Cómo crear una solución de seguridad con funciones completas para su sitio web de WordPress

Si bien WordPress en sí es inherentemente seguro, su popularidad significa que la plataforma es un objetivo para los piratas informáticos. Sin embargo, a menudo los usuarios se convierten en un enlace crucial débil cuando se trata de la seguridad del sitio web. Deberá asegurarse de que los sitios de sus clientes estén bloqueados para proporcionar seguro y protección a largo plazo. A pesar de los juegos de marketing que puede encontrar en línea, no existe una “mejor” solución para garantizar su sitio web de WordPress. Sin embargo, hay una serie de complementos y técnicas de codificación que, cuando se combinan, ofrecen una seguridad óptima contra prácticamente todas las amenazas.
En esta publicación, analizaremos cuatro de estas soluciones y explicaremos cómo todos trabajan juntos. También discutiremos cuándo tanto el manual como el enfoque del complemento son los más adecuados. ¡Vamos a empezar! ¿Por qué necesita una seguridad vendida con características completas de WordPress?

Finalmente, la seguridad del sitio web se refiere a la detención de ataques maliciosos y garantizar que los datos personales de sus usuarios no puedan comprometerse. Como puede imaginar, hay muchos que se necesitan para crear un sitio web de WordPress completamente seguro. Existen preocupaciones simples, como mantener nombres de usuario y contraseñas más fuertes (por ejemplo, configurar un certificado SSL (capas de socket seguras)). De hecho, lo que involucra la entrada del usuario y la salida es potencialmente un elemento que requiere seguridad.
Si ha sido consciente de las noticias en el último año o algo así, se dará cuenta de que WordPress es un gran objetivo-70% de los sitios de WordPress que se arriesgan a ser violados. Aunque la plataforma en sí es inherentemente segura, la gran cuota de mercado que actualmente está disfrutando es un objetivo principal para los piratas informáticos. Además, la naturaleza modular de WordPress, el hecho de que utiliza temas y complementos, presenta riesgos. Esto es especialmente cierto si estos suplementos se han codificado mal. WordPress lleva a cabo cheques estrictos para cada uno de los temas y complementos enviados a sus respectivos directores, pero esto no evita que los valores aberrantes pasen por grietas. De hecho, WP White Security informa que los complementos son la mayor fuente de vulnerabilidades, por lo que será importante tener una solución de seguridad de varias capas. Para implementar una solución de seguridad sólida, necesitará las siguientes dos cosas (al menos):
Una pantalla de protección para aplicaciones web (WAF).
Soluciones para detener los intentos de acceso malvado en su sitio.
Hay otras recomendaciones que podemos hacer, aunque hay consideraciones secundarias. Por ejemplo, ocultar las direcciones de URL del administrador y la página de conexión puede ser útil en ciertas circunstancias. Nuestro consejo es echar un vistazo al códice relevante sobre el fortalecimiento de WordPress (así como las guías de implementación de seguridad de OWASP) y hacer que se necesiten cambios adicionales para satisfacer sus necesidades específicas.
Cómo crear una solución de seguridad con funciones completas para su sitio de WordPress (en 4 pasos) La primera línea de defensa en la creación de un sitio web seguro es tener una copia de seguridad completa y reciente. Esto le da una comida limpia para funcionar si sucede lo peor. Sin uno, no tiene una red de seguridad si su sitio es violado. Una vez que tenga una solución de repuesto, puede comenzar a pensar en la seguridad en el acto. Paso 1: Elija un WAF adecuado. Un WAF es, sin duda, el aspecto de seguridad más importante a considerar y uno que debería tener prioridad de antemano. Esencialmente, un WAF se parece mucho al firewall del enrutador. Ofrece una capa protectora entre el mundo exterior y su servidor, limitando el acceso al tráfico y los datos “buenos”. Por ejemplo, muchos firewalls bloquearán las direcciones IP maliciosas, incluso si no sabe que su sitio (más precisamente, su servidor) existe. Por lo tanto, es un componente de seguridad vital: un bloqueo virtual para los puntos de entrada de su sitio en nuestra opinión, un host de WordPress de calidad merece el peso en oro. Sin embargo, incluso con ese elemento en su lugar, un poderoso WAF ayudará a su sitio a ser prácticamente impenetrable. Para muchos usuarios, los jugos ofrecen la mejor pantalla de protección web:
Es importante tener en cuenta que este WAF basado en la nube funciona de manera diferente a una solución de complemento de WordPress de calidad, como WordFency. Con Wordfency, se requiere un nivel de procesamiento adicional para detener la intención maliciosa. Aunque, por lo general, esto no es una preocupación importante, los jugos detendrán este tráfico en la fuente, sin grandes afecta los recursos de su sitio. De Servicio (DDoS), exploits de día cero y muchas más. Para una alternativa a estas soluciones, también puede considerar el CloudFlare WAF:
Conocido principalmente como una red de entrega de contenido (CDN), CloudFlare utiliza su experiencia al ofrecer soluciones de seguridad adicionales. Es una opción fuerte para aquellos que ya usan el servicio que están dispuestos a pagar la actualización. Paso 2: Proteja contra intentos de conexión maliciosos y ataques forzados brutos, aunque un WAF es un buen comienzo, desafortunadamente no será suficiente. Ya hemos mencionado la posibilidad de autentificaciones maliciosas y merece ver más de cerca lo que significa. Finalmente, la entrada apunta a “Mother Lode”, que es su sitio, se realizan a través de los formularios de autenticación y administración. Esto es por una razón específica, todos los sitios de WordPress tienen URL similares. Aunque veremos este aspecto específico en detalle en poco tiempo, veamos una consecuencia potencial: ataques crudos.

