3 formas de proteger su sitio web de WordPress sin un complemento dedicado

Los desarrolladores son un grupo lleno de recursos: cuando surja un problema, tenderá a desarrollar sus propias soluciones. La seguridad del sitio web no es diferente, aunque puede valer la pena considerar la responsabilidad adicional involucrada. Aunque ya hay una serie de complementos de seguridad en el mercado, puede actualizar fácilmente el archivo Functions.php para agregar algunos niveles adicionales de seguridad de WordPress. Sin embargo, a medida que descubre más sobre la seguridad y lo importante que es asegurar completamente su sitio, rápidamente se convierte en un trabajo de tiempo completo. Esto significa investigar otras soluciones, especialmente si puede ahorrarle algo de tiempo.
En esta publicación, primero presentaremos sus funciones de archivo.php. Luego le daremos tres ajustes simples que puede hacer para asegurar su sitio. Finalmente, analizaremos cuándo podría ser una buena idea usar un complemento dedicado. ¡Vamos a empezar! Una breve introducción al archivo Functions.php En cada tema de WordPress, hay una opción para usar un functions.php. Como probablemente adivinó por nombre, está diseñado para agregar funcionalidades adicionales a su sitio y se puede encontrar en su carpeta de tema de WordPress. En lugar de intentar agregar características a sus archivos de tema, Functions.php le brinda un lugar limpio para almacenarlos. Puede activar las opciones de tema, puede grabar estilos, puede acceder a otros ganchos de WordPress incorporados y más. También puede escribir sus propias funciones para agregar nuevas funciones.
Finalmente, el archivo Function.php se puede usar para garantizar la instalación de posibles hackers WordPress, agregando algunos fragmentos de código simples. Echemos un vistazo a tres de ellos. 3 formas de proteger su sitio web de WordPress sin un complemento dedicado Los siguientes fragmentos de código son útiles para asegurar sus sitios de WordPress y están escritos utilizando las mejores prácticas para la máxima compatibilidad y seguridad. Aunque no he encontrado problemas de prueba, siempre verifique cualquier código que agregue a las funciones.php para asegurarse de no comprometer su sitio y hacer una copia de seguridad completa antes de comenzar. Ocultar cualquier información detallada sobre WordPress
Un ejemplo del encabezado HTML del sitio de par. Al reproducir su sitio, WordPress agrega automáticamente alguna información de instalación detallada al código HTML. Aunque esto puede ser útil para la resolución de problemas, los piratas informáticos pueden usarlo contra usted. Por ejemplo, si alguien sabe la versión exacta de la WordPress que usa, puede usar las exploits específicas de la versión para destruir su sitio más rápido. Para evitar esto, puede enmascarar detalles sobre su instalación de WordPress que normalmente se mostraría en su área HTML, utilizando un fragmento de código:

Secure_wordpress_header_data () función {
/* RSD, XMLRPC, WLW, Generador WP,
Enlaces y enlaces cortos para la alimentación de comentarios */
Remove_action (‘wp_head’, ‘rsd_link’);
Remove_action (‘wp_head’, ‘wlwmanifest_link’);
Remove_action (‘wp_head’, ‘wp_generator’);
Remove_action (‘wp_head’, ‘wp_shortlink_wp_head’);
Remove_action (‘wp_head’, ‘feed_links’, 2);
Remove_action (‘wp_head’, ‘feed_links_extra’, 3);/ * Enlace al primer elemento anterior y siguiente */
Remove_action (‘wp_head’, ‘start_post_rel_link’);
Remove_action (‘wp_head’, ‘adjacent_posts_rel_link_wp_head’);
}
add_action (‘init’, ‘secure_wordpress_heaede_data’); Esto se conecta a los detalles de instalación de WordPress y le dice que simplemente elimine los datos. Puede ver que esto cubre aspectos como HTML generando etiquetas y flujos RSS adicionales que podrían usarse para generar un ataque de denegación de servicio (DOS).
Para seguir adelante, también puede eliminar las etiquetas de los parámetros de la versión de las Escrituras. ¿Significa esto eliminar el texto? Ver = 1.20.3 desde el final de los enlaces JavaScript y CSS incluidos: remove_wp_version_from_scripts ($ src) {
if (strpos ($ src, ‘ver =’))
$ src = remve_query_arg (‘ver’, $ src);
devuelve $ src;
}
add_filter (‘style_loader_src’, ‘remove_wp_version_from_scripts’, 9999);
add_filter (‘script_loader_src’, ‘remove_wp_version_from_scripts’, 9999); Ahora la información de instalación de su sitio de WordPress está más oscurecida para considerar asegurar el inicio de sesión.
2. Ocultar mensajes de error de conexión
Los errores estándar de inicio de sesión de WordPress pueden dar a los piratas informáticos una indicación de lo que tienen mal. Cuando alguien está tratando de conectarse a su sitio de WordPress con un mal uso o contraseña, se ofrece pistas implícitamente, lo que puede facilitar su piratería. Por ejemplo, el mensaje de error: el nombre de usuario no válido les dice que renuncien a la prueba. para conectarse con ese nombre de usuario. Para adivinar credenciales de conexión más difíciles, puede eliminar los mensajes de error predeterminados. Desea que sus formularios de conexión sean menos informativos para los visitantes maliciosos, al tiempo que hace la experiencia agradable para los usuarios reales. Dado esto, ¡siempre verifique si se puede acceder a alguna característica de la contraseña olvidada y funciona! Una forma simple de deshabilitar completamente las pistas es agregando un fragmento de código que devuelve el mismo error, sin importar lo que saliera mal: la función de The_error_message () {
Devuelve “¡Algo anda mal!”;

