Lista de verificación de confidencialidad: 10 consejos para proteger los visitantes de su sitio de WordPress

El negocio de todos los bloques de dimensiones, PYME, compañías comerciales electrónicas, grandes empresas y muchas más, entiendo la importancia de tener un sitio web. Sin ella, una empresa se relega al método que requiere mucho tiempo y fuerza laboral (y sin mencionar que se excede) para aumentar el reconocimiento de la marca y convertir a los clientes potenciales a través de llamadas frías y la palabra en la boca. Además, si su marca no tiene un sitio web, confía en las revisiones de los clientes en sitios como Yelp, Glassdoor, Social Networks y otros para dictar cómo los consumidores deberían sentirse por usted.
No quieres hacer eso. Un sitio web es una parte esencial de la identidad de cada negocio. Y, como cualquier parte de su negocio que aborde directamente a su audiencia, desea asegurarse de que ofrezca una experiencia segura, confiable y profesional. Su sitio es una extensión de quién es usted como una marca, empresa y proveedor de servicios, por lo que es importante tener el control total sobre su identidad en línea. El diseño del sitio, la funcionalidad y la capacidad de reacción en los dispositivos móviles son importantes para ayudar a las marcas a establecer su credibilidad hacia su audiencia. Sin embargo, sin las medidas de seguridad apropiadas, primero, todo el esfuerzo que realiza para crear un sitio web de gran aspecto puede ser en vano. Si se elimina su sitio, si una falla de seguridad conduce al robo de la información del cliente o si su sitio se convierte en un vehículo de ataque para los piratas informáticos, el esfuerzo que hace para el diseño y el desarrollo ya no contará, especialmente para los visitantes que han llegado a confiar en usted. .
Debido a que la web está oscura y llena de terror … WordPress Security Team hace todo lo posible para garantizar que proporcione un CMS seguro que los clientes puedan crear y administrar sitios web. El equipo incluye expertos en seguridad que actúan rápidamente cuando existen riesgos de seguridad potenciales en el software básico de WordPress o las herramientas de terceros, como complementos y temas. También es posible notar que ocasionalmente lanzarán actualizaciones para remediar la fragilidad del sistema. Sin embargo, esto no significa que la plataforma carece del 100% en riesgos. Debido a la popularidad de los terceros instrumentos utilizados en conjunto con WordPress, el CMS no siempre es tan seguro como le gustaría ser. Sin embargo, esta no es una razón para comenzar a no confiar en los complementos, temas o proveedores del tercer partido. Simplemente significa que debe tomar medidas para asegurarse de que si el equipo de WordPress pierde un riesgo de seguridad potencial, tiene herramientas para monitorear y proteger su sitio y visitantes. Entonces, ¿quién está en peligro? Algunos de ustedes pueden pensar: “Bueno, soy [propietario de una pequeña empresa/blogger independiente/independiente/etc.] con una audiencia relativamente pequeña. No seré pirateado “.
La verdad es que a los piratas informáticos no les importa quién eres. Si nota una debilidad en la configuración de su sitio, lo atacarán y pondrán su negocio en peligro. Incluso si su sitio no recopila (o almacena) la autenticación u otra información personal, los piratas informáticos encontrarán una manera de hacer que su sitio funcione para sus propios objetivos. Entonces, ¿quién está realmente en peligro aquí? Responder a todos. Para aclarar, “todos” no se refiere a su marca o negocio; “Todos” se refieren a cualquier persona que visitó su sitio web. Como verá muy pronto, los ataques a los sitios web no siempre se realizan para destruir la reputación de un negocio (aunque este es casi un resultado final garantizado). Los piratas informáticos a menudo aprovechan las vulnerabilidades del sitio para obtener acceso a los datos del cliente que de otro modo no podrían recuperar. Es importante tener en cuenta lo siguiente:
No piense que es inmune a un ataque debido al tamaño de su negocio o al nivel de visibilidad.
Asegúrese de ser consciente de los riesgos potenciales.
Con las herramientas y procesos adecuados de monitoreo y administración, puede recuperar su sitio web de un intento de piratería. Es posible que la información de su cliente no sea tan afortunada, así que manténgalos bien (es decir, no en su sitio).
