Cómo hacer una auditoría de seguridad de su sitio de WordPress

¿Cuándo realizó la última vez que realizó una auditoría de seguridad de WordPress? Es posible que haya descubierto en algún momento e incluso haya realizado una auditoría completa de seguridad de WordPress en su sitio web de WordPress. Lo más probable es que probablemente no fue un proceso que disfrutaste, pero lograste por necesidad de mantener a los piratas informáticos equivocados. Desafortunadamente, un esfuerzo único para abordar la seguridad de su sitio de WordPress no es suficiente. Los hacks maliciosos avanzan constantemente. La buena noticia es que las medidas preventivas y las herramientas de seguridad a su disposición han avanzado con amenazas.
Una auditoría completa de seguridad de WordPress es la mejor manera de averiguar qué medidas de seguridad han estado trabajando en su sitio y cuáles no. Este es un proceso que debe realizarse aproximadamente cada tres meses si espera limitar las posibilidades de que un hacker obtenga acceso no autorizado a su sitio. Marque esta guía porque aprenderá cada paso de hacer una auditoría de seguridad de WordPress exitosa en el sitio. Vamos a echar un vistazo.
En esta guía
¿Qué es una auditoría de seguridad de WordPress? En resumen, una auditoría de seguridad de WordPress es un examen de las medidas de seguridad de su sitio web. Pero al realizar una auditoría de seguridad de WordPress, podrá identificar las medidas de seguridad adicionales para usar para asegurarse de que su sitio esté completamente seguro y protegido. Realizar una auditoría de seguridad completa implica algunos pasos y se volverá abrumador si no sigue un proceso en particular y tiene una lista de verificación lista para iniciar.
Incluso si ha realizado control de seguridad en el pasado, esta guía lo ayudará a configurar un proceso que podrá repetir cada tres meses. En un mundo perfecto, realizarías una auditoría de seguridad todos los días. Pero si no tiene ese tiempo, cada tres meses es un gran lugar para comenzar. ¿Por qué realizar una auditoría de seguridad de WordPress? Con tantas amenazas para su sitio, es importante que su sitio web de WordPress sea lo más seguro posible. Ejecutar una auditoría de seguridad de WordPress de su sitio lo ayuda a preparar y prevenir el éxito en su sitio. No puede proteger su sitio de cualquier problema posible, pero puede asegurarse de que esté listo para esas amenazas más frecuentes realizando una auditoría de seguridad de WordPress. En algún momento. , casi todos los sitios web que se ejecutan en WordPress enfrentarán problemas de seguridad. Por ejemplo, los temas y los complementos pueden tener vulnerabilidades que los piratas informáticos pueden explotar y acceder a su sitio web con intención intencional. Una vez que ingresen, podrán mostrar anuncios y contenido no autorizado, redirigirán el tráfico del sitio a otro sitio web, arrebatarán a los clientes o incluso robarán datos personales. Estos escenarios son solo el comienzo de lo que un hacker puede hacer al acceder a su sitio en la realización de una auditoría completa de seguridad de WordPress lo ayudará a identificar estos tipos para que pueda eliminar cualquier brecha de seguridad de su sitio web.
Cómo hacer una auditoría de seguridad de WordPress: 14 preguntas de respuesta para mantener las cosas lo más simples posible, aquí están los pasos numerados que desea tomar una auditoría de seguridad completa de su sitio web. 1. ¿Se actualizan todos los programas en su sitio web? Cuando pasa por la auditoría de seguridad de WordPress, algo fácil pero muy importante para verificar es si todo está actualizado o no en su sitio web. Esto incluye todos los complementos, temas y WordPress en sí. ¿Tiene actualizaciones de espera en su sitio web para complementos, temas o WordPress en sí? Con WordPress en particular, las actualizaciones de versión a menudo incluyen remedios de seguridad y mejoras. Si ejecuta versiones anteriores, generalmente se conoce cualquier problema de seguridad y puede explotarse. Por lo tanto, es muy importante mantener todo actualizado en su sitio web de WordPress. Las actualizaciones se encuentran en el tablero de su administrador de WordPress en algunos lugares diferentes. (Esto probablemente sea intencional debido a la importancia de las actualizaciones para la salud y la seguridad de su sitio)

Puede automatizar sus actualizaciones en su sitio utilizando las versiones IThemes Security Pro WordPress. Actualizar la automatización asegura que obtenga parches de seguridad críticos que protejan su sitio contra las vulnerabilidades de seguridad de WordPress y, como bonificación, reduzca el tiempo que pasa al mantener el sitio web de WordPress.
