Guía de seguridad completa de WordPress

Los sitios de WordPress son uno de los objetivos más comunes para los ataques de Internet. Son pirateados más que cualquier otro tipo de sitio. Si usted, sus amigos o alguien que conoce, nunca ha tenido una experiencia en la que un sitio de WordPress era “pirata”, o usted tenía mucha suerte, o estaba rodeado de personas anormalmente atenta en su vida. La seguridad es importante porque los sitios de WordPress están en línea, literalmente ejecuta cientos de miles de líneas de código, y WordPress es una plataforma bastante común para que sea atacada por los atacantes. Cuando Microsoft Windows era una plataforma relativamente nueva y dominante, con problemas de seguridad regulares, sus defensores enfatizaron que el número de ataques era una razón importante. Aunque hubo errores de seguridad cometidos por Microsoft, también fue el caso de que muchos errores de seguridad se explotaron comúnmente en la plataforma de Windows.
Como con WordPress. WordPress alimenta alrededor del 27% de Internet. Es genial, pero también significa que si alguien encuentra un mal funcionamiento de seguridad fundamental que es común en todos los sitios de WordPress, o incluso un alto porcentaje, puede tener fácilmente miles de servidores en unas pocas horas. Es por eso que WordPress es un objetivo tan grande y por qué necesitamos tomar en serio la seguridad de WordPress. Hay cosas importantes.
¿Quieres convertirte en un experto en seguridad de WordPress? Seguridad de WordPress con confianza

La seguridad de WordPress con confianza es nuestra guía integral de seguridad de WordPress.
Comenzando con los principios generales de seguridad y avanzando a pasos de actuación muy específicos, explicamos todos los detalles que necesita comprender en un lenguaje claro, sin jerga. Es su socio esencial para la seguridad de WordPress. Conviértase en un experto absoluto y tenga confianza en que está haciendo correctamente la seguridad de WordPress.
Esta guía realmente no está completa; No se puede realizar una lista de las mejores prácticas de seguridad de WordPress de que el título de esta página es un poco excelente. “La guía completa para la seguridad de WordPress”. ¡P-Sha! Esta no es, literalmente, la guía completa para la seguridad de WordPress, porque la seguridad es una práctica en constante evolución y no un conjunto de reglas definido y restringido. Simplemente no es el caso de que pueda instalar un solo complemento, seguir tres reglas simples o hacer cualquier otra cosa que esté muy limitada y saber que algo en Internet (como su sitio de WordPress) es completamente seguro.
Cosas en cajas a 400 metros debajo del suelo, en el medio del desierto, donde nadie sabe que están muy a salvo. Pero tampoco son muy inútiles. Las cosas en Internet, como los sitios de WordPress, tienen un entorno de riesgo complejo y continuo para protegerse. Por lo tanto, mantendremos esta página actualizada con el tiempo y creemos que cubre todos los conceptos básicos y más. Pero me uno a ustedes para dudar de nuestro personaje “completo” y “final”. ¿Por qué deberías confiar en mí en la seguridad de WordPress?
Yo (a la derecha), con el cofundador WordPress Matt Mullenweg (¡izquierda!)

