Guía suprema para la seguridad de WordPress

Los hackers atacan los sitios de WordPress grandes y pequeños, con decenas de miles de ataques por minuto. Afortunadamente, hay muchas formas en que puede proteger su sitio web de WordPress. Hoy, quiero compartir cómo puede hacer la seguridad de su WordPress Estean con la base para los avanzados. También exploraré la forma en que WordPress puede ser vulnerable a los ataques, cómo comprometer los sitios web de los piratas informáticos, cómo solucionar problemas de un sitio pirateado y los mejores complementos de seguridad que puede instalar para mantener su sitio en seguridad y protegido. Siéntase libre de saltar a cualquier sección que desee ver primero:
¿WordPress es seguro?
Cómo comprometer los sitios web de hackers
Pasos de seguridad básicos sin tonterías
Seguridad por oscuridad
Las mejores prácticas de seguridad de WordPress
Solución de problemas de un sitio pirateado
Seguridad de WordPress con complementos
Como sugiere el nombre de esta publicación, esta es nuestra guía suprema para la seguridad de WordPress. Por lo tanto, le recomiendo que marque este artículo y vuelva a hacerlo de vez en cuando para asegurarse de que sus sitios web marquen todas las casillas de seguridad necesarias. ¿WordPress es seguro? Con tantos hackers tratando de infiltrarse permanentemente en los sitios de WordPress, puede comenzar a preguntar si WordPress es realmente seguro. Puedes dejar de preguntarte, porque WordPress está inherentemente seguro, sin embargo, hay una advertencia.
El equipo de seguridad detrás de WordPress trabaja diligentemente para neutralizar cualquier vulnerabilidad que aparezca en el núcleo de WordPress. Los parches de seguridad se incluyen en las actualizaciones básicas que se lanzan constantemente y regularmente. De hecho, dado que WordPress se lanzó inicialmente, más de 2.450 vulnerabilidades de seguridad se han corregido rápidamente. También hay momentos en que se han realizado remedios en menos de 40 minutos a partir de descubrir una vulnerabilidad, la advertencia es que debe mantener actualizado el núcleo de WordPress para aplicar todas las correcciones de seguridad que se lanzan. Afortunadamente, las actualizaciones se pueden enviar de forma automática o manual con unos pocos clics. También puede optar por desactivar las actualizaciones automáticas en caso de que desee realizar pruebas de compatibilidad antes. Este cambio también se cubre más adelante en esta publicación, pero puede verificar por qué debe tener la última versión de WordPress, WordPress Core es segura – Don ‘Don’ Dígale a la gente de lo contrario y a WordPress: no es perfecto, pero ni ni personas. Quien lo usa para más detalles. Si toma un solo consejo hoy, elija: Mantenga la actualización actualizada de WordPress es la acción más crítica que puede hacer para la seguridad de su sitio, cualquier otra técnica que aplique aún es necesaria, pero no lo ayudará en nada si el núcleo de WordPress en sí mismo es vulnerable y esto sucede si no se actualiza.
Afortunadamente, puede actualizar todo su sitio con unos pocos clics desde el Hub. Por qué su sitio es un objetivo de WordPress es seguro, pero la verdad es que todos los sitios web son hackers, por lo que nadie es inmune. Incluso una nueva instalación de WordPress sin nada, poco o no todo el tráfico y que está ascendente a día todavía está en peligro. En general, hay dos razones principales por las cuales cualquier sitio es pirateado: dinero y hackivismo (defiguración de un sitio por razones políticas, como mostrar apoyo a un partido político o grupo de influencia en particular). La American Economic Association informó que las empresas y los consumidores pierden $ 20 mil millones al año debido a spam. Según un informe de 2016 de jugos, el 100% de los sitios que se han muestreado han sido pirateados para explotarlos con fines de lucro, pero el cuatro por ciento de ellos se usan simultáneamente para el hackivismo. Para más detalles, consulte la guía final de WordPress Spam. Cualquier sitio es un objetivo, no importa cuán pequeño o enorme. La razón es que WordPress en sí es un sistema de gestión de contenido (CMS) tan popular que es un objetivo natural. Los piratas informáticos pueden crear un programa, generalmente llamado Boots o Hackbotes, que escanea automáticamente y sistemáticamente para encontrar agujeros de seguridad y atacar cientos de miles de sitios simultáneamente. Cuantos más sitios se puedan escanear y atacar, mayor es la tasa potencial de hacker. WordPress, como objetivo para hackers, es similar a golpear el ojo de un toro del tamaño de una mansión si juegas bola de pintura. Las posibilidades de que puedan rociar con éxito ese objetivo con pintura una y otra vez, incluso desde una larga distancia.
Debido a que WordPress ahora alimenta al 28% de todos los sitios web en Internet de acuerdo con W3Techs, que también es el segmento más grande de sitios web que usan un CMS conocido, hay millones de sitios a los que los piratas informáticos pueden apuntar. Todo se trata de matemáticas, de hecho. Los sitios más pequeños y menos populares son una gran opción para los piratas informáticos, ya que es menos probable que sean seguros, ya que muchos propietarios de estos sitios pueden no saber que en realidad son un objetivo más grande de lo que me doy cuenta. Por otro lado, los sitios más grandes y seguros siguen siendo un objetivo, porque hay una audiencia más grande disponible para los piratas informáticos que desean inyectar y aprovechar el spam si logran defender el sitio. Es importante admitir que, aunque WordPress se asegura cuando se mantiene actualizado, ningún sitio es resistente al agua el 100% del tiempo. Por ejemplo, la versión de WordPress 4.7.3 corrigió seis vulnerabilidades XSS en la API REST que podría permitir a los piratas informáticos inyectar código en cualquier sitio de WordPress. Ha afectado a más de 1,5 millones de sitios según Wordfency. Inicialmente, Sucuri informó que alrededor de 67,000 sitios de WordPress fueron rotos y dañados por diferentes piratas informáticos debido al agujero de seguridad descubierto. Una vez que se lanzó un parche, más de un millón de sitios no se actualizaron de inmediato, lo que llevó a su pirata.
