¡Historias sobre expertos en seguridad de WordPress y 40 nuevos consejos de seguridad de nuestros miembros!

Recientemente hemos entrevistado a cuatro miembros de WPMU, que ofrecen servicios profesionales de seguridad de WordPress, sobre el mantenimiento de la seguridad de WordPress. Esto es lo que dijeron … a principios de este mes, publiqué una serie de tutoriales sobre la seguridad de WordPress, tuvimos una discusión sobre nuestros miembros sobre los problemas de seguridad de WordPress y lanzé una solicitud para entrevistar a expertos en seguridad de WordPress. Bueno, adivinó … ¡Seguridad de WordPress! Luego reunimos y publicamos las respuestas de nuestros expertos, junto con muchos excelentes consejos planteados por los miembros en nuestro foro de discusión.
Aquí están los temas abordados:
Conoce a nuestros expertos en seguridad de WordPress
¿Qué tenían que decir nuestros expertos sobre la seguridad de WordPress?
¿Qué tipo de sitios de WordPress normalmente trabajas?
¿Cuáles son los problemas de seguridad más comunes que encuentra en los sitios de clientes de WordPress?
¿Cuál es el problema de seguridad más grave que tuvo que resolver para los clientes?
¿Puede compartir un poco sobre el proceso que utiliza para asegurar los sitios de WordPress y cómo aborda las violaciones de seguridad en los sitios de clientes?
¿Qué complemento de seguridad de WordPress utiliza o recomienda y por qué?
¿Qué sugeriría que los usuarios de WordPress nunca pasan por alto cuando se trata de asegurar su sitio?
¿Tiene un consejo o recurso de seguridad favorito que desea compartir con otros desarrolladores web de WordPress?
¿Quieres agregar algo sobre la seguridad de WordPress?
Consejos de seguridad adicionales de WordPress de los miembros
¿Tus sitios fueron atacados en línea? ¿Qué pasó y cómo lo arreglaste?
¿Sin qué herramientas de seguridad no podrías vivir? ¿Cuándo fue por última vez un control de seguridad de WordPress exhaustivo?
Entonces, sin ninguna otra extensiones, conocamos a nuestros expertos en seguridad de WordPress y veamos lo que tenían que decir sobre mantener seguros los sitios de WordPress.
Conoce a nuestros expertos en seguridad de WordPress
Richard Van Danderen Richard Van Danderen es el fundador de Wphelpdesk.nl. Richard crea sitios web a partir de los 14 años y ha comenzado a usar WordPress en 2008. Es muy activo en la comunidad holandesa WordPress como organizador y voluntario de Meetups y WordCamps y moderador en el Foro de Asistencia Holandesa WordPress.org. Como dice Richard, “en Wphelpdesk ayudamos a solucionar problemas y resolver problemas, aunque preferimos prevenirlos. Un problema común que resolvemos son sitios web que dan errores o redirecciones extrañas debido al código malicioso. Con los años, hemos ayudado a cientos de propietarios de sitios web a limpiar los sitios web pirateados “.

Jesse Waitz Jesse Waitz ofrece servicios web y servicios de sitio web en FlagstaffConnection.com y trabaja desde Flagstaff AZ, EE. UU. Un desarrollador local de WordPress y un experto en Codeable.io, Jesse aloja y desarrolla sitios web desde 1999. Su experiencia proviene de largas experiencias, dura y a veces dolorosa. Como él dice: “Después de 20 años de hospedadores de sitios, te das cuenta de lo que funciona y qué no. Cometí cada error en el libro, pero aprendí de esos errores y evolucioné para ser mejor y más consciente de lo que funciona y lo que no “.

Cliff Rohde Cliff Rohde es el propietario y CEO de Goatcloud Communications LLC, que capacitó en 2013. A Cliff es un apasionado de la intersección entre las comunicaciones y la tecnología y ayuda a muchos tipos diferentes de organizaciones comerciales y sin fines de lucro a prosperar en línea. Cliff construyó su primer sitio web en 1995, y su primer sitio web de WordPress alrededor de 2007. Es un ex abogado y dejó la práctica legal para centrarse exclusivamente en Goatcloud.

