5 problemas comunes de seguridad de WordPress

Si posee un sitio web de WordPress o piensa en usar WordPress como CMS, puede estar preocupado por los posibles problemas de seguridad de WordPress. En esta publicación, presentaremos algunas de las vulnerabilidades de seguridad de WordPress más comunes, junto con los pasos que puede tomar para asegurar y proteger su sitio web de WordPress. ¿WordPress está seguro? La respuesta a la pregunta “¿WordPress es seguro?” depende. WordPress en sí está muy seguro siempre que se respeten las mejores prácticas de seguridad de WordPress. Según el último uso de datos de sistemas de gestión de contenido W3Techs, WordPress reduce todos los sitios web en un 34%. Por lo tanto, las vulnerabilidades de seguridad de WordPress son inevitables, porque no todos los usuarios son atentos, sólidos o de seguridad con sus sitios web. Si un hacker puede encontrar una manera de acceder a uno de los cientos de millones de sitios web de WordPress en la web, puede buscar otros sitios web que también funcionen versiones inseguras o inseguras de WordPress y también puedan hackea.
WordPress se ejecuta con un código fuente abierto y tiene un equipo dedicado especialmente para encontrar, identificar y resolver problemas de seguridad de WordPress que surgen en el código básico.A medida que se revelan vulnerabilidades de seguridad, los remedios se eliminan de inmediato para remediar los nuevos problemas de seguridad descubiertos en WordPress.Por lo tanto, la actualización de WordPress a la última versión es extremadamente importante para la seguridad general de su sitio web.Es importante tener en cuenta que las vulnerabilidades de seguridad de WordPress se extienden más allá del núcleo de WordPress en los temas o complementos que instala en su sitio. Según un informe reciente de wpvulndb.com, de las 2.837 vulnerabilidades de seguridad de WordPress en su base. De datos: 75% Ven de complementos de WordPress
El 14% proviene de WordPress básico
El 11% proviene de temas de WordPress
5 Problemas de seguridad de WordPress comunes Los problemas de seguridad de WordPress más comunes aparecen antes o inmediatamente después de que su sitio se haya comprometido. El propósito de un truco es obtener acceso no autorizado a su sitio de WordPress a nivel de administrador, ya sea desde Frontand (su placa de WordPress) o en el lado del servidor (insertando scripts o archivos maliciosos). Estos son los 5 problemas de seguridad de WordPress más comunes que debe saber: 1. Ataques de fuerza bruta Los ataques de fuerza bruta de WordPress se refieren al método de prueba y error para introducir varios nombres de usuario y contraseñas hasta que descubren una combinación exitosa. El método de ataque de fuerza bruta explota la forma más fácil de obtener acceso a su sitio web: su página de autenticación de WordPress.Wordpress de forma predeterminada no limita sus intentos de inicio de sesión para que los robots puedan atacar su página por autenticación de WordPress utilizando el método de ataque de fuerza bruta. Incluso si un ataque de fuerza bruta falla, puede devastar su servidor, porque los intentos de conexión pueden sobrecargar su sistema y ralentizar su sitio. Mientras está bajo un ataque de fuerza bruta, algunos anfitriones pueden suspender su cuenta, especialmente si se encuentra en un plan de alojamiento compartido, debido a las sobrecargas del sistema. 2. Explotaciones de inclusión de archivos Después de ataques de fuerza sin procesar, las vulnerabilidades en el código PHP de su sitio de WordPress son el siguiente problema de seguridad más común que puede ser explotado por los atacantes. (PHP es el código que ejecuta su sitio de WordPress, junto con sus complementos y tarea)

