Fundamentos de seguridad de WordPress: cómo no ser pirateado

WordPress ha tomado grandes pasos en su esfuerzo por democratizar la publicación, aprovechando la oportunidad para publicar en la web accesible para una gran cantidad de personas en todo el mundo. Hoy, alimenta alrededor del 28% de los sitios web web en la web, lo que la convierte en la plataforma más utilizada del mundo en términos de participación de mercado. Sin embargo, con el estado, un estado llama la atención de aquellos que desean explotarlo. En este artículo, analizaremos lo que puede hacer para que su sitio sea más seguro para resistir la eterna tormenta de chicos malos. ¿WordPress ya no está asegurado? Como no es posible asegurar su hogar al 100%, ningún sitio es 100% seguro. Cada bloqueo tiene una llave que puede ser inaugurada por cualquier persona que tenga algo que se ajuste de la misma manera. Esto no significa que WordPress no esté seguro. Siendo un proyecto de código abierto con literalmente miles de desarrolladores que trabajan en él, en él y alrededor de él todo el tiempo, el esfuerzo colectivo de tantas personas lo hace muy fuerte, porque solo se necesita una persona para encontrar una vulnerabilidad e informarlo. . WordPress también tiene un equipo de seguridad dedicado, responsable de garantizar que WordPress Core sea lo más seguro posible.
El equipo de seguridad de WordPress consta de aproximadamente 50 expertos, incluidos desarrolladores principales e investigadores de seguridad: aproximadamente la mitad se emplean automáticamente (fabricantes de WordPress.com, la plataforma de alojamiento de WordPress más antigua y más grande) y un número funciona en la web. El campo de la seguridad. El equipo consulta con investigadores de seguridad conocidos y confiables y empresas de alojamiento. https://wordpress.org/about/security/ Mid WordPress es solo un componente del sistema complejo que compone su sitio web. La mayoría de los sitios de WordPress son mucho más que una instalación de WordPress. La mayoría de los complementos y temas, tanto gratuitos como premium, no reciben casi el mismo nivel de atención, solo la auditoría de vulnerabilidades. Si pueden ocurrir algunos de los complementos más grandes y bien aceptados, como Jetpack y WooCommerce, la posibilidad de crear un sitio que tenga una cierta vulnerabilidad es casi inevitable.
Conoce a tus oponentes si planeamos protegernos, es importante saber a qué nos enfrentamos enfocar mejor para el éxito. ¿De dónde vienen estos ataques? La buena noticia es que la gran mayoría de los ataques están completamente automatizados y no son muy sofisticados. Al igual que un motor de búsqueda que accede a su sitio con rastreadores para indexar contenido, la mayoría de los ataques comienzan como robots simples que acceden a su sitio con rastreo en busca de vulnerabilidades conocidas que luego se explotan automáticamente. Otra fuente común de ataques es de otros sitios que ya están comprometidos. Piense en el apocalipsis zombie. Esto podría ser en forma de otro sitio en el mismo host que intenta llegar a otros sitios en el mismo servidor, o incluso en forma de una “botnet” que un enjambre de cientos o incluso miles de autos comprometidos que podrían usarse juntos. Para ser utilizado de una manera muy poderosa. Contramador de lo que podría pensar, el atacante menos común es de un hombre real. Esto es lo más difícil de proteger, porque un hombre puede realizar un ataque mucho más inteligente, de los vectores que no son posibles para un automóvil (como levantar el teléfono y llamarlo). Las posibilidades de ser el objetivo de un ataque cibernético humano son bastante bajas debido a la gran relación entre sitios y piratas informáticos. Los sitios de alto perfil generalmente presentan un mayor riesgo, ya que tienen un mayor interés en las personas que un blog sobre plantillas de tejido de gato. Siguiendo el consejo en este artículo, será más fuerte contra los ataques de todas las fuentes.
