Cómo mejorar significativamente su seguridad de WordPress

Una de las mayores ventajas de WordPress es la facilidad de principio; Obtenga un proveedor de alojamiento, cargue los archivos, ejecute el programa de instalación, inicie la publicación. Un paso, generalmente descuidado/pasado por alto, lo que debe considerarse una prioridad es hacer que su WordPress sea lo suficientemente segura, para que podamos prevenir los ataques más comunes, como la fuerza bruta. Sobre la fuerza bruta, la fuerza bruta es un tipo de ataque cuando alguien (o más bien algo, una computadora) intenta conectarse a WordPress que intenta millones de posibles combinaciones de usuario y contraseña. Debido a que este proceso está automatizado, el programa puede probar cientos de combinaciones cada segundo, lo que significa que puede llevar menos de una hora encontrar una combinación que funcione, especialmente cuando se usa Admin Name predeterminada y una de las contraseñas más comunes. .
– Hay dos complementos que creo que deberían ser una prioridad para cada WordPress y, en este tutorial, le mostraré cómo configurarlos correctamente, para reducir la oportunidad de ser pirateado:
ITHEMES SEGURIDAD
Rivlón
Ithemes Security (antes de una mejor seguridad de WP) me gusta la seguridad de los Ithems porque, además de ser un gran complemento en sí, también es una lista de pasos integral que puede (y debería) tomar, para mejorar significativamente la seguridad de la instalación de WordPress. Para iniciar, primero conéctese a WordPress, luego instale y active el complemento. Después de hacerlo, debería ver dos notificaciones en la parte superior:

Nota de seguridad primero, debe obtener la tecla API gratuita, así que haga clic en el botón en la notificación anterior. El proceso es automático, por lo que en unos segundos, debería ver una ventana modal, que ofrece algunas opciones: las nociones introductivas con seguridad de Itheme le recomiendan hacer clic en todas las opciones, porque::

La copia de seguridad siempre es una buena idea
La participación con datos anónimos ayuda a mejorar el complemento
configurará algunos valores predeterminados para que no se preocupe por ellos
Una vez que haya terminado, visite la Junta de Seguridad IThems (me referiré a él a través del tablero a partir de ahora) y allí debería ver una larga lista de elementos (ordenados después de la prioridad), de la siguiente manera:
ITHEMES LISTAS DE SEGURIDAD CON ALTA Y PRIORIDAD PROMEDIA PASEMOS ESTO ENVÍAS E INTENTAMOS DELEMARLOS. Con cada artículo, haga clic en el botón Fix It en el lado derecho, que lo redirigirá al formulario apropiado que tendrá que satisfacer de acuerdo con sus necesidades. Lo guiaré a través de los campos que necesita saber, si omito alguno de estos , significa que no son relevantes para la seguridad, así que decida a sí mismo. Antes de comenzar, se realizarán algunos cambios de WordPress que pueden interrumpirlo temporalmente, ¡por lo que primero puede probar esto en un entorno de entrenamiento!