Los exploits de inclusión de archivos se producen cuando el código vulnerable se usa para cargar archivos de distancia que permiten a los atacantes tener acceso a su sitio web. Los exploits de inclusión de archivos son una de las formas más comunes en que un atacante puede acceder al archivo wp-config.php de su sitio de WordPress, uno de los archivos más importantes en su instalación de WordPress. 3. Inyecciones de SQL Su sitio web de WordPress utiliza una base de datos MySQL para que funcione. Las inyecciones de SQL ocurren cuando un atacante tiene acceso a la base de datos de WordPress y a todos los datos de su sitio web. Con una inyección SQL, un atacante puede crear una nueva cuenta de usuario a nivel de administrador, que luego se puede usar para iniciar sesión y Obtenga acceso completo a su sitio de WordPress. Las inyecciones de SQL también se pueden usar para insertar nuevos datos en su base de datos, incluidos enlaces a sitios web maliciosos o spam. 4. Las escrituras entre sitios (XSS) El 84% de todas las vulnerabilidades de seguridad en Internet se denominan scripts de sitios cruzados o ataques XSS. Las vulnerabilidades de secuencias de comandos entre sitios son las vulnerabilidades más comunes que se encuentran en los complementos de WordPress.
El mecanismo básico de las secuencias de comandos de sitios cruzados funciona de la siguiente manera: un atacante encuentra una manera de determinar la víctima para cargar las páginas web con scripts de JavaScript inciertos. Estos scripts se cargan sin el conocimiento del visitante y luego se utilizan para robar datos de sus navegadores. Un ejemplo de ataque de secuencias de comandos entre sitios sería una forma secuestrada que parece estar en su sitio web. Si un usuario ingresa datos en ese formulario, esos datos serán robados. 5. El malware de malware, la abreviatura del software malicioso, es un código que se utiliza para obtener acceso no autorizado a un sitio web para recopilar datos confidenciales. Un sitio pirateado de WordPress generalmente significa que el malware se ha inyectado en los archivos de su sitio web, por lo que si sospecha malware en su sitio, eche un vistazo a los archivos modificados recientemente. Aunque hay miles de tipos de infecciones de malware en la web, WordPress no es vulnerable a todos. Las cuatro infecciones de WordPress de malware más comunes son:
Detrás
Descargas de manejo
Hacks Pharma
Redirecciones maliciosas
Cada uno de estos tipos de malware se puede identificar y limpiar fácilmente, eliminando manualmente el archivo malicioso, instalando una nueva versión de WordPress o restaurando el sitio de WordPress desde una copia de seguridad anterior no infectada. ¿Qué hace su sitio de WordPress WordPress a los problemas de seguridad de WordPress? Más factores pueden hacer que su sitio de WordPress sea más vulnerable a ataques exitosos.
1. Contraseñas deficientes El uso de una contraseña débil es una de las vulnerabilidades de seguridad más grandes que puede evitar fácilmente. La contraseña del administrador de WordPress debe ser fuerte, incluir varios tipos de caracteres, símbolos o números. Además, su contraseña debe ser específica para su sitio de WordPress y no usarse en otro lugar. ¿Tiene curiosidad por saber si su contraseña ha sido comprometida? ITHEMES Security Plugin Checks si su contraseña ha aparecido en una violación de datos. Una violación de datos suele ser una lista de nombres de usuario, contraseñas y, a menudo, otros datos personales que se han expuesto después de que un sitio se haya comprometido. Con la configuración de las contraseñas comprometidas con basura, puede rechazar contraseñas comprometidas y usar usuarios para usar contraseñas que no aparecen en ninguna violación de las contraseñas perseguidas por el have. No se actualizan WordPress, Plugin o Simple Treams: está expuesto al riesgo de un ataque si ejecuta versiones obsoletas de WordPress, complementos y temas en su sitio web. Las actualizaciones de la versión a menudo incluyen parche para problemas de seguridad en el código, por lo que es importante ejecutar siempre la última versión de todo el software instalado en su sitio web de WordPress. Las actualizaciones aparecerán en el tablero de WordPress tan pronto como estén disponibles. Haga una práctica para ejecutar una copia de seguridad y luego ejecute todas las actualizaciones disponibles cada vez que inicie sesión en su sitio de WordPress. Aunque la tarea de ejecutar actualizaciones puede parecer incómoda o agotadora, es una buena práctica de seguridad de WordPress.
Si administra más sitios web de WordPress, puede usar una herramienta de ahorro de tiempo, como IThems Sync Pro, para administrar mejor las actualizaciones.En lugar de conectarse a cada sitio, le brinda un tablero para administrar actualizaciones para múltiples sitios de WordPress en un solo lugar.
3. El uso de complementos y temas de fuentes no confiables, un código bajo, incierto o anticuado es una de las formas más comunes en que los atacantes pueden explotar su sitio de WordPress. Debido a que los complementos y los temas son fuentes potenciales de vulnerabilidades de seguridad, como una buena práctica de seguridad, descargue e instale complementos y temas de WordPress solo de fuentes de confianza, como WordPress.org o de compañías premium que están en el negocio durante algún tiempo. . Además, evite las versiones de contrabando o torrentes “gratuitos” de temas y complementos premium, ya que los archivos pueden modificarse para contener malware. El costo de estos complementos y temas “gratuitos” puede llegar en detrimento de la seguridad de su sitio. El uso de alojamiento de calidad deficiente o compartido porque el servidor en el que se encuentra su sitio de WordPress es un objetivo para los atacantes, utilizando alojamiento de mala calidad o compartido puede hacer que su sitio sea más vulnerable a los compromisos. Si bien todos los hosts tienen precaución para asegurar sus servidores, no todos están tan atentos o implementan las últimas medidas de seguridad para proteger los sitios web a nivel de servidor. Compartir sombra también puede ser un problema, porque se almacenan más sitios web en un solo servidor. Si un sitio web está pirateado, los atacantes también pueden tener acceso a otros sitios web y sus datos. Si bien utiliza un VPS o un servidor privado virtual, es más costoso, garantiza que su sitio web se almacene en su propio servidor.
Obtenga más información sobre la seguridad de WordPress con 10 consejos clave. Descargue su libro electrónico ahora: una guía de seguridad de WordPressCare ahora
8 Acciones que puede hacer hoy para proteger su WordPress 1. Use una contraseña segura para cada cuenta en línea. Si actualmente usa una contraseña que contiene menos de 6 caracteres, cámbiela ahora. Si actualmente está utilizando una contraseña para más datos de inicio de sesión, cámbiela ahora. Si tiene la misma contraseña durante más de seis meses, cámbiela ahora. Si reutiliza una contraseña para múltiples cuentas en línea, cámbiela ahora.