Hola, soy David. A finales de 2017, decidí organizar un curso sobre seguridad de WordPress. Sentí que demasiadas personas que conocía, incluido yo, luchaba por diferenciar la verdad sobre la seguridad de WordPress. Los proveedores de complementos, las personas que venden otras plataformas y otras dicen muchas cosas negativas sobre la seguridad de WordPress. A menudo llamamos a estas cosas “FUD”, que generalmente significa “miedo infundado, incertidumbre y duda”. Quería agradecerme a mí mismo y a todos los demás lo que vale la pena tomar los pasos para asegurar un sitio de WordPress y lo que son estúpidos y desactualizados. Desde aquí vino la seguridad de WordPress con confianza. Tiene horas de videos, que fueron el resultado de cientos de horas de investigación. También hablé con algunas de las principales voces en el ámbito de seguridad de WordPress para escuchar sus diversas opiniones sobre este tema y ayudar a separar al buen consejo. “Escuché que es incierto …” ¿Seguro de WordPress? Una de las razones más comunes por las cuales las personas comienzan a mirar la seguridad de WordPress y las mejores prácticas de seguridad de WordPress es que están dudando de que WordPress esté seguro o escuche de alguien que insiste en que no lo es. Como se mencionó anteriormente, hay mucho FUD en torno a la seguridad de WordPress. Hay muchas personas que le venden algo: Squarespace, un plan de seguridad o alojamiento de WordPress, un administrador de contraseñas, cualquier otra cosa, tratando de explotar y poner fin a su ignorancia. (Mi objetivo es eliminar su ignorancia o al menos minimizarla).
El núcleo de la respuesta a esta pregunta se limita a definir sus términos WordPress es un vasto ecosistema con una gran variedad de hábitos de práctica y diferentes configuraciones. Hay sitios de WordPress absolutamente inseguros que probablemente se romperán en las próximas 24 o 48 horas. Pero si nos referimos a “WordPress” como esa pieza de software básico contenido en un archivo zip que descargó de wordpress.org, creo que es completamente seguro. En cualquier día, hay una posibilidad de 0.00001% como un problema poco atractivo, en el que el software de WordPress es atacado en el mundo. WordPress ahora viene con una actualización automática incorporada, y la mayoría de los hosts tienen la capacidad de garantizar que su sitio esté corregido si falla. Esto es crucial, porque WordPress 4.9.1 probablemente tiene un problema de seguridad que uno encontrará en los próximos meses o años. Pero la organización de WordPress permanece en la parte superior de estos problemas recién descubiertos y realiza lanzamientos puntuales, como 4.9.2 o 4.9.20, que resuelve tales problemas. La WordPress está segura si se mantiene al día con las últimas versiones. Y si se asegura de que su sitio esté en el host en el que confía, con actualizaciones de los complementos de confianza instalados, es completamente seguro. Pero cuando esas cosas no se hacen, es absolutamente posible que una determinada instalación de WordPress sea incierta. Verdadera amenaza para WordPress: Bot Networks!
Los sitios de WordPress generalmente no están en riesgo, porque una sola persona de donde sea que intente hacer cosas malas a uno de ellos. De hecho, solo al revés. Existe la posibilidad de que una sola persona intente romper su sitio web de WordPress, pero si no ha molestado recientemente a su nieta técnica, probablemente no tenga que preocuparse por ello. El trabajo real que amenaza y perjudica el sitio regularmente. , por otro lado, los ataques automáticos de personas que intentan hacerse cargo de su sitio. Las personas controlan estos ataques, pero son completados por las computadoras. Nadie está tratando de conectarse a su sitio web de WordPress con varios nombres de usuario y contraseñas. En cambio, escriben programas para escanear Internet para sitios de WordPress e intentan autenticarse con todo lo que encuentran. O trate de explotar las vulnerabilidades conocidas de los complementos en todos. Cuando comprende que su modelo amenazante consiste principalmente en ataques automáticos en sitios de WordPress de actores no humanos, un conjunto diferente de prácticas de seguridad se vuelve importante.

Por qué los sitios de WordPress son tan pirateados, tenemos que preocuparnos por las redes BOT en lugar de por las personas solteras. Por qué Botnet está tratando de hacerse cargo de su pequeño sitio de WordPress. Después de todo, es solo su sitio para …
Comparte fotos de amigos

Vende a tu usuario de animales en línea
Escribe por diversión
etc.
A las redes BOT no les importa mucho cuál es su sitio si tiene un sitio inseguro de WordPress, lo tomarán. Sus razones difieren, pero las razones más comúnmente encontradas por las cuales se toma un sitio de WordPress son cosas como:
Redirección del tráfico a su propio sitio-orripulación de su clasificación SEO para enviar Google-Play en sus páginas
Defiguración de orgullo o mensajes políticos
Descargas de entrada por entrada visitando su sitio para descargar malware, etc.
