8 Pasos obligatorios para asegurar y fortalecer su sitio de WordPress

Imagine conmigo por un momento que eres un hacker que busca formas de secuestrar sitios web de renombre y usarlos para canalizar el tráfico inusual a una estafa de phishing mala. ¿Cómo se dirigiría a los sitios web para un impacto máximo? Una opción sería localizar y apuntar a una sola vulnerabilidad que afecte a cientos o miles de sitios. Si esto pudiera ser encontrado y explotado, podría crear una carnicería digital en un período muy corto. ¿Empiezas a entender por qué es tan importante la consolidación de WordPress? Siendo el sistema de gestión de contenido más popular en la web, WordPress es un objetivo principal para los piratas informáticos de todas partes. Pero puedes hacer algo al respecto.
¿Por qué les pasan los malos hacks a los buenos sitios? Afortunadamente, el software básico de WordPress es bastante seguro. Los hacks rara vez son capaces de ingresar a la piel de su sitio yendo directamente después del núcleo. Cuando se identifican las exploits del núcleo, se corrigen rápidamente. En lugar de perseguir el núcleo, lo que sé que es difícil de romper los rackers, generalmente se dirigen a cosas como contraseñas de Alene, complementos mal codificados, archivos laxos y sitios que no se han actualizado durante demasiado tiempo y, por lo tanto, soy vulnerable a los corregidos. exploits.
Debido a que los piratas informáticos tienden a buscar los frutos que se adhieren, no es tan complicado fortalecer a WordPress y mantenerlo a salvo. De hecho, puede mantener su sitio en la extremidad superior de la curva de campana de seguridad tomando ocho pasos simples. Déjame guiarte a través de ellos. Paso 1: actualizar todo

Mantener temas actualizados, arados y núcleo de WordPress es lo más importante que puede hacer para asegurar WordPress. Dado que con el tiempo, se lanzará una actualización de WordPress y se acompaña de una disminución amenazante: “Esta es una versión de seguridad crítica”. Si bien tal disminución de la responsabilidad deja las cosas, es importante instalar cada actualización de WordPress lo antes posible, incluso aquellos que no promueven su propia importancia.
Esto no se aplica solo a la base. La instalación rápida de las actualizaciones de complementos y temas es lo más importante como la instalación de actualizaciones básicas lo antes posible. Se lanzan muchas actualizaciones de temas de WordPress, complementos y núcleo para abordar vulnerabilidades de seguridad significativas. Entonces, lo primero que debe hacer para mantener a WordPress seguro es mantener todo actualizado. Paso 2: use un nombre de usuario único y una contraseña segura
Si su página de autenticación de WordPress se ve así.

