Seguridad y consolidación de WordPress, Guía definitiva

WordPress es muy popular. Acerca de cada uno de los cinco sitios en Internet usa WordPress en una determinada forma. Ya sea para ejecutar un blog humilde o un sistema de gestión de contenido (CMS) con varios sitios o un sitio de comercio electrónico. Como resultado, no es sorprendente que los sitios web de WordPress sean un objetivo muy popular para los piratas informáticos experimentados y con guiones. Lo último que cualquier webmaster quiere es descubrir que su sitio ha sido pirateado; Puede tomar como rehén y es parte de una red BOT, difundiendo malware o participando en ataques de denegación de servicio (DOS). En este artículo, compartiremos una serie de consejos y estrategias para ayudarlo a fortalecer su sitio de WordPress.
contenido
¿WordPress es seguro?
Complementos y temas
Ejecutar menos software
Respeta el principio menos privilegiado
Actualice sus complementos y temas de WordPress
Manténgase alejado de los complementos y temas de WordPress “nulos”.
Mantenga a WordPress actualizado
Hosting de WordPress
Panel de WordPress
Deshabilitar el registro
cartas credenciales
Autenticación en dos factores (2fa)
Fortalecer el núcleo de WordPress
Desactivar el solucionador de problemas
Deshabilitar XML-RPC
Restringir la API de REST de WordPress
Prevenir la divulgación de la versión de WordPress
Prevenir la lista de usuarios de WordPress
Deshabilitar el editor de archivos de WordPress
Deshabilitar los temas y complementos
TLS (SSL)
Conclusiones y próximos pasos
¿WordPress es seguro? Esta es una pregunta que muchos administradores del sistema se hacen a sí mismos. Si bien WordPress generalmente está bien construido y seguro, tiene la reputación de ser propenso a las vulnerabilidades de seguridad y no ser “calidad para la empresa”. Esa reputación no es exactamente correcta. La mayoría de las veces, los problemas son que WordPress es un paquete de software increíblemente popular, que es fácil de configurar mientras toma controles de seguridad cortas. Lo que nos lleva a nuestro primer tema: complementos y temas. Planges y temas número uno que afecta la seguridad de WordPress también es lo que lo hace increíblemente popular. Los complementos y los temas de WordPress varían mucho en términos de calidad y seguridad. Aunque el equipo de WordPress ha hecho mucho trabajo para ayudar a los desarrolladores a crear complementos y temas más seguros, siguen siendo una pesadilla de seguridad. Esto se puede observar cuando se utilizan complementos o complementos mal mantenidos obtenidos de una fuente incomprendida. Antes de continuar hablando sobre complementos y temas de WordPress, primero comprenda qué es un complemento de WordPress. Los complementos son simplemente el código PHP que se ejecuta WordPress para expandir la funcionalidad de WordPress. Para una explicación más detallada y técnica, consulte qué son los complementos de WordPress.
Del mismo modo, los temas de WordPress permiten personalizar los aspectos visuales de su sitio de WordPress. Desde la perspectiva de un atacante, hay muy poca diferencia entre los dos, porque ambos pueden ser abusados ​​para ejecutar el código malicioso. Ejecute menos software Entonces, ¿cómo puede decir si un complemento es malicioso o no? Esta es una pregunta complicada, pero afortunadamente tenemos una respuesta para usted. Escribí sobre esto en detalle cómo elegir el mejor complemento de WordPress para su sitio de WordPress. Incluso si realiza toda la investigación necesaria, existe la posibilidad de que el complemento continúe siendo una amenaza para la seguridad. Por lo tanto, una de las formas de reducir su riesgo es ejecutar solo el software que necesita y confiar. Antes de instalar un nuevo complemento de WordPress, pregúntese si realmente necesita instalar ese complemento. ¿Quizás un pequeño fragmento de código de un complemento específico para el sitio para hacer el trabajo o necesitas legítimamente un complemento completo?
