ITHEMES Security Pro Feature Spotlight – WordPress Tweaks

En las publicaciones de Spotlight de características, destacaremos una función en el complemento ITHEMS Security Pro y compartiremos un poco sobre por qué desarrollamos la función, para quien está destinada la función y cómo usar la función. Hoy cubriremos los ajustes de WordPress, una colección de herramientas para asegurar su sitio de WordPress. ¿Por qué debería usar WordPress Tweaks Una de las grandes ventajas de WordPress es su compatibilidad con las herramientas y servicios de tercera parte? Sin embargo, si no aprovecha estos servicios, tiene puntos de entrada innecesarios en su sitio que un hacker podría explotar.
WordPress también proporciona otras instalaciones que permitirían a un atacante amplificar un ataque de fuerza bruta o incluso hacer cambios maliciosos en su servidor. Herramientas especialmente diseñadas para fortalecer algunos de los puntos suaves potenciales de WordPress. Cómo usar los ajustes de WordPress en Ithemes Security Pro para comenzar a usar los ajustes de WordPress, haga clic en el enlace avanzado en el menú de seguridad.

Una vez que esté en el menú avanzado. Haga clic en los ajustes de WordPress.

Los ajustes de WordPress de WordPress se dividen en 2 secciones, acceso a API y usuarios. Echemos un vistazo más de cerca a estas configuraciones. APPI Access 1. La configuración del editor de desactivación XML-RPC deshabilita el editor de archivos de WordPress para complementos y temas. Deshabilitar el editor de archivos de WordPress agrega una gran cantidad de seguridad a su sitio web. Si un hacker puede ingresar con éxito su sitio, el editor de archivos WP les permitirá hacer cambios maliciosos en los archivos almacenados en su servidor, si deshabilita el editor de archivos WP, el hacker aún necesitaría credenciales del servidor para hacer cambios maliciosos en el complementos y temas. Por ejemplo, JetPack requiere que XML-RPC se conecte a sitios web de WordPress y cambie de contenido. La configuración XML-RPC en Ithemes Security Pro tiene 3 opciones:
Desactivar XML-RPC-XML-RPC está deshabilitado en el sitio. Esta configuración es muy recomendable si no se utilizan Jetpack, WordPress, Pingbacks Mobile App y otros servicios XML-RPC.
Desactivar Pingbacks-desactiva solo Pingbacks. Otras características de XML-RPC funcionarán normalmente. Seleccione esta configuración si necesita funciones como JetPack o la aplicación Mobile WordPress.
Activar XML-RPC-XML-RPC está completamente activado y funcionará normalmente. Use esta configuración solo si el sitio tiene que usar sin restricciones XML-RPC.
Recomendamos usar la opción XML-RPC Deactivation si no utiliza ningún servicio que use XML-RPC.
2. Intentos de autenticación múltiples para cada solicitud XML-RPC Hay otras formas de conectarse a WordPress además de usar un formulario de autenticación. Usando XML-RPC, un atacante puede realizar cientos de intentos de nombre de usuario y contraseña en una sola solicitud HTTP. El método para amplificar la fuerza bruta permite a los atacantes hacer miles de nombres de usuarios y contraseñas utilizando XML-RPC en solo unas pocas solicitudes HTTP. Configuración de múltiples pruebas de autenticación para cada solicitud XML-RPC en iThemes Security Pro tiene dos opciones: aplicaciones XML-RPC de bloqueo que contienen más intentos de autenticación. Esta configuración es muy recomendable.
Permite: permite solicitudes XML -RPC que contienen más intentos de autenticación. Use esta configuración solo si un servicio lo solicita.
El uso de múltiples opciones de prueba de autenticación para el bloqueo de aplicaciones XML-RPC evitará múltiples pruebas de autenticación para cada solicitud XML-RPC. Limitar el número de intentos de nombre de usuario y contraseña a uno para cada solicitud ayudará mucho a garantizar su autenticación de WordPress.
3. Descanso de API
El descanso de la API de WordPress es parte de WordPress y proporciona a los desarrolladores nuevas formas de administrar WordPress. De manera predeterminada, la API REST se puede usar para acceder a la información que podría pensar que son privadas en su sitio, que incluyen:
Publicaciones publicadas por todo tipo de publicaciones, incluidas aquellas que no parecen publicaciones, como productos o programas para miembros.