¿Qué es peor que usar “administrador” como nombre de usuario administrador? ¿Qué pasa con su asociación con una contraseña de “contraseña”?
La página de autenticación de WordPress es un objetivo común para automático, bruto, que está tratando de autenticarse. Solo permanecerán en /wp-login.php tratando de combinar después de la combinación de nombres de usuario y contraseñas, con la esperanza de que fueras lo suficientemente perezoso como para dejar la puerta desbloqueada. La solución es usar un nombre de usuario y contraseña únicos. Si bien personalmente tiendo a optar por nombres de usuario sin sentido como “S3R7A”, cualquier nombre de usuario único será una mejora significativa sobre “Administrador”. Su contraseña, por otro lado, debe ser una estupidez aleatoria. Dado que WordPress tiene un generador de contraseña segura aleatoriamente, no hay excusa para usar una contraseña fácil de superar. Entonces, si la contraseña no es segura, vaya a los usuarios> su perfil ahora y cierre esta laguna de seguridad.
Paso 3: Desactiva los backbacks y pingbacks Si no usa trackbacks y pingbacks en su sitio de WordPress, desactívelos. Puede hacer esto con un complemento, como veremos en un momento, o puede acceder a la configuración> Discusión y desmarcar los cuadros a su lado, intente notificar a los blogs que estén vinculados desde el artículo y permitir notificaciones de enlaces de otros blogs (Pingback -odio). y trackbacks) en nuevos elementos.
La modificación de estas configuraciones continuará activando la activación de trackbacks y pingbacks para publicaciones y páginas individuales. Por lo tanto, una mejor opción es usar un complemento que bloquee completamente los pingbacks y los trackbacks de una vez por todas. Te mostraré cómo, en un momento. Hay al menos dos buenas razones por las cuales debe considerar la desactivación de trackbacks y pingbacks: pueden conducir a comentarios de spam y pueden usarse en un ataque coordinado de DDoS. Si los usa, al menos asigna tiempo para hacer todo lo posible para proteger su sitio contra los ataques de spam y la fuerza bruta. Sin embargo, la mayoría de nosotros somos mejores para deshabilitarlos por completo. PAS 4: Hide PHP PHP Errors tiene un solucionador de problemas incorporado y puede mostrar mensajes de error de PHP en el front-end de su sitio (agregando definir (‘wp_debug’, true); En el archivo WP-Config.php de su sitio hay una herramienta realmente útil para desarrolladores de temas y arados. Sin embargo, nunca debe mostrar errores de PHP en un sitio público. En algunos casos, la visualización de errores de PHP puede proporcionar información que un hacker sofisticado puede usar para comprometer su sitio. La solución simple es establecer wp_debug en falso. Puede agregar manualmente ese código de mordida al archivo wp-config.php de su sitio, o usar un complemento para hacer el trabajo.

Paso 5: Use una base de datos única de la base de datos Si un hacker identifica una vulnerabilidad de seguridad que le permite escribir información en la base de datos de su sitio, la información más reciente que necesitan para llevar a cabo es la base de datos de prefijo. Por defecto, WordPress usa WP_ para prefijo todas las tablas de bases de datos. Por lo tanto, una manera fácil de bloquear su base de datos de WordPress un poco más cerca es cambiar el prefijo con algo que los hackers tienen menos probabilidades de adivinar. Aunque puede cambiar manualmente el prefijo de la base de datos, es un poco complejo, y si comprende lo incorrecto, tendrá un desastre para limpiar. En lugar de hacer esto, solo cambie el prefijo de la base