4 Verdades aterradoras pero innegables sobre la seguridad del nuevo sitio de WordPress

Es un juego de número simple. Si millones de personas usan un sistema, hay muchas más personas que aprenden a explotar ese sistema. WordPress actualmente alimenta ~ 28% de todo Internet y el CMS más utilizado en el mundo. Esto hace que los sitios de WordPress sean una nuez popular para las personas que no tienen buenas intenciones. Según el desarrollador WordPress y el experto en codificación Liam Bailey: el número de piratas informáticos que intentan encontrar tenencias, algunas para bien, otros para el mal, es una gran cantidad. Y debido a la popularidad de WordPress, estas hazañas se descubren, explotan y/o publican rápidamente.
Ahora que acaba de lanzar su recién “muslo” WordPress es el momento de hablar conmigo. ¿Puedes manejar la verdad? Bueno, aquí está: la autenticación y la contraseña son las únicas cosas que tiene disponibles para evitar hackers fuera de su sitio, lo sé. De hecho, hay 4 verdades innegables sobre la seguridad de un nuevo sitio de WordPress que debe conocer. No te preocupes demasiado por ahora. Hay suficiente espacio para mejorar. ¿Estas listo para empezar? ¡Eso es genial! Los archivos inalcanzables de WordPress son propensos a atacar una nueva instalación de WordPress que le ofrece un sitio funcional y una base de datos funcional. El principal problema es que esos archivos de vainilla de WordPress y las entradas de la base de datos contienen toda la información que un hacker u otro ladrón de datos puede desear.
Como señala Liam: todos saben que el archivo `wp-login.php` es el formulario de conexión de la mayoría de los sitios. Por lo tanto, es un punto de entrada inmediato para los atacantes de la fuerza bruta. Ellos (robots) no tienen que buscar el formulario de autenticación. Esto significa que los baches pueden atacar repetidamente una página de inicio de sesión de WordPress siempre que deseen. O solo hasta que obtengan acceso a su sitio la misma historia para la base de datos de su sitio web: el prefijo predeterminado es lo que viene con una nueva instalación de WordPress. Específicamente, todos los elementos almacenados en la base de datos comenzarán con ese prefijo único. Este factor demasiado conocido podría ayudar a los atacantes y piratas informáticos a hacer cosas feas en su base de datos. En particular, un ataque conocido como inyección SQL, en el que los piratas informáticos pueden crear un usuario administrador separado con acceso completo a todo el sitio de WordPress. Lo que podría mejorarse fácilmente, como señala Liam: renombrar el prefijo de la base de datos y mover la autenticación WP El archivo, son procesos prácticamente únicos. Y una vez que terminan, terminaron. No es algo que corre constantemente. No hacer los archivos, temas y arados básicos de WordPress abren su sitio web para defectos de seguridad cuando el equipo de WordPress lanza una nueva versión, está llena de correcciones de seguridad. Muchas personas dejarán sus instalaciones de WordPress sin actualizarlas durante largos períodos. Los piratas informáticos saben esto y buscan activamente esos sitios de WordPress.
Explica Liam: si no mantiene actualizado su WordPress, prácticamente les da a los piratas informáticos un viaje gratis. Todo lo que tiene que hacer es descubrir que está utilizando una versión anterior y puede usar directamente las vulnerabilidades que ya se conocen. De hecho, hay herramientas que prácticamente lo hacen por ellos. Podría hacerlo, podrías hacerlo, lo hacen. Los complementos y los temas agregan muchas características y características adicionales a los sitios de WordPress. Esto es especialmente cierto para las tiendas de comercio electrónico. Junto con el equipo de WordPress, los desarrolladores y temas de arado reparan los agujeros de seguridad y las actualizaciones de rutina de lanzamiento. Cuando se trata de actualizaciones, dice Liam:
Asegúrese de que los complementos, los temas y WordPress estén actualizados. Este es probablemente el factor más importante, así como el hecho de que tiene buenos complementos de seguridad para protegerse de las principales formas de ataques. La mitad del trabajo para evitar la piratización de su sitio es mantener su WordPress actual, el tema y los complementos, incluso si están personalizados, siempre deben actualizarse a las últimas versiones. Además, no debe olvidarse de deshacerse de los complementos, archivos y usuarios inactivos no utilizados. Por lo general, se olvidan, se les permite guardar silencio en la instalación de WordPress, pero pueden proporcionar una ruta de entrada a aquellos que desean doler.
Es posible que sus proveedores de alojamiento actuales no tengan seguridad su proveedor de alojamiento es un jugador clave cuando se trata de la seguridad de su sitio. Hoy hay muchos proveedores de alojamiento optimizados, que debe verificar porque tienen niveles de seguridad adicionales para los sitios de WordPress y hacer Seguro que su propio sitio está actualizado. WP Engine, Cloudways, Kinsta son proveedores confiables que debe verificar. Como señala Liam: los hosts de WordPress administrados son muy buenos con la seguridad. Ya han puesto sus propias medidas para cosas como Fail2Ban y Bloquear a los usuarios si no se conectan demasiadas veces. Conocen las principales formas en que las personas vienen a atacar su sitio web de WordPress y protegerse contra él. Ya lo protegen es un paso adicional en la defensa y también lo obliga a actualizar complementos y temas, que es un área de muy alto riesgo si no lo hace.

Si no utiliza ningún complemento de seguridad, amenaza la seguridad de su sitio de WordPress tiene más de 52.3k de arados disponibles en su almacén. Y cuando la seguridad es para su gusto, hay 3 complementos que mejorarán enormemente la seguridad de su sitio: iThemes Security, Wordfency y escáner. De hecho, Liam cree que: iThemes Security, Wordfency y Security Juices son los tres complementos principales que, si se configuran correctamente, protegerán realmente el promedio de WordPress contra el 99% de los ataques. Estos complementos y servicios realmente pueden ayudar a todas las preocupaciones mencionadas anteriormente. Esto incluye cambiar los prefijos de la base de datos y asegurar los archivos básicos de WordPress. No ralentizarán su sitio e interferirán con su negocio, pero su configuración correcta puede ser difícil para algunos, por lo que es posible que desee considerar contratar a un profesional para hacer esto por usted. El rango de tiempo de 2 horas. La conclusión de su nuevo WordPress El sitio web consta de varias piezas móviles, que pueden funcionar como brechas para atacantes maliciosos si no haces nada. La garantía correcta de esas piezas no cuesta mucho si se compara con la posible pérdida que prevene. Y a veces, para necesidades muy básicas, la seguridad puede incluso ser gratuita, debido a complementos específicos. Sin embargo, debe tener en cuenta que la seguridad nunca es una sola tarea; Requiere mantenimiento y mantenimiento consistentes para que todo funcione como deberían.