Mantenga todo actualizado, quizás el más obvio y fácil de hacer (así como la negligencia) sería mantener el núcleo de WordPress y todos los complementos y temas actualizados a las últimas versiones estables. Como una plataforma conocida, hay grandes bases de datos disponibles públicamente, con vulnerabilidades conocidas, complementos y temas de WordPress. Si su sitio usa versiones anteriores de cualquier software, esencialmente apuesto a que un atacante no viene y lo encuentra. Además de mantener su software actualizado, puede fortalecer fácilmente su sitio ocultando números de versión que están instalados. Los dos datos más importantes que un atacante puede descubrir .: qué software usa (WordPress en este caso y qué extensiones están instaladas) Y qué versiones son. Dada esta información, los atacantes pueden ser extremadamente eficientes para comprometer su sitio. Todo lo que tiene que hacer es buscar lo que tiene en su libro de juego y encontrar la mejor explotación disponible para comprometer su sistema de manera similar al francotirador. Ocultar el hecho de que usa WordPress no es fácil, pero no transmitir la versión que usa es.
Elimine la versión de WordPress de la etiqueta (no se requiere un complemento)
add_filter (‘the_generator’, ‘__return_empty_string’); WordPress también utiliza versiones como versión predeterminada para estilos y scripts en el parámetro de cola para eliminar el caché.
Puede usar un complemento como los activos de la versión (auto -promoción descarada) para reemplazarlos con hash de contenido, que oculta la versión y optimiza para el almacenamiento del navegador. Use credenciales de inicio de sesión fuertes, puede hacer todo correctamente, pero si su inicio de sesión es administrador y contraseña, estacione su automóvil y las claves para la silla. Comience a pedir una contraseña segura para todos los usuarios. No es tan difícil como podrías pensar.

Una alternativa simple a venir con su propia contraseña es usar un administrador de contraseñas como LastPass o 1Password para generar algo largo y feo para usted. Esto le alivia los problemas de recordarle tantas contraseñas. Para los desarrolladores web, el administrador de contraseñas está cerca del oxígeno y el café necesitados, debido a la gran cantidad de sitios y servicios para los cuales debemos mantener las credenciales. Una política importante que ningún complemento puede hacer por usted no es reutilizar ninguna contraseña que haya utilizado en otro sitio. Esto se debe al hecho de que si el otro sitio se compromete (algo que probablemente tenga un poco o en absoluto control) y su contraseña es conocida (lo que no debería, porque la contraseña no debe almacenarse en texto simple pero que sucedió) o sucedió) o sucedió) o sucedió) Broken, entonces el atacante puede intentar usar el nombre de usuario/correo electrónico y la contraseña para conectarse a otros sitios o servicios.

Hagas lo que hagas, no uses ninguna de las contraseñas en esta lista. Complementos relevantes:
Force las contraseñas seguras: solicite un nivel mínimo de potencia de contraseña utilizando el medidor de alimentación de contraseña de WordPress.

Expire las contraseñas: los usuarios de los roles seleccionados para cambiar sus contraseñas cada x días. No use el nombre de usuario habitual del administrador, este es otro fácil, lo cual es innecesario de los riesgos, simplemente utilizando nombres de usuario comunes obvios, como administrador o administrador. Si su sitio usa uno de estos nombres de usuario, cree un nuevo administrador y elimine el anterior (siempre puede asociar todas las publicaciones/contenido del usuario anterior con otro usuario al eliminarlo).
Limite los intentos de inicio de sesión son las posibilidades de que usted y los usuarios de su sitio conozcan su inicio de sesión bastante bien. Por defecto, WordPress no hace nada para evitar que alguien intente autenticar cientos de veces por minuto o más (además de su sitio probablemente se derrumbó). ¿Suena como algo que necesitarías? No lo creí. No permitamos esto, porque hay límites razonables para cada vez que alguien podría intentar autenticarse antes de que tengamos que enfriarlos durante unos minutos. El complemento de intentos de inicio de sesión de límite se ha convertido en un elemento básico entre muchos hosts de WordPress administrados que obtienes inmediatamente al alojarlos. Una vez que un usuario tiene intentos de autenticación con X con X en un cierto período de tiempo, se evitará que se conecte en los próximos 10 minutos (o cualquier set), incluso con una contraseña correcta. Luego, el usuario debe esperar a que la prohibición de conexión expire o se comunique con un administrador en el sitio que pueda eliminar la prohibición temporal para ello.