Como sitios web de Hackers de compromiso al escribir código, es casi imposible no crear agujeros de seguridad. Cuando los piratas informáticos encuentren estas vulnerabilidades, explotelas y permanezca con un sitio comprometido. También hay otras formas en que un sitio podría ser vulnerable, incluidos los errores humanos, como el uso de contraseñas que son fáciles de adivinar, así como inciertas o inciertas. Hay una serie de vulnerabilidades de WordPress generalmente explotadas y potencial, que incluyen: inyección SQL (SQLI), ocurre cuando la consulta y las instrucciones de SQL se pueden ingresar y ejecutar a partir de la URL de un sitio.
Scripting de sitios cruzados (XSS) -Urker puede inyectar código en un sitio, generalmente a través de un campo de entrada
Carga de archivo: un archivo con código malicioso se carga en un servidor de restricción
Falsificación de aplicaciones entre sitios (CSRF): el código o las cadenas se ingresan y ejecutan a partir de la URL del Sitio
Brute Force: constantemente intenta autenticarse adivinando el nombre de usuario y la contraseña del administrador
Denegación de servicio (DOS): cuando un sitio falla debido a un flujo de tráfico constante desde un hackbot
Denegación distribuida de servicio (DDoS)-similar a un ataque trasero, excepto que el Hackbot envía tráfico de varias fuentes, como computadoras o enrutadores infectados
La redireccionamiento abierta ocurre debido a una vulnerabilidad y es una página del sitio que se redirige a uno diferente, que es establecido por un hacker y a menudo es spam o un sitio de phishing
Phishing (robo de identidad) -Un sitio o página creada por un hacker que parece un sitio bien conocido y confiable, pero se utiliza para recopilar credenciales de conexión, engañando a un usuario para que introduzca su script de detalle o un programa renovado con el propósito de Infectar un sitio o sistema
Inclusión de archivos locales (LFI): un atacante puede controlar qué archivo se ejecuta en una hora programada que ha sido configurada por CMS o la aplicación web
Bypass de autenticación: un orificio de seguridad que permite a un hacker omitir el formulario de autenticación y obtener acceso al sitio
Divulgación completa de la ruta (FPD): cuando se expone la ruta a la raíz web de un sitio, como cuando se visible el listado, los errores o las advertencias del director
Listado de usuarios: la posibilidad de determinar un nombre de usuario válido para usar más adelante para ataques de fuerza sin procesar, agregando una cadena al final de la URL de un sitio de WordPress para solicitar una ID de usuario que pueda devolver el perfil de un autor con nombre de usuario válido.
Entidad externa XML (xxe): una entrada XML que se refiere a una entidad externa y está mal procesada por un analizador configurado incorrectamente y puede conducir a la divulgación de información confidencial
Seguridad de derivación similar al bypass de autenticación, excepto que un hacker puede omitir el sistema de seguridad actual que está vigente
Ejecución del código de distancia (RCE): un hacker tiene la capacidad de ejecutar código arbitrario en un automóvil o sitio en otro automóvil o sitio
Inclusión de archivos remotos (RFI) -Plupando una referencia a un script externo en un sitio para explotarlo para cargar malware y todo, desde una computadora o sitio completamente diferente en el lado del servidor (SSRF), cuando un hacker puede tomar el control de un servidor , ya sea parcial o totalmente para obligarlo a ejecutar solicitudes remotas
Traversal de directorio: casos en los que HTTP puede explotarse para acceder a los directores de un sitio y ejecutar pedidos fuera del director raíz del servidor
Aunque esta no es una lista completa de vulnerabilidades de seguridad de WordPress, estas son las formas más comunes en que se explota un sitio, a menudo mediante el uso de un bot. Además, varias vulnerabilidades podrían explotarse al mismo tiempo.
Según Wordfency, así como un informe de WP Whitesecurity, XSS, Vulnerabilidades SQLI y la carga de archivos son los problemas de seguridad más comúnmente explotados. Los complementos codificados incorrectos también son el mayor culpable y representan el 54% de estos ataques, seguidos por el núcleo y los temas de WordPress, respectivamente. También se ha informado que el 73% de los sitios de WordPress son vulnerables a los ataques. Para obtener más detalles, asegúrese de consultar la categoría: vulnerabilidad, guía suprema para el spam de WordPress, XML-RPC y por qué es hora de eliminarla para la seguridad de WordPress y un historial de exploits de seguridad de WordPress y lo que significan.
Dado todo lo anterior, por eso es importante tomar en serio la seguridad de su sitio de WordPress. Afortunadamente, hay una variedad de formas en que puede mejorar la seguridad de su sitio de WordPress, de pasos simples a más complejos que puede encontrar a continuación. Comenzaré con lo básico y estaré progresivamente más avanzado a medida que pase por este artículo. Los pasos de seguridad básicos sin tonterías son tan importantes para que su computadora esté asegurada, así como su sitio. El malware y los virus pueden infectar su computadora, lo que puede extenderse no solo a su sitio de WordPress, sino también a cientos de miles de otros sitios de WordPress. Hay muchas maneras en que puede asegurarse de que la computadora se mantenga lo más segura posible. Estos son los consejos básicos para ayudarlo a comenzar a aumentar la seguridad de su computadora y del sitio de WordPress: instale un escáner de virus informático para ayudar a prevenir malware y virus. Asegúrese de que el software también pueda limpiar las amenazas.