Logan Lenz Logan Lenz, es el jefe de genialidad en los increíbles sitios web. Logan es un sitio web innovador y un agente de marketing digital con más de veinte años de experiencia en la industria. Como propietario de una agencia de negocios digital, Logan utiliza una multitud de tecnologías, herramientas y recursos para garantizar que las necesidades digitales de sus clientes se satisfagan y sean más allá.
Como dice Logan, “He estado usando WordPress durante décadas, ya que esta plataforma de código abierto ofrece personalización completa, que es necesaria para personalizar realmente el sitio web de cada cliente. Como plataforma de código abierto, mi agencia puede usar nuestros complementos para crear sitios de clientes que sean rápidos, seguros, optimizados y relevantes “. ¿Qué tenían que decir nuestros expertos sobre la seguridad de WordPress 1. ¿Qué tipo de sitios de WordPress normalmente trabajan? Richard: Describiría los sitios web de nuestros clientes como medios pequeños y también comercio electrónico. La mayoría de los clientes con los que trabajamos tienen una o más personas que trabajan como gerentes de contenido o hacen la comunicación en su conjunto. Tomamos las partes técnicas de su sitio.

Jesse: Dividí mi tiempo especialmente entre el desarrollo, el mantenimiento y el alojamiento de sitios basados ​​en WordPress. Estoy trabajando especialmente en pequeños y medianos sitios de clientes. Tengo alrededor de una docena de sitios de comercio electrónico exitosos y aproximadamente una docena de configuraciones multisit. Alojo más de 200 sitios en 7 servidores, ofrezco mantenimiento y seguridad continúa para unos 150 sitios de WordPress y tengo un servidor de correo electrónico separado donde alojo más de 180 cuentas de correo electrónico para más de 60 empresas. Cliff: Los sitios que mantiene Goatcloud son principalmente para pequeñas empresas y profesionales individuales. Dicho esto, también mantenemos varios sitios web para organizaciones importantes sin fines de lucro y empresas medianas. Ilog: Awesome Website Guys está especializado en trabajar con otras pequeñas empresas, que incluyen una amplia gama de sitios web diferentes de la industria. Esto incluye comercio electrónico, multisites, sin fines de lucro, restaurante, comunidad, hotel, evento, construcción, automóvil, salud y bienestar, fitness, bienes raíces, otras agencias y más. 2. ¿Cuáles son los problemas de seguridad más comunes que encuentra en los sitios de clientes de WordPress? Richard: El problema de seguridad más común es el mantenimiento retrasado. Los complementos que ya no reciben actualizaciones del desarrollador, donde a veces la última versión se lanzó hace más de 9 años. Con respecto a esto, a menudo son complementos y temas premium, sin una licencia válida, lo que hace que las actualizaciones estén disponibles. El usuario final está convencido de que está actualizado porque WordPress no muestra las actualizaciones disponibles.
Otro problema de seguridad común que encuentro con demasiada frecuencia son varios sitios dentro del mismo host web (presupuesto), donde no están bien aislados entre sí, lo que conduce a la contaminación entre los sitios. Jesse: Los ataques de la fuerza bruta en la autenticación de WordPress son el problema más extendido para mí en este momento. Pero el defensor me cuida. Diría que el siguiente vector más común es a través de complementos y temas débiles o obsoletos. Me acerco a esto actualizando todos los temas, temas y complementos de mis sitios semanalmente. Mantener todo actualizado es la mejor defensa contra este problema. Hace años solía tener mis sitios en un solo servidor que ofrecía servicios de correo electrónico y alojamiento, y esto realmente causó muchos problemas, ya sea la actividad del sitio. Afectar la entrega de correos electrónicos, o los virus de correo electrónico podrían ser un caballo troyano para los atacantes, pero en los últimos años hemos separado los correos electrónicos de diferentes servidores y no podría estar más feliz, los problemas de cruce han desaparecido y es mucho más seguro. Cliff: A menudo, cuando heredé un sitio, descubro cuán relajado el propietario del sitio o el desarrollador del sitio al crear cuentas. El software a menudo está desactualizado y las contraseñas no son suficientes, o el nombre de usuario es fácil de adivinar o ambos. A menudo, los sitios heredados no tienen software en el sitio o el host destinado a proteger el sitio.