Consejo: Use un servicio como IThemes Sync para ejecutar actualizaciones rápidamente si administra más sitios web de WordPress. 2. ¿Quién tiene acceso al nivel de administrador en su sitio? WordPress permite que más usuarios contribuyan y colaboren en el mantenimiento y el desarrollo del sitio. Pero no todos sus usuarios necesitarán acceso administrativo completo a su sitio web. Conozca el rol de usuario adecuado para cada uno de sus usuarios: no todos necesitarán acceso completo. Limitar el acceso limita los problemas de seguridad de los usuarios. Un primer ejemplo es un escritor. Solo necesitarán acceso para permitir el contenido y publicar contenido. Sin embargo, no requiere acceso que les permita realizar otros cambios en el sitio, como actualizar temas o instalar complementos. Para ayudarlo a clasificar correctamente a los usuarios de su sitio, WordPress proporciona seis roles de usuario distintos que puede asignar a cada uno de sus usuarios.

Super administrador
Administrador
Editor
Autor
contribuyente
Abonado
Tenga en cuenta que cada uno de estos roles tiene sus propios permisos únicos. Al realizar una auditoría de seguridad de WordPress, primero querrá analizar cada uno de los usuarios que ha agregado a su sitio en el extremo.
¿Cuántos usuarios tienen acceso completo al administrador?
¿Cuántos usuarios realmente necesitan acceso al administrador?
¿Puede restringir el acceso al sitio ofreciendo permisos más pequeños para aquellos que no requieren acceso al administrador?
¿Reconoces a todos los usuarios que tienen acceso al tablero? Si no, elimine los usuarios que no reconoce, porque puede haber cuentas deshonestas creadas por los piratas informáticos. Este es, con mucho, el nombre de usuario de WordPress más común, que los piratas informáticos aprovechan el intento de tener acceso no autorizado al sitio.
Si alguien tiene una cuenta de administrador, primero tendrá que crear una nueva cuenta para esa persona y asignar el contenido existente a la cuenta de nuevo usuario. Después de haber terminado, simplemente elimine su cuenta llamada Administrador. 3. ¿Utiliza la autenticación de dos factores? Agregar dos autenticación de WordPress es uno de los mejores métodos para asegurar el acceso de conexión a su sitio. La autenticación de dos factores requiere que los usuarios usen un token de autenticación además del nombre de usuario y la contraseña para conectarse. En WordPress.
Incluso si un nombre de usuario y contraseña correctos se archivan directamente desde el correo electrónico de un usuario, el intento de conexión intencional aún se puede evitar si el usuario usa la aplicación móvil para recibir el token de autenticación. La autenticación de dos factores agrega una capa de seguridad increíblemente fuerte a su sitio de WordPress y se puede agregar fácilmente utilizando un complemento como IThemes Security. De hecho, la investigación reciente de Google confirma que el uso de la autenticación de dos factores puede detener el 100% de los ataques de botes automáticos. Me gustan esas probabilidades. Ithemes Security Pro facilita la adición de autenticación en dos factores en los sitios web de WordPress. 4. ¿Tiene una solución de repuesto para su sitio de WordPress? Si algo no va bien durante una auditoría de seguridad, se alegrará de tener una copia de seguridad completa de su sitio que pueda usar de inmediato. Esto le permite restaurar su sitio rápidamente y volver a la normalidad si algo no va bien. ¿Pero pensaste en lo que harías si incluso la copia de repuesto no tuviera éxito? ¿Qué haría si no pudiera restaurar su sitio?