Para cerrar su sitio para su uso posterior
Para obtener acceso a las listas de datos de los usuarios de su sitio, el historial de adquisición, etc.
Enviar spam: si su sitio de WordPress puede enviar correos electrónicos, pueden usar esta referencia para sus correos electrónicos
Para usar los recursos de su servidor (predominantemente CPU) para hacer cálculos útiles, con mayor probabilidad de extraer criptomonedas como Bitcoin
Estos son solo los que podría pensar en un poco de pensamiento e investigación.Es muy posible que un hacker inteligente tenga más que agregaría a la lista.
Lo que espero aclare es que el carácter oscuro de su sitio no es protección. Ciertamente no tiene una lista interesante de usuarios, pero tiene un servidor que puede usarse para hacer Dogecoins o enviar spam. Porque cada servidor tiene un procesador, y la gran mayoría puede enviar correo electrónico. La seguridad de WordPress se basa en toda la pila, no es una cosa que otra cosa importante sobre los sitios de WordPress es que WordPress está realmente en una amplia variedad de tecnologías, y las otras partes de la pila también pueden tener vulnerabilidades. Por ejemplo, WordPress se ejecuta sobre PHP. Al igual que con WordPress, las versiones de PHP a veces contienen vulnerabilidades de seguridad. Si actualiza regularmente, no es un gran problema. Si no lo es, esos problemas de PHP pueden comprometer su sitio web de WordPress. También existe la posibilidad de que algo más de la pila de seguridad básica de su sitio de WordPress esté mal. Esto es diferente de estar desactualizado, pero tiene un efecto similar. Si es nuevo en la configuración de los servidores web, puede hacer un cambio que parece ser necesario para que el trabajo funcione sin darse cuenta de que tendrá profundas implicaciones de seguridad negativas. Es más común de lo que esperas y es una de las grandes razones por las que me gusta dejar lo más posible de la configuración de los profesionales que no funcionan. No digo que no pueda configurar su propio servidor físico o que no pueda comprar un VPS barato y puede configurarlo con el script de configuración de otra persona. Pero es muy importante confiar en la configuración que ejecuta WordPress.
Porque si haces WordPress correcto, pero la configuración de MySQL incorrecta aún puede suceder cosas muy malas. WordPress -Recomendaciones de seguridad no necesarias (pero comunes). Antes de ingresar el consejo que quiero seguir, quiero comenzar con los consejos que generalmente veo en otros lugares y no veo mucho que hacer. La mayoría de estos consejos son casi inofensivos a ligeramente beneficiosos si se hacen. Pero la razón por la que no recomiendo que sus beneficios (donde hay) sean tan pequeños. Y la posibilidad de que el tiempo dedicado a ellos te haga ignorar las prácticas de seguridad más valiosas es excelente. Eres libre de hacerlos, pero simplemente no creo que valga la pena invertir el tiempo, porque las ganancias que ofrecen son muy pequeñas. No les importe: oculte la versión de WordPress, comenzamos con el consejo de seguridad más inútil: debe ocultar la versión de WordPress o usar WordPress. El segundo es muy difícil de hacer de una manera seria, y el primero es prácticamente inútil. Ocultar el hecho de que ejecuta WordPress es difícil y la mayoría de las personas intentan hacerlo simplemente cambiando o eliminando una etiqueta