Logan: para los sitios de WordPress del cliente, los problemas de seguridad más comunes son los ataques de DOS.Para los nuevos, los ataques de DOS son cuando se envían varias solicitudes al sitio web de un cliente al mismo tiempo, lo que sobrecarga el servidor y bloquea el sitio.Los piratas informáticos pueden usar consultas de datos en los sitios de clientes, que pueden agregar, eliminar o incluso robar el contenido de su sitio.Otro problema de seguridad común es que los piratas informáticos ingresan a los sitios de los clientes, donde luego agregan nuevos usuarios, contenido aleatorio (generalmente código o contenido inactivo) y cambian la configuración del sitio de administración.3. ¿Cuál es el problema de seguridad más grave que tuvo que resolver para los clientes?
Richard: El peor problema de seguridad que vi fue una cuenta de alojamiento de ocho sitios web. Solo se usó 1 sitio web y tuvieron todo tipo de problemas, ya han probado algo con niños de repuesto, pero eso no ayudó. Antes de venir a nosotros para obtener ayuda, había otro “desarrollador de WordPress” que tuvo que resolver el problema. Les vendieron un sitio completamente nuevo, que fue “pirateado” nuevamente en aproximadamente un día. Cuando comencé a trabajar en este problema, quedó claro que la causa estaba en algunos de los otros 7 sitios web, dentro del paquete de alojamiento, que ya no se usaban y mantenían, pero aún así en línea. Todo solo por los nombres de los dominios. Esos sitios antiguos tenían algunas versiones muy antiguas de Mambo, Drupal y WordPress, hace 12 años. Después de que el sitio web principal recibió su propio paquete de alojamiento, era solo un problema de limpieza y el truco se resolvió lo antes posible. El cliente decidió eliminar los otros 7 sitios web más tarde, ya que no merecían el dinero para repararlos. Jesse:
Como experto en Codible, ayudo a los clientes con la limpieza de hack todo el tiempo. Estas no son personas alojadas en mis servidores, pero necesitan desesperadas. Tenía un cliente que fue violado por un complemento anticuado y mal escrito. El atacante logró crear un usuario en el sitio, para promoverlo como administrador a través de una inyección SQL, y luego como administrador inyectó contenido de spam en cada página del sitio. No era visible, estaba oculto en la página (es decir, fuente blanca sobre fondo blanco) y estaba destinado a ayudarlos por sus productos ilícitos. Este contenido ha pasado su sitio en la lista negra en busca de Google, los navegadores no cargarían la página sin la página de advertencia de Big Red, y los resultados de la búsqueda de Google dijeron “Esta página está pirateada”. El atacante también usó su acceso para inyectar el código en cada complemento y tema en el sitio, por lo que si intentó eliminar al usuario administrador y limpiar el contenido, tenía caballos troyanos en todo el sitio, lo dejó entrar y repetir. su ataque. Este trabajo requirió la eliminación del usuario, reemplazando cada complemento y un archivo WP básico en el sitio, escaneando, con mis ojos, de cada archivo en el tema para garantizar que se eliminó todo el contenido inyectado y luego analizar la base de datos de la página para hacer Claro que se ha eliminado todo el contenido de spam. Luego instalé una combinación de complementos en los que confío para bloquear este sitio y evitar que esto se repita. Finalmente, tuve que enviar una solicitud a Google a través de su consola de búsqueda para eliminar la lista negra y asegurarme de que el sitio no haya sido pirateado.
Ha pasado más de un año desde que todo sucedió y ningún otro evento tuvo lugar. Cliff: Lo peor fue un sitio pirateado, antes de mi compromiso comercial. Me contrataron para eliminar el hack y mantener el sitio más. El truco fue, afortunadamente, solo la imposición de datos extranjeros en el sitio web, con enlaces a sitios de terceros con malos actores y similares. La situación más complicada fue que era una instalación en varios sitios. ¡Tomó una buena cantidad de horas trabajar a través de las tablas de WordPress para limpiar todo! Logan: Tuvimos algunas estafas de phishing verdaderamente inteligentes que necesitamos contradecir. Recuerdo que un día un cliente llamado Panicat acababa de darse cuenta de que le dio credenciales bancarios que pensaban que era su director financiero en ese momento. Aquí, era un hacker que descubrí más tarde que se había infiltrado en todo tipo de sistemas de clientes antes de encontrar formas de obtener información que pudiera llevar al dinero para ellos. El problema se resolvió antes de salir de control, pero fue algo una señal de alarma, porque se trata de la importancia de la alta seguridad en los negocios. 4. ¿Puede compartir un poco sobre el proceso que utiliza para asegurar los sitios de WordPress y cómo aborda las violaciones de seguridad en los sitios de clientes? Richard: Uno de los primeros puntos en mi prueba es verificar si el sitio web tiene su propio paquete de alojamiento o si hay sitios más o más antiguos. Luego, archiva permisos y limitando el acceso público y la ejecución de archivos .php en carpetas en las que esto no es necesario.