Los riesgos del sitio de WordPress en una encuesta reciente de Wordfency, los usuarios de WordPress han sido cuestionados para averiguar qué tipo de ataques han sufrido en su sitio. Aquí hay un resumen de estos resultados, clasificado de acuerdo con el tipo de ataque más común:
Deformación del sitio (~ 25%) ¿Qué sucede? Los attacles reemplazan su sitio web con su propio contenido o destruyen su sitio web. Los piratas informáticos no necesitan una razón para hacer esto, aparte de hacer una declaración. Correo electrónico de piratería (~ 20%) ¿Qué sucede? Los atacantes toman el control de su correo electrónico y lo usan para enviar spam. Puede haber varias razones por las cuales un hacker haría esto; Entre ellos: usar su servidor de correo electrónico de forma gratuita, destruir su reputación comercial o enviar enlaces y contenido malicioso en nombre de una fuente en la que las personas confían (esto es suyo) (~ 18%) ¿Qué sucede? Los piratas informáticos instalarán sus propios enlaces y contenido en su sitio para mejorar su SEO de su sitio. Si bien los criterios de clasificación de búsqueda pueden cambiar de acuerdo con las tendencias en las que las personas usan la web (por ejemplo, adoptar dispositivos móviles, redes sociales, etc.), una cosa seguirá siendo la misma: cuando una fuente de renombre envíe a un sitio web o contenido, el sitio web, el sitio web Luego será visto como una fuente confiable. Redirecciones (~ 15%) ¿Qué sucede? Los piratas informáticos utilizarán su fuente confiable como una forma de canalizar automáticamente el tráfico nuevo e inesperado a su sitio. Entonces, cuando alguien intenta visitar su sitio web, en su lugar se lleva al sitio web de atacantes que contienen contenido malicioso.
Imitators de página (~ 5%) ¿Qué sucede? Los atacadores crean lo que se conocen como páginas de phishing que parecen formas válidas. Crearán estas páginas de imitación para atraer a los visitantes del sitio para proporcionarles información personal. Distribución de malware (~ 3%) ¿Qué sucede? Los attacles obtienen acceso a su sitio web y luego distribuyen malware en todas las computadoras de sus visitantes para recuperar su información personal. Provisión de información (~ 20%) ¿Qué sucede? Si almacena información confidencial del cliente en su sitio (información de pago, datos de inicio de sesión, información personal y más), los atacantes deben obtener acceso a su sitio solo para robarlo. Una vez más, capitalizando su sitio como fuente confiable, los atacantes pueden usar su servidor para obtener acceso y atacar otros sitios web. Ransomware (~ 2%) ¿Qué sucede? Como su nombre indica, el ransomware es una forma de software que los atacantes implantarán en su sitio para que ya no pueda obtener acceso. Su esperanza es que no tenga una reserva u otra forma de volver y, a su vez, estará dispuesto a pagar una “redención” por ello. Host de contenido (~ 1%) ¿Qué sucede? Los atacantes obtienen acceso a su servidor para alojar sus propios archivos maliciosos allí.
Recomendación Spam (~ 1%) ¿Qué sucede?
Si alguna vez ha examinado la lista de fuentes de referencia de su sitio de Google Analytics, es posible que haya notado algunos sitios web extraños allí. Estos se deben a los tableros que se han configurado en su sitio. Por lo tanto, cuando el tráfico se envía desde su sitio a otra fuente, en lugar de ver su URL en sus análisis, verán el sitio de referencia falsa. Como puede ver, los ataques pueden venir en todas las formas y dimensiones. Algunos hackers quieren usar la buena reputación de su sitio web para sus propios desvíos, mientras que otros solo quieren una forma de obtener acceso a toda la información personal de sus visitantes, independientemente del tipo de ataque, está claro que los piratas informáticos no discriminarán El tipo de negocio que golpean si veo una debilidad que pueden aprovechar. Asegurando la confidencialidad para los visitantes de su sitio, independientemente del tipo o tamaño de su negocio, es importante tener en cuenta los riesgos que los visitantes de su sitio asuman cuando accede a su sitio confía en que un sitio visite y enseñando su información privada ser administrado de manera segura. Por lo tanto, si desea mantener la confianza de sus clientes y mantener su confianza intacta en su marca, debe tomar los pasos adecuados para garantizar su sitio. 1. Invierta en un buen alojamiento al alojar su sitio de WordPress en el servidor de un proveedor confiable, dé el primer paso para asegurar su sitio y proteger la confidencialidad de los visitantes.
