Top 10 errores de seguridad de WordPress y cómo evitarlos

Los errores de seguridad de WordPress son fáciles de hacer. Los errores más comunes en su seguridad de WordPress pueden basarse en información obsoleta, mitos comunes de seguridad de WordPress o simplemente no conocer las mejores prácticas de seguridad de WordPress. Si bien WordPress en sí es seguro, evitar errores de seguridad de WordPress requiere un poco de esfuerzo de los propietarios de sitios. En esta publicación, cubriremos los primeros 10 errores de seguridad de WordPress con consejos sobre cómo evitarlos.
En este articulo
Vamos a bucear. Cubriremos todo, desde la calidad de su host HostPress hasta conectar el administrador de WordPress hasta los temas y complementos que usa.
1. Elegir alojamiento débil No todos los hosts web se crean por igual, y elegir uno solo en el precio puede costarle mucho más a largo plazo, con errores de seguridad de WordPress. La mayoría de los medios de sombra son seguros, pero algunos no separan correctamente las cuentas de los usuarios. Si las cuentas de usuario no están separadas correctamente, una sola cuenta comprometida podría eliminar cada sitio de ese servidor compartido. Su host debe estar atento a la aplicación de los últimos parches de seguridad y cumplir con otras prácticas de seguridad importantes relacionadas con la seguridad del servidor y los archivos.
Cómo evitar elegir un anfitrión débil, elija un anfitrión de renombre para su sitio web con un sólido registro de seguridad. Vea Ithems Hosting para un proveedor de alojamiento en el que puede confiar. 2. No tenga un plan de copia de seguridad del plan de WordPress, las copias de seguridad y la seguridad no suenan realmente como si estuvieran vinculadas. Pero confíe en nosotros, si tiene una copia de seguridad del sitio web de retroceso después de un ataque de ransomware, realmente puede guardar el tocino. Si tiene una copia de seguridad después de un ataque de ransomware, realmente puede guardar el tocino. Un ataque de ransomware es cuando un hacker cifra los archivos de su sitio web, lo que los hace inaccesibles de su sitio. Para recuperar el acceso a su sitio, necesita una clave para descifrar los archivos. Por una tarifa importante, el hacker estará más que feliz de darle la clave. Si tiene una copia de seguridad de su sitio de WordPress, le permite regresar a su sitio antes de ser detenido para la redención. Recupere el acceso a su sitio web sin tener que pagar la redención solicitada. #Baconsaved Cómo evitar no tener una copia de seguridad del sitio web Cree un programa para obtener una copia de seguridad regular en el sitio. BackupBuddy, nuestro complemento de Backup WordPress, es nuestro instrumento recomendado para WordPress Backup. Con BackupBuddy, puede configurar programas de copia de seguridad para 5 tipos de copias de seguridad de WordPress para que sus copias de seguridad se ejecuten automáticamente. Esta es la tranquilidad.
3. Las conexiones inciertas conectadas a WordPress es la parte más atacada y potencialmente vulnerable de cualquier sitio de WordPress. Por defecto, no hay nada incorporado en WordPress para limitar el número de intentos de conexión fallidos que alguien puede hacer. Sin un límite de la cantidad de intentos de conexión fallidos que un atacante puede hacer, puede continuar intentando una cantidad interminable de nombre de usuario y contraseñas hasta que tengan éxito. Su conexión con WordPress se parece mucho a la puerta principal de su casa sin una cerradura en la puerta principal, sería fácil para cualquiera ir directamente a su casa, comenzar a mover sus muebles, romper sus cosas y poner el televisor. Solo tiene sentido agregar una cerradura a la puerta principal para que sea más difícil acceder a un futuro ladrón. La función de protección de Bruce local de IThemes Security Pro realiza un seguimiento de los intentos de conexión no válidos realizados por una dirección IP y un nombre de usuario. Una vez que un IP o nombre de usuario ha realizado demasiados intentos de conexión no válidos consecutivos, se bloqueará y se evitará que hagan otros intentos. 4. Sin protección contra ataques de bot automáticos, un bot es un software que está programado para realizar una lista específica de tareas. Los desarrolladores crean un conjunto de instrucciones que un robot seguirá automáticamente, sin que el desarrollador tenga que decirles. Los robots realizarán tareas repetitivas y triviales mucho más rápido de lo que podemos.
