homefinance blog
Las lecciones ganadas con un desarrollador sobre la seguridad de WordPress para la publicación de hoy en el blog invitado fueron escritas por Isaac Castillo. Isaac es el fundador de Echo Design Solutions, una empresa de desarrollo de WordPress y WooCommerce con sede en San Antonio. Isaac y su equipo han completado recientemente un proyecto en el que ayudaron al propietario de un sitio a recuperarse después de una violación de seguridad de WordPress. Hubo muchas lecciones valiosas aprendidas de la experiencia, e Isaac acordó compartirlas. Esperamos que encuentre estos consejos útiles.
La seguridad es un elemento crucial de cualquier sitio de WordPress. La ironía es que la mayoría de los propietarios de sitios de WordPress realmente no piensan en la seguridad de WordPress hasta que su sitio se vea comprometido. La mayoría lleva a cabo sus actividades diarias sin darse cuenta de que hay un problema hasta que notan que algo no funciona bien. Tal vez notaron toneladas de comentarios que hacen vínculo de retroceso en una red de remedios naturales (mejor caso). Tal vez descubrieron que sus cuentas de correo electrónico estaban incluidas en la lista negra, porque su sitio envió cientos de correos electrónicos de spam por hora (el peor de los casos). Sin embargo, la noticia no es buena y la mayoría de los propietarios del sitio encuentran para limpiar el desastre.
Gran parte de mi práctica de consultoría está dedicada a salvar a los propietarios de los compromisos del sitio y a asegurarse de que no vuelva a suceder. De hecho, no hace mucho, comencé a trabajar con un cliente que fue incluido en la lista negra como en el ejemplo anterior. Aprendí mucho sobre los tipos comunes de vulnerabilidades de seguridad y los mejores métodos correctivos que funcionan con este cliente y otros. Así que pensé en compartir mis experiencias para demostrar cómo puede asegurar su sitio de WordPress y evitar todo esto malo. Puede estar en silencio sabiendo que las mejores prácticas de seguridad descritas a continuación se probaron en la batalla y han funcionado bien. Para el registro, este cliente no ha tenido ningún problema de seguridad desde que comenzamos a trabajar con él.
Soporte de WordPress las 24 horas del día, los 7 días de la semana de los verdaderos expertos de WordPress, aprende más
Llamé para rescatar lo primero que hice después de que mi cliente llamó fue verse bien en el sitio para encontrar dónde salían las cosas mal. Encontré algunas fotos de productos farmacéuticos que mejoran a los hombres que alguien había cargado en el sitio. Definitivamente fue una mala noticia para mi cliente, aunque no tan malo como podría haber sido. Era difícil identificar exactamente dónde aparecía la vulnerabilidad, por lo que comencé a bloquear el sitio sistemáticamente siguiendo las mejores prácticas.
Asegurar los complementos Lo siguiente que hice fue deshabilitar todos los complementos del sitio. Luego le pregunté al cliente qué los complementos usaban realmente y luego los actualicé y activé solo ellos. Eliminé el resto. Siempre me sorprende la frecuencia con que trabajo en sitios que tienen muchos más complementos instalados de lo necesario. Muy a menudo, estos complementos huérfanos nunca son actualizados por los propietarios del sitio. Esto crea un gran vector de ataque para chicos malos. Entonces, si tiene alguno de estos complementos huérfanos en su sitio, haga un servicio. Deshabilite y elimine lo antes posible para mejorar inmediatamente la seguridad de WordPress. También debe asegurarse de usar complementos de confianza. WordPress es excelente por el hecho de que hay una amplia gama de complementos para elegir agregar funcionalidad a su sitio con una selección tan vasta, también es probable que cumpla con algunos que no están bien escritos y tienen seguridad de agujeros. WordPress tiene un sistema de evaluación que le permite ver qué tan bien los usuarios ve un complemento. Asegúrese de elegir complementos que sean muy apreciados por una gran cantidad de usuarios de WordPress. Finalmente, asegúrese de que todos sus complementos estén actualizados. Haga que el hábito de iniciar sesión en su sitio web de WordPress al menos una vez por semana, especialmente para verificar si hay actualizaciones de complementos y luego instalar las disponibles. Entrar en este hábito puede marcar una gran diferencia cuando se trata de seguridad de WordPress.