Los servicios de alojamiento de calidad le proporcionarán una serie de seguros de seguridad del sitio, que incluye monitoreo de 24 horas, niños de repuesto regulares y espacio de alojamiento individual (porque compartir con otra cuenta podría traer cualquier corrupción en su sitio). Si no está seguro de si su proveedor anfitrión actual u otros que está buscando proporciona un entorno seguro, consulte sus comentarios. Si tienen problemas en progreso o tienen un historial de los malos problemas de gestión que los clientes han traído, querrá encontrar a alguien más. 2. Use un CDN en este momento, es posible que se pregunte por qué le sugerimos que invierta en servicios adicionales de “alojamiento” si ya paga por un proveedor de alojamiento de renombre. Bueno, un CDN (red de entrega de contenido) no es realmente un servicio de alojamiento. Un CDN está por encima de su alojamiento y ayuda a entregar el contenido no estatal de su sitio web a los visitantes, sin importar dónde se encuentren en todo el mundo. Los CDN se asocian más comúnmente con velocidades de carga del sitio más altas, pero muchos de ellos, como CloudFlare, ofrecen controles de seguridad adicionales para su sitio. 18 ciudades de todo el mundo.
3. Configure SSL para cualquier sitio web que se ocupe de información confidencial, SSL (Secure Sockets Sockets) es una necesidad absoluta. Después de haber alineado un proveedor de alojamiento en el que confía, busque ver si también ofrecen certificados SSL (que muchos de ellos hacen). Si no lo hacen, hay otros que pueden emitir un certificado válido, como en cifrado. El objetivo principal del SSL es crear una capa de protección adicional (por cifrado) para la información de sus visitantes para que los terceros no puedan obtener acceso a ellos. Además, el cifrado SSL viene con el beneficio adicional del SEO mejorado. Debido a que Google y otros motores de búsqueda buscan enviar tráfico a fuentes válidas y confiables, su certificado SSL es una prueba de esto. 4. Considere la protección DDoS en la amenaza del lanzamiento de Attack de seguridad anterior, discutimos cómo los piratas informáticos podrían invadir su sitio para atacar a otro. Esto es, en esencia, lo que es DDOS (rechazar el servicio distribuido). Los piratas informáticos utilizarán una serie de métodos para dirigir una cantidad abrumadora de tráfico a un sitio web con la esperanza de obligar al sitio a colapsar y, en consecuencia, rechazar a los visitantes del sitio cualquier acceso.
Si su empresa es una empresa más grande y/o procesa muchas transacciones, hacer una inversión en un servicio de atenuación DDOS no es una mala idea. El costo de reducir su sitio y detener todos los negocios puede ser desastroso para una empresa, así que considere esta capa de protección adicional. Varias compañías con servicios de CDN, como Encapsula, también brindan protección DDoS, así que tomen tiempo para investigar y ver si puede agrupar los servicios de seguridad bajo un solo paraguas (y ahorrar algo de dinero). 5. Instale un firewall que su proveedor de host ya debería haber instalado un firewall para su servidor, mientras que los firewalls son una excelente manera de mantener alejados a los visitantes no deseados, muchos piratas informáticos de hoy han encontrado formas creativas de ocoli. Para estar seguro, agregue un firewall a su sitio para un nivel adicional de protección. ConfigServer Services ofrece uno gratuito que puede usar. Si no está seguro de cómo instalarlo usted mismo, vea su proveedor de host y vea si pueden ayudarlo. Si está en un servidor compartido, debería poder hacerlo por usted sin ningún problema. 6. Mantenga los complementos bajo control La mayoría de las vulnerabilidades del sitio de WordPress provienen de arados. El equipo de seguridad de WordPress analiza todos los instrumentos de tercera parte, pero es inevitable que pase alguna inseguridad, y los complementos son el lugar más común donde sucede. Hay tres cosas que puede hacer para asegurarse de que los complementos se mantengan bajo control:
Lea la información que WordPress recopila para todos los complementos. Verifique la compatibilidad de la versión de WordPress (que indica que mantienen los complementos actualizados junto con las actualizaciones de seguridad de WP), la última actualización (que indica un desarrollador que permanece actualizado con el mantenimiento del complemento), instalaciones activas (indicando cuántas otras Usuarios en los que confía en el complemento) y las evaluaciones. Dé un paso más y lea las evaluaciones negativas para ver si alguien ha reportado problemas de seguridad en el pasado. Examine los scripts del complemento para verificar que no hay códigos maliciosos en él. Nota: Esto necesitará saber PHP. Si necesita ayuda para revisar las Escrituras o la codificación, el defensor puede escanear su sitio en busca de vulnerabilidades. Cualquier cosa considerada inútil o potencialmente dañina debe eliminarse.