Algunos de estos robots están programados con motivos adversos como: los bots de fuerza bruta pasan por autenticaciones de WordPress para atacar. El contenido de bots de raspado está programado para descargar el contenido de su sitio web sin su permiso. El robot puede duplicar el contenido que utilizará en el sitio web del atacante para mejorar su SEO y robar el tráfico de su sitio. Spambots oculta sus comentarios con las promesas de convertirse en un millonario mientras trabajaba desde casa, con la esperanza de enviar a sus visitantes a sitios web maliciosos. Cómo evitar un hocico automático Evite este error de seguridad de WordPress usando el hocico automático como Google Recaptcha en su sitio web. La función de Google Recaptcha en Itheme Security Pro protege su sitio contra los robots malos. Recaptcha utiliza técnicas avanzadas de análisis de riesgos para distinguir a las personas y los robots. Una vez que se identifica un hocico malo, se iniciará desde su sitio web. 5. El uso de versiones vulnerables de complementos, temas o complementos de núcleo de WordPress o temas vulnerables de WordPress son el error de seguridad de WordPress más grande que puede hacer. Mantener un software actualizado es una parte esencial de cualquier estrategia de seguridad, y esto incluye WordPress Core y sus temas y complementos. Las actualizaciones también pueden incluir parches de seguridad críticos. Deje su teléfono, computadora, servidor, enrutador o sitio web vulnerable para atacar sin ese parche.
Los piratas informáticos están apuntando a las vulnerabilidades reparadas, porque saben que las personas no están actualizadas (incluidos complementos y temas en su sitio). Es un estándar en la industria revelar públicamente vulnerabilidades el día en que se corrigen. Después de que se revela públicamente una vulnerabilidad, se convierte en una “vulnerabilidad conocida” para las versiones anticuadas y no negativas del software. El software con vulnerabilidades conocidas es un objetivo fácil para los piratas informáticos. A los hackers les gustan los objetivos de luz. Tener programas obsoletos con vulnerabilidades conocidas es como dar a un hacker paso a paso para ingresar a su sitio de WordPress. Tener un arado o un tema vulnerable para el cual hay un parche disponible, pero no se aplica, lo cual no se aplica, lo cual no está Aplicado, él es el culpable número uno de los sitios pirateados de WordPress. Tener un complemento o un tema vulnerable para el cual hay un parche disponible, pero no aplicado, es el número uno de los sitios pirateados de WordPress. Cómo evitar el uso de complementos y temas vulnerables mantienen todos los complementos y temas actualizados para evitar un error de seguridad vulnerable de WordPress. Utilice el escaneo del sitio de seguridad de IThemes Security. Site Scan realiza verificaciones automáticas de vulnerabilidades conocidas instaladas en su sitio y si hay un parche disponible, IThemes Security Pro aplicará automáticamente la solución para usted.
6. La seguridad de la seguridad de los usuarios deficiente para la seguridad débil del usuario es un error de seguridad importante de WordPress. Simple dijo: Un solo usuario de administrador de WordPress con una contraseña débil podría socavar todas las demás medidas de seguridad del sitio web que ha implementado. Por lo tanto, la seguridad del usuario es una parte esencial de cualquier estrategia de seguridad de WordPress. Según el informe de investigación sobre la violación de datos de Verizon, más del 70% de los empleados reutilizan las contraseñas en el trabajo. Pero las estadísticas más importantes en el informe es que “el 81% de las violaciones de piratería han utilizado contraseñas robadas o débiles”. En una lista compilada por Splash Data, la contraseña más común incluida en todos los depósitos de datos fue 123456. Un depósito de datos es una base de datos pirateada llena de contraseñas de usuario lanzadas en algún lugar de Internet. ¿Te imaginas cuántas personas en su sitio web usan una contraseña débil si 123456 es la contraseña más común en los depósitos de datos? Los instrumentos de los piratas informáticos están mejorando y pueden pasar por alto las contraseñas más rápido que nunca. Por ejemplo, echemos un vistazo a un diagrama creado por Terahash, una compañía de alto rendimiento que crea contraseñas. Su diagrama muestra el tiempo necesario para romper una contraseña utilizando un 448X RTX 2080. Defirm, WordPress usa MD5 para almacenar las contraseñas en la base de datos WP. Entonces, según este gráfico, Terahash podría romper una contraseña de 8 caracteres … casi al instante. Esto no solo es súper impresionante, sino que también da miedo.
