Cómo agregar encabezado de seguridad + más funciones de defensores nuevas

El defensor regresó al anillo para la ronda 2.2.2. Y viene con tres funciones de seguridad nuevas y nudosas, todas especialmente diseñadas para poner el golpe a los hackers y robots cobardes. La seguridad de su sitio está en juego para que no nos retrasemos. El defensor 2.2.2 recientemente ingresó al anillo por completo con un nuevo conjunto de características de seguridad de nocaut. Y en este artículo colocamos a la luz de los reflectores tres de los observados:
Encabezado de seguridad http
Evitar la enumeración del usuario
Bloquear el reposo de la API de WordPress
También le mostraré lo fácil que es ejecutar instantáneamente su sitio web con estas nuevas armas.
Porque la verdad es que si no actualiza constantemente la seguridad de su sitio, juega con el fuego. Todos los días, los piratas informáticos y los delincuentes encuentran nuevas formas de explotar incluso los sitios web más “seguros”. Y si no conoce las últimas medidas de seguridad para el sitio web, deje su sitio vulnerable. Ahí entra este gran luchador …

¿Nueva ronda aquí? Conozca al defensor, nuestro complemento de seguridad de primer nivel y su automóvil personal para luchar [Internet] (no tan aterrador como parece, a menos que seas un mal hacker).
Hackers … Ataques de las fuerzas brutas … botas maliciosas … no se ajustan a los fuertes escudos de seguridad de WordPress y para la tecnología de corte de defensores. Etiqueta con este complemento para acceso instantáneo a: escaneos de seguridad de usuarios, informes de vulnerabilidad, autenticación de dos factores, recomendaciones de seguridad y más. La idea es que … el defensor tiene el malvado más aterrador en la web es revolotear y, en la última actualización, este complemento robusto agrega más notas al cinturón de seguridad pesado. ¿La mejor parte? La implementación de la mayoría de ellos no requiere más de un clic en un botón. Una suscripción WPMU Dev le brinda acceso completo a ella y a todos los demás complementos premium de WordPress. También hay un intento gratuito (100% sin riesgo), por lo que puede intentarlo antes de comprar. Pero, como dije anteriormente, la seguridad de su sitio web depende de esto, ¡con las funciones de tormenta de barras! Hit Hackers donde duele: los encabezados de seguridad HTTP Al igual que las relaciones, la comunicación es una de las claves para un sitio web más seguro y seguro.
Y la comunicación efectiva es lo que mejor hago los encabezados de seguridad HTTP. En términos simples, estos encabezados ruidosos hablan con los navegadores web y les dicen cómo actuar durante las interacciones con su sitio web. Ayudando a duplicar la seguridad y prevenir ataques maliciosos. Los encabezados de seguridad HTTP tienen diferentes formas y tamaños (cada uno los cubre a continuación); todos lo protegen contra diferentes tipos de ataques. También son muy fáciles de agregar a su sitio web. Y, como la mayoría de las funciones diferidas, están literalmente a un clic de ser armado instantáneamente.*Esta función de seguridad fue solicitada inicialmente por Gary, miembro de nuestra comunidad WPMU Dev. ¡Gracias nuevamente por su contribución, Gary! Cómo activar la sede de Seguridad HTTP del Defensor desde el tablero de defensa, encuentre la sección “Rendimiento de seguridad” (¡no se lo puede perder!). Verá una lista de los cambios de seguridad previos recomendados por Defender para su sitio web. Haga clic en uno de estos o haga clic en “Ver todo”.
Alternativamente, puede explorar los ajustes de seguridad directamente a través del menú lateral:
Una vez que haya llegado a la página de reglas de seguridad, verá que el defensor indica los problemas de seguridad actuales con su sitio.

Debido a que los encabezados de seguridad son una característica nueva, aparecerán automáticamente en esta lista. Para activar un encabezado de seguridad, comience haciendo clic en uno.