Además, verificando a los usuarios y roles, actualizaciones de espera/temas y complementos obsoletos. Además, la auditoría de todos los complementos y temas que están presentes, pero no se usan activamente. En general, actualmente tengo una lista de verificación extendida que uso y actualizo continuamente con nuevos puntos cada vez que vengo una buena finalización. Cuando hay una violación, depende un poco de qué tipo de violación es. En general, una de las primeras cosas que hago es agregar Denny de todos a .htaccess y luego pasar por los archivos de registro para determinar cómo y cuál fue la violación. La gran mayoría de las violaciones en los sitios de los clientes que mantienen se deben a los empleados despedidos y disponibles que intentan causar estragos. En estos casos, se trata de revocar el acceso, cambiar las contraseñas y auditar los cambios que han realizado en los últimos meses. Noto que muchas de las compañías (más pequeñas) dan a sus empleados muy fáciles de conectarse con todo tipo de sistemas y herramientas, pero no han pensado en cómo revocar el acceso y las consecuencias involucradas. Jesse: No es una pregunta fácil de responder. Utilizo una combinación de soluciones y sitios basados ​​en servidor. En el servidor, tengo varios scripts bash que se ejecutan automáticamente en el servidor todas las noches para bloquear las cosas. Un script ejecuta Rkhunter, LMD Scan y Clamscan todas las noches para buscar y eliminar el contenido o los archivos inyectados. También tengo un script que verifica cada archivo y carpeta pública y asegura que usen los permisos correctos (644 para archivos y 755 para directores). Si el script encuentra algo, lo cambia sobre la marcha.
También tengo un script que hace niños de repuesto para todos mis sitios y bases de datos en un espacio fuera del sitio del océano digital todos los días. En los sitios, uso defensor para bloquear todos los puntos de ataque normales y uso un programa llamado NinjaFirewall para crear una pantalla de protección para aplicaciones web. Este es un complemento, pero en realidad crea un firewall que se carga antes de que se lea o enrolle una sola línea PHP una sola consulta MySQL. Esta es la solución más importante basada en el sitio que puede implementar. Elegí Ninjafirewall porque es gratis, el Wordfency WAF es costoso y el Ninjafirewall Waf tan bueno como el Wordfency Waf, de hecho, creo que es mejor, porque solo hace el WAF y lo hace muy bien. En cuanto a las violaciones, cada problema tiene una solución diferente, pero en general, trato de descubrir cómo intervinieron y luego trabajo desde allí. Cliff: En primer lugar, actualice todo el software: Núcleo de WordPress, complementos, temas y entorno de alojamiento (por ejemplo, PHP). Utilizo nombres de usuario que no son fáciles de adivinar. Utilizo contraseñas seguras (largas e imposibles de adivinar; un administrador de contraseñas es útil). Instalo el software de seguridad básico en el sitio-wordfency y el anti-spam más a menudo. A menudo protegeré la autenticación solicitando una recaptcha y, en algunos casos, necesito dos factores para la autenticación. Para muchos sitios, también los pondré a través de la red Cloudflare. Cloudflare ofrece mejoras de seguridad y también crea reglas de firewall en Cloudflare destinadas a mantener a los malos actores fuera del sitio.
Logan: Para mantener seguros los sitios de WordPress de nuestros clientes, combinamos las mejores prácticas de seguridad y complementos de seguridad confiables para ayudarnos a monitorear y defender continuamente contra ataques cibernéticos y amenazas. Al igual que otras agencias de sitios web, Cyber ​​Security es una prioridad para nuestros clientes y para nosotros mismos. Para proporcionar protección de seguridad adicional, hemos introducido recientemente una nueva asociación de seguridad con Protected by Dragon, una consultoría de seguridad digital que ayuda a proteger lo que más importa para los clientes. En cuanto a las violaciones de seguridad, recibimos informes y notificaciones regulares cuando hay una señal roja en los sitios de nuestros clientes. Nuestros servidores no solo detectan malos actores y actividad irregular, sino que también restringen el acceso al sitio cuando sea necesario. Por lo tanto, podemos identificar inmediatamente la violación de seguridad, evaluar el daño y anunciar a los clientes cuando se detecta la vulnerabilidad. 5. ¿Qué complementos de seguridad de WordPress usan o recomiendan y por qué?
