Diferentes maneras de proteger tu WordPress

AdinteractiveArtículos AD WebDiferentes maneras de proteger tu WordPress

Alguna limpieza simple puede ayudarnos a no perder nuestro sitio web en WordPress, cada día es más la probabilidad que nuestro sitio web pueda ser atacado.

WordPress sin duda es el sistema de gestión de contenidos más populares (CMS) en el cual actualmente se están desarrollando miles de sitios web en el mundo. Cualquier vulnerabilidad de seguridad en la codificación de WordPress o marco podría afectar a millones de sitios web.

En este post explicaremos cómo podemos proteger nuestro sitio de WordPress de malware y Hackers, sin tener un conocimiento profundo de seguridad.


1. Auditoría de seguridad de estación de trabajo global

En primer lugar, asegúrese de que todos y cada uno de sus ordenadores y servidores web que utilizan se guardan correctamente seguro. Asegúrese de que está ejecutando la versión más reciente de su navegador web favorito, y asegúrese de que está configurado para reparar de forma automática. Haga lo mismo con el software antivirus y sistemas operativos. Asegúrese de que todos los vectores de autenticación que utiliza son de contraseñas seguras, que se cambian cada cierto tiempo. Escanee sus ordenadores ya sean Mac o Pcs y servidores en busca de malware, con frecuencia. Asegúrese de que utiliza servidores de seguridad adecuadas – a nivel del sistema operativo, a nivel de router y en el nivel de ISP, si es posible. Cualquier agujero de seguridad fuera de WordPress, en software y hardware que utiliza con él, puede afectar el propio CMS. Sería triste para crear una contraseña muy segura para la cuenta de administración de WordPress, sólo para descubrir un keylogger derrotado todo su esfuerzo.

2. Manténgase actualizado WordPress

El siguiente paso es asegurarse de tener siempre la versión más reciente de WordPress instalado.

La actualización de WordPress es relativamente rápido y fácil, y se puede realizar a través del panel de WordPress en tu navegador web. Si la versión más reciente de WordPress es incompatible con las versiones de PHP y MySQL instalado en su servidor web o alojamiento web, te recomiendo que vayas a través de los esfuerzos para mejorar los para asegurar que su versión de WordPress está actualizado. Versiones obsoletas de WordPress ya no recibirá los parches de seguridad, de la misma manera que los mayores sistemas operativos de ver el apoyo que expira.

En estos momentos nos encontramos con la version 3.4.2

 

3. Informe de errores y vulnerabilidad

Si alguna vez descubres algún error o alguna vulnerabilidad de seguridad por tu cuenta propia, debemos de hacerle un favor a la comunidad de WordPress, con el envío de un correo electrónico detallado a [email protected] .Si la vulnerabilidad es un plug-in en su lugar, el correo electrónico [email protected] .

Evita a escribir acerca de las vulnerabilidades o errores recientemente descubiertos en foros o redes sociales NO CONFIABLES, esta información puede caer en las manos equivocadas.

 

4. Compruebe y explora tu sitio web

De vez en cuando, ejecuta el Scanner de Vulnerabilidades – Exploit Scanner(plug-in) para comprobar si hay indicios de actividad maliciosa. no directamente repara el problema, pero si te deja un registro detallado que te permite solucionar problemas. Si sospecha de Hackers en tu sitio.

 

5. Desactivar HTML personalizado cuando sea posible

WordPress se puede usar HTML personalizado para varias funciones. Si esto no es absolutamente necesario para la forma y la función de su sitio web, es posible que desee desactivar HTML sin filtrar añadiendo lo siguiente a su archivo wp-config.php:

Define (‘DISALLOW_UNFILTERED_HTML’, true);

 

6. No aparecer como Novato

Eliminar todos los mensajes por defecto y los comentarios. Si los hackers maliciosos encuentran tu sitio nuevo en Worpress, esto puede ayudarles a Hackear más facilmente tu sitio web.

Es más fácil de Hackear un sitio de WordPress cuando se sabe qué versión está instalada, así que asegúrese de ocultarlo. Esto se realiza en dos lugares.

