, “xzy_”) para ocultar ciertas tablas.

Prefijos de la base de datos de WordPress

En la superficie, esto parece una buena idea. Si los piratas informáticos no conocen el nombre de la tabla, no pueden recuperar los datos de ella. Esto es, sin embargo, un falso razonamiento. Una vez que alguien piratea su base de datos, todavía hay formas de averiguar las tablas. Por lo tanto, cambiar los nombres del prefijo no sirve de nada. Además, modificar el prefijo predeterminado puede causar que varios complementos se comporten mal.

Además, cambiar el prefijo de la base de datos en pleno vuelo es difícil de implementar y puede hacer que su sitio web se bloquee. Esto se debe a que hay muchos cambios que deben hacerse en todos los niveles. Cualquier error en el proceso resultará catastrófico para su sitio..

3. Evite ocultar su página de inicio de sesión

Siempre hay alguien tratando de entrar en su sitio al descifrar su contraseña. Durante los ataques de fuerza bruta, los piratas informáticos intentan iniciar sesión en su sitio web utilizando una combinación de nombres de usuario y contraseñas populares. ¿Y qué si ocultamos la página de inicio de sesión? Eso matará dos pájaros de un tiro, ¿verdad? El pirata informático no podrá encontrar la página de inicio de sesión y se reducirá la carga en su servidor.

WordPress tiene una página de inicio de sesión predeterminada. La URL de la página generalmente se parece a este ejemplo.com/wp-login.php. Una forma conocida de salvar su sitio web de un ataque de fuerza bruta es ocultando o cambiando la página de inicio de sesión predeterminada a algo más como example.com/mylogin.php. Aunque esto suena como un plan infalible, descubramos qué tan efectivo es el método para mantener seguro su sitio de WordPress.

Reducción de carga del servidor

Después de ocultar o cambiar la ubicación de su página de inicio de sesión, cada vez que alguien intenta abrirla, se enfrentará a un error 404. Sin embargo, los intentos de inicio de sesión son un proceso pesado. Cada vez que se carga la página de error 404, consume muchos de los recursos de su servidor. Y termina ralentizando su sitio web. Por lo tanto, la creencia común de que ocultar su página de inicio de sesión reducirá la carga en el servidor es incorrecta.

URL alternativa no es difícil de adivinar

Parte del éxito de WordPress como CMS se debe a los complementos que facilitan las modificaciones en un sitio web. No es sorprendente que una forma popular de ocultar una página de inicio de sesión de un sitio sea mediante el uso de un complemento. Estos complementos vienen con un conjunto de URL de inicio de sesión alternativo predeterminado como xzy.com/wplogin.php, etc. Hemos sido capacitados para seguir con la configuración predeterminada. Una vez que instalamos el complemento y cambiamos nuestra URL, no pensamos mucho en ello. Pero solo hay tantas URL que un complemento puede ofrecer. No es demasiado difícil descubrir estas URL de inicio de sesión preestablecidas. Por lo tanto, el uso de una URL alternativa puede ser ineficaz en la mayoría de los casos.

Problemas de usabilidad

La belleza de WordPress es que es fácil de usar. Es una plataforma familiar. Para un sitio con una multitud de usuarios, cambiar u ocultar la página de inicio de sesión podría plantear ciertos problemas. Varias veces nos hemos encontrado con publicaciones en foros de WordPress donde los usuarios están bloqueados de un sitio debido a un cambio en la URL de inicio de sesión. En la mayoría de los casos, los cambios se realizaron con un complemento y los usuarios no se dieron cuenta de la situación que causaba el caos..

4. No bloquee las direcciones IP manualmente

Si tiene un complemento de seguridad instalado en su sitio, se le notificará cuando alguien intente iniciar sesión en su sitio web. Puede obtener fácilmente la IP enviando esas solicitudes maliciosas y bloquearlos usando el archivo .htaccess. Es un trabajo manual intensivo y no es una práctica muy conveniente..

No es fácil de usar

Una persona no técnica que intenta modificar los archivos .htaccess es una receta para el desastre. Un sistema de gestión de contenido como WordPress tiene un formato muy estricto. Incluso usar las herramientas más populares como FTP / SFTP es muy arriesgado. Un error menor o una ubicación incorrecta del comando puede hacer que el sitio se bloquee.

Demasiadas direcciones IP para bloquear

Para evitar ser incluido en la lista negra, los hackers usan direcciones IP de todo el mundo. Anteriormente, discutimos sobre el bloqueo manual de direcciones IP que constantemente intentan ingresar a su sitio. El trabajo (como hemos mencionado antes) requiere mucho tiempo y esfuerzo, pero no es exactamente un uso muy eficiente del tiempo. Pero si utiliza alguno de los principales complementos de seguridad de WordPress, por ejemplo, Malcare, puede automatizar el proceso de bloqueo. Dichos complementos de seguridad se ocupan de todas las lagunas de seguridad de WP.

5. Ocultar WordPress

Existe una suposición general de que ocultar su CMS hace que sea más difícil para las personas con intención vil entrar en su sitio. ¿Qué pasaría si pudiéramos ocultar el hecho de que su sitio web se ejecuta en WordPress? Eso protegería su sitio de los piratas informáticos que desean explotar vulnerabilidades comunes. Una forma fácil de hacerlo es (lo adivinó) usando un complemento. Pero el método falla cuando a los piratas informáticos no les importa en qué plataforma se está ejecutando su sitio web. Además, hay muchas formas de averiguar si un sitio se está ejecutando en WordPress.

Además de usar un complemento, uno puede elegir hacer el trabajo manualmente. Pero es un proceso lento. Una sola actualización de WordPress puede deshacer todo su trabajo en unos segundos. Lo que significa que deberías repetir el proceso una y otra vez o evitar las actualizaciones de WP. Saltarse las actualizaciones de WordPress es como abrir la puerta de entrada para que un hacker entre directamente a su casa.

6. La protección con contraseña de wp-admin no funciona

La página de inicio de sesión predeterminada de WordPress (que se ve así: example.com/wp-admin) es una puerta de entrada a su sitio. Una página de inicio de sesión típica se parece a la imagen de abajo.

Aquí deberá usar sus credenciales para acceder al panel de WordPress. La protección con contraseña de la página de inicio de sesión ayuda a ocultar o proteger esta puerta de enlace al tablero. Es una buena idea, pero no sin sus lagunas..

Ejemplo de protección de contraseña de LookLinux

Imagen cortesía: LookLinux

En primer lugar, es difícil mantener o incluso cambiar la contraseña si la pierde. Además de ser ineficaz para proporcionar seguridad adicional, tales modificaciones en su sitio pueden resultar muy peligrosas. Por ejemplo, cuando protege con contraseña la página de administración, una solicitud como /wp-admin/admin-ajax.php no puede omitir la protección. Hay complementos que podrían depender de la funcionalidad Ajax de su sitio. Y cuando no pueden acceder a esta funcionalidad, comienzan a portarse mal. Por lo tanto, esto puede hacer que el sitio web se rompa.

A ti

Si tiene alguna pregunta o sugerencia sobre lo que uno debe evitar para asegurar su sitio de WordPress, háganoslo saber en los comentarios.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map