de datos con un complemento en unos segundos. PAS 6: Evite la ejecución de PHP Algunos temas y complementos incluyen características que permiten a los usuarios cargar archivos en su servidor web. Estos archivos se utilizan en una variedad de modos, como para mostrar una foto de perfil de usuario. Sin embargo, esta característica se puede explotar para cargar archivos PHP con una tarea útil de desviar el sitio o la deformación. Luego, cuando WordPress accede a esos archivos, el código se ejecuta y su sitio está dañado o comprometido. ¿Entonces, cuál es la solución? ¿Debería dejar de dejar que los usuarios carguen fotos o archivos? Por supuesto que no. Simplemente evite la ejecución del código PHP en cada directorio que no requiere este permiso.
Puede evitar la ejecución del director de PHP con el director. Si su sitio está alojado en un servidor Apache, como es el caso con la mayoría de los sitios de WordPress, puede agregar un archivo .htaccess a cada directorio con negar de todas las instrucciones para bloquear la ejecución de PHP en ese director especial. Por otro lado, si no está seguro de qué director bloquear o simplemente no desea tener que bloquear cada directorio manual, puede bloquearlos todos en un solo golpe con un complemento. Paso 7: Evite la divulgación de información además de usted, debería poder explorar los archivos de su sitio web.
¿Alguna vez has en una página web que parecía una lista de directorios? Lo que ve es algo llamado directores, y navegar en esos archivos se llama navegación en el directorio. La navegación en los directores es problemática, porque permite a alguien recopilar mucha información sobre su sitio, incluida información verdaderamente confidencial, como sus sitios web WP-Config.php. WordPress está diseñado para evitar este tipo de trabajo inmediatamente en el cuadro. Sin embargo, será más fácil si hace todo lo posible para evitar este tipo de divulgación. Lo que debe hacer para evitar este tipo de trabajo es deshabilitar la navegación en los directores y luego prohibir el acceso a archivos críticos, como .htaccess, wp-config.php y archivos confidenciales del director WP-Account de su sitio
Una vez más, esto es algo que puedes hacer manualmente. Sin embargo, es una tarea bastante compleja de resolver y no hay razón para hacerlo manualmente, porque puede hacerlo con bastante facilidad con un complemento. Paso. Sin embargo, la clave es mantener la seguridad del sitio con el tiempo y la única forma de hacerlo es escanear su sitio periódicamente en busca de nuevas vulnerabilidades de seguridad. Su procedimiento de escaneo de seguridad debe seguir cada uno de los factores tratados en pasos del 1 al 7: acreditaciones inseguras, componentes del sitio web que deben actualizarse y ser vulnerabilidades comunes de seguridad de WordPress. Aunque definitivamente puede seguir su sitio manualmente, el arreglo ideal es configurar escaneos automáticos que le advierten cuando algo está mal. Si eres como yo y prefiere establecer este paso en el piloto automático, hay un complemento para eso. Reforzar WordPress y mantener su sitio seguro con DefendenDefender lo protege contra robots y piratas informáticos diabólicos con escaneos de seguridad automáticos, informes de vulnerabilidad, recomendaciones de seguridad, lista negra y refuerzo personalizado en solo unos pocos clics.
Puede implementar manualmente cada uno de estos pasos de refuerzo. O puede eliminar cada uno en segundos con diferido. Es casi vergonzoso hacer:
Instale y active el tablero de desarrollo WPMU e inicie sesión en su cuenta de complemento WPMU Dev en el complemento.