}

add_filter (‘login_errors’, ‘one_default_error_message’); Puede cambiar este fragmento para mostrar cualquier mensaje de error que desee. Sin embargo, no proporciona un enlace para una contraseña perdida, así que intente agregar esto al texto devuelto: $ olvidada_link = wp_lastpassword_url (get_permalink ());
Devuelve “¡Algo está mal! ¿Olvidó su contraseña? “;
Esto agregará automáticamente la URL de la contraseña perdida para que los usuarios aún puedan restablecer su contraseña cuando sea necesario.
3. Cargue sus escrituras seguras
Recomendamos que cargue cualquier scripts (como JQuey) a través de una conexión segura y cifrada. Muchos sitios de WordPress cargan bibliotecas externas (como JQuey) para proporcionar características o estilos adicionales a su sitio. Desafortunadamente, cualquier script que no esté cargado con capas de enchufe seguras (SSL) es vulnerable a los ataques de hombre en el medio. Por esta razón, es particularmente importante obligar a los scripts externos a cargar usando SSL a través de HTTPS. Esto reduce la posibilidad de que los piratas informáticos puedan inyectar código malicioso en su sitio cuando otros lo ven. Dado que JQuey es uno de los scripts más utilizados, aquí hay un ejemplo de cómo cargarlo de manera segura: if (! Is_admin ()) {
wp_deregister_script (‘jquey’);
wp_register_script (‘jQuery’, (“https://ajax.googleapis.com/ajax/lbs/jquery/3.2.1/jquery.min.js”), falso);

wp_enqueue_script (‘jquey’);
} Este script verifica si JQuey cobra en el front-end y, en caso afirmativo, registre el script jQuery a través de https. Puede seguir este modelo para asegurarse de que el resto de sus scripts se carguen con HTTPS. Cuándo usar un complemento de seguridad dedicado
Wordfency Security es uno de los mejores complementos disponibles para proteger su sitio. Hay muchos ajustes pequeños que puede hacer en su sitio web de WordPress, que se extienden aún más que el archivo Functions.php de un tema. Aquí es donde intervienen los complementos de seguridad dedicados y cada uno variará según las características.
Por supuesto, hay algunos complementos que realizan tareas de seguridad específicas. Puede ocultar completamente todos los panes de WordPress ordinarios con WP Hide & Security Enhancer. Un plug -in, como WP SSL Force, proporcionará todo el script en su sitio de carga segura, pero también no necesita un certificado SSL instalado. En algunas situaciones (para personalizar los errores de conexión, por ejemplo), una remediación Funciones.php es tan simple que no se necesita un complemento dedicado. Si está interesado en bloquear por completo su sitio de WordPress, puede valer la pena investigar las características que vienen con algunos de los principales complementos de seguridad. Puede aprender a reproducir las características más importantes en su propio sitio o, alternativamente, dar un giro. Sin embargo, probablemente tendrá que hacer más que agregar código a las funciones.php de su base, ¡así que prepárate! En términos de opciones de complemento, Wordfency Security es una opción estelar. Encontrará protección avanzada del servidor, medidas de seguridad mejoradas para las funciones de autenticación, escaneo y monitoreo y más. Alternativamente, todos en una seguridad de WP y