WordPress Security

5 amenazas de seguridad predeterminadas en WordPress (más correcciones)

WordPress es un software extremadamente popular y de código abierto. Lo mejor de esta seguridad es que existe una gran comunidad que trabaja con ella y que es capaz de descubrir errores y riesgos de seguridad más rápido que con una solución interna de CMS. (Es difícil descubrir debilidades cuando una forma de averiguarlo es explotar la debilidad, y tener una gran base de usuarios hace que el descubrimiento sea mucho más probable).

La desventaja es que los piratas informáticos malintencionados saben exactamente cómo está construido su sitio web. Ellos ya tienen el “plan” para su sitio. Y si hay alguna debilidad en el kernel, los temas o los complementos que está utilizando, esto es algo que podrán descubrir sin tener acceso al backend de su sitio.

Entonces, en este artículo, le mostraré cómo solucionar 5 amenazas de seguridad presentes en cualquier instalación de WordPress completamente predeterminada. (Si ya ha tomado algunas precauciones, es posible que ya haya parcheado una o dos, pero es importante parchear las cinco para minimizar el riesgo de ser pirateado).

Su sitio muestra que está usando WordPress, así como la versión

Versión de WordPress

La versión predeterminada de WordPress tendrá líneas de código que indican que su sitio está construido con WordPress, incluso hasta la versión para personas que saben dónde buscar. Dependiendo del tema, incluso se puede mostrar visualmente en todas las páginas de su sitio web.

La razón por la que esto podría ser un riesgo para la seguridad es que las personas pueden apuntar a su sitio sin otra razón que el hecho de que está construido en WordPress. Si alguien encuentra un agujero de seguridad en el núcleo de WordPress, un tema o un complemento, es posible que encuentre el camino a su sitio para explotarlo. Mientras que si hubiera logrado ocultar que su sitio fue creado con WordPress, las personas que buscan sitios de WordPress utilizando rastreadores o rastreadores pensarían que su sitio no es un objetivo viable.

Como arreglarlo:
Para resolver este problema, puede utilizar el complemento Hide My WP. Con este pequeño y útil complemento, puede evitar el tráfico innecesario en su servidor y, al mismo tiempo, mantenerse a salvo de los ataques que se dirigen específicamente a los sitios de WordPress.

Todo el mundo sabe dónde está su página de inicio de sesión / área de administración

Inicio de sesión de WordPress

Si siempre demuestra que está usando WordPress (es decir, no lo está ocultando activamente, por ejemplo, usando un complemento como Hide My WP), los malos ya sabrán dónde intentar un ataque de fuerza bruta en su sitio.

Como arreglarlo:
Para solucionar esta amenaza, reducir drásticamente el riesgo de piratas informáticos y reducir el estrés del servidor, debemos evitar que los delincuentes y los bots accedan a nuestra página de inicio de sesión.

Hay dos formas principales de hacer esto. Puede cambiar la ubicación física de su página de inicio de sesión a otra cosa utilizando un complemento (o unas pocas líneas de código), o puede limitar el acceso a su página de inicio de sesión y área de administración con direcciones IP. Puede hacer esto con un complemento dedicado a esa cosa en particular, o con un complemento de seguridad como Sucuri, Wordfence, iThemes Security Pro o Cortafuegos y seguridad todo en uno de WP.

WordPress tiene un prefijo de tabla predeterminado que todos usan

Prefijo de tabla de WordPress

Un prefijo de tabla es lo que precede a los nombres de las tablas en su base de datos. En lugar de usuarios, con el prefijo estándar de WordPress, sería wp_users. Si usa el prefijo de tabla predeterminado, es más fácil para las personas acceder a su sitio aprovechando las posibles debilidades de la inyección SQL. Porque saben exactamente dónde inyectar información en su base de datos y luego acceder a su sitio.

De hecho, uno de mis sitios web fue pirateado debido a la inyección de SQL, por lo que es una amenaza muy real contra la que debe tomar contramedidas.

Como arreglarlo:
Afortunadamente, eliminar esta amenaza es muy fácil. Si ya ha instalado WordPress con el prefijo wp_ predeterminado, puede cambiarlo fácilmente con un complemento como Sucuri. En primer lugar, debe hacer una copia de seguridad de su base de datos antes de usar esta opción, ya que existe una pequeña posibilidad de que algo esté mal. Puede hacer esto con el clic de un botón. Luego puede elegir un nuevo prefijo, o simplemente dejar que Sucuri genere el nuevo prefijo al azar para usted.