Vaya a los complementos WPMU Dev> y luego localice, instale y active el defensor.
Vaya a Defender> Hardener y pase por los sugerentes pasos de refuerzo.Mientras lo hace, pasará por cada uno de los pasos recomendados en este artículo. Unos minutos, fortalecerá WordPress y aumentará la seguridad de su sitio dentro de los límites superiores de la curva de campana de seguridad.Entonces el truco es quedarse allí.Poner escaneo de seguridad de WordPress en piloto automático

El defensor escaneará su sitio web cuando lo desee y le enviará un correo electrónico si se encuentran algún problema.

La clave para mantener la seguridad de WordPress con el tiempo es hacer una verificación de seguridad regular. Afortunadamente, el defensor lo hace fácil. Vaya a defensor> escaneos automáticos y seleccione escaneos diarios, semanales o mensuales. Los sitios llenos de gente deben optar por escaneos diarios o semanales. Los sitios con bajo tráfico y de bajo perfil pueden optar por exploraciones semanales o mensuales. Al configurar los escaneos de seguridad automáticos, vaya a Configuración de Defender> para asegurarse de que Defender envíe correos electrónicos a la dirección de correo electrónico correcta y dependiendo de sus preferencias. Cuando encuentre una vulnerabilidad que debe abordarse, le hará saber, para que pueda remediar las cosas. El defensor se ha retirado, aunque ya hemos abordado los elementos básicos del fortalecimiento de WordPress y el mantenimiento de la seguridad con el tiempo, Defender ofrece cuatro funciones adicionales que querrá saber. En primer lugar, puede usar la defensa para restablecer todas las claves de seguridad periódicamente. Al hacerlo, todos se desconectarán de su sitio y los obligarán a conectarse nuevamente. Esto significa que las credenciales guardadas ya no serán válidas. Puede parecer un dolor de cabeza, pero reduce el riesgo de que un usuario no autorizado se vea obstaculizado por su sitio utilizando un navegador conectado y devastador. En segundo lugar, el defensor mantendrá una revista integral de actividad de los usuarios en su sitio. Si alguna vez ve actividades como esta, ¡bloquee inmediatamente la dirección IP ofensiva!
Para comenzar las cosas, vaya al defensor> el tablero y seleccione la opción para activar el diario de auditoría. Luego vaya a defensor> registro de auditoría para ver una grabación de acciones, como intentos fallidos. Puede usar esta información para descubrir cómo los hackers y los robots se dirigen a su sitio y toman medidas para neutralizar sus esfuerzos. En tercer lugar, asegúrese de que su sitio no esté incluido en la lista negra de Google y averigüe inmediatamente si su sitio alguna vez se informa que activan el monitoreo de la lista negra. Simplemente vaya a Defensor> Panel de control y haga clic en Active el monitoreo de la lista negra. Cuarto, una vez que instale el tablero y el defensor WPMU Dev, su sitio se agregará automáticamente al HUB. Si maneja más sitios, la conexión Hub le dará una imagen instantánea de los problemas que necesita resolver. Configure el defensor, y el icono relevante se coloreará en rojo cuando sea necesario resolver un problema de seguridad.
Use defensor o use a los otros niños, mantenga su sitio de manera segura aquí, ya sea que use nuestros productos o de otra persona, queremos asegurarnos de que su sitio. La web es un lugar mejor para todos los hackers y los artistas de trampa se mantienen alejados. Entonces, si no se vende para usar el defensor para asegurar su sitio, debe configurar y configurar un complemento de seguridad de alta calidad, como WordFency, Security Juices, IThemes Security o JetPack Premium. Si bien Wordfency y los jugos son productos de calidad, simplemente no se comparan bien con el conjunto de productos y servicios que obtiene cuando se registra en WPMU Dev. Sin embargo, Jetpack Premium y Ithemes ofrecen una amplia gama de productos y servicios que se superponen en cierta medida con lo que hacemos aquí. Solo si sopesan la decisión de elegir WPMU Dev, Jetpack o Ithems para su sitio web, aquí hay una comparación útil de las características de seguridad que ofrecen cada una de estas opciones. A su dinero y sería comprensible ir a Jetpack o Ithems si usted Intenta usar toda su suite de ofertas. Sin embargo, si estás abierto a sugerencias, déjame hacer dos:
Nuestra lámina de desarrollo de defensores es al menos ambicioso. Aunque la seguridad de Ithemes puede tener una ventaja en términos de la cantidad bruta de funciones que tiene en este momento, tenemos la intención de reducir rápidamente esta brecha.
Asegúrese de que su proveedor de seguridad seleccionado pueda proporcionar todo lo que necesita para abordar los cinco factores básicos que cada desarrollador web debe abordar: rendimiento, monitoreo, seguridad, copia de seguridad y SEO. La vida es más fácil cuando todas las necesidades básicas de su sitio pueden satisfacerse con una sola solución integrada. Estamos orgullosos del producto de que el defensor está hoy y está encantado con los planes que tenemos para mejorarlo aún más. Sin embargo, WPMU DE es mucho más que un solo diferido. También ofrecemos asistencia otorgada las 24 horas, los 7 días de la semana, algunos de los mejores complementos de rendimiento disponibles hoy en Smush and Hummingbird, docenas de complementos de calidad adicionales, un recurso de aprendizaje que puede convertirlo en un desarrollador de WordPress en la academia y mucho más. Veniendo si sus sitios de WordPress no significan mucho para usted y no molestan al ritmo de hacer frente a las consecuencias de un sitio pirateado, entonces, por supuesto, no hacer nada. Sin embargo, si valora el esfuerzo que ha realizado para construir sus sitios de WordPress, entonces no puede fortalecer WordPress y mantenerlo seguro a largo plazo es una negligencia inaceptable. Fortalecer WordPress con el defensor es literalmente un proceso de dos a tres minutos, que dejará su sitio más seguro de lo que ha sido. Y gracias a los escaneos de seguridad automáticos, una vez que asegure su sitio, mantenerlo seguro será un paseo por el parque.
¿Alguna vez ha tenido un sitio web de WordPress Pirate?¿Cómo encontraron los piratas informáticos en su sitio?Comparta su historia de terror en la sección de comentarios a continuación para que todos podamos aprender de su desgracia.

Seguridad de WordPress
defensor