Importante: esté muy atento a los fragmentos de código que encuentre en Internet. Nunca use un código a menos que comprenda completamente lo que está haciendo, solo porque está en StackOverflow, no significa que se use. Si tiene una necesidad real de ejecutar un complemento, asegúrese de que se actualice activamente y se actualice regularmente, como explicamos en nuestra guía. Como regla general, cuanto más complemento o tema tenga varias descargas y actualizaciones recientes indican que es ampliamente utilizado y que sus autores mantienen activamente. Esto no significa que el complemento nunca tenga una vulnerabilidad. Sin embargo, si se encuentra una vulnerabilidad, el desarrollador actuará rápidamente y remediará rápidamente. Trate de evitar complementos que no tengan muchas descargas y, críticamente, no tengan una comunidad activa y actualizaciones regulares. Si algo no ha recibido una actualización dentro de un año, generalmente es una señal roja. Respeta el principio menos privilegiado que WordPress no debe usar el usuario raíz MySQL para conectarse a su base de datos. Incluso cada usuario de WordPress debe tener el papel de administrador. Del mismo modo, no es una buena idea ejecutar la mayoría de los programas como un usuario privilegiado, a menos que haya una razón particular para hacerlo.
Las mejores prácticas de seguridad siempre requieren que las aplicaciones siempre reciban los menores privilegios posibles que les permitan funcionar correctamente, con cualquier privilegio adicional deshabilitado. Esta práctica se llama comúnmente el principio de privilegio más pequeño. Supongamos hipotéticamente que WordPress se conecta a una base de datos con una cuenta de usuario privilegiada. En el caso de un complemento de WordPress que contiene una vulnerabilidad de inyección SQL, un atacante no solo puede ejecutar consultas SQL como administrador, sino que en algunos casos incluso puede realizar órdenes del sistema operativo. Si un atacante logra ejecutar los comandos del sistema operativo, puede hacer reconocimiento y aumentar un ataque a otros sistemas. Encabezando el software con privilegios administrativos o ofreciendo más acceso a los usuarios de lo necesario. Contraviene un principio probado y probado del privilegio más pequeño, porque permite que un atacante cause más daños en caso de violación de seguridad. Lo bueno de WordPress es que tiene una serie de roles construidos, que puede usar para asignar diferentes privilegios a diferentes usuarios, dependiendo de sus requisitos. Escribí en general sobre esto en el uso de roles de usuario de WordPress para mejorar la seguridad de WordPress.
Actualice sus complementos de WordPress y el complemento de temas y las actualizaciones de WordPress son importantes no solo para beneficiarse de nuevas características y errores, sino también para corregir las vulnerabilidades de seguridad. Tanto los complementos como los temas son fáciles de actualizar en la interfaz de WordPress. Algunos complementos comerciales probablemente tendrán sus propios mecanismos para mantener los complementos actualizados, sin embargo, en la mayoría de los casos, esto es transparente para los usuarios. Sin embargo, asegúrese de que, independientemente del sistema de actualización utilizado, mantenga sus complementos y temas actualizados. No use complementos y temas “nulos” de WordPress.
WordPress usa LPG <sup>1 . Sin ingresar muchos detalles, la licencia LPG permite a cualquier persona distribuir software gratuito con la licencia de GLP. Esto incluye complementos comerciales de WordPress/Premium con licencia de GLP. Como tal, puede no ser ilegal descargar un tema o complemento modificado, generalmente llamado anulado y usarlo de forma gratuita. Sin embargo, como probablemente ya haya adivinado, además del hecho de que no admite el desarrollador de complementos, es muy poco probable que reciba actualizaciones para los complementos cancelados. Además, no tiene lugar para saber si la fuente de este complemento ha sido modificada para hacer algo malo.
