7 consejos para usuarios de WordPress seguros en 2021

La mejor manera de asegurar a sus usuarios de WordPress en 2021 es usar una contraseña potente y autenticación de dos factores. Parece bastante simple, ¿verdad? La realidad es que la seguridad de los usuarios de WordPress es un poco más matizada. Cada vez que hablamos de seguridad de los usuarios, a menudo escuchamos preguntas como cada usuario de WordPress para tener los mismos requisitos de seguridad y ¿cuánta seguridad es demasiado? No te preocupes. Respondemos todas estas preguntas. Pero primero, hablemos de diferentes tipos de usuarios de WordPress.
¿Cuáles son los diferentes tipos de usuarios de WordPress? Hay 5 usuarios implícitos diferentes de WordPress.
Administrador
Editor
Autor
contribuyente
Abonado
Nota: Múltiples sitios de WordPress tienen un sexto usuario. El súper administrador tiene acceso a las funciones de administración de la red del sitio y todas las demás características. Pueden crear nuevos sitios de la red, así como administrar usuarios, complementos y temas de red.
Cada usuario tiene diferentes capacidades. Las capacidades dictan lo que pueden hacer una vez que tienen acceso al tablero. Lea más sobre los roles y permisos de los usuarios de WordPress.
El deterioro potencial de los diferentes usuarios de WP Hackers WP Antes de que podamos entender cómo asegurar a nuestros usuarios de WordPress, primero debemos comprender el nivel amenazante de cada tipo de usuario comprometido. El tipo y el nivel de daño que puede causar un atacante varía enormemente dependiendo de los roles y capacidades del usuario que son piratas. Administrador: los usuarios de alto nivel de amenaza tienen la capacidad de querer algo.
Cree, elimine y modifique a los usuarios. Instale, elimine y edite complementos y temas.
Cree, elimine y edite todas las publicaciones y páginas.
Publica y cancela publicaciones y páginas.
Agregue y elimine el contenido multimedia.
Si un hacker puede poner a uno de los administradores de su sitio, podría mantener su sitio para la redención. El ransomware se refiere al momento en que un hacker se hace cargo de su sitio web y no lo lanzará a menos que les pague una tarifa sólida.
Si un hacker puede poner a uno de los administradores de su sitio, podría mantener su sitio para la redención. El ransomware se refiere al momento en que un hacker se hace cargo de su sitio web y no lo lanzará a menos que les pague una tarifa sólida. El tiempo de parada promedio de un ataque de ransomware es de 9.5 días. ¿Cuánto le costaría 10 días sin ventas? Editor – Alto nivel de amenaza El editor administra todo el contenido del sitio web. Estos usuarios aún tienen suficiente energía.
Crear, eliminar y editar todas las publicaciones y páginas.
Publica y cancela todas las publicaciones y páginas.
Cargar archivos multimedia.
Administre todos los enlaces.
Administre los comentarios.
Gestionar categorías.
Si un atacante ha tomado el control de la cuenta de un editor, podría cambiar una de sus páginas para usarlo en un ataque de phishing. El phishing es un tipo de ataque utilizado para robar los datos del usuario, incluidas las credenciales de inicio de sesión y los números de tarjetas de crédito.
Phishing es una de las formas más seguras de obtener su sitio en la lista negra de su Google. Todos los días, 10,000 sitios ingresan a Google Blocks por diferentes razones.
NOTA: ITHEMES SEGURY SCAN realiza verificaciones diarias en el estado de la lista de Google Blocks de su sitio web. Autor – Nivel de amenaza promedio El autor fue diseñado para crear y administrar su propio contenido.
Crear, eliminar y editar sus propias publicaciones y páginas.
Publica y cancela sus propias publicaciones.
Cargar archivos multimedia
Si un atacante lograra el control sobre la cuenta de un autor, podría crear páginas y publicaciones para enviar a los visitantes a su sitio en sitios web dañinos.
Contributor y suscriptor: el contribuyente de bajo nivel de amenaza es la versión simple del rol de usuario del autor. No tiene poder de publicación.
Crear y editar sus propias publicaciones.
Elimine sus propias publicaciones inéditas.
El suscriptor puede leer cosas que otros usuarios publican. Si bien los piratas informáticos con un colaborador o papel de suscriptor no pueden hacer cambios dañinos, pueden robar cualquier información confidencial almacenada en la cuenta del usuario o en la página de perfil. 7 consejos para asegurar bien a sus usuarios de WordPress, por lo que estas son cosas bastante feas que los hackers pueden hacer a nuestros sitios web. La buena noticia es que la mayoría de los ataques a sus cuentas de usuario de WordPress solo se pueden prevenir con poco esfuerzo.
Echemos un vistazo a las cosas que puede hacer para asegurar a sus usuarios de WordPress. La verdad es que estos métodos de seguridad ayudarán a asegurar cada tipo de usuario de WordPress. Pero, a medida que avanzamos en cada uno de los métodos, le notificaremos qué usuarios debe pedir que usen el método. 1. Dé a las personas solo las capacidades que necesitan la forma más simple de proteger su sitio es solo ofreciendo a los usuarios las capacidades que necesitan y nada más. Si lo único que alguien hará en su sitio es crear y editar sus propias publicaciones de blog, no necesita la capacidad de editar las publicaciones de otras personas. Limite los intentos de ataque de fuerza bruta, consulte un método de prueba y error utilizado para descubrir combinaciones de nombre de usuario y contraseñas para ingresar a un sitio web. Por defecto, no hay nada incorporado en WordPress para limitar el número de intentos de conexión fallidos que alguien puede hacer. Sin un límite en el número de intentos de conexión fallidos, un atacante puede hacer, puede continuar intentando un número interminable de nombre de usuario y contraseñas hasta que tengan éxito. La función de protección local de Bruce de IThemes Security Pro realiza un seguimiento de los intentos de conexión no válidos realizados por las direcciones IP y los nombres de usuario. Una vez que un IP o nombre de usuario ha realizado demasiados intentos de conexión consecutivos no válidos, se bloqueará y se evitará que realicen otros intentos de conexión.
