¡Hola, hackers!Las mejores prácticas para la seguridad de WordPress

Cuando hablamos de seguridad de WordPress, parece que tenemos 2 opciones, paranoia devastadora o felicidad ignorante. Con todas las noticias sobre nuestra información personal, nombre de usuario, contraseñas e identidades atacadas y vendidas en la web oscura, el tema de la seguridad web para un noobie parece imposible. Pero, después de caer en el extremo profundo de la seguridad web, descubrí algunas buenas prácticas de seguridad de WordPress y consejos profesionales (literalmente hablé con un profesional) para ayudarlo a calmar su corazón. Analizaremos las herramientas gratuitas y cómo implementarlas en sus sitios web y en su vida.
Quizás la realidad no sea tan deprimente como todos tememos. Seguridad de WordPress para los tontos … como yo en el episodio 3 en hola, wp!, “¡Hola, hackers!”, Asumimos la complejidad de la seguridad en WordPress y sus alrededores. Si no escuchaste hola, WP! Sin embargo, en el programa, abordaremos diferentes temas, llamando a profesionales … como sus podcasts favoritos sobre crímenes verdaderos, pero sin delitos. De todos modos, para nuestro episodio de seguridad, el ex empleado de Sitelock (ahora empleado de GoDaddy), Adam Warner, se unió a mí y compartió 7 buenas prácticas de seguridad que consideré extremadamente valiosas. Adam y yo tuvimos una conversación mucho más larga de la que podía encajar en el programa, así que lo traigo aquí, con enlaces, recomendaciones prácticas y consejos.
Nota secundaria rápida: aparte de nuestro podcast, Adam ha estado discutiendo más WordCamps sobre estas buenas prácticas. Si está interesado en aprender más de él, aquí hay una sesión que hizo en WordCamp Portland 2018. Entonces, ¿qué dice? Vayamos con las mejores prácticas #1. 1. Las copias de seguridad de las copias de seguridad le permiten viajar de regreso a los días dorados de su sitio, si alguna vez se enfrenta una violación *arroja sal sobre el hombro izquierdo *. Hay muchas herramientas excelentes para ayudarlo a completar el trabajo, pero hay una característica muy importante que debe cuidar: almacenamiento fuera del sitio. Guardar archivos de repuesto en un servidor diferente al que su sitio evitará comprometerse en una reserva de niños en caso de hack-air. Dependiendo de su presupuesto, hay varios complementos gratuitos y pagados que hacen una copia de seguridad, el manual o el UL automático de su sitio muy simple . Updraft Plus tiene una versión de complemento gratuita que le permite conectar una carpeta Dropbox o Google Drive. O, si ya eres miembro de WPMU Dev, Snapshot Pro tiene todas las campanas de respaldo que necesitas. ¡Incluyendo 10 GB de almacenamiento de distancia en la nube (ooooo)! 2. Las actualizaciones del cumplimiento de los tiempos y las actualizaciones de los temas, complementos y WordPress Core juegan un papel esencial en el mantenimiento de la seguridad de su sitio, algunas actualizaciones solo remedian errores o mejoran el rendimiento, pero otras corrigen las vulnerabilidades de seguridad. Es por eso que el uso de productos bien mantenidos es tan importante, porque si un complemento permanece intacto durante demasiado tiempo, se vuelve más susceptible a los intrusos.
Si solo ejecuta un sitio o dos, como yo, entonces inicia sesión en el administrador de WordPress y haga clic en “Actualizar los complementos” no es demasiado un dolor de cabeza. Se vuelve más problemático cuando tienes muchos sitios cuidadosos. Si es así, podría ser hora de pensar en un centro de gestión de sitios. 3. Las contraseñas seguras son un tipo “para ser simple, estúpido”, y todo con contraseñas “poderosas” y “únicas” incluso arrojan una llave. Hoy en día, nuestros navegadores e incluso WordPress hacen sugerencias de contraseña segura. Es genial y todo, pero con todas las cuentas que tenemos a través de correos electrónicos, redes sociales y WordPress, la lucha más grande es recordar todas esas autentificaciones fuertes y únicas. Desde la felicidad, hay muchos administradores de contraseñas que me permiten mantener mi beso de estilo de vida. LastPass tiene una versión gratuita y pagada. 1parola comienza en $ 2.99. Ambos administradores de contraseñas pueden almacenar, generar y pegar sus contraseñas seguras a pedido. Todo lo que tienes que recordar es una “contraseña principal”. 4. Firewalls y redes de entrega de contenido (CDN) bien, cuando se trata de firewalls, no puedo/no sugeriré ninguna opción gratuita (lo siento). Es por eso: hay dos tipos de firewalls, firewalls de red y aplicaciones web (WAF). ¡Los firewalls de la red aparecen en el nivel de alojamiento, y la calidad de alojamiento cuesta dinero!
Si escuchaste el episodio “¡Hola, WP!” Quién inspiró esta publicación de blog, entonces sabes que no somos (o al menos nuestro CTO no) grandes fanáticos que tienes WAFS en arados. Los firewalls están entre su sitio y sus usuarios supervisando el tráfico de entrada y salida … como una cerca alrededor de una casa. Poner un firewall en un complemento es como poner una cerca dentro de su casa … ¿y ¿quién está haciendo esto? Entonces, por esta razón, no incluimos un firewall en nuestro complemento de seguridad, defensor. En cambio, alentamos el uso de servicios como CloudFlare. CloudFlare ofrece un servicio WAF pagado que se actualiza y monitorea constantemente.
Para una protección real, use un WAF en el lado del servidor como CloudFlare.
5. Monitoreo de alguna manera, el formulario o monitoreo del formulario se incluye en cada una de estas buenas prácticas. Por ejemplo, debe monitorear su sitio web para mantenerse al día con las actualizaciones, Internet debe ser monitoreado para mantener un firewall potente y usar contraseñas fuertes y únicas para monitorear sus sitios web. El monitoreo es la clave para conducir un barco ajustado, pero si usted es como yo y sabe muy poco sobre el código, o incluso si no es como yo y es un experto en codificación, lo que hace que los escaneos de seguridad regulares nos ayuden a resolver problemas, y A él nos advierte cuando las cosas se vuelven desagradables. Nuestro complemento de seguridad gratuito, diferido, puede ejecutar escaneos de malware automáticos, hacer sugerencias de seguridad, verificar el código y más. ¡Oh sí … y él es libre (si te perdiste)!