de su sitio web.Ningún constructor de Botnet razonablemente inteligente confiará en este y muchos webmasters de sitios que no son de palabras no informan que ven a las personas que investigan su sitio como si fueran WordPress de todos modos.Ocultar su versión de WordPress es aún menos sensible.La idea es, nuevamente, que una red de botnet verificará si su sitio de WordPress está en una versión conocida de WordPress vulnerable y luego no lo atacará si su número de versión no está en esa lista.Nunca he escuchado a nadie decir que tiene evidencia de que la botnet se comporta así y no sé por qué lo harían.Estoy seguro de que esto es mucho menos valioso que estar solo en la última versión actualizada de WordPress, así que hágalo.No molestar:
Deshabilite la API XML-RPC y la API REST JSON para las personas que usan su sitio web de WordPress solo como interfaz web y solo quieren hacerlo, no hay mucho malo para la API de WordPress XML-RPC. XML-RPC es utilizado por cosas como Marsedit, la aplicación móvil de WordPress y otras herramientas similares para conectarse a su sitio de WordPress. Ahora es posible que estas herramientas se basen en la API REST, aunque la mayoría no se ha actualizado para ello. La API JSON REST es una nueva ventaja en WordPress, pero puede servir usos muy similares. Además, WordPress trabaja internamente para usar mejor la API JSON REST para funciones que proporcionan una interactividad más rica. Ambas API son formas en que un atacante puede seguir su sitio y hay registros bien conocidos sobre personas que han probado estos ataques en la naturaleza. La razón por la que los incluyen en la lista de cosas que no recomiendo es que ambos tipos de ataques no son muy comunes. Y ambas API también son muy útiles y probablemente descubrirá que algo que está tratando de hacer en su sitio de WordPress se interrumpe en un día, porque ha bloqueado por completo estas API. La mejor solución es obtener una web de firewall. Idealmente, su host de WordPress ya está incorporando uno para usted. Deben detener la posibilidad de un mal tráfico a los puntos finales de la API, pero dejar que las cosas buenas pasen. No está garantizado, pero en general es una mejor solución que simplemente detenerla. No molestar:
Cambie el prefijo de la base de datos de WordPress, la mayoría de las personas que han configurado WordPress han visto un campo de texto que requiere el prefijo de la base de datos y vio el valor WP_. WordPress almacena sus datos: publicaciones, comentarios, productos, etc. – En la base de datos en tablas que comienzan con ese prefijo. La idea aquí es que el valor predeterminado es menos seguro y debería, en cambio, hacer algo como Jadfl_, que es probable que tengan otros sitios de WordPress. La probabilidad de este paso para protegerlo es baja. Usted está particularmente protegiendo contra lo que se llama un ataque de inyección SQL cuando hace esto. Pocos sitios de WordPress están comprometidos de esta manera, pero ciertamente es una forma en que los sitios pueden eliminarse. Pero para que esto suceda, debe ejecutar una versión de WordPress o un complemento que sea vulnerable a dicho ataque de inyección SQL. Entonces, si se actualizan sus complementos y temas y WordPress, no obtenga demasiados beneficios adicionales de esto. Además, es muy fácil, si tiene una vulnerabilidad de inyección SQL en su sitio, para que un atacante enumere las tablas de la base de datos. No es tan rápido como asumimos ciegamente que las publicaciones están en una tabla etiquetada como WP_Posts, pero el número de atacantes que asumirían que esta es la ubicación de la tabla y no verificaría que probablemente sea un pequeño porcentaje de lo suficientemente inteligente como para hacer Ataque en primer lugar. . Creo que si configura un nuevo sitio o encuentra una manera fácil de cambiar el prefijo de su base de datos, sigue adelante y hacerlo. Es una victoria muy pequeña, pero es una victoria.