Programe escaneos regulares de los virus de su computadora para asegurarse de que no esté infectado sin saberlo.
Instale un firewall de computadora o activelo si se incluye en su sistema operativo o escáner antivirus.
No inicie sesión en el tablero de administración y no acceda a su sitio de WordPress cuando haya iniciado sesión anteriormente y todavía está autenticado por un WiFi público o cibercafé porque se pueden ver sus credenciales o alguien podría seguirlo para ingresar sus detalles de inicio de sesión.
No inicie sesión en WordPress a través de una conexión a Internet o una red no garantizada.
Use un proveedor de alojamiento sólido y confiable, que tiene una excelente reputación de seguridad y confiabilidad. Use solo poderosas contraseñas para su sitio y obliga a sus usuarios a usar contraseñas seguras, utilizando un complemento como Wordfency.
No permita que los usuarios carguen archivos en su sitio y no tenga esto en cuenta de antemano, ya que los piratas informáticos podrían explotar el privilegio y cargar malware. Esto también es válido para cargar imágenes, como los avatares, porque las serpientes ocultas podrían nombrar un malware similar a Image-Name.jpg.php y pueden deslizarse a través de grietas.
Use el Protocolo de transferencia de archivos Secure (FTPS) en lugar de FTP, que no se asegura, para evitar el control o el monitoreo de su conexión.
Alternativamente, puede usar el Protocolo de transferencia de archivos SSH (SFTP) en lugar de FTP, porque el primero también es más seguro.
Dale acceso al administrador solo a aquellos que conoces y confías.
Del mismo modo, atribuya el papel del usuario del editor solo a las personas en las que conoce y confía.
Instale un complemento de seguridad, como el defensor y use al menos la versión gratuita.
Active la grabación de auditoría en el defensor para monitorear y seguir la actividad de editores, autores, otros administradores, usuarios y piratas informáticos que se preocupan, especialmente si sospecha que podrían distribuir malware.
Solo permite a las personas de confianza tener acceso a su cuenta de alojamiento o, mejor, no darle acceso a ella que si es absolutamente necesario. Si es así, cree una cuenta con acceso limitado a solo a qué acceder y nada más. No dé credenciales FTP y no cree cuentas FTP para personas en las que no confíe o que no conozca bien.
Si actualmente no usa FTPS/FTP, elimine todas las cuentas activas o deshabilite la función hasta la próxima vez que lo necesite para evitar el acero y las credenciales.
Realice la espalda de respaldo de los niños (¡o la red!) A menudo y también programen niños de seguridad para prevenir los archivos disponibles si necesita restaurar su sitio.
Pruebe a los últimos niños de repuesto para asegurarse de que funcione e para incluir todo lo que ha sido de respaldo.
Copia de copia de seguridad para copias de copia de seguridad para asegurarse de que no se quedará en el caso si una copia de seguridad no funciona como se esperaba.
Mantenga el ritmo actualizado de WordPress en cualquier momento.
Del mismo modo, también debe mantener complementos, temas y scripts actualizados en cualquier momento.
Revise el código de cualquier complemento, tema o script que use para asegurarse de que esté bien codificado. Preste atención a sus revisiones y busque cualquier problema de seguridad persistente que no se haya resuelto.
Estar al día con los boletines informativos de WordPress, como WHIP para asegurarse de estar al tanto de sus últimos problemas de seguridad de WordPress y relacionados.
No use complementos, temas o scripts con problemas de seguridad conocidos. Retírelos inmediatamente y notifique al desarrollador. Pruebe los complementos, los temas y los scripts en un medio de entrenamiento local antes de instalar y activar en un sitio en vivo.
Use una red de entrega de contenido (CDN) para evitar ataques DOS y DDoS.
Instale y forzue el uso de un certificado SSL para su red multisit o para la instalación única de WordPress.
Para obtener más detalles sobre la instalación de un certificado SSL, consulte:
Cómo configurar SSL GRATIS con Let’s Encrypt y CertBot
Cómo usar un certificado SSL para una red de sitios múltiples
Instale SSL y HTTPS rápido y gratis en CPanel con Let’s Cintpt
Las 5 autoridades de certificación SSL más populares examinadas
Recuerde que esto es solo el comienzo, así que asegúrese de pasar por este elemento y aplicar tantos de estos pasos de seguridad para una estrategia de seguridad más confiable. También puede usar .htaccess a Ningin Converter para tomar los ejemplos a continuación y generar automáticamente el código que puede usar para los servidores NGINX. Seguridad de obstrucción Si preguntara, muchos desarrolladores de WordPress serían Scanda:
“La seguridad por oscuridad no es seguridad” o una forma de esto. No me equivoqué, pero no le dolía usarlo, y en algunos casos podría ayudar. La seguridad a través de la oscuridad significa ocultar un aspecto de un software o aplicación web para tratar de asegurarlo con la esperanza de que si un hacker puede encontrar lo que esconde, sigue siendo seguro. En el caso de WordPress, esto significa ocultar partes de su sitio, como la página de conexión, por ejemplo, con la esperanza de que un hacker no pueda encontrarlo. Esta no es una táctica de seguridad confiable porque la mayoría de los piratas informáticos tienen suficiente experiencia para que puedan encontrar una manera fácil de evitar la táctica de oscuridad para infiltrarse en su sitio. La mayoría de los sitios no están rotos manualmente con ataques con fuerza bruta, pero se infiltran automáticamente y sistemáticamente por los robots. Debido a que los robots están configurados para atacar un sitio con una configuración típica y continuar si el hack no tiene éxito de inmediato, existe una posibilidad (aunque una pequeña) para que la seguridad de la oscuridad opere un pequeño porcentaje. Esto es especialmente cierto si el hacker no tiene experiencia. Estos tipos de tácticas también son parte de los pasos de seguridad recomendados recomendados en el códice de WordPress. Dicho esto, es cierto que no solo debe confiar en la seguridad por la oscuridad para proteger su sitio de WordPress, ya que no funcionará al menos la mayor parte del tiempo. Está lejos, lejos de ser una estrategia de seguridad sólida.
