Seguridad esencial para WordPress – Primera parte

Uno de los mitos más perniciosos de WordPress es que es vulnerable a los piratas informáticos. Siendo el sistema de gestión de contenido más popular, que ejecuta casi el 60% de todos los sitios web utilizando un CMS, siempre habrá algunos sitios de WordPress que ya no se mantienen activamente o cuyos propietarios no saben lo que tiene que hacer, por lo que sí, sí, lo haremos. Continúe escuchando sobre sitios pirateados de WordPress. Nota: Si ha pasado esta publicación en busca de un servicio de seguridad que limpie su sitio pirateado, use este excelente servicio de eliminación de malware de WordPress, uno de los mejores servicios de seguridad existentes. Limpiará su sitio en un momento.
Sin embargo, la verdad es que la vasta y extremadamente activa comunidad de WordPress, que sigue las últimas tendencias de seguridad y entra en acción cada vez que descubre una vulnerabilidad, hace de WordPress el CMS más seguro si sigue algunos simples pasos. En este breve artículo, la primera parte de una guía de 3 partes, presentamos las primeras seis medidas de seguridad esenciales en las que debe pensar de inmediato. Cada una de las dos cerdas siguientes presentará otros seis pasos para que su sitio de WordPress sea tan seguro como Fort Knox. 1. Use un nombre de usuario personalizado Versiones más antiguas de WordPress insistió en que el administrador del nombre de usuario siempre sea “administrador”, pero ahora puede elegir cualquier nombre de usuario que desee, lo que significa que los piratas informáticos deben adivinar no solo su contraseña, sino también su nombre de usuario.
En cuestión, algunas personas aún usan Admin, pero le recomendamos que elija algo diferente al configurar una nueva instalación de WordPress. La forma más fácil de cambiar el nombre de usuario en una instalación existente es crear un nuevo usuario de administrador y eliminar la anterior.

Si es un usuario más avanzado, puede usar phpMyAdmin para cambiar el nombre de usuario de administrador desde la base de datos.

También puede encontrar complementos que hagan lo mismo, como el cambiador de nombre de usuario. 2. Cambie la URL de conexión siempre que examine las revistas del servidor para un sitio activo de WordPress, verá que la página habitual de WordPress, WP-Login.php de autenticación se bombardea continuamente. Vienen, casi por completo, de robots automatizados que esperan encontrar una instalación de WordPress con una contraseña débil, lo que les permite tomar el control de ella.

Estos robots son bastante estúpidos; Continúan buscando un wp-login.php y, cuando encuentro uno, continúan venciéndolo con decenas de miles de autenticación a la hora. La maravillosa solución simple: cambiar la URL de conexión.
Nuevamente, como en casi cualquier otra cosa que se le ocurra, hay un complemento de WordPress para esto: cambie el nombre de el complemento de inicio de sesión WP. 3. Limite sus intentos de inicio de sesión

Otra forma de detener a los piratas informáticos para obstaculizar la página de autenticación de su página es limitar los intentos de autenticación permitidos a un número que sería suficiente para que un hombre con un tipo negligente finalmente haga, tal vez cinco intentos, pero luego bloquearía cualquier otro intento de autenticación. Para, por ejemplo, 20 minutos.

Claro, la necesidad de esperar 20 minutos sería un inconveniente si los intentos fueran hechos por un hombre, pero honestamente, si hace la contraseña cinco veces, debe pasar esos 20 minutos llamando a un médico que no tenía una oportunidad. Sin embargo, para un script automático que intenta forzar su contraseña, 5 intentos no son nada. Si tiene que esperar 20 minutos por cada 5 intentos, cuando accedan a su sitio, la humanidad se desarrollará en notas musicales. 4. Autenticación de 2fa en dos fábricas de autenticación de dos factores de fábrica a la autenticación de WordPress, además del nombre de usuario y la contraseña, significa que cualquiera está tratando de acceder a su sitio del sitio debe tener acceso a su teléfono u otro dispositivo de cálculo que Ha instalado la aplicación 2FA.
Muchas personas usan una aplicación como Google Authenticator en el teléfono para proporcionar una contraseña completa: una contraseña única basada en el tiempo. Cada minuto, la aplicación ofrece un nuevo código de seis dígitos, basado en un algoritmo secreto, que expirará al final de ese minuto. Nadie puede conectarse a su sitio sin el código actual, por lo que si no puede obtener su teléfono y uno de sus dedos para desbloquearlo, la ruta está cerrada para ellos. También puede usar un administrador de contraseñas completamente compatible en tabletas y computadoras de escritorio o computadora portátil, que ofrece los mismos códigos constantes justo al lado de sus contraseñas.