Es por eso que es importante tener no solo una solución de repuesto, sino también probarla.Si todo lo que usa para la copia de seguridad del sitio es una herramienta de su host, muchos no le permiten ejecutar una prueba.En su lugar, descargue e instale el complemento de repuesto de WordPress llamado backuppebdy.Este complemento se hace cargo automáticamente de los hijos de repuesto completo de todo el sitio web.Tenga en cuenta que la primera copia de seguridad que realiza en su sitio puede llevar un tiempo porque copia todo su sitio en un servidor de repuesto.Sin embargo, las copias de copia de seguridad futuras serán mucho más rápidas, ya que solo se realizarán una copia de seguridad de los cambios que ha realizado en su sitio desde la copia de seguridad anterior.Después de usar BackupBuddy para completar la copia de seguridad del sitio, podrá ingresar al tablero y probar cómo se restaurará.5. ¿Tiene complementos de WordPress no utilizados?
Los complementos vulnerables son el punto débil para tantos trucos diferentes de WordPress. Los complementos son herramientas creadas por desarrolladores que mantienen y los mantienen actualizados. Pero, como con todas las formas de software, las diferentes vulnerabilidades de seguridad pueden convertirse en un problema con el tiempo. La mayoría de los desarrolladores de complementos solucionan rápidamente estos problemas y lanzan una actualización para la descarga e instalación por parte de los usuarios. Las actualizaciones a menudo son parches de seguridad específicos que eliminan la vulnerabilidad de su sitio web. Es importante descargar estas actualizaciones incluso cuando están disponibles. Durante su auditoría de seguridad de WordPress, eche un vistazo a la lista de complementos instalados en su sitio web. A la mayoría de los propietarios de sitios de WordPress les gusta probar nuevos complementos para ver qué harán. Pero a menudo no los usaremos de forma permanente y olvidemos que los hemos instalado. Tómese un tiempo para eliminar los complementos que no usa. Esto elimina todos los artículos innecesarios en su sitio y reduce el riesgo de que un hacker penetre. Asegúrese de que todos los complementos que ejecute sean familiares y los reconozcan. Si no reconoce un complemento que se ejecuta y está seguro de que su equipo no lo ha instalado, es mejor deshacerse de él después de prisa. Puede contener malware que infecte su sitio. Los piratas informáticos a menudo usarán programas pirateados para distribuir maliciosos intencionalmente. 6. ¿Tiene temas de WordPress no utilizados?
Como propietario del sitio de WordPress, se utiliza para instalar muchos temas diferentes para encontrar el que queremos quedarnos. Sin embargo, si olvida eliminar los que no usa, ha abierto su sitio a vulnerabilidades peligrosas. Los temas y complementos no utilizados dejan su sitio vulnerable a ataques peligrosos.
Por esta razón, es importante eliminar todos los temas que no se usan y mantener el tema en funcionamiento hoy. También asegúrese de que su tema se actualice a la última versión. 7. ¿Tiene usuarios inactivos en su sitio? Al igual que los complementos y los temas obsoletos en su sitio, los usuarios inactivos pueden ser explotados para atacar su sitio. ¿Ha tenido una persona de asistencia trabajando en su sitio para quien creó un usuario? Continuar y eliminar ese usuario. Si no están activos en su sitio, no necesitan una cuenta de usuario. 8. ¿Qué hace su host web para asegurar su sitio web? Debido a la tecnología de alojamiento de sombra a forma, más personas pueden crear sus propios sitios web con una inversión muy pequeña. Estos planes de sombra de sombra son muy baratos y se adaptan principalmente a sitios pequeños. Cuando lanzó por primera vez su sitio web de WordPress, probablemente fue con uno de estos planes compartidos. Pero a medida que su sitio ha crecido, así como sus necesidades de alojamiento.
Consejo: Evalúe sus necesidades de alojamiento de manera estacional o cuando realice un cambio importante en su negocio.
