homefinance blog
¿Qué es lo primero que haría cuando desee asegurar su sitio de WordPress? Aprenda los primeros cinco complementos de seguridad, considere cuán accesible y luego continúe e instale uno. Listo, ahora puedes sentarte y relajarte, ¿verdad? ¡Equivocado! El uso de un complemento de seguridad no proporciona seguridad. La seguridad no es absoluta y nadie puede garantizar la seguridad completa. Lo mejor que podemos hacer es reducir el riesgo de un truco. Y al contrario de la creencia popular, el propietario del sitio debe participar en mantener el sitio web de manera segura. Saber lo que debes hacer y lo que no debería ser significativo.
Aunque hay más guías sobre lo que debe hacer para mantener su sitio de WordPress seguro, le ofrecemos una guía sobre lo que debe evitar hacer. Notarás que los consejos aquí están en conflicto con la fe general. Pero desde nuestra experiencia, muchos consejos están desactualizados y ofrecen una falsa sensación de seguridad. Si el problema de seguridad de WordPress lo está sacudiendo tanto como nosotros, eche un vistazo a lo siguiente. 1. No use demasiados complementos de seguridad considerando la amplia gama de complementos disponibles allí, con varios conjuntos de características, es tentador usar más complementos de seguridad de WordPress. Para ser honesto, es una exageración. Estar preocupado por la seguridad de su sitio es normal, pero debe preguntarse si necesita más de un enchufe de seguridad. ¿Cuáles son las características esenciales para los requisitos de su sitio? ¿Se transmitirán las características entre sí?
Por ejemplo, puede ocurrir un conflicto cuando los complementos comienzan a cambiar archivos como WP-Config.php o Htaccess. Los complementos pueden reproducir fácilmente estos archivos, pero no los cambien de una manera unánime. Esto podría crear conflictos y puede hacer que su sitio sea lento. Con los sitios de WordPress, las cosas pueden ir mal de vez en cuando. Todos odian la temida pantalla blanca de la muerte. Si tiene más complementos que afectan profundamente su sitio web, puede dificultar la resolución de problemas. Ahora, si hubiera habido un solo complemento, encontrar y remediar el caso del error hubiera sido más fácil y menos complicado. No cambie el prefijo de DB, hay varias formas en que se puede comprometer un sitio de WordPress. El hacker puede tener acceso a la base de datos de un sitio por inyección SQL. Se puede usar una vulnerabilidad de un complemento o tema para ingresar a la base de datos del sitio (por lo que le sugerimos que use un enchufe de repuesto para la base de datos de WordPress para evitar caídas similares). Un método popular para evitar que los piratas informáticos se profundicen en su sitio está cambiando el prefijo de tabla predeterminado. Como puede ver en la imagen a continuación, en WordPress, el prefijo de la tabla predeterminada es “WP_”. WordPress le permite cambiar el prefijo de la tabla (para decir, ‘xzy_’) para que oculte ciertas tablas.
En la superficie, parece una buena idea. Si los piratas informáticos no saben el nombre de la tabla, entonces no pueden hacerse cargo de los datos. Este es, sin embargo, un razonamiento falso. Una vez que alguien ingresa a la base de datos, todavía hay formas de descubrir las tablas. Por lo tanto, cambiar los nombres del prefijo no sirve de nada. Además, cambiar el prefijo predeterminado puede hacer que más complementos se comporten mal. Además, el cambio del prefijo de la base de datos del vuelo medio es difícil de implementar y puede hacer que bloquee su sitio web. Esto se debe al hecho de que se deben realizar muchos cambios en cada nivel. Cualquier error en el proceso demostrará ser catastrófico para su sitio3. Evite ocultar la página de autenticación siempre, hay alguien que intenta ingresar a su sitio al romper su contraseña. Durante los ataques de la fuerza bruta, los piratas informáticos están tratando de conectarse a su sitio web utilizando una combinación de nombres de usuario y contraseñas populares. ¿Qué sucede si ocultamos la página de autenticación? Eso matará a dos pájaros con una sola piedra, ¿verdad? El hacker no podrá encontrar la página de autenticación, y la carga en su servidor se reducirá. WordPress tiene una página de autenticación predeterminada. La URL de la página generalmente parece este ejemplo.com/wp-login.php. Una forma bien conocida de guardar su sitio web del ataque de la Fuerza Brute es ocultando o cambiando la página de conexión predeterminada, como el ejemplo.com/mylogin.php. Aunque esto suena como un plan infalible, descubramos cuán efectivo es el método de seguridad del sitio de WordPress.