Pero si su sitio ya se está ejecutando usando el prefijo WP_, y especialmente si no es un desarrollador, no pierda su tiempo tratando de hacerlo. No se moleste: renombre el último consejo de la URL de WordPress que creo que no merece hacer es mover el inicio de sesión de URL de ejemplo.com/wp-login.php a algo como ejemplo.com/my- secret-url-for-puppy- Acceso. Esto se simplifica con algunos complementos de seguridad y no es una clara pérdida de tiempo. No puedo estar en desacuerdo con la idea de que si un atacante no puede encontrar su página de autenticación, ni siquiera puede intentar hacer una fuerza cruda en sus contraseñas (al respecto más tarde). El problema con este consejo es que si un atacante es difícil encontrar el Página de autenticación para su sitio, podría (o un colega, etc.). Si tiene una forma segura y confiable de marcar las páginas que le resulta fácil de usar, haga esto. Tiene una modesta ventaja de seguridad. Pero nuevamente, el beneficio no es tan grande si haces algunas otras cosas correctamente. Si hace que todas las cuentas de su sitio tengan buenas contraseñas, es muy poco probable que un ataque con contraseña tenga éxito. Además, si tiene una forma de limitar el número de intentos de conexión que se pueden hacer con una cuenta en una pequeña ventana de tiempo, disminuye aún más la probabilidad de un ataque de conexión. Y los dos juntos, buenas contraseñas y límites para la autenticación fallida, son mucho más valiosas que una URL oscura para conectarse a su sitio sin esa protección. Las mejores prácticas generales de seguridad de WordPress
Hay algunas cosas comunes que debe hacer si desea que WordPress esté seguro. Cuando lo pienso, hay una serie de posibilidades, pero estas son las cosas que siempre debes hacer. Estos no están en el orden más exigente, pero son aproximadamente en orden de importancia relativa, creo que querrá darles. También agregaré que si solo haces los primeros de ellos, estás frente al 50% de los sitios web de WordPress en línea. Si hace los primeros cinco, es poco probable que tenga un problema de seguridad irrecuperable en su sitio de WordPress, y si los hace todos, me sorprendería bastante si tuviera un sitio comprometido. Esto no es una garantía, solo que creo. Hacer: tiene buenas contraseñas para WordPress La forma básica en que cada sitio de WordPress en Internet podría ser atacado es bastante simple: los robots adivinan las contraseñas de la cuenta de forma regular, en casi todos los sitios de WordPress en línea. Tiene una mala contraseña, probablemente perderá su cuenta y, por lo tanto, el sitio. Algunas contraseñas obviamente malas: contraseña

P455W0RD
[Nombre del sitio] Charlieiscute
Hay muchas escuelas diferentes de pensar en lo que hace una buena contraseña. Pero casi todos están de acuerdo en que son malos. Todo esto es malo, porque es bastante fácil para un acertijo de contraseña golpearlos. La “contraseña” y sus variantes, incluso esas reemplazos de personajes interesantes e inteligentes, siempre están en la parte superior de la lista de guiones de adivinanzas para probar. Los nombres de los sitios también son geniales de adivinar. Y a través de “[Sitename]”, me refiero a algo como “WPShout” o “WPShout” como la contraseña que tenemos o que tengo aquí en WPShout. “Charlieiscute” tiene grandes ventajas en comparación con las otras. No es una palabra del diccionario, uno. Es aún más largo. Y después de todo, la mayoría de la gente piensa que Charlie es hermosa y no linda. (Es una broma. No conozco a Charlie). Lo hermoso de “Charlieiscu” es que es largo. También es un poco único. Pero no es terriblemente difícil de adivinar. Utiliza solo letras minúsculas. Sin letras mayúsculas, sin números, sin caracteres especiales. Aunque es poco probable que el atacante sepa que cuando incluye otras clases de personajes, es más probable que haga que un sistema de adivinanzas aleatorio alcance su contraseña más rápido. Pasos para mejorar la seguridad de la contraseña de WordPressionist una serie de cosas para mejorar la seguridad de su contraseña en WordPress. Pero aquí están los tres grandes:
Tienes una contraseña difícil de adivinar. Las buenas contraseñas parecen difíciles de leer y complejas. Algo como “[Correo electrónico protegido] & ltpwzm} rWhgp6#aty6hazjvxknz9zh”. Esta contraseña es larga, aleatoria y única. La probabilidad de adivinar cualquier guión de ataque es baja. Y debido a que es único, no es mi contraseña en Facebook, ArtWorld, RandomIntreseller o cualquier otra cosa, un compromiso no la comprometerá. Gire los ataques de adivinanzas de contraseña. Por defecto, un bot puede adivinar 1000 contraseñas por minuto (aproximadamente) en su sitio de WordPress. Eso es mucho. Si bloquea a las personas para que intente continuar conectándose después de un cierto número de intentos fallidos: 3, 5, 10, lo que sea, reducirá la velocidad a un atacante. Mi forma favorita de hacerlo es “limitar las pruebas de inicio de sesión”. Aquí hay una guía rápida que explica la limitación de intentos de conexión más detallados.