Compartir compartir significa que comparte un servidor con muchos otros sitios.No tiene control sobre lo que estos otros sitios hacen que compartan su servidor si uno de sus sitios es pirateado, probablemente consumirá muchos recursos del servidor. Este problema ralentizará el sitio y reducirá el rendimiento hacia él.También existe la posibilidad de que una infección por malware se extienda a su sitio en otro sitio que se ejecuta en el servidor compartido.En otras palabras, si puede permitirse actualizar al alojamiento en forma de pasado, es hora de ingresar a un servidor dedicado.Recuerde que el alojamiento de calidad normalmente no llega a $ 4 por mes.Eche un vistazo a los planes de alojamiento dedicados que ofrece iThems si desea alimentar a su sitio y asegúrese de que sea completamente seguro.9. ¿Limitar sus intentos de inicio de sesión?
Por defecto, no hay nada incorporado en WordPress para limitar el número de intentos de conexión fallidos que alguien puede hacer. Sin un límite del número de intentos de conexión fallidos que un atacante puede hacer, puede continuar probando una combinación de diferentes nombres de usuario y contraseñas hasta que encuentre una que funcione. Al limitar los intentos de conexión, reduce en gran medida la oportunidad de los ataques de las fuerzas brutas. Los ataques de fuerza bruta se refieren al método de prueba y error utilizado para descubrir nombre de usuario y contraseñas para ingresar a un sitio web. WordPress no sigue ninguna actividad de conexión del usuario, por lo que no hay nada incorporado en WordPress para protegerlo de un ataque de fuerza bruta. La buena noticia es que puede limitar los intentos de conectarse al complemento de seguridad itheme. La función de protección de Bruce local de IThemes Security Pro realiza un seguimiento de los intentos de conexión no válidos realizados por una dirección IP y un nombre de usuario. Una vez que un IP o nombre de usuario ha realizado demasiados intentos de conexión no válidos consecutivos, se bloqueará y se evitará que realicen otros intentos durante un cierto período de tiempo. 10. ¿Es su sitio HTTPS?
Una forma simple de averiguar si el sitio que visita tiene un certificado SSL es buscar en la barra de direcciones del navegador para ver si la URL comienza con HTTP o HTTPS. Si la URL comienza con un HTTPS, la seguridad en un sitio con SSL. Las ventajas de seguridad que obtiene al mantener un certificado SSL en su sitio web son suficientes para que sea imprescindible para cualquier sitio web. Sin embargo, para alentar a todos a proteger los visitantes de su sitio, los navegadores web y los motores de búsqueda han creado incentivos negativos para alentar a todos a usar SSL. Aquí hay más información sobre qué es SSL y cómo instalarlo en su sitio web 11. ¿Qué usuarios tienen acceso FTP / SFTP a su sitio? El protocolo FTP o de transferencia de archivos es una tecnología que le permite conectar su estación de trabajo local al servidor de su sitio web. Con esto, puede acceder a todas las carpetas y archivos de su sitio y realizar los cambios necesarios. Como FTP Access brinda a los usuarios la oportunidad de eliminar y modificar los archivos del sitio, solo debe dar acceso FTP a las personas en las que confía y solicitar este tipo de acceso al sitio. Es mejor verificar su lista de usuarios, luego restablecer sus contraseñas FTP si la necesita. Para cambiar sus contraseñas, vaya a su cuenta de alojamiento de WordPress y explore las cuentas FTP. Recuerde eliminar cualquier usuario que no necesite acceso FTP a los archivos de su sitio.
12. ¿Monitorear la actividad de seguridad? Monitorear la actividad de seguridad en su sitio web de WordPress es una buena manera de rastrear la actividad sospechosa en su sitio. Aquí hay registros de seguridad de WordPress. Los registros de seguridad de WordPress proporcionan datos detallados e información en su sitio web de WordPress. Si sabe qué buscar en sus revistas, puede identificar rápidamente y detener el comportamiento malicioso en su sitio, los registros de seguridad de WordPress tienen más ventajas en su estrategia de seguridad general. Si su sitio está pirateado, querrá tener la mejor información para ayudarlo en una investigación y recuperación rápidas. Identificar y detener el comportamiento malicioso.