Todavía puede ayudar en un pequeño número de casos, como se mencionó anteriormente, por lo que aún puede usar este método, pero si lo hace, también debe usar un conjunto completo de estrategias de seguridad que se extienden mucho fuera de las tácticas oscuras. Para obtener más detalles, consulte el cambio del prefijo de base de datos de WordPress para mejorar la seguridad. Teniendo todo esto en mente, estas son las tácticas de seguridad más comunes por la oscuridad que puede elegir el bypass o usar como parte de la estrategia de seguridad general. Obscalidad a través del archivo wp-config.php Hay algunos cambios ordinarios que puede hacer en su archivo wp-config.php que se consideran seguridad por la oscuridad y se pueden encontrar a continuación. Para obtener más detalles sobre el archivo WP-Config.php y su edición, consulte WPRPress WP-Config: una guía completa y cómo cambiar su wp-config.php para proteger su sitio web de WordPress. Los cambios a continuación se pueden hacer sin cambiar el código si usa Defender. Deshabilite el complemento y el editor de temas en el tablero de administración, hay un editor en el que puede ajustar y guardar el código de archivo para los complementos y los temas que ha instalado. Puede acceder al editor de temas accediendo al Editor de aspecto>. Del mismo modo, el editor de complementos se puede encontrar en Plugins> Editor. Por defecto, puede editar los archivos y temas de complementos en el tablero administrativo.
Muchos desarrolladores consideran un riesgo de seguridad, porque un hacker que tiene acceso a la Junta Administrativa podría editar el tema y los archivos directos de temas, sin tener que piratear más en los directores de su sitio. Otros desarrolladores de AR el argumento de que un hacker ya tiene Acceso a la Junta de Administración, el juego ya ha terminado. Al mismo tiempo, ¿por qué ser más fácil para los hackers comprometer su sitio, cuando de lo contrario, habría una oportunidad de detenerlo antes de empeorar? También podría hacerle un poco más difícil para los hackers darle tiempo para arreglar la situación mientras tanto. Puede agregar este código al archivo wp-config.php para deshabilitar los temas y los editores de complementos: cargue la idea jennimckinnon/59bc8a5b7fa4d326eee387722d1a51298#file-wp-php-php-php-php-php-php-php
Mueva el archivo WP-Config.php WP-Config.php de su sitio incluye una gran cantidad de información importante y confidencial que debe mantenerse en privado. Eliminarlo de su ubicación predeterminada puede dificultar que los hackers anticipen dónde estará cuando intenten ir a ese archivo. Si su sitio web de WordPress está en la raíz en lugar de un subdirector, puede mover de manera segura el archivo WP-Config.php con un director, siempre y cuando ya haya un archivo del mismo nombre. También puede mover wp-config.php donde quiera, siempre que cree un nuevo archivo con el mismo nombre y con el código a continuación en su ubicación original:
Lo esencial de Jenimckinnon/8AFD05794AD75FACBD6AE6629F9FFFAF#File-WP-Config-PHP está cargado.
Recuerde cambiar /path/to/wp-config.php con la ruta real de su archivo wp-config.php, donde sea que lo haya movido. Cambie el prefijo de la base de datos de forma predeterminada, las tablas de la base de datos de WordPress tienen un prefijo WP_. Lo sé, original, ¿verdad? Puede dejarlo tal como es, pero es un elemento menos que los piratas informáticos tienen que adivinar para acceder a su sitio, por lo que cambiarlo a algo aleatorio y complejo puede ser útil. Para obtener detalles sobre cómo hacer este cambio en el archivo wp-config.php y en la base de datos, consulte la modificación del prefijo de la base de datos de WordPress para mejorar la seguridad. Agregue reglas a su archivo .htaccess, también hay algunas tácticas de oscuridad que puede configurar agregando reglas a su archivo .htaccess y encontrar a continuación. Para obtener detalles sobre .htuls y editarlo, consulte una guía completa de edición .htaccess para la seguridad de WordPress. También puede hacer estos cambios en unos pocos clics usando el defensor. Protección de archivos importantes Puede rechazar el acceso a archivos críticos, incluidos .htaccess, wp-config.php, php.ini y revistas errores, agregando las reglas a continuación del códice de WordPress: la idea de Jennimckinnon/C1696C5F022E7AAAADCA886716E69F9C999999999
Si tiene un archivo php5.ini o php7.ini.ini en lugar de php.ini, puede reemplazar php.ini en la primera línea con el nombre real del archivo. Restringir el acceso a los archivos PHP Además de los anteriores, también debe limitar el acceso a sus archivos PHP, ya que los piratas informáticos podrían inyectar malware. Puede restringir el acceso a los archivos PHP WordPress agregando las siguientes reglas en Acunetix a su archivo .htaccess:
La idea de Jennimckinnon/3fd2963084511a4662874d8912543Bsecure del director/WP-Includes // WP incluye/tiene muchos archivos críticos que no podrían explotarse si no los protege de otra manera. Las siguientes reglas en WP Explorer deben hacer el trabajo y restringir el acceso a este directorio:
La idea de Jennimckinnon/9165452059ED747DEF1E4FC5F029039#File-HtAccess está cargado.