Debido a que algunas de las opciones pueden bloquear su acceso a WordPress, asegúrese de poner su IP en la lista blanca, visitar la pestaña Configuración y hacer clic en “en mi lista blanca temporal” (primera opción) Si usa Nginx como software de servidor web, usted, usted, usted También necesitará crear un archivo de configuración fuera de su raíz de WordPress. Para hacer esto, ssh en el servidor y vaya al gerente matriz (en mi caso, el director de WordPress es /home/webmaster/www/www.wp-kickstart.com) y crea un archivo vacío en el que los iThems pueden escribir: $ Cd/home/webmaster/www/$ touch www.wp-kickstart.com.conf $ sudo chown: www-data www.wp-kickstart.com.conf ahora, debemos decirle a Nginx que incluya este archivo de configuración, así que abra el Archivo de host virtual para el dominio. Si siguió mi tutorial sobre la instalación de WordPress, entonces un pedido como este debería hacer: $ sudo nano /etc/nginx/sites-ended/www.wp-kickstart.com en el archivo, solo tiene que agregar esta línea a el bloque del servidor, así que parezca esto (asegúrese de que su ruta sea correcta):
Incluyendo el archivo en Nginx ahora reinicie NINGX ($ sudo Service Nginx reiniciar) y regresar a WordPress. En la configuración de seguridad iThems, desplácese hasta la etiqueta que dice “Ningx conf* archivo e ingrese la ruta al archivo que acaba de crear, en mi caso /home/webmaster/www/www.wp-kickstart.com.conf en el Este último, desea hacer wp-config.php para que sea escrito temporalmente por el servidor web, así que ejecute los siguientes comandos para hacer esto:
$ sudo chown: www-data wp-config.php $ sudo chmod 775 wp-config.php No olvide volver a 644 después de haber terminado con este tutorial. Cambie el usuario del administrador Este formulario le permite cambiar tanto el nombre como el ID del administrador. Seleccione un nuevo nombre para el usuario administrador para lo que prefiera, su nombre le irá bien (o, si más usuarios se conectan con Admin, algo así como SuperAdmin). Por alguna razón, el uso del formulario no funcionó para mí, por lo que tuve que recurrir a algunas consultas SQL. ¡Asegúrese de tener una copia de seguridad de la base de datos antes de hacer esto! Actualizar wp_users set id = 1024 donde id = 1; Actualizar wp_useta set user_id = 1024 donde user_id = 1; Alter tabla wp_users auto_incement = 2048; Actualizar wp_posts set post_author = 1024 donde post_author = 1; Actualizar wp_users set user_login = ‘tomaz’ donde user_login = ‘admin’; Ahí no hay usuario administrativo. Las copias de seguridad programadas de la base de datos primero, debemos activar las copias de seguridad periódicas de la base de datos. Lo más probable es que la base de datos sea demasiado grande para ser enviada por correo electrónico, por lo que para el método de reserva, seleccione rescate solo localmente. Por supuesto, la ubicación predeterminada que ya no la cortará, debe crear un director fuera de la instalación de WordPress.