Mantenga actualizado WordPress, ya que debe mantener sus complementos y temas actualizados, debe asegurarse de tener que mantener actualizado la versión de WordPress.Afortunadamente, esto ahora es mucho más fácil que en el pasado, con actualizaciones críticas de seguridad que tienen lugar automáticamente.Por supuesto, si no deshabilita explícitamente esta funcionalidad.Además de nuevas características, mejoras y remedios de errores, las actualizaciones básicas de WordPress también contienen remedios de seguridad que pueden protegerlo de los atacantes que operan su sitio de WordPress y lo usan para ganancias indebidas.Hosting de WordPress
Dónde y cómo elige alojar su sitio de WordPress dependerá en gran medida de sus requisitos. Aunque no hay nada de malo en el alojamiento y la gestión personal de WordPress, si no es tan bueno, asegúrese de cumplir con la mayoría de los conceptos básicos de la seguridad de WordPress sin hacer un Muchas tareas pesadas, es posible que desee optar por un proveedor de alojamiento de WordPress administrado, como Kinsta o WP Engine. Debido a que tenía sitios web alojados con ambos anfitriones, escribí sobre ellos. En las historias de nuestros clientes enfatizamos nuestra experiencia con ellos. Para obtener más información sobre su experiencia, lea nuestro motor WP y la historia de los clientes de Kinsta. Alojamiento de WordPress administrado retira muchas decisiones y configuraciones de seguridad de las que debe preocuparse. Por supuesto, el alojamiento de WordPress puede no ser para usted. Puede optar por alojar a WordPress solo, especialmente si tiene un presupuesto limitado. WordPress de la autovenida también le brinda un mayor control sobre la instalación de WordPress. Para obtener más información sobre todas las diferentes opciones de alojamiento de WordPress y lo que funciona mejor para usted, vea la guía de alojamiento de WordPress. WordPress Panel de WordPress de WordPress de su sitio es un lugar donde no desea romper a nadie sin autorización.
Aunque hay algunos sitios que tienen razones legítimas para permitir a los usuarios públicos autenticarse usando el tablero de WordPress, este es un gran riesgo de seguridad y debe tenerse en cuenta. Afortunadamente, la mayoría de los sitios web de WordPress no tienen este requisito y, como tal, deben evitar el acceso al tablero de WordPress. Hay varias formas de hacer esto y debe elegir lo que funciona mejor para usted. Otra solución sería permitir el acceso a /WP-Admin solo a varias direcciones IP seleccionadas. Deshabilite el registro por defecto, WordPress no permite que los usuarios públicos se registren en su sitio web de WordPress. Para confirmar que el registro del usuario está deshabilitado: vaya a Configuración> Página general en el área del tablero de WordPress

navegar a la sección de miembros
Asegúrese de que el cuadro de selección al lado de cualquiera pueda registrarse no esté marcado.

Credenciales como cualquier otro sitio web, el acceso al tablero de WordPress es tan poderoso como sus credenciales. Implementar el fuerte control de control de seguridad de WordPress y WordPress no es una excepción.Si bien WordPress no tiene forma de establecer una política de contraseña en el cuadro, un complemento como Wpassword es absolutamente esencial para aplicar los requisitos de energía de todos sus usuarios que tienen acceso a la placa de WordPress.Una vez que aplique la seguridad de la contraseña segura en su sitio, use WPSCan para probar las credenciales débiles de WordPress, para asegurarse de que ninguna cuenta todavía esté utilizando contraseñas débiles.Autenticación en dos factores (2fa)
Otro control de seguridad esencial para el tablero de WordPress es buscar autenticación de dos factores. La autenticación con dos factores (2FA) hace mucho más difícil para un atacante obtener acceso al tablero de WordPress si un atacante logra descubrir la contraseña de un usuario (por ejemplo, un atacante puede descubrir la contraseña de un usuario de una violación de datos). Afortunadamente, es muy fácil configurar la autenticación con dos factores en WordPress. Hay una serie de complementos de alta calidad que puede usar para agregar esta funcionalidad. Lea los dos mejores complementos de autenticación de WordPress para resaltar los mejores complementos de 2FA disponibles para WordPress. Fortalecer el núcleo de WordPress incluso si el núcleo de WordPress es una pieza segura de software, eso no significa que no podamos fortalecerlo más. Las siguientes son una serie de estrategias de refuerzo específicas para el núcleo de WordPress. Asegúrese de que la solución de problemas esté deshabilitada WordPress permite a los desarrolladores registrar la resolución de problemas en un archivo (este ser /wp-content/debug.log predeterminado). Aunque esto es perfectamente aceptable en un entorno de desarrollo, tenga en cuenta que un atacante puede acceder fácilmente a este archivo si el mismo archivo y/o configuración alcanza la producción. La resolución de problemas de WordPress se desactiva de forma predeterminada. Aunque siempre es mejor verificar si está seguro de que no tiene la constante wp_debug definida en su archivo wp-config.php o establecerlo explícitamente en falso. Consulte la Guía de solución de problemas de WordPress para obtener una lista de todas las opciones de solución de problemas.