Restringir el acceso al tablero de administración Cuando un hacker accede a la página de conexión de WordPress e intenta adivinar el nombre de usuario y la contraseña para la cuenta del administrador, se denomina ataque de fuerza bruta. Limitar a los usuarios a los que se les permite ver la página de conexión y acceder a la Junta Administrativa puede reducir algunos de estos ataques. Aunque pueden acceder al formulario de autenticación a través de los robots y sin tener que visitar la página, aún debe notar una reducción significativa en los ataques brutos en la mayoría de los casos, restringiendo el acceso a estas páginas de administración. Puede restringir el acceso a la Junta Administrativa a varias direcciones IP estáticas agregando al archivo .htaccess:
La idea de Jennimckinnon/C4D00CD8DFC775B640AC está cargada
Las filas uno y dos redirigen a los usuarios a una página 404 de error si intentan visitar la placa administrativa desde una dirección IP diferente de la definida en esta regla. Ayuda a resolver posibles bucles de redirección para que su sitio no parezca estar en error. Solo asegúrese de reemplazar / parche a su sitio / con la ruta real de su sitio de WordPress. Además, asegúrese de reemplazar la dirección IP una, la dirección IP dos y la dirección IP tres con tres direcciones IP reales que desea autorizar para que los usuarios en esas ubicaciones puedan acceder al área de administración. Tenga en cuenta que si tiene la intención de viajar, debe actualizar o eliminar esta regla antes de irse, de lo contrario, su sitio lo bloqueará. Si desea incluir una dirección IP única, puede eliminar las nuevas líneas y 10. Alternativamente, alternativamente, Puede agregar la línea 10 tantas veces como desee. No olvide reemplazar la dirección IP tres por cada línea que agregue. Si tiene una dirección IP dinámica o tiene usuarios para autenticar, puede agregar esta regla en su lugar:

Cargue la idea Jennimckinnon/9192de868de5326e91de
Similar a la regla anterior, asegúrese de reemplazar / parche a su sitio / con la ruta correcta a su sitio. También reemplace su sitio.com su dominio real. Preveniendo la navegación en los directores de forma predeterminada, es posible que un usuario (léase: hacker) acceda a carpetas importantes desde su sitio. Incluyendo la ruta completa a esos directorios en la barra de direcciones de su navegador. Por ejemplo, podrían ver todos los contenidos de su archivo de carga si han ingresado a su sitio.com/wp- content/uploads/. Aunque no sería posible editar cualquiera de esos archivos si establece los archivos para los archivos correctamente, sabiendo dónde están sus archivos, es mucho más fácil atacar, porque ya sé dónde está todo. Afortunadamente, puede agregar esta regla a su archivo .htaccess para evitar la navegación en el directorio: la idea de Jennimckinnon/CB78701F23303664E3CA7A18ED240BF se carga.
Evite la enumeración del nombre de usuario La enumeración del nombre de usuario ocurre cuando un hacker puede etiquetar una cadena al final de la URL de un sitio de WordPress que solicita una ID de usuario. Si ese usuario también tiene un rol de usuario de copia y ha publicado contenido en el sitio, la URL devolverá la página del autor junto con el nombre de usuario de la cuenta. En este momento, el hacker sabría que un nombre de usuario válido y la mitad de su trabajo está listo. Debe adivinar la contraseña de esta cuenta para acceder a ella. Evitar la lista de nombres de usuario puede dificultar que los hackers piraten su sitio. Incluya los siguientes de Acunetix en su archivo .htaccess para evitar la enumeración del nombre de usuario: Cargue la idea Jennimckinnon/32687240C9DCD5D46BDAD3917BBF20E
Eliminar archivos innecesarios hay algunos archivos que ya no se necesitan una vez que WordPress se ha instalado correctamente. Eliminarlos evita la adición accidental de información confidencial a ellos, lo que podría proporcionar a los hackers un punto de entrada potencial en su sitio. Puede eliminar de manera segura estos archivos:
readMe.html
/wp-admin/install.php
wp-config-smple.php
El archivo ReadMe incluye la versión de WordPress que usa. Esta información es útil para los piratas informáticos, porque podría acceder a los registros públicos de las vulnerabilidades existentes en esa versión, para que sepan cómo infiltrarse mejor en su sitio la estructura del archivo y el director que habla sobre los registros de WordPress disponibles. Una plataforma OpenSource, hay muchos más que un hacker podría buscar y usar fácilmente para comprometer su sitio. Por ejemplo, pueden buscar el archivo de WordPress predeterminado y la estructura del director para identificar exactamente dónde desean presionar su sitio. Puede cambiar la estructura de su sitio y mover los archivos y directores de cualquier manera que desee. Para obtener más detalles, consulte cómo cambiar su archivo de WordPress y su estructura de director. Cambie su nombre de usuario predeterminado al instalar WordPress, el nombre de usuario predeterminado que se incluye durante el proceso de configuración es “Admin”. Aunque podría dejar el nombre tal como es, es menos que un hacker debe saber infiltrarse en su sitio por fuerza bruta. Si intenta iniciar sesión en WordPress pero ingrese la contraseña incorrecta para un nombre de usuario correcto, se le devuelve un mensaje sobre este hecho. Esto significa que un hacker puede decir si ha adivinado correctamente un nombre de usuario.