2. La actividad en el sitio que puede alertarlo por una violación.
3. Evalúa cuánto daño se ha causado.

4. Ayuda a reparar un sitio pirateado.
Aquí hay algunas actividades que debe monitorear con registros de seguridad de WordPress:
Ataques de fuerza bruta de WordPress: depende de usted monitorear su seguridad de inicio de sesión para proteger su sitio web de WordPress. Afortunadamente, un ataque de fuerza grosero no es muy sofisticado y es bastante fácil de identificar en sus revistas. Si ve que un solo nombre de usuario o IP tiene varios intentos consecutivos sin éxito de conectarse, es probable que esté bajo ataques de fuerza crudos.

Cambios de archivo: incluso si sigue las mejores prácticas de seguridad de WordPress, todavía existe la posibilidad de comprometerse. Un compromiso significa que el sitio ha tenido cambios dañinos y es por eso que es tan importante mantenerse al día con los cambios de archivo en su sitio, registrándolos en registros de seguridad de WordPress. Las entradas de modificación del archivo incluyen archivos y cambios agregados y eliminados a los archivos existentes. Ahora que tiene los cambios grabados en los registros de seguridad, debe programar el tiempo para auditarlos. Si usted es el usuario de IThems Security Pro, no olvide activar las notificaciones de modificación del archivo que se notificarán cuando se cambia un archivo. Escaneo de malware, no solo debe ejecutar escaneos de Malware WordPress, sino que también registrar los resultados de cada escaneos de malware en el Logs. De WordPress Security. Algunas revistas de seguridad solo registrarán los resultados del escaneo que financia malware, pero esto no es suficiente. Es crucial ser advertido lo antes posible sobre una violación de su sitio. Es crucial ser advertido lo antes posible sobre una violación de su sitio.
Actividad del usuario: mantener un registro de la actividad del usuario en las revistas de seguridad de WordPress puede ser su gracia de rescate después de un ataque exitoso. Si monitorea la actividad correcta del usuario, puede guiarlo por la cronología de un hack y puede mostrar todo lo que ha cambiado al hacker, desde agregar nuevos usuarios hasta agregar anuncios farmacéuticos no deseados en su sitio. Actividad de seguridad en su sitio web con un complemento como ITHEMES SEGURIDAD. Ithemes Security hace todo su trabajo por usted siguiendo estos importantes eventos en su sitio. Aprenda a agregar registros de seguridad de WordPress a su sitio web. 13. ¿Implementar estas medidas de refuerzo de WordPress? La plataforma de WordPress le brinda medidas de refuerzo específicas para que su sitio sea mucho más seguro contra los piratas informáticos maliciosos. Estas medidas incluyen:
Deshabilitar la instalación del complemento
Restablecer las sales y llaves de WordPress
Deshabilitar el editor de archivos en temas y complementos
Aplicar contraseñas seguras
Implementar 2FA (autorización de dos factores)
Limite las pruebas de inicio de sesión
Durante la auditoría de seguridad, es importante verificar si esta lista de medidas está completamente en vigor. Por ejemplo, si utiliza un complemento que limita los intentos de conexión de los usuarios y ofrece 2FA, eche un vistazo para ver si el complemento todavía está funcionando y está completamente actualizado. También ve si puede haber mejores o más opciones de complementos actuales. Algunas medidas de refuerzo requieren un poco de conocimiento técnico para implementarse. Pero si usa el complemento de seguridad iThems, podrá poner las medidas de refuerzo en lugar de unos pocos clics simples. 14. ¿Utiliza un complemento de seguridad de WordPress? La última y última audición es la evaluación del complemento de seguridad en su sitio. Muchas de las tareas en esta lista de auditorías de seguridad de WordPress se pueden realizar con un complemento de seguridad de WordPress, como Ithemes Security. Si no ejecuta un complemento de seguridad de WordPress, es hora de descargar e instalar uno de inmediato. Un complemento de seguridad efectivo como Ithemes Security hará mucho para proteger su sitio web de robots y piratas informáticos. Aunque hay muchos complementos de seguridad diferentes en el mercado, algunos son más efectivos que otros. Eche un vistazo a esta lista de las características que un complemento de seguridad efectivo debe aportar a la tabla: los piratas informáticos calificados de escaneo de malware buscan constantemente complementos vulnerables. Es importante utilizar un complemento de seguridad que ejecute escaneos diarios de su sitio mientras realiza cheques y escaneos profundos de cada carpeta y archivo en su sitio, incluida la base de datos.