La primera es la etiqueta meta generador en su plantilla. Que se encuentra en wp-content / {nombre de tu tema de WordPress} / header.php. Puedes buscar algo como «» y retírela. El otro elemento está en su feed RSS. Abre wp-includes/general-template.php y mirar alrededor de la línea 1858.Encontrar:

1. the_generator función ($ tipo) {
2. apply_filters echo (‘the_generator’, get_the_generator ($ type), $ type) «\ n».;
3. }

Asegúrese de que el hash se aplica al lado del «eco» de comandos para que se vea así:

1. the_generator función ($ tipo) {
2. # Echo apply_filters (‘the_generator’, get_the_generator ($ type), $ type). «\ N»;
3. }

También, quite todas las instancias de «Powered by WordPress» pies de página, esto tambien te puede delatar como un NOVATO en Worpress.

Asegúrese de eliminar / wp-admin/install.php y / wp-admin/upgrade.php después de cada instalación de WordPress o actualización. Los guiones son sólo alguna vez utilizado durante los procesos de instalación y actualización, y no se utilizan en el desarrollo diario de su sitio. Usted puede actualizar sin esos archivos, como todas las actualizaciones contienen estos scripts.

Cambiar un par de los archivos y directorios por defecto de nombre. Vaya a Configuración> Otros en la consola de administrador y cambiar los nombres de wp-content/directory ywp-comments-post.php. Asegúrese de cambiar la URL de plantilla dentro de la plantilla y comentarios wp–post.php en consecuencia, para mantener el funcionamiento de su sitio.

 

7. Ocultar índices

Asegúrese de desactivar el acceso del público a los índices siempre que sea posible. Si la gente puede encontrar los archivos en wp-content/plugins su sitio / directorio sin ser autenticado, es mucho más fácil de romper en su sitio a través de plug-in vulnerbilities. Si ejecuta el servidor web Apache u otro sistema operativo que utiliza. Archivos htacess, es muy sencillo de hacer. Busque el archivo. Htaccess en el directorio de configuración principal de su sitio. Ese es el directorio que contiene index.php. Introduzca el textoOptions-Indexes en cualquier parte del archivo. Alternativamente, si no se puede modificar un archivo. Htaccess, cargar un archivo index.html en el directorio principal.

Usted podría hacer que la página web tiene un aspecto similar a las páginas de su sitio web PHP e insertar un hipervínculo al archivo index.php si lo desea. Pero, obviamente, en un sitio que utiliza WordPress como CMS, los visitantes no verán su archivo index.html a menos que escriba una ruta específica a ella en su barra de direcciones del navegador web. Como alternativa, puede hacer que el archivo index.html un marcador de posición de byte 0.

En caso de que su servidor web siempre tiene problemas de computación archivos PHP, es crucial para bloquear los directorios que son accesibles únicamente por su servidor. Si el código fuente PHP es cada vez aparece en el navegador web de un visitante en lugar de la página web se supone que debe hacer, pueden encontrar las credenciales de base de datos o información en profundidad acerca de la programación en PHP / MySQL de su sitio. Su sitio wp-includes / directorio es el más importante de bloquear. Busque el archivo htaccess allí e insertar.:

1. RewriteRule ^ (wp – incluye).. \ / * $ / [NC, R = 301, L]

Si hay o va a hacer subdirectorios de wp-includes /, inserte el código siguiente para cada uno en el mismo archivo de configuración htaccess.:

1. RewriteRule ^ (wp-includes | subdirectorio de nombre-en este caso).. \ / * $ / [NC, R = 301, L]

 

8. Back It Up

WP-DB Manager es excelente para hacer copias de seguridad de todo el sitio de WordPress, pero también va a alertar de las vulnerabilidades mySQL y le hará saber cuando las partes de su base de datos son de acceso público.

Siempre asegúrese de hacer copias debidamente hasta el contenido de su sitio. En el peor de los casos, por lo menos mantener copias de seguridad le permite restaurar fácilmente su sitio. Con el Administrador de WP-DB, también se puede utilizar Copia de seguridad en línea para WordPress. La copia de seguridad del plug-in crea puede ser almacenado en su buzón de correo electrónico o en su ORDENADOR, o puede utilizar los 100 MB de espacio de almacenamiento libre en servidores seguros propios desarrolladores de tecnología Backup.

 

9. Instale los conectores de seguridad

Hemos mencionado anteriormente el Scanner de Vulnerabilidades de plug-in, que se debe ejecutar en su sitio de vez en cuando para comprobar si hay vulnerabilidades e intentos de Hackers. Hay una serie de otros plug-ins de WordPress que te recomendamos instalar y utilizar.