Comience a practicar una buena seguridad de contraseña de WordPress, especialmente si es un usuario de administrador. Para facilitar la administración de contraseñas, use un administrador de contraseñas, como LastPass.

2. Instale un complemento de seguridad de WordPress. El uso de un complemento de seguridad de WordPress es una excelente manera de cuidar las medidas de seguridad adicionales en su sitio web de WordPress. ITHEMS Security proporciona una verificación de seguridad de WordPress de un solo clic que activa la configuración de seguridad de WordPress más importante y recomendada. Un buen complemento de seguridad de WordPress puede manejar aspectos más técnicos de la seguridad de su sitio, por lo que no tiene que ser un experto en seguridad para usar uno.


Consulte la seguridad de IThems para obtener más de 30 formas de asegurar su sitio en un complemento fácil de usar. Con Ithemes Security, también puede monitorear la actividad de seguridad de su sitio con un tablero de seguridad de WordPress en tiempo real.
3. Habilite dos autenticación de WordPress. La autenticación de dos factores agrega una capa protectora adicional a los datos de conexión de WordPress. Además de su contraseña, se requiere un código adicional sensible al tiempo de otro dispositivo, como su teléfono inteligente para iniciar sesión. La autenticación de dos factores es una de las mejores formas de bloquear los datos de conexión de WordPress y minimiza por completo el potencial de los ataques brutos exitosos. Utilice el complemento IThemes Pro para activar la autenticación de WordPress con dos factores.
4. Mantenga actualizado su sitio web de WordPress. Nuevamente: mantener el sitio actualizado de WordPress es una de las mejores formas en que puede evitar posibles problemas de seguridad de WordPress. Inicie sesión en su sitio de WordPress ahora y ejecute cualquier actualización disponible para su núcleo de WordPress, su tarea o complemento no ejecutan versiones obsoletas.
Use iThemes Sync Pro para administrar más sitios de WordPress en un tablero central. Pruebe gratis 30 días aquí.
5. Configure los permisos apropiados en su servidor. Asegúrese de que se establezcan permisos adecuados para todos los directorios del servidor. Los permisos correspondientes dictan quién tiene permiso para leer archivos, crear y editar archivos.
Consulte el estado de su permiso de archivo de WordPress con Ithemes Security Pro.
6. Ejecute escaneos programados de malware. Mantenga las pestañas de posibles infecciones de malware con horarios de malware. La mayoría de los servicios, como el escaneo de malware que se ofrece en el complemento iThemes Security Pro, le ofrece un informe sobre la condición de su sitio web, junto con algunos otros estados en la lista negra. Utilice la función de escaneo de WordPress en IThems Security Pro.
7. Tienes un plan de respaldo de WordPress de confianza. Tener un plan de repuesto de WordPress es un componente importante de su estrategia de seguridad de WordPress. Configure las copias de copia de seguridad programadas para ejecutarse y asegúrese de enviar copias de seguridad seguras fuera del sitio en una ubicación segura para WordPress. Además, asegúrese de que la estrategia de respaldo tenga un componente de restauración si tiene que restaurar su sitio desde una copia de seguridad limpia.
Use un complemento de copia de seguridad de WordPress backpuddy para copias de seguridad en tiempo real de WordPress.
8. Active la protección contra WordPress bruto. Proteger contra los ataques de la fuerza bruta es otra forma de reducir las vulnerabilidad o las sobrecargas del servidor. Use un servicio que incluya tanto la protección de la fuerza bruta local como la fuerza de red para prohibir el acceso de los usuarios que han intentado ingresar a otros sitios.
Consejo: Use la protección de la fuerza bruta de WordPress a Ithemes Security Pro.
Obtenga IThemes Security Pro ahora + ¡Ahorre 25%! Si bien hay problemas de seguridad para WordPress, la mayoría se puede evitar con las mejores prácticas de seguridad de WordPress y la conciencia de posibles riesgos de seguridad. Armado con conocimiento y estrategias para proteger su sitio web de WordPress, puede minimizar en gran medida la vulnerabilidad a los hacks y mantener su sitio de WordPress seguro. Un complemento de seguridad de WordPress de confianza como IThems Security Pro puede ayudarlo a proteger y proteger su sitio web de WordPress. Con más de 30 formas de bloquear su sitio, IThems Security funciona para bloquear WordPress, arreglar los agujeros conjuntos, detener los ataques automatizados y fortalecer las acreditaciones del usuario. Use cupón ProtectWP5 para ahorrar 25% de descuento para el plan de seguridad de Security Pro Plan.
Obtener ithemes Security Pro
Kristen Wright
Kristen escribió tutoriales para ayudar a los usuarios de WordPress en 2011. Por lo general, puede encontrarlo trabajando en nuevos artículos para IThems Blog o desarrollar recursos para #WpProsper. Fuera del trabajo, Kristen disfruta del diario (¡escribió dos libros!), Senderismo y acampar, cocinar y aventuras diarias con su familia, con la esperanza de llevar una vida más presente.