Debido a que el “administrador” se usa comúnmente como nombre de usuario, es un lugar obvio para que un hacker comience al atacar su sitio por fuerza bruta. Si todavía está usando ese nombre de cuenta, el hacker podría decir en función del mensaje de WordPress que veo y puede continuar tratando de adivinar su contraseña hasta que la haga bien. Cambiar el nombre de usuario en la opción predeterminada hace que sea más difícil para los hackers atacar con éxito su sitio por Gross Force. Para obtener detalles sobre cómo hacer este cambio, consulte cómo cambiar el nombre de usuario de su usuario de WordPress. Oculte la página de inicio de sesión de WordPress mientras habla sobre la página de autenticación de WordPress y los ataques de fuerza bruta, puede ocultar su página de autenticación por completo. De esta manera, los piratas informáticos se divertirían incluso para probar un ataque de fuerza grosera. Aunque es posible evitar la necesidad de visitar la página de autenticación para probar fuerzas brutas mediante el uso de un Hackbot, aún puede reducir significativamente la cantidad de ataques de fuerza bruta que su sitio tiene experiencia. Para ocultar su página de autenticación, consulte la página Limit Access a WordPress de inicio de sesión a ciertas direcciones IP, oculte su página de WordPress Hackers WordPress y cómo ocultar los piratas informáticos de WordPress y la fuerza de los escombros. Eliminar el número de versión de WordPress como se mencionó anteriormente es útil para que la seguridad de su sitio evite que los piratas informáticos puedan descubrir qué versión de WordPress. Además de eliminar el archivo ReadMe.
HTML Como se sugirió anteriormente, también puede eliminar cualquier versión de WordPress en todo el sitio. Para obtener más detalles, consulte cómo ocultar su número de versión de WordPress. Las mejores prácticas de seguridad de WordPress WordPress Security se refiere a la reparación de tantas vulnerabilidades como sea posible, porque este es el boleto de un hacker. Están buscando la ruta de acceso más rápida para romper un sitio en lugar de una lucha por mucho tiempo. Los sitios de WordPress con agujeros de seguridad están atacados por este motivo. Esto significa que en realidad puede bloquear el 99.99% de los ataques en su sitio abordando estos problemas de seguridad. Aquí hay técnicas de seguridad de WordPress y las mejores prácticas para ayudarlo a asegurar su sitio de WordPress. Use un muchos complementos de seguridad o la mayoría de las técnicas de seguridad mencionadas aquí se pueden aplicar rápidamente con un enchufe de seguridad. Instalar uno y mantenerlo activo es una manera simple y excelente de asegurarse de que su sitio esté protegido y sin tener que recordar aplicar todas las tácticas de seguridad usted mismo. WordPress en sí está seguro siempre que lo mantenga actualizado, pero aparecen nuevas vulnerabilidades cuando encuentran hackers. Un enchufe de seguridad lo ayuda a protegerse mientras el equipo de seguridad de WordPress trabaja en un remedio para iniciarlo en la próxima actualización básica. Puede encontrar una lista de complementos de seguridad confiables y sólidos más tarde, pero no olvide instalar uno si aún no tiene uno en el sitio. Realice escaneos regulares Una vez que haya instalado y activado un complemento de seguridad, es importante configurar escaneos regulares.
La mayoría de ellos tienen esta opción y es esencial activarla. Sin escaneos de seguridad regulares, una vulnerabilidad podría permanecer sin ser detectada y podría conducir al compromiso de su sitio sin que usted lo sepa. Revise sus registros de acceso a menudo Cuando configure su sitio con su host, los registros también se iniciaron al mismo tiempo. En algún lugar de su cuenta, se deben almacenar errores y revistas de acceso. Su ubicación exacta depende de su proveedor de alojamiento. Debe consultar con ellos si no está seguro de dónde encontrarlos. Sus registros de acceso son un registro de cada fecha cuando alguien ha accedido a su sitio y, lo que es más importante, cuando se ha accedido a archivos críticos o se intentó visitarlos. Si monitorea estas revistas regularmente, puede rastrear cualquier actividad inusual. Por ejemplo, cuando hubo intentos de acceder a archivos que los visitantes ordinarios intentarían ver, como .htaccess o wp-config.php. También podrá ver cuándo se ha accedido a estos archivos con éxito, lo que indicaría que su sitio ha sido pirateado. Si puede pararse frente a estas revistas y olvidarlas regularmente, puede estar al día si hay amenazas que deben eliminarse de inmediato. La revisión manual de las revistas de acceso es increíblemente de tiempo y agotador, por lo que es mucho más efectivo instalar un complemento de seguridad, como el defensor, que fortalece estas revistas y anuncia si ha habido una violación de seguridad o cerca eso.
Use los permisos correctos para los archivos muchos archivos básicos de WordPress, así como complementos, temas, scripts y archivos personalizados o cargados contienen detalles críticos y confidenciales. Es importante asegurarse de que solo las partes autorizadas puedan acceder a ellas. Establecer los permisos correctos para los archivos asegura que esto esté sucediendo. Puede consultar la comprensión de los permisos de archivos y su uso para asegurar su sitio para más detalles. Disable XML-RPC XML-RPC es una API que WordPress usa para sus funciones de seguimiento y pingback, así como para el complemento JetPack. Aunque esta API es útil si usa alguno de ellos, también puede ser explotado por los piratas informáticos como un medio de ataques de fuerza en bruto. Incluso si tiene una contraseña segura, los ataques de fuerza sin procesar consumen muchos recursos de su servidor. Si su plan de alojamiento no es suficiente, su sitio puede fallar después de que todos los recursos de su servidor están agotados. Para evitar que los piratas informáticos exploten esta API, puede deshabilitar XML-RPC en su sitio para más detalles, consulte XML-RPC y por qué es hora de eliminarlo para la seguridad de WordPress. Prevenir el spam spam en WordPress es mucho más que molesto. Puede conducir a ataques de ataque bruto y DDoS, así como a las vulnerabilidades de XSS. La prevención de spam para cruzar su sitio es una parte importante para mantener la seguridad de WordPress. Hay muchas formas en que puede protegerse del spam, incluido el uso de complementos. Para obtener más detalles, consulte la Guía Suprema para el spam de WordPress y los 25 complementos superiores para ganar el spam de WordPress.