También puede usar un escáner gratuito para sitios, como el chequeo de WP, para un diagnóstico completo del sitio o malware/escáner de seguridad gratuito para encontrar problemas y estar frente a las vulnerabilidades. 6. Autenticación en dos factores o 2fautiliti Defender para configurar rápidamente la verificación de dos pasos desde Google en cualquier sitio de WordPress.

Por supuesto, esto es, pero 2FA es cuando verifica una cuenta que recibe un número especial por llamada, mensaje de texto o similares. Google es el Maestro 2FA. Por lo tanto, mantendré esto simple, puede activar la autenticación gratuita de dos factores en su sitio web de WordPress con nuestro amigo Luhador mencionado anteriormente, defensor o con muchos otros complementos excelentes como Google Authenticator.
7. VPN o redes privadas virtuales antes de hablar con Adam, nunca había oído hablar de una VPN. Pero, como uno de esos hipsters que viven en cafés y usuarios lejos de WordPress … ¡Debería haber usado uno hace mucho tiempo! Una VPN encripta sus datos antes de que el proveedor de Internet los reciba. Sin una VPN, una persona experta en tecnología y moral débil podría acceder a la misma red WiFi abierta que usted, vea lo que hace e incluso accede a la información personal. En los últimos años, los navegadores de Internet han comenzado a bloquear las redes no privadas. Si navega con Google Chrome, puede estar familiarizado con su mensaje de bloqueo que dice: “Los atacadores podrían intentar robar su información de [dominio] (por ejemplo, contraseñas o tarjetas de crédito)”.
Si está interesado en implementar una VPN, TunnelBear tiene un plan disponible gratuito. Sin mencionar … ¡se divierten con la marca! Si puede permanecer en los parámetros del plan gratuito de TunnelBear, ¡vaya a él! Pero en la mayoría de los casos, el uso de una VPN gratuita * no es una buena idea. Un estudio, realizado por top10vpn.com, mostró que muchos de ellos “tenían permisos o funciones permanentes enterradas en su código fuente que podrían usarse para los usuarios espía”. Las siete maravillas de la seguridad en Internet de alguna manera, la participación en las mejores prácticas de seguridad en Internet son formas de cumplir con la regla de oro. Cree sitios web seguros y seguros para sus usuarios, ¡porque desea una web segura en todo el mundo! Si esto es entusiasta, consulte nuestra guía de seguridad definitiva y no se pierda nada con nuestra lista de seguridad de WordPress en 32 puntos. Finalmente, lleve su seguridad de WordPress al siguiente nivel con nuestro paquete de seguridad premium, copia de seguridad, alojamiento y optimización de rendimiento. Si su sitio ya ha sido pirateado, lo ayudaremos a limpiarlo. ¿Tiene algún otro consejo? Cuéntanos cómo te protegen en la web en los comentarios a continuación. Y no olvides visitar Hellowp.World y escuchar nuestro podcast.

Etiquetas:
defensor
Seguridad
Waf
Seguridad de WordPress