Asegurar el núcleo de WordPress, otra cosa para recordar es que el núcleo de WordPress debe actualizarse. Este proyecto privado estaba en la versión 3.5, cuando la versión actual estaba en 4.3. Han ocurrido muchos remedios y errores de seguridad entre las dos versiones. Entonces, lo siguiente que hice fue actualizar el núcleo de WordPress de este cliente en 4.3. No puedo enfatizar lo importante que es asegurarme de que tenga el núcleo de WordPress actualizado. La buena noticia es que muchos proveedores de alojamiento de WordPress, como Pressable, actualizarán automáticamente WordPress Core para usted. En su sitio web ahora era el momento de bloquear los puntos de acceso del sitio que comienza con la cuenta de WordPress de administración. Se le habría sorprendido la frecuencia con la que se encuentran los sitios de los clientes donde no se hayan considerado el nombre de usuario y una contraseña segura. Este cliente no fue la excepción. Un instrumento que utilizo para ayudarme a generar contraseñas seguras es el generador de contraseñas de Norton. Otra consideración en esta etapa era asegurar otros puntos de acceso. Aquí hay una breve lista de elementos que debe agregar a la lista de verificación:
Acceso a cpanel/host
Acceso FTP
Acceso a la base de datos
Asegúrese de que, para todos estos puntos de acceso, cree un nombre de usuario único y una contraseña segura. Cambie el prefijo de la base de datos de WordPress Una cosa que hago en todos los sitios de mis clientes es cambiar el prefijo de tabla que WordPress usa el valor predeterminado. Es la línea que dice “WP_” en wp-config.php. Por lo general, lo cambio con un prefijo numérico único para cada uno de mis clientes. Esto hace que sea más difícil para los malos acceder/alterar los datos directamente desde la base de datos. Mover wp-config.php Otro vector de ataque común implica cambiar el archivo wp-config.php. Así que puse un punto para mover este archivo a otro directorio. El archivo de configuración puede vivir con un directorio sobre el director público. Normalmente, la carpeta se llama html, www, public o public_html. Mueve mi archivo wp-config.php para que esté al mismo nivel que la raíz del sitio. WordPress lo buscará primero en el directorio actual. Si no lo encuentra allí, WordPress subirá un nivel en la estructura del director y lo buscará allí hasta que llegue al director de la raíz del sitio. Mover este archivo allí lo hará inaccesible para el público a través del navegador.
Remedio .htaccess Mi último paso fue verificar el sitio de mi cliente en un dispositivo móvil. Por alguna razón, en dispositivos móviles, el sitio de mi cliente continuó descargando aplicaciones de casino. Inmediatamente revisé el archivo .htaccess y, bastante seguro, estaba comprometido. Probablemente sucedió porque estaban ejecutando una versión anterior, menos segura para WordPress durante tanto tiempo. Remedy fue un problema simple para crear un nuevo archivo .htaccess y probar para garantizar que su experiencia móvil ya no se viera comprometida. Afortunadamente, finales felices, no duró mucho para que el negocio de mi cliente volviera a la normalidad. También se dieron cuenta de que no podían mantener la seguridad de WordPress. Por lo tanto, se alegraron de inscribirse en uno de nuestros paquetes de mantenimiento continuo para ayudar a mantener el sitio seguro. Las cosas salieron bien desde entonces. Sigue mi consejo y no dejes que esto le suceda a tu negocio, pone estas estrategias de seguridad de WordPress desde el principio y evita la miseria. Y si no sabe cómo o no tiene tiempo, contrate a un experto para que lo hagas por ti. Créeme, la mayoría de nosotros que hacemos este tipo de trabajo preferiríamos no ir a rescatar como Batman después de que los malos se hayan descartado. Preferimos hacer todas las cosas pequeñas todos los días para asegurarnos de que Joker nunca deje a Arkham primero.