Use un administrador de contraseñas. Si hizo lo primero anterior, rápidamente se cansará de escribir esa contraseña u olvidarla. Aquí viene un administrador de contraseñas. Hay demasiados tipos de administradores de contraseñas para decirle que use y por qué. Yo personalmente uso y me gusta 1Password, pero su kilometraje puede variar. Keepass y LastPass son otros gerentes populares.

Hacer:
Mantenga WordPress, complementos y temas actualizados en la otra forma en que cada sitio de WordPress en línea está casi garantizado que será atacado por las redes de Botne que son ataques contra las hazañas conocidas en el software que ejecuta. Ya sea que haya utilizado o no el control deslizante de Revolution, Timthumb u otro complemento Piratat WordPress, un bot probablemente haya intentado usar el problema conocido en la versión anterior del software respectivo. Hay altas posibilidades de que aunque esas explotan ahora soy bastante viejo, un Hoca para tratar de atacar un sitio de WordPress con ellos ahora. Es por eso que necesita mantener actualizado a WordPress. Y no solo el WordPress básico, sino también todos los complementos y temas que usa. Es más común que los complementos tengan vulnerabilidades de seguridad hoy que el núcleo o los temas de WordPress, pero los tres pueden. Y cuando un investigador externo o un desarrollador interior se da cuenta de que ha habido un problema de seguridad en un determinado código, la forma de acción más responsable es crear una nueva versión que no tenga esta vulnerabilidad. La mayoría de los jugadores en el ecosistema de WordPress son buenos en esto. Es por eso que tienes que hacer tu parte. Al proporcionar actualizaciones con remedios de seguridad o correcciones de seguridad, debe instalarlas de manera oportuna. Puede pedirle a WordPress que instale estas actualizaciones para usted, lo haga solo o use un complemento remoto de administración de WordPress como MANWP. Los anfitriones de WordPress “administrados” tratarán este tipo de cosas para usted.
(Usamos y nos gusta SiteGround: usted ve nuestra revisión de SiteGround para obtener más información).También puede contratar a alguien para que lo haga si no puede ser perturbado.Pero realmente tienes que hacer esto si te tomas en serio la seguridad de WordPress.Make: Asegúrese de crear un horno de Automatización de WordPress regular Una de las mejores cosas que puede hacer para mantener su sitio seguro es asegurarse de tener seguridad de datos cuando sucede algo malo.Esto significa que debe tener al menos una copia de seguridad reciente de su sitio que pueda usar para reconstruir o restaurar si sucede algo malo. VaultPress es una solución de reserva popular y se incluye con Jetpack
La única forma, creo, tener una copia de seguridad reciente de su sitio es hacerlo automáticamente. Debido a que somos personas y, por lo tanto, fallas, es muy probable que si solicite hacer 1-10 clics en su sitio de WordPress para tener una copia de seguridad actualizada, a veces omitir. Es por eso que debe intentar usar un enchufe de repuesto. Además, idealmente, debería ser uno para hacer niños de repuesto para ambos archivos (fotos, PDF, etc.) y la base de datos. E, idealmente, empujará esos datos del servidor que aloja, porque esto hace más para garantizar que un truco no pueda renunciar fácilmente a las copias de repuesto. Debido a que esta es una publicación sobre la seguridad de WordPress y no sobre las copias de seguridad, no voy a hacerle una lista completa de todas las opciones y cuáles son sus compromisos. Pero creo que Updraft Plus, Jetpack/VaultPress y Backup Buddy son los que están en mi mente. Hacer:
Revise regularmente su sitio de WordPress Esto no es realmente algo que pueda detener lo primero que suceda en su sitio web, por qué es importante estar al tanto de la condición de su sitio, es principalmente evitar que sucedan cosas peores. Cuando ve cosas extrañas que suceden en su sitio, es más fácil arreglar temprano. Y el efecto menos malo, Google advierte a los visitantes sobre usted, por ejemplo, que puede suceder como resultado de hacerse cargo del sitio. Si no se conecta regularmente a sus sitios para actualizarlos, al menos debe asegurarse de que su parte pública se vea bien. Y si no puede hacer esto, al menos debe asegurarse de que para un servicio externo (como Pingdom), el sitio parece estar en línea. Lo que estas cosas harán por usted es asegurarse de que pueda restaurar su copia de seguridad en un nuevo sitio en vivo si parece suceder algo malo o extraño. No es tan bueno para que no suceda nada malo, pero es vital para la salud a largo plazo del sitio. Para hacer: Evite la WordPress sin confiar o el código Piratata fue extremadamente fácil de encontrar indicaciones en los temas pirateados de WordPress. No deberías hacer eso.
Esto no es muy importante para la mayoría de las personas. La mayoría de nosotros usamos solo software de wordpress.org o desarrolladores con los que hemos empleado/trabajado o de otros vendedores de renombre. Si haces todas estas cosas, casi no puedes preocuparte por eso. Esto es principalmente para personas que intentan ahorrar dinero al piratear complementos, temas, etc. O para las personas que intentan ahorrar dinero obteniendo código de “clubes de complementos” u otras fuentes de estrellas menos. Si hace esto, ese código puede ser gratuito precisamente porque alguien ya ha puesto una puerta de seguridad dentro de él. A veces, los complementos de WordPress.org son tomados por los malos actores y hacen cosas malas con ellos. Afortunadamente, es raro, y los titulares de WordPress.org son bastante buenos para hacerlo correcto. Pero si está preocupado, el mejor paso es ser un poco más exhaustivo al considerar a quién instalará los complementos. Hacer:

Mejorar más seguridad de autenticación de WordPress (HTTPS, 2FA) Más de los consejos de seguridad de WordPress más comunes es obtener un certificado SSL. Y definitivamente es un buen paso (y otra razón por la que nos gusta SiteGround, lo hago fácil). Pero algo importante que muy pocas personas se dan cuenta es que HTTPS/SSL no asegura realmente su sitio de WordPress, sino la comunicación entre su sitio y usted y los otros usuarios (leen compradores). Entonces es súper valioso, pero no todo. Esencialmente, los HTTP deben considerarse un túnel seguro entre su sitio y cualquier persona que lo vea en un navegador web. Las conexiones HTTP pueden ser capacitadas por cualquiera de los diferentes dispositivos entre un visitante y un servidor. Con HTTPS, es (casi) imposible que salgan estas personas. Por lo tanto, el beneficio más inmediato de los HTTP es que sus credenciales de conexión (o credenciones de tarjeta de crédito, etc.) son más seguras. Es menos probable que alguien que husme en el café WiFi, por ejemplo, vea su contraseña. Por lo tanto, debe obtener un certificado HTTPS. Pero no piense que esto le asegura de ninguna manera la instalación real de WordPress en el servidor, porque no lo es. Otro paso que es bueno, pero un poco incómodo es usar dos factores de autenticación en su sitio. Por lo general, nos autenticamos en un sitio con nombre de usuario (o correo electrónico) y contraseña.