Si, por alguna razón, necesita un solucionador de problemas de WordPress en su sitio de vida, inicie sesión en un archivo fuera de su servidor web (por ejemplo, por ejemplo, prolonga /wordpress/debug.log). Para cambiar Padfine (‘wp_debug_log’, ‘/patch/outside/of/webserver/root/debug.log’); Dezctivate XML-RPC XML-RPC Se ha diseñado WordPress para permitir la comunicación entre diferentes sistemas. Esto significa que casi cualquier aplicación podría interactuar con WordPress. La especificación de WordPress XML-RPC fue históricamente importante para WordPress. Les permite interactuar e integrarse con otros sistemas y software.
Lo bueno es que el XML-RPC ha sido reemplazado por la API REST WordPress. Para resaltar algunas de las preocupaciones de seguridad alrededor de XML-RPC; Su interfaz ha sido la fuente de numerosas vulnerabilidades de seguridad a lo largo de los años. Los atacantes también pueden utilizar los atacantes para enumerar los nombres de usuario, forzar la contraseña bruta. o ataques de denegación de servicio (DOS) por Pingback XML-RPC. Por lo tanto, si no usa activamente XML-RPC y no tiene verificaciones de seguridad adecuadas, debe deshabilitarlo. Debido a que esto es fácil de lograr sin instalar un complemento de terceros, discutiremos a continuación cómo hacerlo. Aunque simplemente puede configurar su servidor web para bloquear el acceso a /xmlrpc.php, un método favorito para hacerlo es desactivar explícitamente XML-RPC utilizando un filtro incorporado de WordPress. Simplemente agregue lo siguiente a un archivo de complemento y activelo en su sitio.
Cuidadoso
Es una buena idea usar un complemento de WordPress que tiene que usar para este y otros fragmentos de código similares. Restricar la API de WordPress REST en el mismo sentido que XML-RPC, WordPress API es la forma moderna por la cual las terceras aplicaciones pueden comunicarse con WordPress . Aunque es seguro de usar, es aconsejable restringir algunas funciones dentro de ella para evitar la enumeración de los usuarios y otras vulnerabilidades potenciales. A diferencia de XML-RPC, WordPress no ofrece una forma simple y nativa de desactivar completamente la API REST (utilizada a 2 , pero esto se depreció, por lo que es sabio no hacer esto) , sin embargo, puedes restringirlo. Como de costumbre con WordPress, puede usar un complemento para lograr esto, o agregar el siguiente filtro a un archivo de complemento y activarlo en su sitio. El siguiente código deshabilitará la API REST WordPress a cualquiera que no esté autenticado, devuelve un HTTP no autorizado Código de estado (código de estado 401) usando WordPress REST_Authentication_errors.Add_Filter

If (! Vacía ($ resultado)) {
devolver $ resultado;
}

if (! is_user_logged_in ()) {
Return nuevo wp_error (‘REST_NOT_LOGGED_IN’, ‘No ha iniciado sesión actualmente’, Array (‘status’ = & amp; 401));
}
devolver $ resultado;
});
Además, la API REST WordPress activa JSONP por defecto.JSONP es una antigua técnica de omisión de la misma política de navegador antes de que los navegadores modernos acepten CORS (compartir recursos entre orígenes).Debido a que esto podría usarse como un paso en un ataque de un atacante, no hay una razón real para activar esto.Se recomienda deshabilitarlo utilizando el filtro WordPress REST_JSONP_Enabled usando el siguiente php.add_filter (‘REST_Enabled’, ‘__return_false’);
Consulte la documentación del filtro para obtener más información al respecto. Evite la división de la versión de WordPress al igual que muchas otras aplicaciones web, por defecto, WordPress revela su versión en varios lugares. La revelación de la versión no es exactamente una vulnerabilidad de seguridad, sin embargo, esta información es muy útil para un atacante al planificar un ataque. Como resultado, la desactivación de las características de revelar la versión de WordPress puede hacer un ataque un poco más difícil. WordPress drena mucha información sobre la versión. Afortunadamente, esta idea de GitHub ofrece una lista completa de filtros de WordPress que se deshabilitarán en forma de un complemento de WordPress. Por supuesto, puede incorporar este código en cualquier complemento existente específico para el Sitio o que ya debe usarse. Prevenir la lista de WordPress WordPress es vulnerable a una serie de ataques de enumeración del usuario. Dichos ataques permiten que un atacante descubra qué los usuarios existen, ya sea que un usuario exista o no. Aunque esto puede parecer inofensivo, tenga en cuenta que los atacantes pueden usar esta información como parte de un ataque más grande. Para obtener más información sobre este tema, lea cómo enumerar los usuarios de WordPress con WPSCAN. Para evitar el listado de enumeración de WordPress, deberá asegurarse de que las siguientes características de WordPress estén deshabilitadas o restringidas. Limite la API REST de WordPress a usuarios no autorizados