Después de haber hecho clic, se le dará más información sobre cada encabezado. Aquí hay un ejemplo de lo que ve cuando hace clic en el encabezado “X-Content-type-opts”:
Como dije antes, se necesita un clic. ¡Presione el botón “Aplicación” y Kapow! Acaba de aumentar su seguridad a un nivel. Una vez que haya activado cualquier encabezado, se moverá automáticamente a la sección “resuelta” de los ajustes de seguridad. También puede deshabilitar un encabezado de seguridad y aquí.

Muy bien, ahora que sabes cómo imponer la sede de seguridad, para profundizar más en los encabezados mismos y en lo que hacen. Conozca las nuevas “cabezas” de la nueva seguridad del defensor: 1. El encabezado de opts de tipo X-Contemplate es un guerrero de tipo X-bontent es un gran guerrero, que aparece contra los olores feos y los ataques XSS. Un ejemplo a este respecto es cuando un sitio web permite a los usuarios cargar contenido, pero luego, *traza Twist, el usuario enmascara un cierto tipo de archivo como algo más. ¡A hurtadillas!

Esto les da una oportunidad peligrosa para hacer guiones entre sitios y comprometer su sitio. Definitivamente querrá activar este cachorro si su sitio permite a los usuarios cargar contenido. 2. Encabezado-encabezado de características-encabezado de encabezado de respuesta-poli-encabezado de respuesta Ayuda qué características del navegador se pueden usar cuando las páginas web se incorporan en iframes (documentos HTML incorporados en otros documentos HTML en un sitio web). Los ejemplos a este respecto incluyen: incorporar un iframe en el que no desea que el sitio incorporado tenga acceso a la cámara de los visitantes o cuando las imágenes no optimizadas se envíen a su sitio desde un CMS.
Este encabezado de seguridad también le brinda más opciones para evitar acciones no deseadas cuando sus páginas web se incorporan en otro lugar:

3. Con respecto a la política de Atette, el encabezado HTTP Referrer-Polycy le dice a los navegadores web cómo manejar la información de referencia cuando un usuario hace clic en un enlace que conduce a otra página. Los titulares de referencia informan a los propietarios de los sitios web de dónde provienen los visitantes, pero pero, pero, pero, pero, pero, pero, pero, pero, pero, pero, pero, pero, pero, pero, pero, pero, pero, pero, pero, pero, pero. A veces es posible que desee controlar o restringir la cantidad de información que se muestra. También puede elegir qué información de referencia se envía, junto con las solicitudes:
4. Encabezado de seguridad de transporte estricto Encabezado HTTP Strict-Transport-Security (HSTS) permite que su sitio web les indique a los navegadores que solo se les debe acceder a través de HTTP (en lugar de HTTP). Esto es especialmente importante para los sitios que almacenan y procesan información confidencial (por ejemplo, tiendas comerciales electrónicas) y ayudan a prevenir ataques de “degradación del protocolo” y “clickjacking”. También puede establecer los requisitos para el encabezado de seguridad de transporte (ver más abajo). Esto convertirá todos los enlaces no HTTPS y bloqueará las conexiones inseguras que vienen a su sitio.
5. Encabezado de opciones X-Frame HTTP X-Frame-Oppts El encabezado controla si un navegador puede reproducir o no una página web dentro de una etiqueta o . Esto puede ayudar a evitar los ataques con clickjacking, asegurándose de que su contenido no se incorpore a otros sitios web.

6. Encabezado protector X-XSS El encabezado X-XSS-Protection deja de cargar páginas de carga al detectar ataques reflejados de secuencias de comandos de sitios cruzados (XSS) en Chrome, Safari y más.En su mayor parte, no necesita estos encabezados en los navegadores modernos, ya que la mayoría de los sitios web tienen una fuerte “política de seguridad convertida en seguridad que deshabilita JavaScript en línea.Pero este encabezado continúa protegiendo a los usuarios de los navegadores web más antiguos que no aceptan CSP.Puede elegir el nivel de protección X-XSS que desea aplicar cuando se detecte ataques XSS.Ya sea la higiene de la página (eliminación de partes inseguras) o bloqueando por completo el ataque.