Richard: Para ser honesto, no he usado diferido durante algún tiempo, excepto los sitios que se alojan en WPMU Dev. En 2016, cuando el defensor todavía era bastante nuevo, lo usé, pero a veces causaba problemas con el procesador a algunos proveedores. Probablemente debería hacer algunas pruebas con él nuevamente, porque 5 años de Internet son largos, por lo que esta experiencia ni siquiera es relevante. Mirando a los diferidos ahora con respecto a las recomendaciones y cheques que ofrece, el defensor parece que las revistas y los escaneos también son características hermosas. También creo que GOTMLS es un complemento hermoso que a menudo ofrece resultados sólidos durante un escaneo. Jesse: ver número 4 arriba. Cliff: Primero uso Wordfency, incluida su interfaz Central Wordfency, que permite la gestión de varios sitios en una sola autenticación. No estoy familiarizado con el defensor. Logan: En el pasado, utilicé primero WPMU Defender como un complemento de seguridad de WordPress. Este complemento es efectivo, fácil de usar y permite a los usuarios configurar informes semanales de los clientes. Estos informes pueden incluir todo, desde SEO hasta actualizaciones de seguridad. Aunque nos gustó usar Defender, hacemos la transición a una nueva solución de seguridad conocida como InfiniteWP. Este movimiento facilitará la gestión de nuestros sitios de clientes en una ubicación central, así como al enviar informes de seguridad semanales. [La nota del editor: el centro de WPMU Dev le permite administrar la seguridad de los sitios WP “infinitos” utilizando defensor;
)] 6. ¿Qué sugeriría a los usuarios de WordPress que nunca pasan por alto cuando se trata de asegurar su sitio?Richard: Elimine los usuarios inactivos, especialmente con el papel de administrador.Use contraseñas seguras y, siempre que sea posible, permita que todos usen sus propios detalles de conexión.No comparta una cuenta con más personas.Use 2FA cuando esté disponible y sea posible.Jesse: Actualizaciones, actualizaciones, actualizaciones!Y contraseñas seguras.Y si sus clientes son lo suficientemente expertos como para manejar, 2FA es probablemente la mejor defensa contra los ataques de fuerza bruta en la autenticación WP que puede implementar.Cliff: ¡Todo lo que mencioné en la respuesta a la pregunta 4!
Logan: como usuarios de WordPress, nunca debe ignorar las medidas de seguridad digital para proteger su sitio. Si lo hace, puede comprometer el sitio haciéndolo más susceptible a los ataques cibernéticos y las amenazas. Dependiendo del tipo de sitio de WordPress que posea, esto puede abrir la puerta de los hackers para penetrar fácilmente en su sitio, robar el contenido de su sitio y modificar la configuración del administrador para mantenerlo alejado del sitio: su UL esto conducirá a la pérdida todo el tiempo, energía y dinero que ha invertido en su sitio, lo que puede ser devastador para las empresas. Hay muchos complementos de seguridad de WordPress gratuitos que facilitan la prevención de ataques cibernéticos, por lo que se recomienda que los usuarios no ignoren el uso de un complemento de seguridad para su sitio. Es tan fácil como unos pocos clics y BAM, su sitio es más seguro que antes. 7. ¿Tiene un consejo o recurso de seguridad favorito que desea compartir con otros desarrolladores web de WordPress? Richard: Creo que muchos de los profesionales ya están familiarizados con wpscan.com (anteriormente wpvulndb). Recomiendo calurosamente su lista de correspondencia. La mayor parte ahora está detrás de un muro de pago, pero en mi opinión, todavía vale la pena. Es útil buscar complementos, y las alertas de correo electrónico para nuevas vulnerabilidades son muy valiosas. Además, no puedo evitar mencionar los blogs de jugos, Wordfince y Nintechnet, que siempre parecen estar en la cima de las nuevas vulnerabilidades con detalles especiales.