Desactivar WordPress XML-RPC
No exponer /wp-admin y /wp-login.php directamente en Internet público
Además, también necesitará configurar su servidor web para evitar el acceso a /? Autor = . Si usa NGINX, puede usar la siguiente configuración para evitar wordpress.rewritecond usuarios %{request_uri} ^/$ Rewritecond %{Query_String} ^/? Author = ([0-9]*)
Reeswriter.* – [R = 403, L] Alternativamente, si usa el servidor Apache HTTP, puede usar la siguiente configuración para evitar WordPress.if ($ query_string ~ “autor = ([0-9]”)
regresar 403;
}
Desactiva WordPress File Editor Una de las características más peligrosas de WordPress es la capacidad de editar archivos desde el tablero de WordPress en sí. No debe haber una razón legítima por la cual cualquier usuario debe hacer esto y ciertamente no para WordPress. En cualquier caso, debe asegurarse de saber exactamente qué archivos han cambiado utilizando un complemento de seguridad de alta calidad para monitorear la integridad del archivo (FIM). Para ser alertado en los cambios de archivo, use el complemento del monitor de cambios de archivo del sitio web, que desarrollamos. Cualquier cambio de archivos en su sitio debe tener lugar a través de una conexión segura (por ejemplo, SFTP) o, preferiblemente, seguido en un almacén de control de versiones e implementado utilizando CI/CD. Para deshabilitar los complementos y el editor de archivos de temas desde el tablero de WordPress, simplemente agregue lo siguiente al wp-config.php.define (‘desestrow_file_edit’, true);
Deshabilite la tarea y la gestión de complementos Una buena práctica de seguridad de WordPress es desactivar la gestión de complementos y temas en el tablero de WordPress. En su lugar, use herramientas de línea de comandos como WP-CLI para realizar estos cambios. Al desactivar los cambios en el tema y los complementos, reduzca drásticamente la superficie de ataque de su sitio de WordPress. En este caso, incluso si un atacante viola con éxito una cuenta de administrador, no podría cargar un complemento malicioso para escalar el ataque más allá del acceso al tablero de WordPress. Constanta Deshondow_file_mods definido en WP-Config.php deshabilita las actualizaciones y la instalación de complementos y temas a través del tablero. También desactiva todos los cambios en los archivos en el tablero, eliminando así el editor de temas y el editor de complementos. Para deshabilitar el tema y los cambios en el complemento en el tablero de WordPress, agregue lo siguiente a su wp-config.php.define (‘desestrow_file_mods’, true);
WordPress HTTPS (SSL/TLS) La seguridad de la capa de transporte (TLS) es un elemento absolutamente esencial para su seguridad de WordPress, es gratuita y fácil de configurar. Nota: TLS es el protocolo que reemplazó la capa de enchufe segura, SSL. Sin embargo, debido a que el término SSL es muy popular, muchos todavía se refieren a TLS como SSL. Cuando visita su sitio web a través de HTTPS (HTTP sobre TLS), las solicitudes y respuestas HTTP no pueden ser interceptadas y calificadas o, lo que es peor, modificadas por un atacante. Si bien TLS tiene más que ver con su servidor web o red de entrega de contenido (CDN) que con su instalación de WordPress, uno de los TLS más importantes (WordPress HTTPS) es aplicarlo. Hay mucha información en línea sobre cómo configurar WordPress HTTPS (SSL y TLS). Si no se siente cómodo editando los archivos de configuración y prefiere pasar a WordPress HTTPS usando un complemento, realmente puede usar SSL o WP Force SSL. Ambos son muy buenos y fáciles de usar. Los próximos pasos para un WordPress y más seguro si ha llegado aquí, genial, pero eso no significa que aún no se haga. Los siguientes son una serie de elementos que puede analizar para fortalecer su sitio web de WordPress. Dado que PHP es un componente básico de cualquier sitio web de WordPress, la consolidación de PHP es uno de los siguientes pasos lógicos. Escribí en general sobre esto en la mejor configuración de seguridad PHP para sitios de WordPress.