Todavía no he terminado … aquí hay dos movimientos de seguridad letales más que el defensor ha perfeccionado: 1. Imprime en bits imprevistos con “Bloque de WordPress REST API” WordPress REST permite que su sitio web se comunique con servicios y aplicaciones internas y externas. Esto permite a los desarrolladores crear aplicaciones de una sola página en WordPress. También desbloquea todo un mundo de oportunidades (especialmente con Gutenberg). Sin embargo, si no utiliza ningún servicio externo que requiera acceso público a API, puede ser otro punto de acceso para robots y hackers. Este cambio de seguridad le permite permitir solo solicitudes autorizadas. Lo que se recomienda si no necesita acceso de API de aplicaciones y software de tercera parte. Alternativamente, si tiene servicios externos que requieren acceso a la API, puede ignorar este cambio de seguridad. Este cambio también viene con una advertencia fácil (Dun Dun Duun …). Podría evitar que su sitio funcione correctamente, sino que active este cambio solo si sabe lo que está haciendo. Al igual que la sede de seguridad, la API BLOCK WordPress REST se puede encontrar en “Tweaks de seguridad” y se aplica con un solo clic:

2. Evite la enumeración de los usuarios y las pruebas de conexión bruta “KO”.Un método ordinario para que los robots y los piratas informáticos accedan a su sitio web es descubrir el nombre de usuario de la conexión y forzar el área de conexión con un montón de contraseñas falsas.Hay dos partes de este método de piratería.Las contraseñas son conjeturas aleatorias y son más difíciles de obtener.Por otro lado, se puede acceder fácilmente a su nombre de usuario redireccionando “? Autor = 1” a “/autor/username/”.Este cambio de seguridad bloquea su sitio web, evitando la redirección, lo que hace que sea mucho más difícil para los robots para obtener su nombre de usuario.Encontrará prevenir la enumeración del usuario en “ajustes de seguridad” y se puede activar haciendo clic:

*Sumere a los miembros de la comunidad WPMU Dev Richard y Michael por solicitar esta función. A veces el crimen es la mejor defensa [de seguridad]. Es un mundo aterrador de Internet allí, y todos los días, los piratas informáticos y otras web, la web inferior, encuentran nuevas formas de volar con sitios web de personas inocentes. Por lo tanto, es importante asegurarse de que su sitio esté bien armado con las últimas características de seguridad. Gracias a la nueva sede de seguridad introducida por Defender Pro, así como la capacidad de bloquear la API de WordPress y la enumeración de los usuarios, su sitio está en manos más seguras que nunca. Si ya ha instalado Defender Pro y aún no se ha actualizado … ¡vaya a eso! La seguridad de su sitio depende de ello. Ahora es el momento de volver a estar a la defensiva, si es nuevo aquí y desea aumentar la seguridad de su sitio con este complemento … el mejor lugar para comenzar es registrarse para obtener una prueba gratuita con WPMU Dev. De esta manera, primero puede tomar al poderoso defensor (así como todos nuestros otros complementos premium) para una prueba de manejo. Si no está satisfecho en el período de prueba, cancele la suscripción e intentaremos hacerlo mejor por usted la próxima vez. Ningún daño hecho. (También existe la versión gratuita de Defender si no está listo para este tipo de compromiso). Un agradecimiento especial al increíble equipo (superhéroe en sí) que hizo posible defensor 2.2.2: desarrollador principal: Hoang Ngo, QA: Devendera Mishrades y el diseñador principal: Andy Crone. Además, asegúrese de consultar nuestros productos para obtener productos para ver qué hay en el horizonte para los diferidos en futuras actualizaciones.

¿Cómo mantiene su sitio lo más seguro y seguro posible?¿Qué tipo de características de seguridad le gustaría ver del defensor en el futuro?¿Complacido con esta nueva función de encabezado de seguridad?Háganos saber en los comentarios a continuación.

defensor

Seguridad

Complementos de WordPress