Jesse: En primer lugar, y sé que probablemente no quieras escuchar eso, pero uso MainWP para todo el mantenimiento de mi sitio.En segundo lugar, un buen alojamiento es probablemente la mejor inversión que puede hacer.Si no puede permitirle a alguien como yo que cuide sus sitios, no use alojamiento barato.Encuentre un servicio que garantice y actualice el sitio semanal (este no es GoDaddy o Bluehost).Recibirá lo que paga … ¡en tercer lugar, no aloje su sitio y envíe un correo electrónico en el mismo servidor!Finalmente, nunca use un host que use cpanel.Es lento, desactualizado y abre tantas cosas en un servidor que nunca se acostumbra a y/o no deben usarse (como el correo electrónico en un servidor del sitio).¡Creo que terminé con mi debate con el jabón!
Cliff: A los malos actores les gusta autenticarse en WordPress e intentar introducir con fuerza bruta. Wordfency hace un buen trabajo bloqueando demasiados intentos incorrectos. Pero también establecí una regla de firewall en CloudFlare para que muchos clientes bloqueen las IP extranjeras tratando de acceder a la autenticación, punto. Obviamente, esto no funciona si el propietario del sitio necesita que las personas puedan autenticarse fuera de los Estados Unidos, lo cual es cada vez más frecuente. Pero muchas pequeñas empresas en los EE. UU. No necesitan ni interesan en las visitas de sitios web de IPS extranjeras, y mucho menos en la dirección de conexión. Logan: Es mejor estar demasiado seguro que lamentar cuando se trata de la seguridad del sitio web. La seguridad cibernética se está volviendo cada vez más avanzada todos los días, y los piratas informáticos encuentran brechas para dañar los sitios de sus clientes. Manténgase informado investigando constantemente las mejores prácticas de seguridad, utilizando los mejores complementos de seguridad para sus clientes y monitoreando regularmente los sitios de los clientes. La mayoría de los complementos de seguridad le brindan la opción de configurar informes automáticos semanales, en los que los clientes reciben información clave sobre su sitio. Si hay una vulnerabilidad de seguridad, esta es una oportunidad ideal para abordar y remediar la vulnerabilidad. Por lo tanto, el sitio web de sus clientes es más seguro y es menos probable que se convierta en el próximo objetivo de un hacker. 8. ¿Quieres agregar algo sobre la seguridad de WordPress? Richard: Un enchufe de seguridad es un instrumento, no una solución. Jesse: Creo que cubrí todo arriba. Cliff: ¡Continúa difundiendo las noticias sobre la seguridad!
Logan: Como se mencionó anteriormente, WordPress Security continuará evolucionando y mejorando. Esta es una buena noticia porque los ciberdelincuentes también evolucionan. Si usa la diligencia requerida y mantiene actualizado con los ataques cibernéticos y amenazas actuales, esto puede ayudarlo a implementar complementos y tecnologías para mantener los sitios de sus clientes seguros y seguros. Consejos de seguridad adicionales de WordPress de los miembros además de los muchos puntos excelentes ofrecidos por nuestros expertos entrevistados, también mantuvimos una discusión en el Foro de Seguridad de WordPress, en la que les preguntamos a nuestros miembros: ¿Alguna vez ha manejado o administrado un sitio que fue víctima de un ataque en línea? Si es así, cuéntanos qué pasó y cómo se remedió.
¿Sin qué herramienta de seguridad/e no podría vivir?
¿Cuándo fue la última vez que realizó un control de seguridad de WordPress completo? ¿Crees que es algo que tienes que dedicar más tiempo?
Estas son algunas de sus respuestas: 1. ¿Estaban sus sitios en línea? ¿Qué pasó y cómo lo arreglaste? Lo que veo con demasiada frecuencia es un sitio web descuidado. Sin actualizaciones durante años o temas/complementos premium sin licencias que sean culpables. También tuve una limpieza de malware, en la que alguien me envió a través de la contraseña de WordPress, que en realidad estaba en el top 10 de las contraseñas no garantizadas más utilizadas. – Afortunadamente, Richard no. Debido a la defensa, contraseñas seguras y 2FA. -Ps Sí, alguien ha obtenido acceso a la cuenta de host y eliminó el sitio y todas las copias de repuesto. El intruso adivinó la contraseña del cliente (que era el nombre y el número 1 de la compañía). Comenzó un nuevo usuario, cambió la contraseña, activó 2FA y restauró el sitio desde una copia de seguridad fuera de línea. -Cris El último cliente que logré reparar con Defender Pro y Limpiar y regresar a Google, ¡y los clientes estaban tan agradecidos! ¡Me hizo parecer el superhéroe! ¡Gracias a todos!