Utilice complementos de seguridad reputados. Los complementos de seguridad de calidad proporcionan características de seguridad avanzadas que no están incluidas en WordPress de forma nativa. Hay una gran cantidad de complementos de seguridad de WordPress allí. Sin embargo, asegúrese de elegir complementos con una buena reputación y, idealmente, aquellos para los cuales el soporte premium o comercial está disponible, como nuestros complementos de seguridad de alta calidad. Efectar una auditoría de los permisos de archivos. Para los sitios de WordPress que se ejecutan en Linux, los archivos incorrectos para archivos pueden permitir a los usuarios no autorizados obtener acceso a archivos potencialmente confidenciales. Para obtener más información sobre este tema, consulte nuestra guía para configurar permisos seguros para el sitio web de WordPress y el servidor web.
Haga una auditoría del archivo de copia de seguridad. Los archivos de reserva que quedan accidentalmente accesibles pueden drenar la información confidencial. Esto incluye la configuración que contiene secretos que pueden permitir a los atacantes lograr el control sobre toda la instalación de WordPress.
Fortalecer su servidor web
Fortalecer mysql
Agregar la sede de seguridad HTTP requerida
Asegúrese de tener un sistema de copia de seguridad funcional de WordPress.
Use un servicio de protección DDOS
Implementar una política de seguridad de contenido
Administre copias de repuesto expuestas y archivos sin referencias.
Conclusión: ¡este es solo el primer paso del viaje de seguridad de WordPress felicitaciones! Si ha seguido todos los consejos anteriores e implementó todas las prácticas de seguridad mejores recomendadas, su sitio de WordPress está seguro. Sin embargo, la seguridad de WordPress no es una solución única: es un proceso en constante evolución. Hay una gran diferencia entre fortalecer un sitio web de WordPress (condición única) y mantenerlo durante años. El refuerzo es solo una de las cuatro etapas del proceso de seguridad de WordPress (rueda de seguridad de WordPress). Para un sitio seguro de WordPress durante todo el año, debe seguir el proceso de prueba de probar WordPress> Refuerzo> Monitoreo> Mejorar. Debe probar y verificar continuamente el estado de seguridad del sitio de WordPress, fortalecer su software, monitorear el sistema y mejorar su configuración en función de lo que ve y aprende. Por ejemplo: una herramienta como WPSCAN puede ayudar a probar la postura de seguridad del sitio de WordPress
Un firewall WordPress puede proteger su sitio web de WordPress de ataques malvados mal conocidos
Un diario de actividad de WordPress puede ayudarlo a mantener un registro de todos los cambios que tienen lugar en su sitio, puede mejorar la responsabilidad del usuario, puede saber lo que hace cada usuario y también puede rastrear todas las actividades bajo el capó.
Herramientas como nuestros complementos de seguridad y administración de WordPress pueden ayudarlo a garantizar la seguridad de la contraseña, fortalecer el proceso de seguridad de WordPress, alerta en los cambios de archivo y más
Tiene todas las herramientas adecuadas para mantener su sitio seguro. Incluso si conduce un pequeño sitio web de WordPress, date tiempo para trabajar gradualmente a través de esta guía. Asegúrese de no hacer esfuerzos para construir un gran sitio web, solo para robarlo por un ataque de WordPress. No hay seguridad 100% efectiva. Sin embargo, haga que sea considerablemente difícil para un atacante ganar un punto de apoyo y atacar con éxito su sitio de WordPress aplicando las diversas técnicas de refuerzo presentadas en esta guía. Recuerde que cuando los atacantes apuntan a su próxima víctima, no debes superarlos. ¡Solo tiene que ser más seguro que el próximo sitio vulnerable! Referencias utilizadas en este artículo [+] Referencias utilizadas en este artículo ↑ 1 https://en.wikipedia.org/ wiki /gnu_general_public_license</sup>

↑ 2 https://develooper.wordpress.org/referrence/hooks/hoks/Rest_enapate/