Con 2FA también necesita “algo que tenga”, que hoy significa un teléfono inteligente que se puede enviar mensajes de texto o que pueda generar código de serie cronológico. En ambos casos, usted es el más seguro porque el compromiso de la contraseña es insuficiente para tomar su cuenta; También necesitarán ese código de 4 o 6 dígitos. Hay conjuntos de cambios constantes que ofrecen esta función en WordPress. Jetpack actualmente ofrece esto o puede usar un complemento independiente. Realice: controle el acceso que proporciona a su sitio de WordPress Otra práctica de seguridad verdaderamente útil es tener mucho cuidado con quién da el acceso a su sitio es más una combinación de diferentes pasos que cualquiera. Pero las cosas que piensan que encajan bajo este título son cosas como: dar a cada usuario una cuenta personalizada. No tiene Jamal y Estrella para conectarse a su sitio con una cuenta con un nombre de usuario como Admin o WPShout. Le da a cada uno una cuenta y solo le da a su cuenta las reglas de acceso que necesitan. Usando los roles y capacidades del usuario de WordPress, le dé a Jamal al escritor una cuenta de “editor”, pero Estrella su desarrollador completa el acceso al “administrador”. Se basa en lo que se llama el principio del acceso mínimo.
No permita que las personas tengan contraseñas débiles. Si sigue los consejos anteriores, también querrá asegurarse de que Jamal y Estrella no usen contraseñas como Newyork o Gogators. Puede hacer esto por presión social, solo pídales o dígales que no lo hagan, o por un mecanismo de aplicación real, como un complemento.
No dé demasiado acceso.Con esto me refiero a consejos más oscuros, en gran medida simplificado con un enchufe de seguridad.(O, si es un desarrollador, configure algunas constantes de WordPress). Cosas como prohibir la edición de archivos en el área de administración de WordPress y asegúrese de no proporcionar acceso web o acceso SFTP a personas que no los necesitan.Este paraguas general. Hacer: instale un complemento de seguridad de WordPress. Hay una serie de buenos complementos de seguridad de WordPress.Lo que debe usar es un tema para un posible artículo futuro que escribo o un recurso público que creo.Pero es probable que un buen complemento de seguridad lo ayude con una serie de necesidades de seguridad comunes que enumeré anteriormente (y un número lo ayudará con las cosas que omití de este artículo o ingresé en una clase inútil).Nombre que me viene a la mente inmediatamente:
Jules, Wordfency, Jetpack Protect y iThemes Security. Hay otros y, debido a que la lista se entiende como una lista de inicio para su investigación, no la lista final, no lea el significado en su orden. Los complementos harán mucho por ti. Harán revistas de acceso para usted, bloquearán los malos actores conocidos, limitarán sus intentos de autenticación y lo ayudarán a arreglar cosas más esotéricas, como problemas de archivos en su sitio de Wordfency y jugos. (De diferentes maneras) también ofrece un mecanismo útil de bloqueo Tráfico defectuoso para deshacerse de las redes BOT, llamada “firewall de aplicaciones web”. La seguridad es pesada, esperamos que esto haya ayudado a esta publicación tenga alrededor de 5000 palabras. Hay muchas palabras. Y si lees bien o (mejor) lees cuidadosamente, espero que hayas aprendido mucho. Como mencioné al principio, no creo que esta sea realmente la guía de seguridad completa de WordPress. Doy este título a mi curso, WordPress Security con confianza. Pero creo que hemos cubierto la mayoría de las mejores prácticas importantes para los propietarios de sitios de WordPress. Si es un desarrollador, hay un tipo de buenas prácticas completamente diferentes para la seguridad de WordPress que debe averiguarlo. Puede obtener muchos detalles de forma gratuita en mi artículo “Principios del código seguro de WordPress” y también tengo más detalles en la seguridad de WordPress con confianza. Para una lista de los 5 pasos de seguridad más grandes que debemos tomar, así como otros 8 cambios de seguridad más pequeños que podemos usar para poner nuestra seguridad sobre nuestra cabeza, consulte este gran artículo creado por la sala de estar en la nube.