-Victoria me recuerda a uno en el que el cliente me llamó porque su sitio (que no creé) se había roto. Fue difícil, porque no creé el sitio, no sabía qué adicciones son entre complementos, etc. Me tomó algunas descargas/escanear/limpiar/recarga para llenar todos los trapos de seguridad y, en última instancia, les pidió a todos los empleados que cambiaran su correo electrónico y todas las contraseñas para agregar una capa de seguridad. -Guigro tomó dos sitios que estaban rotos. El problema para ambos era el núcleo y los complementos obsoletos. Afortunadamente, ambos habían venido a mí con las solicitudes para eliminar el sitio pirateado y crear uno nuevo, por lo que era cuestión de hacer una nueva instalación con una página que llegaría pronto durante la construcción. -Keith Sí, hace unos años, un sitio fue víctima de inyecciones con guión, estaba en alojamiento dividido con algunos complementos obsoletos, la limpieza implica muchos archivos cerrados a mano. Luego aprendí que incluso hay una necesidad de seguridad más allá de las contraseñas. Más recientemente, los intentos de conectarse con la fuerza bruta, que el defensor bloqueó para mí, pero luego cambié la URL del administrador y las cosas han estado calladas desde entonces. -Danny Sí, mi sitio se ha roto varias veces. Tengo Webarx y todavía he sido pirateado. Utilicé el firewall de seguridad antimalware y fuerza bruta de Eli para limpiarlo. Instaló y ejecutó el programa y limpió todo malware. -Shala Después de 15 años en WordPress y 20 en desarrollo web, traté con muchos sitios pirateados.
Todo, desde DDoS y la fuerza bruta hasta una ex esposa enojada que conectó y reemplazó todas las imágenes publicadas en el blog de su esposo con fotos menos halagadoras. En la mayoría de los casos, la restauración de un niño de repuesto me parece más rápido y fácil. Si no hay nadie, entonces debemos hacerlo de la manera difícil y eliminar el contenido malicioso y eliminarlo o, a veces, para reconstruir el sitio. -El obispo del lobo que trabajé en la limpieza de varios sitios web de WP. Casi cada vez que la razón era la falta de complementos o actualizaciones WP. – Catalin I. Las personas intentan constantemente autenticarse en mis cuentas, para WordPress, Defender Pro ayuda. También obtengo mucho spam para el que uso un complemento llamado Stop Spammers. Muchos robots y hackers están dirigidos a las rutas del archivo de complemento para revelar información sobre el sitio. – Jonathan 2. sin qué instrumento de seguridad no podría vivir? Ningún complemento puede brindarle el 100%de seguridad. La mayoría de las veces, de una forma u otra, el usuario/propietario del sitio tuvo la culpa o cometió un error. Puede fortalecer mucho su sitio web de WP sin herramientas o complementos. Algo que no debe renunciar es un programa antivirus en su computadora. No importa cuán buena sea la seguridad de su sitio, si tiene una computadora en su computadora, ya está. -Richard anti-malware y seguridad de firewall con fuerza bruta de Eli. Ahora, todos los complementos WPMudev. – Díaz Backup, definitivamente. – Defensor de Álvaro. Lo necesito en cada instalación de WordPress. También necesito Antispam-Bee en cada sitio con una sección de comentarios.