3. Proporcione a los usuarios de WordPress con contraseñas seguras tanto como su cuenta de usuario de WordPress sea más fuerte, más difícil es adivinar. Se necesitan 0.29 milisegundos para romper una contraseña de siete caracteres. ¡Pero un hacker necesita dos siglos para romper los doce caracteres! Idealmente, una contraseña poderosa es una cadena alfanumérica de doce caracteres. La contraseña debe contener letras superiores y minúsculas, así como otros caracteres ASCII. Aunque todos pueden beneficiarse del uso de una contraseña segura, es posible que solo desee forzar a las personas con capacidad en el autor y los niveles superiores.
La función de requisito de las contraseñas de Security Pro iThems le permite obligar a ciertos usuarios a usar una contraseña segura. 4. Rechace las contraseñas comprometidas incluso si el 91% de las personas saben que la reutilización de contraseñas es una práctica débil, ¡el 59% de las personas reutilizan sus contraseñas en todas partes! Muchas de estas personas todavía usan contraseñas que saben que han aparecido en una base de datos. Los piratas informáticos usan una forma de fuerza de rebote bruto llamada Dictionary Attack. Un ataque de diccionario es un método de entrada en un sitio web de WordPress con contraseñas comúnmente utilizadas, que han aparecido en depósitos de bases de datos. „La colección no. 1? La violación de los datos que se alojaron en el mega host incluyeron 1,160,253,228 combinaciones de correo electrónico y contraseña únicas. Es decir, miles de millones con b. Este tipo de puntaje realmente ayudará a un diccionario atacar para restringir las contraseñas de WordPress más utilizadas.
Es una necesidad evitar que los usuarios con capacidad a nivel de autor y mayor utilizaran contraseñas comprometidas. Además, puede pensar en no permitir que sus usuarios de nivel inferior usen contraseñas comprometidas. Se entiende y se alienta a crear una nueva cuenta de clientes lo más fácil posible. Sin embargo, es posible que su cliente no sepa que la contraseña que usa se ha encontrado en un depósito de datos. Le daría a los clientes un excelente servicio, alegando que la contraseña que usan se ha visto comprometida. Si uso esa contraseña en todas partes, puede guardarlas de algunos dolores de cabeza importantes en el camino. La función IThemes Security Pro Reched Parkings compromete a los usuarios a usar contraseñas que no han aparecido en ninguna violación de las contraseñas seguidas de he sido PWNED. 5. Proporcionar a los usuarios de WordPress con dos factores autenticación con dos factores es un proceso de verificación de la identidad de una persona mediante la necesidad de dos métodos de verificación separados. Google ha compartido en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques automáticos de hocico. Realmente me gustan estas probabilidades. Al menos, debe pedir a los administradores y editores que usen la autenticación de dos factores. La función de autenticación con dos Ithemes Security Pro Factors ofrece mucha flexibilidad al implementar 2FA en su sitio web. Puede activar dos factores para todos o para algunos de sus usuarios y puede obligar a sus usuarios de alto nivel a usar 2FA en cada autenticación.
6. Limite el acceso del dispositivo al tablero de WP que limita el acceso al tablero de WordPress a un conjunto de dispositivos puede agregar un poderoso nivel de seguridad a su sitio web. Si un hacker no está en el dispositivo correcto para un usuario, no podrá usar el usuario comprometido para causar daños a su sitio web. Debe limitar el acceso del dispositivo solo a sus administradores y editores de su confianza, la seguridad de la seguridad de sus dispositivos que usted y otros usuarios están utilizando para conectarse a su sitio web de WordPress. Cuando un usuario se ha conectado en un dispositivo irreconocible, los dispositivos confiables pueden restringir sus capacidades a nivel de administrador. Esto significa que si un atacante pudiera ingresar al sitio de retroceso Backp. 7. Asegure WordPress de WordPress Los usuarios de WordPress WordPress generan una cookie de sesión cada vez que inicia sesión en su sitio web. Y supongamos que tiene una extensión del navegador que ha sido abandonada por el desarrollador y que ya no lanzó actualizaciones de seguridad. Desafortunadamente para usted, la extensión del navegador descuidada tiene una vulnerabilidad. La vulnerabilidad permite a los malos actores desviar las cookies de su navegador, incluida la cookie de sesión de WordPress mencionada anteriormente. Este tipo de hack se conoce como secuestro de sesión. Por lo tanto, un atacante puede explotar la vulnerabilidad de la extensión para resaltar sus datos de inicio de sesión y puede comenzar a hacer cambios dañinos en su usuario de WordPress.

Debe tener protección para secuestrar la sesión para sus administradores y editores, las caras de dispositivos confiables de seguridad de IThemes Pro Cases de la sesión secuestran una cosa del pasado. Si el dispositivo de un usuario cambia durante una sesión, ITHEMS Security lo desconectará automáticamente para evitar cualquier actividad no autorizada de la cuenta del usuario, como cambiar la dirección de correo electrónico del usuario o cargar complementos maliciosos. Escribir la popularidad de WordPress lo convierte en un objetivo para los piratas informáticos de todo el mundo. Como discutimos, un atacante puede causar daños al piratear incluso el nivel de usuario de WordPress más bajo. La buena noticia es que, aunque no hay forma de evitar ataques contra sus usuarios de WordPress con poco esfuerzo, podemos evitar el éxito de los ataques. Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.