Use la autenticación de dos factores con dos factores es un nivel adicional de seguridad de autenticación. Su contraseña es la primera capa. Después de proporcionar la contraseña correcta, debe aprobar un segundo desafío antes de poder autenticarse. Por lo general, tiene la forma de varios 6-9 dígitos proporcionados por su teléfono u otro dispositivo que proporciona en una entrada adicional. Poseer un dispositivo que ha configurado para dos factores con su sitio Confirme que está tratando de autenticarse y no un atacante que mantenga su contraseña, mi aplicación 2FA favorita es bastante nueva, llamada 2FAS, que lleva el nombre de la compañía detrás de ella . Es muy rápido comenzar y tiene algunas funciones muy hermosas que la mayoría de las otras no tienen: dispositivos confiables y códigos de repuesto si pierde su dispositivo o de lo contrario tiene que ingresar sin él. Tienen su propia aplicación para su teléfono, pero también puede usar Google Authenticator o Authy (mi favorito, porque puede usarla en su computadora). Ponga WordPress en su propio director, no todos los anfitriones le dan la libertad de hacer esto, pero si puede, presentar a WordPress en su propio director es una forma muy efectiva de evitar una cantidad significativa de tráfico malicioso que golpea su puerta.
Hay otras razones para hacer esto, pero en términos de seguridad, algunos robots simplemente involucrarán a su sitio utilizar una instalación estándar. Solicitudes para /wp-login.php y /wp-admin /fallarán como 404s, porque ahora están en /wp/wp-login.php y /wp /wp-admin /. Incluso si tiene un complemento vulnerable instalado, si viene un hocico e intente explotarlo con una supuesta instalación estándar, simplemente se perderá el objetivo. Poner a WordPress en su propio director también fortalece su sitio para cruzar los directorios, lo que significa, prácticamente, un ataque que explota una vulnerabilidad en un complemento para decir, lea el contenido de su archivo WP-Config. el archivo de complemento. Por ejemplo, get /wp-content/plugins/abcxyz-slider/slide-loader.php?image=../../../../wp-config.php Mantenga una copia de seguridad regular y mantenlos alejados si su servidor lo haría Evaporar hoy, ¿su sitio volvería a funcionar mañana? Las copias de seguridad son una parte integral de ejecutar un sitio que es valioso para usted si su sitio está pirateado de alguna manera y el daño es irreparable, debe poder restaurar hasta un punto antes de su sitio. Estar comprometido. Para poder restaurar en un punto antes de que su sitio sea pirateado sin previo aviso, necesitará copias de seguridad automáticas que regresen durante unos días. 30 días de historial de respaldo es un buen número para comenzar y ajustarse según sea necesario para su situación. Nunca almacene copias de seguridad Esto es importante por dos razones:
Si su sitio alguna vez se compromete, el atacante puede eliminar o infectar su copia de seguridad.
Pruebe una restauración de respaldo Lo último que desea que suceda cuando las cosas salgan mal es recurrir a sus copias de seguridad confiables y que no funcionan, o peor aún: descubra que no se han creado todo el tiempo. Después de la restauración, asegúrese de que todas las bases de datos u otros archivos confidenciales que hayan sido parte de la copia de seguridad se eliminen o no sean accesibles públicamente. Use un buen host para tener un host sólido para su sitio realmente puede ayudar a mantener su sitio seguro. En particular, un anfitrión que se especializa en WordPress debe ofrecer:
Una instancia dedicada a su sitio, aislado de todos los demás sitios que alojo


Niños diarios de reserva fuera del sitio del sistema de archivos y la base de datos

Escaneo diario de la limpieza de archivos de malware y WordPress
Desactive los errores de la salida Si alguna vez ha visto errores de PHP o notificaciones que se muestran en la pantalla (generalmente en la parte superior), entonces su sitio drena información que un atacante podría usar en su contra, como el atacante, sea qué complementos ha instalado o rutas en el sistema de archivos.Si esto se activa o no, depende en gran medida de cómo se configura el PHP en su servidor, pero también se puede controlar en la solución de problemas de WordPress.Es posible que desee agregar lo siguiente al WP-Config.php para evitar errores de visualización en la pantalla.La mejor manera de observar o auditar los errores en su sitio es activar el solucionador de problemas para que los errores se escriban en un archivo.Define (‘wp_debug_display’, falso);Define (‘wp_debug_log’, true);
También debe bloquear el acceso al archivo WP-Content/Debug.log a través de la misma razón. Complementos y temas Las vulnerabilidades que más afectan a los propietarios de los sitios de WordPress provienen de las partes extensibles de la plataforma, especialmente complementos y temas. Estos son el vector de ataque número 1 explotado por los ciberdelincuentes para piratas y usan sitios de WordPress. WordPress de fortalecimiento de CODEX Auditar sus extensiones es esencial para mantener su sitio seguro. Intente limitar sus extensiones a las proporcionadas por fuentes de renombre, tanto el autor como dónde las descarga. Para complementos y temas gratuitos, asegúrese de obtenerlos de WordPress.org, si está disponible. Para extensiones premium, descárguelas solo directamente del proveedor. Evite extensiones premium gratuitas o de “nulidad”, ya que se pueden cambiar para contener puertas traseras para permitir que el “vendedor callejero” tenga fácil acceso completo a su sitio. Le recuerda cómo sus padres siempre le han dicho que no tome dulces de extraños?