Use dos que requieren factores de registro para ser aprobados por segundo paso, como aceptar la solicitud a través de una notificación en su teléfono inteligente, por ejemplo, se llama autenticación de dos factores. El uso de un complemento para habilitar esta característica ayuda a que Flexer lo proteja de los ataques de fuerza bruta en casas, un hacker puede adivinar su contraseña. Puedes ver a Clef’s Dead, ¿ahora qué? 4 Alternativas gratuitas de autenticación de dos factores y hacer que su contraseña de WordPress haya más fuerte con BCRYPT. Ediciones adicionales al archivo WP-Config.php, incluidas las técnicas de seguridad mencionadas anteriormente, también hay otras adiciones que puede hacer en su archivo WP-Config.php. Para obtener detalles sobre cualquiera de estas ediciones, consulte cómo modificar WP-Config.php para proteger su sitio de WordPress. Cambie sus claves de seguridad El archivo wp-config.php incluye claves de seguridad que ayudan a cifrar información almacenada en cookies. Cambiarlos de vez en cuando, en efectura, inicia sesión en todos los usuarios, incluidos los piratas informáticos en muchas casas que secuestran una conexión de navegador, por ejemplo. Puede cambiar su clave de seguridad yendo al generador de clave de seguridad de WordPress y copiar y pegar lo que está en esa página, luego reemplazando las claves de existencia en su archivo wp-config.php. Las claves de seguridad existentes deben parecer similares al siguiente: Cargar Gist Jennimckinnon/F321ABC64F1FC94CA9EDF3B0D6BEF6C1#FILE-WP-CONFIG-PHP
También puede reemplazar sus teclas de seguridad en los clics de pareja usando el defensor. Forzar a SSL Una vez que tenga un certificado SSL instalado para su dominio, debe forzarlo para que cualquiera que visite su sitio lo acceda de inmediato con el certifie SSL, garantiza una conexión Secore. Agregue lo siguiente a su archivo wp-config.php antes de la línea “feliz blogging”: cargando gist jennimckinnon/78c784c6818cf563fb75#file-wp-config-php

Hay un último paso. También debe agregar la línea a continuación a su archivo .htacces:
Cargando Gist Jennimckinnon/8A6AB1B68D0F9A5674D8#File-HtAccess
Asegúrese de reemplazar www.mysite.com con su dominio real. Para obtener más detalles, consulte cómo usar SSL y HTTPS con WordPress. Forzar el uso de FTP, además, puede obligar a los usuarios a usar FTPS sobre la insegura automática agregando la línea a continuación por encima de la parte “Blogging feliz”:
Carga Gist Jennimckinnon/116785537fa7a03524f5a5f7e4fd5a74#file-wp-config -php
Hacer cumplir SFTP De manera similar, puede forzar el uso de SFTP si su host habilitado para obtener su conexión es cuando usa SSH y la línea de comando. Para hacer cumplir el uso de SFTP, agregue lo siguiente anterior: ¡lo adivinó! – La línea “Blogging feliz”:
Carga Gist Jennimckinnon/D7BF9A6A6DD2919784C9F005A624513#File-WP-Config-Php
Apague wp_debug a menos que encuentre errores en su sitio, compre deshabilite los informes frontales. Puede hacer esto realizando WP_DEBUG por edición la siguiente línea en su archivo wp-config.php:
Carga Gist Jennimckinnon/D56FC56D5D2BF779C3F94B738EC30EE6
Cambie True a False, luego guarde el archivo y estará todo configurado. Alternativamente, puede liderar_debug, pero habilite el registro privado de errores liderando la línea anterior as-EST, luego siguiéndola con esto: Cargando Gist Jennimckinnon/01C0C4B7C9A57580E56AA6A6679C79BD0#File-Config.
También puede consultar la depuración de WordPress: Cómo usar wp_debug para detils. Auto-actualización El núcleo de WordPress Esta táctica no es para nadie que quiera probar las actualizaciones de manera exhaustiva antes de aplicarlas, pero si se les importa que se apliquen automáticamente, puede editar esta línea similar en el archivo WP-Config. PHP para aparecer como como este:
Cargue la idea Jennimckinnon/5318e70512a55121f56822222250fd5
Si se siente ambicioso, también puede habilitar actualizaciones automáticas de complementos y temas esenciales. La edición de Furter, el archivo .htaccess también son ediciones adicionales y recomendadas que puede hacer a su archivo .htaccess para mejorar la seguridad de su sitio de WordPress. Para obtener detalles sobre cualquiera de estos cambios, consulte una guía integral para la edición .htaccess para la seguridad de WordPress. Ejecución restringida de archivos PHP En caso de que su sitio esté pirateado, puede evitar evitar que los hackers puedan poder
Cargue la idea Jennimckinnon/75033c4acef46aa24469536d9536f5e0
Restringe que los archivos PHP se ejecuten desde las carpetas de carga, ya que es un lugar increíblemente común para que los hackers carguen malware. Protección de su sitio contra inyecciones de script que ahora está en una lista seria, por lo que también puede enfrentar a los hackers capaces de inyectar malware en sus archivos PHP agregando lo siguiente.