Para empeorar las cosas, a pesar de que el 91% de las personas saben que la reutilización de contraseñas es una práctica débil, ¡el 59% de las personas reutilizan sus contraseñas en todas partes!Muchas de estas personas todavía usan contraseñas que saben que han aparecido en una base de datos.Los piratas informáticos usan una forma de fuerza de rebote bruto llamada Dictionary Attack.Un ataque de diccionario es un método de entrada en un sitio web de WordPress con contraseñas comúnmente utilizadas, que han aparecido en depósitos de bases de datos.„La colección no.1?
La violación de los datos que se alojaron en el mega host incluyeron 1,160,253,228 combinaciones de correo electrónico y contraseña únicas. Es decir, miles de millones con b. Este tipo de puntaje realmente ayudará a un diccionario atacar para restringir las contraseñas de WordPress más utilizadas. Cómo evitar la seguridad débil del usuario La mejor manera de evitar el error de seguridad de WordPress de la seguridad débil del usuario es crear una poderosa política de contraseña y usar la autenticación de dos factores. Los requisitos de contraseña de iThemes Security Pro permiten obligar a los miembros de un grupo de usuarios a usar una contraseña segura, elegir un momento de vencimiento de contraseña, rechazar las contraseñas comprometidas y forzar un cambio de contraseñas en todo el sitio para que todos respeten la política de su nueva contraseña segura. La autenticación con dos factores es un proceso de verificación de la identidad de una persona mediante la necesidad de dos métodos de verificación separados. Google ha compartido en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques automáticos de hocico. La función de autenticación con dos Ithemes Security Pro Factors ofrece mucha flexibilidad al implementar 2FA en su sitio web. Puede activar dos factores para todos o para algunos de sus usuarios y puede obligar a sus usuarios de alto nivel a usar 2FA en cada autenticación. 7. Comunicaciones sin compromisos (sin SSL) Las comunicaciones no receptivas en su sitio web son un grave error de seguridad de WordPress. Cada vez que realizamos una compra en línea, la comunicación se lleva a cabo entre su navegador y la tienda en línea.
Por ejemplo, cuando ingresamos el número de tarjeta de crédito en nuestro navegador, nuestro navegador compartirá el número de la tienda en línea. Después de que la tienda recibe el pago, le dice al navegador que le haga saber que su compra fue exitosa. Una cosa para recordar sobre la información compartida entre nuestro navegador y el servidor de la tienda es que la información hace más paradas en tránsito. Si la comunicación se desata, un hacker podría robar nuestra tarjeta de crédito antes de llegar al destino final del servidor de la tienda. Para comprender mejor cómo funciona el cifrado, piense en cómo se entregan nuestras compras. Si alguna vez ha visto el estado de entrega de una compra en línea, habría visto que su pedido ha hecho más paradas antes de llegar a casa. Si el vendedor no empacó adecuadamente su compra, sería fácil para las personas ver lo que compró. Cómo evitar la comunicación ilimitada, necesitará un certificado SSL para cifrar la comunicación en su sitio web. Si le falta a su sitio web de WordPress, lo primero que debe hacer es pedirle a su proveedor de alojamiento para ver si proporciona un certificado y configuración SSL gratuitos. CloudFlare ofrece un certificado SSL gratuito para sitios web de WordPress. Si prefiere no tener un certificado SSL compartido y se siente cómodo con la línea de comandos, CERTBOT es una excelente opción. CERTBOT no solo crea un certificado SSL gratuito utilizando Let’s Cifrar para usted, sino que administrará automáticamente el certificado para usted 8. Registro y monitoreo de seguridad insuficiente insuficiente en su sitio.