En resumen, nada impide que un hacker intente acceder a su sitio adivinando sus credenciales. Les llevaría algún tiempo, dependiendo de su contraseña, que desde su punto de vista no es una tarea efectiva (o generadores de ingresos). Para maximizar sus esfuerzos, en su lugar usarán “botas” para encontrar todos los sitios de WordPress con una pantalla de autenticación visible y repetir automáticamente las contraseñas a un ritmo rápido. En un momento tendrán éxito, por lo que sin una solución, una violación es solo cuestión de tiempo. Existe una solución simple de protección de implicación contra la fuerza bruta en su sitio web. En nuestra opinión, la mayoría de los sitios web solo necesitarán las funciones que se encuentran en los muchos suplementos de jetpack, más precisamente por el módulo Protect: esta es una solución de “configuración y olvido” que funciona en segundo plano para detener los intentos de fuerza aproximados durante sus . Sin embargo, para obtener más flexibilidad y personalización, Wordfense ofrece una protección completa contra este tipo de ataque, junto con muchas otras características de seguridad. Paso 3: Almacene la URL del administrador, nuestro penúltimo paso es eficiente y popular, si no es estrictamente necesario cuando tiene otras soluciones de seguridad. Las oscuras (o ocultando) las direcciones de URL del administrador y las páginas de conexión se basan en el concepto de seguridad a través de la oscuridad, que tiene tantos detractores como campeones. La idea es que si las URL están ocultas, no hay forma de violarlas.
Después de todo, las URL implícitas de administración y conexión de WordPress son bien conocidas por todos, incluso por un interés pasajero en la plataforma, incluidos los piratas informáticos.Al automatizar un hocico para buscar cada URL WP-login.php, pueden intentar forzar a millones de sitios simultáneamente.Al cambiar la URL a algo irreconocible, le da a un hacker una pequeña oportunidad de “eliminarlo”.En nuestra opinión, este enfoque tiene muchos méritos, pero no cuando se implementa como la única forma de asegurar su sitio.En cambio, debe ser un segmento de una solución de seguridad completa. Si está buscando una solución de complemento rápida y fácil, WPS Ocultar el inicio de sesión hace un truco y se puede poner en funcionamiento en unos minutos:

Sin embargo, a partir de nuestra experiencia, hay algunas desventajas en WPS Hide Ingilm. Por ejemplo, tuve problemas con la incompatibilidad con ciertas soluciones de almacenamiento de caché, lo que significa que fuimos bloqueados por sitios web, y esta solución no funciona con respaldo de VaultPress. Dado esto, Elegant Temas escribió recientemente un artículo sobre la creación manual de una URL personalizada, que vale la pena considerar si necesita otra solución. Paso 4: Agregue una capa de conexión adicional para registrar la entrada a su sitio, nuestro paso final está relacionado con el anterior, pero sin duda es una mejor solución. Agregar una segunda capa de autenticación a las páginas de administración y conexión de WordPress significa que los piratas informáticos no pueden acceder a sus campos de usuario y contraseña (que es realmente el problema). Una vez que se presenta un bot con un diálogo de inicio de sesión adicional, probablemente pasará en el siguiente sitio. Esto significa que se desviará con éxito con un ataque de fuerza bruta. Sorprendentemente, hay muchas maneras de lograr esto. Una solución popular es la autenticación con dos factores (2FA). Este es un paso de verificación que requiere que el usuario ingrese un código de una aplicación dedicada en su dispositivo inteligente. En un momento había muchas soluciones 2FA para WordPress, con diferentes niveles de calidad. Sin embargo, ahora nos sentimos cómodos al recomendar dos: Keyy, de los desarrolladores de complementos de reserva y el módulo de inicio de sesión seguro de JetPack:

Ambos obtienen 2FA de diferentes maneras. El primero usa el autenticador de Google para pedirle un código en su dispositivo inteligente, y Jetpack le pide que inicie sesión con las credenciales de WordPress.com. Con este último, también hay una manera de eliminar completamente el formulario de conexión de su sitio y simplemente confía en WordPress.com para hacer un trabajo duro. Finalmente, también puede usar .htaccess para agregar una segunda capa de contraseña, lo que le brinda más potencial de flexibilidad para crear una solución personalizada. Si no es fanático de las soluciones actuales de complementos 2FA, proteger las URL por contraseña de esta manera podría ser ideal. Conclusión asegurar su sitio es algo que debe tomar muy en serio. Las consecuencias de los esfuerzos laxos en este frente pueden ser un daño sustancial para su sitio y su reputación. Afortunadamente, los pasos que tendrá que tomar se pueden cumplir rápidamente, incluso por principiantes. En esta publicación, discutimos cómo crear una solución de seguridad con funciones completas, incorporando soluciones de tercera parte, configuraciones de WordPress, PHP adicional y una serie de complementos de WordPress. Recapitulemos los cuatro pasos que deberá tomar: elija un WAF adecuado para su sitio.

Protéjase contra las intrusiones maliciosas, incluidos los ataques brutos forzados por la fuerza.
Cambie la dirección de conexión del administrador y la URL de la página de inicio de sesión.
Agregue una capa de inicio de sesión adicional para registrar la entrada a su sitio.