Estos son esos dulces. Preste atención a los temas que incluyen complementos en el tema en sí, en lugar de requerir adicciones a los complementos normalmente. Esto se debe al hecho de que los complementos que se incluyen en un tema no se pueden actualizar a través del proceso de actualización automática normal, por lo que se basa en el tema para iniciar actualizaciones y sus adicciones. No mantenga complementos o temas instalados que no use. Incluso un complemento inactivo puede ser una vulnerabilidad, ya que todavía es parte de la base de código y se puede acceder públicamente desde la web. Prefiera las extensiones que se actualizan regularmente y nuevamente actualice sus extensiones regularmente. Ejercar el principio del privilegio más pequeño El principio del privilegio más pequeño es un término en el mundo de la seguridad de la información que prácticamente dice que cada parte del sistema solo debe tener acceso y permisos a los recursos que necesita para hacer su trabajo y nada más. No dé más potencia o acceso de lo necesario. En términos de WordPress, lo más fácil que puede hacer es no hacer a nadie en su sitio que no tenga que ser. Los complementos y los servicios de seguridad revisan todos los complementos de seguridad disponibles podrían ser una serie en sí, pero ¿qué artículo sobre la seguridad de WordPress sin siquiera mencionarlos?
Al momento de escribir este artículo, los primeros 3 complementos de seguridad en WordPress.org Plugin Warehouse son (en el orden de las instalaciones más activas): 1. Wordfency Security 2. Seguridad de Ithemes (anteriormente mejor seguridad WP) 3. Sucuri Security -Audita, el escáner de malware y el fortalecimiento de estos complementos ofrecen muchas funciones para abordar los problemas y prácticas presentados anteriormente y muchos más. Esta publicación no está patrocinada por ningún tercero, pero debería ayudarlo a tomar una decisión más informada sobre qué complemento podría ser adecuado para usted si lo considera. Algunos otros productos que vale la pena mencionar son la gerencia y el auto-hambre de InfiniteWP. Estos son servicios de terceros que le permiten administrar de forma remota las instalaciones de WordPress y ofrecer una excelente función de seguridad, como las vulnerabilidades de escaneo y las copias de seguridad, incluso en niveles gratuitos. ManageWP le ofrece más a nivel gratuito, pero InfiniteWP es algo que usted usted mismo alberga y utiliza funciones premium. Cerrar asegurar su sitio es como tratar de mantener a sus ardillas alejadas de su comedero para pájaros;
Siempre serán ardillas, solo tienes que hacer que el alimentador sea más difícil de alcanzar que los demás.A lo largo de este artículo, aprendí sobre muchas formas diferentes en que su sitio puede exponerse al riesgo de ser pirateado y cómo fortalecerlo contra ellos.Por supuesto, la seguridad es un tema que difícilmente puede tratarse integral en una sola publicación, pero esperamos que haya aprendido algo o dos que no sabía antes.Una vez que haya cubierto los elementos fundamentales, es posible que desee abordar las pruebas de penetración para WordPress. ¿Qué hace para mantener su sitio seguro?¿Tiene algún consejo de que crea que todos deberían saber sobre la seguridad de WordPress?Suena en los comentarios a continuación.