Use un complemento de seguridad para monitorear e informar cualquier problema potencial con otros complementos, así como para utilizar la protección de fuerza sin procesar. Aunque hay una serie de complementos de seguridad bien evaluados, Wordfency es una opción popular, con más de un millón de descargas y un 4.9 de 5 estrellas.

7. Deshabilite informes de errores ¿Sabe que cuando su sitio muestra un error, ¿se mostrará la ruta de su servidor para que todos puedan verlo? Los piratas informáticos saben esto y estarán con sus ojos en esa información si no ha deshabilitado informar errores frontales. En lugar de dar esa información valiosa de forma gratuita, deshabilite estas notificaciones. Para obtener más información sobre los errores de informes, consulte nuestra publicación de eliminación de WordPress: ¿Cómo usar wp_debug? . 8. Limpie su spam La cantidad de spam que llega a un sitio web puede ser un problema. El spam no es solo un malestar, sino que también puede presentar algunos riesgos de seguridad graves. Por lo tanto, se han creado complementos como Akismet, por lo que puede bloquear fácilmente los comentarios de las direcciones IP Spammer conocidas. Sin embargo, al recopilar información sobre la dirección IP en su sitio web, ponga en peligro la confidencialidad de los visitantes. La única forma de mantener esta información segura es no almacenar la información sobre la dirección IP de los comentaristas. Entonces, si se deshace de la información de la dirección IP en su sitio, ¿cómo se previene los comentarios de spam también?
Para Trackbacks y Pingbacks, solo debe actualizar la configuración de WordPress para no “permitir notificaciones de enlaces de otros blogs”. Puede leer más sobre esto en nuestra publicación cómo detener el Trackback de WordPress y el spam de pingback.

Apague el spam en su red multisit con nuestro complemento Anti-Splog.
9. Aplique la configuración de inicio de sesión más fuerte Hay dos tipos de autenticación en su sitio en el que debe preocuparse: el suyo, así como sus visitantes cada vez que alguien tiene acceso a su sitio (ya sea en la parte delantera o en la parte posterior), hay un aumento de riesgo para que alguien más ingrese intencionalmente o obtenga acceso a información privada. Dicho esto, hay varias formas en que puede asegurarse de que se apliquen ciertas reglas de conexión (solo asegúrese de seguirlas): cifre las contraseñas de los usuarios con hashing bcrypt
Asegure al director WP-Admin (que contiene información de acceso para todos) solicitando un nombre de usuario y contraseña adicionales para acceder a la carpeta.
Agregue el autenticador de Google a la autenticación con dos factores.
Pídale a los usuarios que elijan una contraseña segura que contiene letras, números y símbolos.
Limite los intentos de autenticación y bloquee a cualquier persona que exceda un cierto número de estos intentos.
10. Restringir el acceso a restringir el acceso a su sitio web no solo significa mantener el acceso de los piratas informáticos, sino también garantizar que cualquier usuario a quien se le dé acceso a ciertos fines respeta esos fines. Aquí hay algunas restricciones que debe planear establecer:

Su archivo WP-Config.php contiene mucha información valiosa. Para asegurar ese archivo, muévalo con un nivel por encima de la instalación de WordPress. Esto asegurará que alguien esté intentando acceder a él recibir un mensaje de error.
Actualice sus claves de seguridad regularmente. Nuestro complemento de defensa manejará esto con un solo clic. También querrá deshabilitar las capacidades de edición para el administrador. Esto obligará a cualquiera que intente acceder a sus archivos PHP (como temas, complementos, etc.) a conectarse a través de FTP.