La idea de Jennimckinnon/24532CDE82A6A58A2268A623F8831Limit INTENTES DE INICIO DE POR LA PRODUDA, WORDPRESS LIMIT LIMITO DEL NÚMERO DE LAS veces que puede intentar iniciar sesión o recuperar su contraseña. Esto brinda a los piratas informáticos infinitos margen para continuar con ataques de fuerza bruta de rotación Uni tiene éxito. En lugar de dejar que eso suceda, puede instalar un complemento de seguridad que le permite limitar la cantidad de intentos de inicio de sesión. Se puede leer la lista se puede encontrar flexionador para encontrar un complemento de suite. Por ejemplo, puede limitar el número de intentos de inicio de sesión que se permiten sin tacto. También puede estar en los clics de pareja. Instale un firewall de servidor que instalar un firewall en su servidor es una excelente manera de evitar que los piratas informáticos estén a punto de acceder a su sitio y al servidor a la derecha. Esto no debe confundirse con un firewall de aplicación web (WAF) como el que se encuentra en el complemento WordFency. En la Casa de WordPress, se coloca un WAF dentro de su sitio al instante de afuera donde está actual. El razonamiento detrás de esto es similar a las tácticas de oscuridad mencionadas anteriormente. Si un hacker ya ha infiltrado en su sitio, están dentro y un firewall dentro de su sitio no va a ellos. La única forma en que un hacker puede ser suficiente detenerse en sus pistas es si instala un firewall en el sush de su servidor como con la seguridad y el firewall de configuración gratuito. Tenga en cuenta que su host ya puede tener un firewall a nivel de servidor ya instalado para usted. Si no estás seguro, eso ‘
Es mejor contactarlos y preguntar. Aún así, una WAF o un firewall a nivel de servidor también es mejor que no usar firewall. Solucionar problemas de un sitio pirateado si su sitio de WordPress ya ha sido pirateado, ¡no se preocupe! Te tengo cubierto. Hay muchas maneras en que limpia y secoras tu sitio y puedes consultar a Tes para más detalles: ¡Ayuda, fui pirateado! Cómo solucionar problemas y arreglar un sitio de WordPress
Cómo limpié mi sitio después de que fue acosado y negro
¿Estás constantemente pirateado? Cómo detener permanentemente las exploits de puerta trasera de WordPress
Cómo ejecutar un escaneo de seguridad en su sitio web de WordPress
¿Picado? Cómo limpiar su sitio y salir de la lista negra de Google
Cómo restaurar WordPress cuando se detiene o bloquea con Snapshot Pro
¿Picado? Cómo volver al administrador de WordPress
Cómo eliminar o restablecer manualmente WordPress y Multisites
Recuerde que la prevención es mejor que la cura, por lo que es mejor aplicar las técnicas de seguridad mencionadas anteriormente, por lo que usted para pasar por ser pirateados o en absoluto. Seguridad de WordPress con complementos para la protección continua y la seguridad de su sitio de WordPress para usar el complemento. A continuación se muestran los complementos de seguridad superiores que tienen una actualidad confiable y actualizada y tienen una cuicatoria. No necesita instalarlos todos. Puede instalar uno o instalar dos con funciones de complemento. Solo ya sea para no habilitar las mismas características en ambos complementos para evitar la compatibilidad.
Defensor
El defensor es gratuito e increíblemente simple de usar con su intuitivo. En unos pocos clics, puede endurecer la seguridad de su sitio. También hay una versión premium disponible si le apetece más técnicas de seguridad que también puede configurar y olvidar en los clics de pareja. ¿Estás interesado en el defensor? Detalles
Jugos de seguridad
Sucuri Security es una opción popular para la seguridad de WordPress. Tiene muchas características, todas en un complemento, así como en una versión premium si desea habilitar más funciones. ¿Está interesado en los jugos de seguridad?
Detalles
Wordfency
Este popular complemento gratuito tiene más de dos millones de instalaciones activas y tiene muchas opciones para asegurar su sitio. Algunas de las características más útiles se vuelven si se actualiza. También puede consultar la seguridad de su sitio: revisión de seguridad de Wordfency para más detalles. ¿Estás interesado en Wordfency?
Detalles
Seguridad a prueba de balas
Este es un complemento de seguridad y base de datos, todo en uno, lo que ayuda a reducir la cantidad de complementos que usa para ayudar a acelerar su sitio. Hay una versión premium disponible que incluye copias de seguridad del sitio completo y muchas otras características de seguridad. ¿Estás interesado en la seguridad a prueba de balas?
Detalles
ITHEMES SEGURIDAD
El complemento de seguridad iThemes tiene más de 30 funciones de seguridad que puede usar y puede habilitar toneladas más si actualiza. Revisión completa, consulte la obtención de su sitio de WordPress: Revisión de complementos de seguridad gratuitos de ITHEMES. ¿Estás interesado en la seguridad de Ithemes?
Detalles
Sector
Con SurCupress, puede escanear su sitio web para obtener malware y bloquear direcciones y direcciones IP sospechosas. También hay una versión premium disponible con múltiples características. ¿Estás interesado en el sector?
Detalles
Sitealock
Sitelock tiene muchas características de seguridad valiosas y puede escanear su sitio para obtener vulnerabilidades de seguridad en tiempo real. También es de uso gratuito. ¿Estás interesado en Sitelock? Detalles
Terminando hasta ahora, está listo y su sitio de WordPress es seguro y seguro. Aunque esto no es absolutamente todo lo que necesita saber sobre la seguridad de WordPress (¡sería difícil agregar todo en un artículo!), Es una lista exhaustiva de técnicas sólidas para asegurar su sitio. Para obtener más detalles sobre las tácticas de seguridad de WordPress, consulte estas:
Dale a los hackers el juego con el defensor
Seguridad de WordPress: consejos cansados ​​y verdaderos para asegurar WordPress
12 formas de asegurar que su sitio web de WordPress haya pasado por alto

Seguridad de WordPress: lista de verificación definitiva en 32 pasos
8 Pasos obligatorios para asegurar y fortalecer su sitio de WordPress
Uso de Nonces para fortalecer la seguridad de WordPress

Lista de verificación de confidencialidad: 10 consejos para proteger los visitantes de su sitio de WordPress
¿Cómo clasificaría la seguridad de su sitio de WordPress? ¿Cuántas de las técnicas anteriores ha aplicado a su sitio? ¿Cuál es su punto de vista sobre la seguridad a través de la oscuridad? Comparta su experiencia en los comentarios a continuación.
Etiquetas:

Seguridad de WordPress