-Ps Defender Pro, ¡no puedo creer que me haya llevado tanto encontrarte! -Las herramientas de copia de seguridad de Victoria, migración, escaneo y herramientas de firewall. – Defensor de Djohns. Tenía una cuenta de Sitelock, pero al final me di cuenta de que soy una pérdida de dinero. Luego usé algunos complementos WP diferentes, pero desde entonces he reemplazado a la mayoría con la defensa. – Kahnfusion tómese la seguridad en serio. No tenía un sitio roto. Utilicé principalmente Wordfency y Defender. También siga la base de datos WPSCAN de vulnerabilidades. Actualizaciones frecuentes, hijos de repuesto. – Face durante algunos años, Defender Pro. La curva de aprendizaje es bastante fácil de abordar, pero me sorprende que todavía aprenda cada mes. Sobre recomendaciones, cómo configurarlas correctamente, cómo evitar el spam y cosas como esta. – Guigro Defensor y alojamiento de WPMudev. Es muy fácil de usar, y todas las opciones para encabezados de seguridad + escaneo de vulnerabilidad + WAF muestra que los desarrolladores estaban pensando en las cosas correctas. -Phil con defensor, bloqueo el IPS después de 3 errores de inicio de sesión en 60 minutos, no las 5 fallas generosas en 5 minutos, como defensor predeterminado. Y bloqueo de una hora a una semana. También uso la máscara de conexión, los nombres de usuario prohibidos y otras funciones en el defensor. – Tony Defender y WPMU Dev Waf. -La alojamiento de Keith que está activo en la seguridad de sus clientes, las copias de seguridad regulares, los firewalls y el 2FA-Danny WAF es grande. Deténgalos antes de que comiencen. También uso defensor, lo que ayuda a dibujar muchas medidas de seguridad comunes en un solo lugar.
-Lee Security Anti-Malware y el firewall Bruta-Force de Eli (GOTMLS) es un gran complemento y la mejor parte es que tiene un precio razonable, a diferencia de otros que son muy caros y no tan efectivos. Se usa solo para limpiar el malware, no para su detección, por lo que se necesita otro complemento para esto, desafortunadamente. – Shala Defender, WPSCAN, SQLMAP. -El obispo del lobo, diría que Malwarebytes para una perspectiva de herramientas de seguridad y ahora Defender Pro para sitios web. Sin embargo, apasionado por la seguridad de Windows. – Shiv Patel 3. ¿Cuándo fue la última vez que realizó una verificación de seguridad de WordPress exhaustiva? Veo de cerca todos los sitios que mantienen y realizan un seguimiento de todos los arados y temas. Se lleva a cabo un control exhaustivo al menos una vez al año cuando no se observa un comportamiento sospechoso. Hasta ahora, * tocando madera * ha tenido un sitio de 1 WP del que soy responsable del cual se rompió debido a una vulnerabilidad de día cero. Además, una vez que mi proveedor de alojamiento web fue víctima de un truco de ransomware. Afortunadamente, tenía a mis propios hijos de repuesto fuera del sitio, porque, al mismo tiempo, su servidor de respaldo estaba corrupto. Regresé en línea en unas horas con otro anfitrión. Sus otros clientes estuvieron fuera de línea durante 3 días.
– Richard verifica casi todos los días o al menos una vez a la semana – Díaz al menos semanalmente. -Cris Una vez que configuré el defensor, generalmente reviso los sitios semanales. Debido al defensor, ¡no tengo que pasar tanto tiempo con él como antes! – La última vez que pasé tiempo con seguridad fue cuando configuré al defensor en otro sitio hace unas semanas. Una vez que pongo todo, realmente no me concentro en la seguridad. Mientras mantenga copias de seguridad regulares fuera de línea, no me preocupa ser pirateado. -Kahnfusion Trato de tomar medio día cada dos meses para revisar los 20 sitios web que administro bien. Parece bastante justo para mí, porque leí el Defender Pro de vez en cuando y he configurado las notificaciones para asegurarme de que recibo un correo electrónico si sucede algo real. – Guigro no hace que el buceo específico sea específico, porque solo integré la defensa en mis procesos. -Phil pasa por los informes del defensor y prohíbe activamente las IP para cualquier actividad algo sospechosa. En general, confío en el defensor y el desarrollo de WPMU para mantener las cosas seguras para mí. – Keith me asegura que ejecuto un escaneo/revisión completo mensualmente para todos mis clientes. Me parece la cantidad correcta. – Lee Hacemos escaneos en cada sitio diariamente. También hacemos una revisión de seguridad semestral más profunda, que incluye probar el sitio del cliente.
– El obispo del lobo propone hacer una verificación paso a paso cuando instalo todos los complementos disponibles en cada sitio que host.Pero la seguridad de WP es un aspecto crucial de todos los sitios.-Shiv Patel Mi protocolo de trabajo incluye controles de seguridad de rutina semanales y verificaciones de seguridad mensuales profundas para sitios web/servidores que administro/ejecuto.- Catalin I. Agradecemos a todos los que participaron en nuestras entrevistas y discusiones. ¿Ha encontrado problemas de seguridad con WordPress?¡Comparta sus comentarios y consejos a continuación!