Descuento de carga del servidor Después de ocultar o modificar la ubicación de su página de inicio de sesión, cada vez que alguien intente abrirlo, enfrentará un error 404. Sin embargo, los intentos de conexión son un proceso difícil. Cada vez que se carga la página de error 404, consume muchos recursos del servidor. Y puede reducir la velocidad de su sitio web. Por lo tanto, la creencia habitual de que ocultar su página de autenticación reducirá la carga en el servidor es incorrecta. Los anuncios de URL alternativos no es difícil adivinar una parte del éxito de WordPress, ya que CMS se debe a complementos que facilitan un sitio web. No es sorprendente que una forma popular de ocultar una página de autenticación del sitio sea utilizando un complemento. Estos complementos vienen con un conjunto de URL de conexión alternativas, como xzy.com/wpplogin.php, etc. Fuimos entrenados para ir solo con la configuración predeterminada. Una vez que instalamos el complemento y cambiamos nuestra URL, no pensamos mucho en ello. Pero solo hay tantas direcciones de URL que un complemento puede ofrecer. No es demasiado difícil descubrir estas URL predeterminadas. Por lo tanto, el uso de URL alternativas puede ser ineficaz en la mayoría de los casos.
Los problemas de uso de WordPress Beauty es que es fácil de usar.Es una plataforma familiar.Para un sitio con muchos usuarios, cambiar o ocultar la página de autenticación podría plantear ciertos problemas.Varias veces he encontrado publicaciones en los foros de WordPress en los que los usuarios están bloqueados desde un sitio debido a un cambio de URL de inicio de sesión.En la mayoría de los casos, los cambios se realizaron utilizando un complemento, y los usuarios no estaban al tanto de la situación que causa el caos.4. No bloquee manualmente sus direcciones IP si tiene un complemento de seguridad en su sitio, se le notificará cada vez que alguien intente conectarse a su sitio web.Puede obtener fácilmente la dirección IP que envía estas solicitudes maliciosas y puede bloquearlas usando el archivo .htaccess.Es un trabajo intensivo manual y no una práctica muy conveniente.
Una persona no técnica que está tratando de cambiar los archivos .htaccess no es fácil de usar es una receta de desastre. Un sistema de gestión de contenido como WordPress tiene un formato muy estricto. Incluso el uso de las herramientas más populares como FTP / SFTP es muy arriesgado. Un error menor o una colocación de pedido incorrecto puede hacer que el sitio bloquee. Demasiadas IP para bloquear para evitar pasar la lista negra, los piratas informáticos usan direcciones IP en todo el mundo. Anteriormente, discutimos el bloqueo manual de las direcciones IP que constantemente intentan ingresar a su sitio. Pero si utiliza alguno de los complementos de seguridad de WordPress más importantes, por ejemplo, MalCare, puede automatizar el proceso de bloqueo. Tales complementos de seguridad tratan con todas las brechas de seguridad de WP.
5. Ocultar a WordPress Existe una suposición general de que ocultar CMS hace que el acceso de las personas con intención perversa. Esto protegería su sitio web de los piratas informáticos que desean explotar vulnerabilidades comunes. Una manera fácil de hacerlo es (adivinó) con un complemento. Pero el método falla cuando a los piratas informáticos no les importa qué plataforma ejecuta su sitio web. Además, hay muchas formas de averiguar si un sitio se ejecuta en WordPress. Además de usar un complemento, puede elegir hacer el trabajo manualmente. Pero es un proceso que consume mucho tiempo. Una sola actualización de WordPress puede cancelar todo lo que trabaja en unos segundos. Lo que significa que tendrá que repetir el proceso varias veces o tener cuidado con las actualizaciones de WP. Las actualizaciones de Haming WordPress son como abrir la puerta para que un hacker ingrese a su casa. 6. La protección de contraseña WP-Admin no funciona para la página de autenticación de WordPress predeterminada (que muestra a Example.com/wp-admin) es una puerta para su sitio. Una página de autenticación típica se parece a la imagen a continuación.
Aquí deberá usar sus credenciales para acceder al tablero de WordPress. La protección de contraseña de la página de conexión ayuda a ocultar o proteger esta puerta de enlace al tablero. Es una buena idea, pero no sin sus huecos.
Imagen de cortina: Looklinux
Cómo no asegurar su sitio web de WordPress
Tags Cómo no asegurar su sitio