Escaneo local: utilizará muchos recursos al ejecutar un escaneo de seguridad. Si el complemento que usa usa su servidor, cada escaneo puede sobrecargar el sitio de WordPress y detenerlo. Encuentre un complemento de seguridad que use sus propios servidores al escanear su sitio web. Protección de autenticación: los piratas informáticos a menudo intentan atacar su página de autenticación de WP y probar miles de combinaciones de usuarios y contraseñas para obtener acceso no autorizado a su sitio se llama un ataque de fuerza grosera, y El complemento de seguridad que use debe bloquear estos ataques u ocultar su página de inicio de sesión.
Alertas de seguridad de tiempo real: siempre que haya alguna actividad sospechosa o maliciosa en su sitio web de WordPress, su complemento de seguridad debe detectarlo de manera efectiva y luego le permite inmediatamente. Luego podrá tomar medidas rápidas para detener cualquier daño.
Security Activity Journal: una revista de auditoría seguirá la actividad de cada usuario en su sitio web, incluido quién ha conectado, los detalles de los repetidos intentos de conexión infructuosos y qué característica ha realizado un usuario en su sitio para tener un diario de activación es útil al intentar Determine cómo se rompió su sitio o qué actualizaciones se han utilizado que causaron una falla en el sitio web.
Si administra más sitios de WordPress y ha decidido la seguridad de Ithemes para su solución, asegúrese de descargar e instalar el complemento de sincronización ITHEMS.Las auditorías de seguridad de rutina de WordPress son extremadamente importantes, hemos cubierto las tareas de auditoría de seguridad más importantes que debe hacer regularmente.Incluso si está ejecutando un enchufe de seguridad, aún querrá ejecutar esta lista de verificación cada tres meses.¿Por qué no agregar un recordatorio que se repite en su calendario en este momento?Confiamos en que esta guía lo ayudó a crear un proceso que puede repetir para conocer las auditorías de seguridad de WordPress.Si continúa este proceso de forma rotativa, ¿hará un largo camino para evitar los peligros que un hacker puede traer a su sitio? ¿Ha agregado un recordatorio en su calendario para realizar auditorías de seguridad?
Si bien una auditoría completa puede ser un proceso largo, el tiempo y los dolores de cabeza ahorran al evitar que un hack merezca más que los problemas. Recuerde descargar e instalar el complemento de seguridad iThems para ayudarlo a automatizar completamente el proceso de auditoría del sitio de seguridad. A diferencia de la mayoría de los otros complementos de seguridad, viene con un conjunto de herramientas fáciles e integrales, lo que hará mucho más por la seguridad de su sitio que solo una auditoría. Ithemes Security automatizará las muchas actividades manuales y aburridas, como escanear malware, protección de robots y fortalecimiento de WordPress. Todas las herramientas que necesita están en el enchufe resistente del complemento. Descargar gratis IThemes Security Accaristen Wright
Kristen escribió tutoriales para ayudar a los usuarios de WordPress en 2011. Por lo general, puede encontrarlo trabajando en nuevos artículos para IThems Blog o desarrollar recursos para #WpProsper. Fuera del trabajo, Kristen disfruta del diario (¡escribió dos libros!), Senderismo y acampar, cocinar y aventuras diarias con su familia, con la esperanza de llevar una vida más presente.