Administre cuidadosamente sus roles y el acceso a sus usuarios en WordPress para que tengan acceso solo a las áreas de su sitio.
En una nota vinculada, asegúrese de eliminar el acceso FTP inmediatamente después de que un usuario haya completado el trabajo necesario dentro de él.
Deshabilite la navegación en los directores para que los piratas informáticos y usuarios no autorizados no puedan ver ninguno de los archivos en su sitio web.
El archivo .htaccess será su mejor amigo cuando se trata del acceso al sitio. Configure las reglas para restringir automáticamente el acceso y las visitas al sitio.
También se debe tener en cuenta que todos estos consejos sugeridos para garantizar que la confidencialidad sean particularmente importantes para los sitios comerciales electrónicos que se ocupan del intercambio de datos financieros. Para lograr el cumplimiento de PCI, debe tener ciertos sistemas vigentes para asegurarse de proporcionar información del cliente. Recuerde: su objetivo principal en el uso de servicios de seguridad más confiables y tener estándares más estrictos para su sitio es para que pueda proteger la información de los visitantes. Si comienzan a sentir de alguna manera que su sitio comprometa su seguridad, lo abandonarán en busca de otra persona para darles esa sensación de seguridad. Si tiene alguna pregunta adicional sobre lo que puede hacer para asegurar su sitio, consulte la Guía de seguridad final de WordPress. Si su sitio está pirateado, hay varias formas en que puede averiguar si su sitio web ha sido víctima de una piratería: advertencias de búsqueda de Google
Las herramientas webmasteri de Google detectan malware
El proveedor de alojamiento le lleva el sitio web fuera de línea
Google Analytics muestra una caída grave y permanente en el tráfico
Un cliente le dice (desea prevenir a cualquier precio)
La seguridad del sitio de WordPress no siempre es una cosa segura, pero hay pasos que puede seguir para garantizar que los efectos de un ataque no sean duraderos o no causen daños irreparables a su marca.
Consulte la guía de WordPress sobre cómo hacer frente al pirata.
Restablecer inmediatamente WordPress, CPANEL, FTP y otras bases de datos.
Consulte la lista de usuarios del sitio web. Cualquier persona que no reconozca debe revocar sus privilegios de acceso. Recuerde a su proveedor de alojamiento, especialmente si usa sombra y ataca su sitio ha en peligro a otros.
Ejecute un escaneo de jugo o Wordfency (o use cualquier proveedor de complementos de seguridad que tenga) en su sitio.
Ejecute un escaneo de computadora. Pídale a todos los demás administradores del sitio web que hagan lo mismo.
Revise sus archivos .htaccess y wp-config.php para cualquier bacalao o script irregular. Eliminar cualquier corrupción.
Para cualquier archivo, complementos o temas que hayan demostrado contener riesgos de seguridad potenciales, eliminar y reinstalar versiones seguras (si las necesita).
Si su sitio ha sido dañado o reanudado para eliminar el contenido malicioso es excesivo, reemplace su sitio con una versión de repuesto.
Una vez que la amenaza ha sido identificada y eliminada, notifique a cualquier parte potencialmente afectada para que puedan tomar medidas de seguridad de ellas.
Si lo extrañaste el año pasado, mira lo que le pasó a Jenni McKinnon cuando rascó su sitio de WordPress y lo que hizo al final para recuperarse. Hay algunas buenas lecciones para aprender de sus experiencias. Terminar una violación de la seguridad de su sitio puede significar grandes pérdidas para su negocio, tiempo, SEO, reputación de la marca y su confianza de la audiencia que no puede permitirse posponer su sitio hasta que algo suceda. Haga la diligencia necesaria y asegúrese de tener las herramientas de seguridad adecuadas; que trabajas con terceros de confianza; Y que no almacena información confidencial sobre la empresa, el usuario o el visitante en su sitio. Su sitio es la cara de su empresa y el único punto de contacto real en la web en el que los visitantes pueden obtener más información sobre usted no deja que su experiencia sufra y No permita que pongan en peligro su intimidad personal porque no ha podido tomar las medidas preventivas apropiadas. Ahora quiero saber de usted. ¿Qué hace para garantizar la confidencialidad y la seguridad de los visitantes de su sitio?
Etiquetas:
privacidad
Seguridad de WordPress