Cuando se utiliza correctamente, puede endurecer su sitio de WordPress con gran eficacia.

Con Exploit Scanner, también puede utilizar la función Escanear WP Security. No sólo el plug-in de buscar vulnerabilidades, pero también voy a dar un consejo específico para bloquearlos.

Para evitar-in-the-middle cracks para encontrar sus credenciales de inicio de sesión, asegúrese de cifrar los paquetes de inicio de sesión de cifrado de sesión. Ese plug-in utiliza tanto la DEA y los algoritmos RSA para mayor seguridad.

Instalación de plug-ins desde el panel de administración

*Configure el Limit Login Attempts plug-in para prevenir ataques de fuerza bruta.Con este plug-in, se puede establecer un número máximo de intentos de inicio de sesión, y también establecer la duración de los bloqueos en el medio.

El Plug-in, User Locker funciona de una manera similar. Con él, usted puede establecer un número máximo de intentos de autenticación no válidos antes de que la cuenta está bloqueada.

También hay un excelente plug-in para la seguridad de su panel de administración completo. Trate de administración API Secure SSL para cifrar el panel con SSL.

Otra gran plug-in para asegurar su sitio de inicio de sesión es el Chap Secure Login. Mediante el uso que, en todas sus credenciales de inicio de sesión, a excepción de los nombres de usuario, se cifrará con el protocolo CHAP y el algoritmo SHA-256.

Como se mencionó antes, es una excelente idea para cambiar valores por defecto de WordPress como muchos como sea posible. Con sigilo sesión, puede crear URL personalizadas para entrar y salir de su sitio.

Block Bad Queries tratarán de bloquear consultas maliciosas en su sitio. Se busca eval (o «base 64» en la solicitud URIs, y también busca cadenas de solicitud que son sospechosas a lo largo.

Un anti-malware puede ser aplicado a todo el sitio con el Antivirus plug-in. Se ve en busca de virus, gusanos, rootkits y otras formas de malware. Asegúrese de mantenerlo actualizado!

Y recuerde: cuando usted elige e instala cualquiera de los plugins mencionados, serciorese de descargarlos únicamente desde el sitio oficial de WordPress.org. Fuera de este sitio los plug-ins pueden ser ALTAMENTE inseguros.

 

10. Instale otros útiles plug-ins

Los Sitios de WordPress son frecuentemente blanco de los spambots. muchos de los comentarios que recibimos a diario los tenemos que marcar como spam. Imagina lo que esas spambots pueden hacer a su sitio, más allá de que le da una gran cantidad de trabajo extra pesado! Por esa razón, recomendamos instalar Bad Behavior en su sitio. Al iniciar la sesión peticiones HTTP de su sitio, usted puede mejorar y solucionar problemas de spambot. Además, el plugin se limita el acceso a su sitio cuando un bot te golpea.

Ademas de bad-behavior , también puede utilizar User Spam Remover. Se eliminarán las cuentas no utilizadas de usuarios en su sitio. Se puede establecer un límite de edad a los ajustes y también puede configurar una lista blanca.

Al mantener su sitio de WordPress seguro, esta preveniendo la actividad maliciosa que no sólo podría perjudicar a los sitios web, sino también servidores web y PC del usuario, tabletas y dispositivos smartphone. Como WordPress es un CMS común en la web, el conocimiento sobre el diseño y la configuración de la consola es fácilmente disponible, y algunos hackers podría trabajar en tal vez millones de sitios web. Afortunadamente, el conocimiento sobre la seguridad de WordPress es abundante, por las mismas razones. En el continuo mantenimiento de su sitio web y verificación de mismo, le permitirá estar mucho más seguro en la red.

Por: Alexander Bernal, Adinteractive

Comentarios (3)

  1. Bonjour
    je recommande d utiliser le plugin de sécurité Itheme sécurity . il est facile et simple d utilisation,cette extension détecte tout ce qui ne vas pas ,vous avez juste à cliquer pour corriger les problèmes.
    Cette extension permet également de renommer le compte administrateur (admin) et de modifier votre fichier .htacess,si vous n est pas sur de ce que vous faites ne touchez pas aux options avancés

Abrir chat
1
Hola
¿Cómo podemos ayudarte?