5. Confianza de alojamiento Según WP Whitesecurity, el 41% de los sitios pirateados de WordPress se rompen por su alojamiento. Casi todo el alojamiento web es terrible, un triunfo de marketing en realidades técnicas. Incluso si sigue diligentemente todos los pasos para garantizar que la instalación de WordPress sea lo más segura posible, los piratas informáticos aún pueden obtener control sobre su sitio a través de las vulnerabilidades en el alojamiento. No importa cuánto pague, no importa cuánto gane la empresa, no importa cuán grande parezca la marca, no importa quién afirme con vehemencia que son “expertos en WordPress”. La realidad que vemos, una y otra vez, es que la gran mayoría de los anfitriones no tienen idea de lo que hacen. Su principal capacidad es decirle, cuándo su sitio está pirateado o eliminado, que debe ser su culpa, porque ha instalado un complemento o tema con el que no están familiarizados. Esta es una excusa que puede construir una industria completa porque, por supuesto, ¿qué usuario de WordPress no instala un complemento o tema?
Después de 8 años de conducir este sitio y hacer directamente con los usuarios en casi cualquier tipo de alojamiento, el personal editorial del alcalde de WP solo ha visto cuatro compañías que configuran sus servidores y tienen la experiencia necesaria para resolver problemas que cuando lo hago. Corte:
Si tiene un presupuesto pequeño, Bluehost tiene una buena reputación por compartir bien administrado y bien respaldado a un buen precio.
Si, por otro lado, la confiabilidad y el rendimiento absolutos son más importantes para usted que el precio, WP Engine ofrece alojamiento de WordPress a un precio razonable. Los usamos para todos nuestros sitios más importantes, aquellos que generan dinero.

Motor WP

Reciba 4 meses gratis en planes anuales o 20% de descuento en el primer mes en planes mensuales.

Reciba 4 meses gratis en planes anuales o 20% de descuento en el primer mes en planes mensuales. Se ve menos
Wpmayor20

Obtenga esta oferta
Para el estado verdaderamente del estado de alojamiento, basado en la infraestructura de Google, considere Kinsta. No son baratos, pero son los mejores si quieres escalar rápidamente.
Para alojar a WooCommerce, Liquid Web innova y se centra en las necesidades específicas del comercio electrónico más que cualquier otro anfitrión.
33% de descuento
Red líquida

Obtenga un 33% de descuento de Liquid Web – Especialistas anfitriones de WooCommerce.

Obtenga un 33% de descuento de Liquid Web – Especialistas anfitriones de WooCommerce. Se ve menos
Alcalde33

Obtenga esta oferta
6. Prevenir la indexación del director
Si una carpeta en un servidor web no contiene un archivo index.html o index.php, los visitantes de esa parte de su sitio a veces pueden ver el contenido de la carpeta. Esto significa que el servidor se ha configurado para permitir la navegación en los directores, lo que puede ser útil en algunas situaciones, pero si su sitio está orientado al público, también es un agujero abierto que permite a los hackers buscar archivos con vulnerabilidades conocidas.
WordPress experimentado, como los recomendados anteriormente, no alojará a los usuarios en servidores que no se han configurado correctamente, pero si usa cualquier otro host, debe verificar para asegurarse de que la indexación de los directorios haya sido desactivado. Puede probar esto creando una carpeta en el directorio raíz y cargando un archivo de imagen en él. Luego ingrese la URL de la carpeta en el navegador. Si ve un mensaje que le dice que no tiene permiso para ver ese director, el éxito, todo está bien. Sin embargo, si ve una página blanca simple con su archivo de imagen lisado, bueno, eso significa que el servidor ha sido configurado para permitir que los directores se indexen. Debe comunicarse con la asistencia del anfitrión y pedirles que evite la indexación del director para su sitio. Si el apoyo de su anfitrión no puede hacer esto (no se sorprenda, muchos de los “técnicos” con los que está hablando son solo trabajadores del centro de llamadas que Sigue un guión en los países con salarios bajos), puede hacerlo solo cargando un índice vacío. .html en cada directorio que se pueda ver. Ahora los hackers verán el archivo de índice Hollow en lugar del contenido de la carpeta. ¡Incluso puede hacer un mensaje alegre para ellos en el archivo de índice!