Web es un error de seguridad de WordPress lo suficientemente alto como para haber alcanzado los primeros 10 riesgos de seguridad de las aplicaciones web. El registro es una parte esencial de su estrategia de seguridad de WordPress. Monitorear el comportamiento correcto lo ayudará a identificar y detener los ataques, detectar una violación y acceso y reparar daños a su sitio web después de un ataque exitoso. La grabación y el monitoreo insuficientes pueden conducir a un retraso en la detección de una violación de seguridad. ¡La mayoría de los estudios de violación muestran que el tiempo para detectar una violación es de más de 200 días! Este período de tiempo permite que un atacante viole otros sistemas, modifique, robe o destruya más datos. La grabación y el monitoreo insuficientes pueden conducir a un retraso en la detección de una violación de seguridad. ¡La mayoría de los estudios de violación muestran que el tiempo para detectar una violación es de más de 200 días! Cómo evitar el registro insuficiente Agregue el registro de seguridad a su sitio web para evitar este error de seguridad de WordPress. Puede usar algunas de las funciones y filtros para desarrolladores que WordPress ofrece para crear un sistema de registro, pero la forma más fácil de iniciar un diario de seguridad es instalar un complemento de seguridad de WordPress. ITHEMES Security Pro WordPress Security Journals Monitor y registra eventos de seguridad críticos que aparecen en su sitio web. 9. Los complementos y los temas no utilizados tienen arados y temas no utilizados en su sitio es un error de seguridad importante de WordPress. Cada parte de código en su sitio.

Web es un posible punto de entrada para un hacker. Es una práctica regular para que los desarrolladores usen códigos de terceros, como las bibliotecas JS, en sus complementos y temas. Desafortunadamente, si las bibliotecas no se mantienen adecuadamente, pueden crear vulnerabilidades que los atacantes pueden usar para piratear su sitio web. Cómo evitar complementos y temas desinstalar y eliminar completamente cualquier complemento y temas innecesarios en su sitio de WordPress para limitar la cantidad de puntos de acceso y el código ejecutable en su sitio web. Desinstale y elimine completamente cualquier complemento y temas innecesarios en su sitio web de WordPress para limitar la cantidad de puntos de acceso y el código ejecutable en su sitio web. Además, evite usar complementos de WordPress abandonados. Si algún complemento instalado en su sitio web de WordPress no ha recibido una actualización en seis meses o más. 10. Instalar software de fuentes de confianza La instalación de software de fuentes de confianza es una de las formas rápidas de crear un error de seguridad de WordPress. Debe prestar atención a una versión “nula” de complementos comerciales. A menudo, estas versiones gratuitas o muy pequeñas de complementos profesionales contienen código malicioso. Debe prestar atención a una versión “nula” de complementos comerciales. A menudo, estas versiones gratuitas o muy pequeñas de complementos profesionales contienen código malicioso. No importa cómo bloquee el sitio de WordPress si usted es el que instala malware. Cómo evitar el software de fuentes confiables solo debe instalar el software que obtenga de WordPress.org, conocidos almacenes comerciales o directamente de desarrolladores de renombre.

Solo debe instalar el software que obtenga de WordPress.org, conocidos almacenes comerciales o directamente de desarrolladores de renombre. Si el complemento o tema de WordPress no se distribuye en el sitio web del desarrollador, deberá hacer su diligencia antes de descargar el complemento. Póngase en contacto con los desarrolladores para ver si están afiliados de alguna manera al sitio web que ofrezca su producto a un precio gratuito o bajo. Conclusión: Los 10 errores de seguridad de WordPress más importantes explicados como podemos ver, hay muchos posibles errores de seguridad de WordPress. Afortunadamente, todos los errores de seguridad se evitan fácilmente con solo poco esfuerzo de nosotros. Una lista simple de seguridad de WordPress La mayoría de las vulnerabilidades de seguridad de WordPress se pueden aliviar adoptando un enfoque proactivo de seguridad de WordPress. Para recapitular, aquí hay una lista de verificación de seguridad de WordPress simple a seguir: 1. Elija un alojamiento de calidad.
2. Cree un programa de respaldo.
3. Limite los intentos de inicio de sesión no válidos
4. Agregue automáticamente contra el hocico.
5. Evite usar software vulnerable.
6. Use contraseñas seguras y 2FA.
7. Cifrar comunicación con SSL.
8. Agregue WordPress Security Journal.
9. Retire los complementos y los temas no utilizados.
10. Instale el software solo de fuentes de confianza.
Obtener ithemes Security Pro
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.