Si tiene un VPS, ingrese SSH en él y ejecute los siguientes comandos: $ CD /VAR /Backups $ sudo mkdir www.wp-kickstart.com $ sudo chown: www-data www.wp-kickstart.com $ sudo chmod 775 775 www. wp-kickstart.com Esto creará un director de copia de seguridad (/var/backups/www.wp-kickstart.com), que ahora debe ingresar en el campo de ubicación de reserva. En cuanto al resto de la configuración, prefiero mantener a los últimos 10 niños de seguridad, cada uno hecho diariamente (campo de respaldo). Listo, volvamos al tablero para verificar el siguiente artículo en nuestra lista. Escaneo de malware lo omitiremos, porque ithemes ya tiene un tutorial de paso por paso sobre cómo obtener una clave API. Consíguelo, inserte que está listo, nuestra lista de alta prioridad ahora se ha eliminado. Protección contra los baches usamos el término robots cuando nos referimos a programas de computadora que acceden a Internet con rastreadores y buscamos URL con scripts que son vulnerables a los ataques. Un ejemplo de tal ataque tuvo lugar hace aproximadamente un mes y afectó a más de 100,000 sitios de WordPress. Si bien el hocico está buscando tales URL en su sitio, intentará una serie de URL predeterminadas que tiene en la base de datos y, debido a que la mayoría de ellas no necesariamente existen en su sitio, mucho 404 (página no se encuentra). ) Se generarán errores.
Ithems Security detecta este comportamiento y prohíbe que el hocico acceda a su sitio. Los valores predeterminados están bien, simplemente verifique el cuadro de selección de detección 404 y ya está. Disponibilidad del tablero (modo ausente) Esto no es realmente una mejora en la seguridad (en términos de prevenir el pirata de su sitio), pero prefiero que se eliminen todos los elementos, por lo que solo establecí el camino para comenzar a medianoche y terminar en algún momento La mañana, digamos a las 8 de la mañana. Tenga en cuenta que esta configuración evitará que alguien se conecte a WordPress. Sí, incluso administrador. El área de conexión para evitar la fuerza bruta que ya he cubierto cuál es la fuerza bruta, por lo que en esta forma, solo tiene que ingresar la dirección de correo electrónico en el primer campo. Esto generará automáticamente una clave API para usted, además, asegúrese de verificar la protección local con fuerza bruta y eso es todo. Si usa NGINX, también puede evitar ataques de fuerza bruta a nivel de servidor web. Debe configurar lo que se llama la limitación de la tasa, lo que significa que el formulario de autenticación solo puede acceder a una cierta cantidad de veces por intervalo dado, para decir una vez por segundo. Abra el archivo de configuración principal ningx ($ sudo nano etc/ninx/nginx.conf si siguió mi tutorial anterior sobre la configuración de un servidor) y agregue las siguientes dos líneas al bloque HTTP:
Limit_req_zone $ binary_remote_addr zona = uno: 10m tasa = 1r/s;limit_req_status 444;Guarde y cierre el archivo, luego abra el archivo de host virtual y agregue un bloque de ubicación para el script de conexión: ubicación = /wp-login.php { # tasa limitante para que la fuerza bruta sea pretendida_req zone = un rupt = 1 nodelay;# Asegúrese de cambiar las líneas a continuación para adaptarse a su configuración incluye fastcgi_params;Fastcgi_pass unix: /var/run/php5-fpm.sock;Fastcgi_param script_filename $ document_root $ fastcgi_script_name;fastcgi_index index.php;
} Cierre el archivo, reinicie Nginx, luego inicie sesión de WordPress, que lo redirigirá a la página de inicio de sesión. Actualice varias veces en rápida sucesión y debería poder ver un error de página no disponible. ¡Eso significa que funciona correctamente! Ahora puede iniciar sesión nuevamente de manera segura. Detección de cambio de archivo (sí, omití un artículo, que solo se puede eliminar si compra un amigo de copia de seguridad) inicie y verifique el escaneo de archivos divididos, para que no verifique todos los archivos en un solo movimiento: esta operación requiere ciertos recursos de servidor (procesador y memoria) y no quiere ralentizar el propósito principal de WordPress. : Difusión de contenido. Oculte el área de conexión Después de activar esta función, se le pedirá que el uso de la babosa de conexión sea lo mejor que le conviene, mi preferencia es solo “WP”. Guardar su configuración e iniciar sesión se redirigirá a /wp en lugar del valor predeterminado de ` /wp-admin. Si usa Nginx, asegúrese de reiniciarlo, de lo contrario no funcionará. Cambios en el sistema En este formulario, marque todos los cuadros de selección que excluyan los caracteres que no son del inglés solo si los tiene en URL. Si siguió aquí, solo hay unos pocos elementos que se han mantenido en la lista de prioridades medianas:
ITHEMES Security Priority Comments Spam y XML-RPC Puede eliminar estos dos elementos en la misma forma.Para deshabilitar los comentarios de spam, debe usar el complemento de Akismet prestalado y verificar para reducir el spam de comentarios.Algunos campos a continuación, existe nuestro último elemento de eliminación: XML-RPC.Las etiquetas aquí no son las mejores, porque “detenido” realmente significa que XML-RPC está activado.Si utiliza algún tipo de complementos a los que están conectados los servicios externos (como JetPack), entonces debe permanecer activado; de lo contrario, estos servicios se bloquearán.¡Actualice el prefijo de la base de datos Marque la casilla para generar un nuevo prefijo y listo!(Tuve algunos problemas con esto en el pasado, porque mi servidor web WP-Config.php no fue escrito por el servidor web, así que verifique si no funciona) ¡Excelente, ¡solo había una última lista!
Los usuarios de seguridad de la lista de baja prioridad de seguridad de iThemes Dado que acaba de comenzar, probablemente no tenga hosts ni agentes de usuarios, por lo que simplemente active la lista negra predeterminada, lo que será lo suficientemente bueno. La capa de protección segura es un gran defensor de HTTPS, no importa cuán grande o importante sea su sitio web, por lo que idealmente debe verificar ambas casillas de verificación. Para mi asombro, el complemento realmente trata de desalentarlo a usar SSL en todo el sitio. No creas eso, SSL es bueno. Siempre. En todas partes. Antes de realizar cualquier cambio en este formulario, asegúrese de tener un certificado instalado que funcione correctamente, de lo contrario no podrá autenticarse. No se preocupe si aún no tiene un certificado, escribí un tutorial al respecto hace unas semanas. Regrese Después de que termine de leer, será desconectado y redirigido a la URL segura de su administrador, después de guardar el formulario en mi caso, esto es https://www.wp-kickstart.com/wp en este momento, el artículo probablemente será en la lista, porque debe agregar las siguientes dos líneas a wp-config.php: define (‘force_ssl_login’, true); define (‘force_ssl_admin’, true);