Nota: Si está instalando WordPress por primera vez, puede cambiarlo en la interfaz de instalación.

Los archivos de temas y complementos de WordPress se pueden editar a través del panel

Editor de complementos de WordPress

El problema con esto es que si un pirata informático obtiene acceso a su sitio web, puede causar mucho daño. Pueden hacer que su sitio web infeste a otras personas con malware (lo que podría hacer que Google lo incluya en la lista negra y desindexarlo de los motores de búsqueda), degradar su sitio web o abrir puertas traseras fácilmente.

Como arreglarlo:
Puede agregar esta línea de código a su archivo wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

O use un complemento de seguridad para hacerlo por usted (que básicamente solo insertará esa línea de código por usted). El único problema es que hay complementos que permiten a las personas activar y desactivar esta capacidad, por lo que un hacker muy dedicado podría instalar un complemento, activar el complemento y luego acceder a él. Editar código sin acceso FTP.

Si desea ser extremadamente minucioso y protegerse contra esto, puede deshabilitar todas las actualizaciones / instalaciones de complementos y temas agregando esta línea de código a wp-config.php:

define( 'DISALLOW_FILE_MODS', true );

Pero, obviamente, eso significaría que tendría que cambiar su valor a falso cada vez que desee actualizar o instalar un complemento o tema (realmente no recomendamos esta opción, porque mantener los temas y complementos actualizados es una de las mejores formas). para asegurarse de que su sitio sea menos vulnerable).

WordPress tiene una configuración de firewall muy abierta que puede permitir que incluso bots maliciosos conocidos intenten ataques

Bloqueos de firewall de WordPress

La configuración predeterminada del firewall de WordPress está en el lado liberal. Esto significa que algunos bots no deseados y otros visitantes no deseados obtienen luz verde.

Como arreglarlo:
Puede mejorar esto instalando las reglas básicas del firewall de la lista negra de 5G, copiándolo manualmente en su archivo .htaccess (puede encontrarlo aquí) o instalando este complemento, o use un complemento de seguridad para optimizar mejor sus reglas .htaccess.

Intentos de inicio de sesión ilimitados en WordPress

Si bien la configuración predeterminada es de hecho intentos de inicio de sesión ilimitados, es posible que haya elegido limitar los intentos de inicio de sesión cuando instaló WordPress en su sitio. Sin embargo, si no lo ha hecho, esta es una solución increíblemente fácil.

Como arreglarlo:
Simplemente instale el Intentos de conexión de límite de complemento. O, si está utilizando el alojamiento WPEngine, esa es una característica que ya han incorporado para usted, ¡no se requieren complementos! Si ya protege su área de inicio de sesión permitiendo que solo sus propias direcciones IP accedan al tablero, no necesitará hacer esto. Pero si simplemente ocultó la dirección de su página de inicio de sesión, es una buena protección doble contra posibles ataques de fuerza bruta.

Conclusión

El ciberdelito está creciendo rápidamente e Internet está a punto de convertirse en el hogar de más delincuentes que “el mundo real”. En algunos países esto ya ha sucedido. Et bien qu’il s’agisse en grande partie de fraude par carte de crédit et bancaire, il y a un nombre croissant de pirates informatiques, et en tant que propriétaires de sites Web, nous devons nous protéger et protéger nos sites du mieux que podemos.

Si bien una instalación predeterminada de WordPress tiene algunas debilidades, la belleza de WordPress realmente radica en la facilidad con la que puede solucionar casi cualquier problema con su sitio, incluidas las amenazas de seguridad mencionadas en este artículo. Más allá de tener un nombre de usuario único y una contraseña segura, instalar un complemento de seguridad, cambiar algunas configuraciones y tal vez insertar una línea o dos de código, ya puede reducir significativamente el riesgo, ya sea que su sitio sea pirateado o infestado de malware.

¿Ha tomado alguna medida para mejorar la seguridad de su sitio de WordPress? ¿Qué género? ¡Nos encantaría escuchar algunos de tus consejos y trucos! Por favor, háganos saber en los comentarios.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ir arriba