Detalles sobre usuarios que pueden incluir usuarios que no tienen publicaciones o páginas publicadas.
Entradas de la biblioteca de medios que pueden exponer enlaces a descargar soportes de medios que no están conectados públicamente en ninguna parte. Esto podría incluir enlaces para descargar contenido exclusivo para miembros, niños de seguridad creados por algunos complementos o cualquier otro tipo de archivo agregado a la biblioteca de medios. (Tenga en cuenta que las copias de seguridad de BackupBuddy no se almacenan en la biblioteca de medios y no son accesibles a través de la API REST). La configuración API de IThemes Security Pro tiene dos opciones:
Acceso restringido: restringe el acceso a la mayoría de los datos de API. Esto significa que la mayoría de las solicitudes requerirán un usuario conectado o un usuario con privilegios específicos, bloqueando aplicaciones públicas para datos potencialmente privados. Le recomendamos que seleccione esta opción.
Acceso predeterminado: el acceso a los datos de la API se deja como predeterminado. La información, incluidas las publicaciones publicadas, los detalles del usuario y las entradas de la biblioteca de medios están disponibles para el acceso público.
Recomendamos utilizar la opción de acceso restringido para limitar el acceso a la información privada.

Usuarios 1. Desactive el editor de archivos Deshabilitar el editor de archivos Desactive WordPress Editor de archivos para complementos y temas. Deshabilitar el editor de archivos de WordPress agrega una gran cantidad de seguridad a su sitio web. Si un hacker puede ingresar con éxito su sitio, el editor de archivos WP les permitirá hacer cambios maliciosos en los archivos almacenados en su servidor, si deshabilita el editor de archivos WP, el hacker aún necesitaría credenciales del servidor para hacer cambios maliciosos en su complementos y temas.
2. Forra el apodo único que el escenario obliga al apodo único obliga a los usuarios a elegir un apodo único al actualizar su perfil o crear una nueva cuenta. El uso de un apodo único evita que los robots y los atacantes recolecten fácilmente los nombres de usuario de la conexión de los usuarios en las páginas del autor. Tenga en cuenta que esto no actualiza automáticamente a los usuarios existentes, ya que afectará las URL del autor si se usan. Forzar a los usuarios a usar un apodo único es otro ejemplo de seguridad de oscuridad. Sería mejor activar los requisitos de contraseña de Security Pro Ithemes y las funciones de autenticación de dos factores para asegurar sus datos de inicio de sesión de WordPress. Deshabilite los archivos de usuarios adicionales que configuran a los usuarios adicionales en el IThemes Security Pro, hacen más difícil que los robots establezcan el nombre de usuario desactivando a los postores para los usuarios que no publican en su sitio. Deshabilitar una página de usuario si el número de publicaciones es 0 es 0 Otro ejemplo de seguridad a través de la oscuridad. Sería mejor activar los requisitos de contraseña de Security Pro ITHEMS y las funciones de autenticación de dos factores para asegurar sus datos de inicio de sesión de WordPress. 4. Inicie sesión con su dirección de correo electrónico o nombre de usuario de forma predeterminada, WordPress permite a los usuarios conectarse utilizando un correo electrónico o un nombre de usuario. Configurar la dirección de correo electrónico o el nombre de usuario le permite restringir las conexiones para aceptar solo direcciones de correo electrónico o nombres de usuario.
Configuración de conectar con dirección de correo electrónico o nombre de usuario en Ithemes Security Pro tiene tres opciones: dirección de correo electrónico y nombre de usuario (predeterminado): permita a los usuarios para conectarse utilizando la dirección de correo electrónico del usuario o el nombre de usuario. Este es el comportamiento implícito de WordPress.
Solo los usuarios de dirección de correo electrónico solo se pueden conectar utilizando la dirección de correo electrónico de su usuario. Esto deshabilita la conexión con un nombre de usuario.
Solo nombre de usuario: los usuarios solo se pueden conectar utilizando el nombre de usuario del usuario. Esto deshabilita la conexión utilizando una dirección de correo electrónico.
Limitar la autenticación a las direcciones de correo electrónico puede agregar un poco de protección contra un ataque de fuerza bruta. Si bien un hocico puede raspar la página del autor para su nombre de usuario, es menos probable que raspe un sitio web para las direcciones de correo electrónico de los usuarios. Pero nuevamente, sería mejor activar los requisitos de contraseña de Security Pro Ithemes y las funciones de autenticación de dos factores para asegurar sus datos de inicio de sesión de WordPress. Conclusión: los ajustes de WordPress para fortalecer la seguridad de los ajustes de WordPress de WordPress en iThemes Security Pro se han diseñado especialmente para fortalecer la seguridad de su sitio de WordPress. Con el complemento IThemes Security Pro, también puede agregar estas capas de seguridad adicionales a su sitio web, que incluyen:
Autenticación con dos factores
Conexiones sin contraseña
Detectar el cambio de archivo
Protección local de la fuerza bruta
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.