Bien contraseñas seguras, esta es una idea simple, las contraseñas deben ser largas y complejas (y nunca ser compartidas con nadie, nunca), así que active la función y elija el papel mínimo para el que se aplica esta regla. Si necesita una excelente solución de almacenamiento de contraseña, consulte 1Password, que genera (y almacena) contraseñas complejas, por lo que debe memorizar una para desbloquear la aplicación. WordPress cambia el resto de los artículos en nuestra lista azul, con baja prioridad, se puede encontrar en este formulario. Idealmente, todos los cuadros de selección deben verificarse y XML-RPC deshabilitado, pero como señalé anteriormente, déjelo si los servicios externos están conectados a WordPress. Cambie el nombre del director de WP-Account a pesar del hecho de que tiene una prioridad baja, ¡el formulario aparece en la pestaña avanzada, porque esta parte puede y destruirá su sitio si no tiene cuidado! Antes de comenzar, duplique la carpeta WP-Content y nombre el contenido o los activos del nuevo director (o cualquier otra cosa, en su conjunto, prefiero este último). Si desea hacer esto a través de la línea de comandos, ejecute el siguiente comando: $ cd /home/webmaster/www/www.wp-kickstart.com $ sudo cp -prets wp-content actent y luego abra wp-config.php y Agregue las siguientes tres líneas, justo por encima de la línea que dice /* Eso es todo, ¡detén la edición! Feliz blogs. * / /* Eso es todo, ¡Detente la edición! Feliz blogs. * / /* Eso es todo, ¡Detente la edición! Feliz blogs. */: // omita las siguientes dos líneas si los definió. // también asegúrese de cambiar el nombre de dominio. Define (‘wp_home’, ‘https://www.wp-kickstart.com/’);
Define (‘wp_siteurl’, ‘https://www.wp-kickstart.com/’); Define (‘wp_content_foldername’, ‘activos’); Define (‘wp_content_dir’, abspath. wp_content_foldername); Define (‘wp_content_url’, wp_siteurl. wp_content_foldername); Ahora que nuestro WordPress carga complementos y temas de los Assetts recién copiados, renombrado en el antiguo contenido WP en algo como el WP-Contest-UNUSD. Esta es una medida de seguridad, si algo no funciona bien, puede eliminar el regreso a la configuración anterior. También hay una última cosa sobre la que me gustaría advertirle: si usa algún complemento de caché, verifique que las formas de los archivos de caché sean correctos: estas configuraciones generalmente se encuentran en WP-Content/Advanced-Cache.php. También verifique la configuración de Apache/Nginx si ha codificado el camino en cualquier lugar. Extrañé esto muchas veces y me agarré el cabello. Ahora es el momento de cambiar los permisos en WP-Config.php Ready a 644 Ready, ¡ahora tiene un sitio de WordPress mucho más seguro que hace una hora! Pero aún no he terminado, como recuerdas, mencioné dos complementos al comienzo de este tutorial. Meet Rublon Rublon es un complemento gratuito que permite la autenticación de dos factores. Si no está familiarizado con esto, es prácticamente una técnica que requiere confirmar su identidad en dos pasos: usar el nombre de usuario y la contraseña

Confirmando la autenticación por correo electrónico o en un dispositivo móvil