¿Qué precauciones debo tomar para proteger mi sitio web de WordPress?

WordPress recientemente ha tenido una desagradable serie de vulnerabilidades y agujeros hechos públicos. Tener una participación de mercado masiva y no tener una autenticación incorporada fuerte (como limitar # intentos de inicio de sesión / ataque de fuerza bruta) lo convierte en un objetivo abierto para 1337elite h4ck3rz.

Verá en las notas de actualización 4.7.1 y 4.7.2, la nota del parche que se destaca es:

Algunas actualizaciones de seguridad.

WordPress es un objetivo tan fácil, los sitios que he visto pirateados son en su mayoría no de comercio electrónico, por lo que el daño ha sido mínimo, pero los pasos de seguridad que consideraría importantes:

• Crítico : (a partir de hoy 5 de marzo de 2017) actualice su núcleo de WordPress a 4.72, pruebe primero localmente ya que puede afectar sus complementos / diseño, etc.
• Crítico : para los sitios de comercio electrónico, busque SSL (https en lugar de http) cuando capture y transmita información confidencial del cliente SSL y HTTPS – WooCommerce Docs
• Actualice sus complementos, si el sitio ha estado en versión beta durante meses … ¡actualícelos todos! De nuevo … prueba en tu entorno de desarrollo local primero.
• Crítico : use contraseñas seguras generadas al azar y asegúrese de que sus clientes usen contraseñas seguras generadas al azar. Puppy $ 12345 no es seguro! En caso de duda, instale lastpass y puede generar contraseñas seguras de 14 dígitos sobre la marcha.
• La versión controla el código (dependiendo de su configuración, esto puede incluir wp-core o solo su tema. Los complementos también deberían ser controlados por la versión de alguna manera. Asegúrese de ignorar wp-content / uploads AND wp-config.php ).
• Automatice periódicamente las copias de seguridad de mysql (aproximadamente todos los días).
• Crítico : limite la cantidad de intentos que se pueden hacer para acceder a su inicio de sesión de wp. Los complementos, como los intentos de inicio de sesión de límite de WP, agregan CAPTCHA para confirmar la humanidad y limitan el número de intentos a 5, estableciendo un tiempo de espera de 10 minutos si no se cumplen estas condiciones.
• Opcional / avanzado: considere cambiar el nombre de / wp-admin o / admin a una alternativa (babosa cifrada de 30 dígitos, por ejemplo). Esto hace que WordPress sea un objetivo más pequeño.
• Opcional / avanzado: si todavía le preocupa, puede bloquear y limitar los inicios de sesión a direcciones IP específicas del cliente … sin embargo, esto dificulta la facilidad de uso para el propietario del sitio web.
• Si su negocio depende en gran medida de WordPress, creo que le debe a todos los involucrados que estén atentos ocasionalmente a los problemas de seguridad informados y las mejores prácticas, afortunadamente no estamos solos y siempre hay una buena cantidad de recursos para abordar la seguridad del sitio de WordPress Seguridad de WordPress – Guía completa de 17 pasos

Proteger su sitio web de WordPress no es tan difícil de hacer. Solo debe asegurarse de seguir las mejores prácticas cuando se trata de ser propietario de un sitio web.

Credenciales de usuario

• ¿Cierras las puertas de tu casa?
• ¿Dejas la puerta de tu garaje abierta?
• ¿Dejas la puerta de atrás abierta?
• ¿Cierras la puerta de tu auto? ¿Utiliza las mismas llaves de su casa que su automóvil u oficina?
• ¿Dejas una llave debajo del tapete de la puerta?
• Si el bloqueo se rompe, ¿lo arreglas?
• Si se rompe una ventana, ¿la repara?

La mayoría de las personas toman en serio su seguridad física y lo mismo debe hacerse con sus cuentas en línea.

Le recomiendo que se asegure de utilizar credenciales de usuario únicas para todas sus cuentas en línea y que sus contraseñas tengan más de 20 caracteres. También recomiendo usar la autenticación de 2 factores como una segunda capa de seguridad para sus cuentas en línea.

Un administrador de contraseñas también será útil cuando tenga contraseñas que sean diferentes para cada cuenta y que tengan más de 20 caracteres.

Aquí hay un video que debes ver.

Actualizaciones

WordPress es mantenido activamente por un grupo talentoso de desarrolladores y el código es analizado por grupos independientes que luego informan al equipo de WordPress cuando se encuentra un problema.

Las actualizaciones de seguridad salen a menudo para parchear cualquier problema encontrado. Lo mismo es cierto para sus computadoras portátiles, computadoras de escritorio, iPhone, iPad, dispositivos Android y cualquier otra pieza de hardware que utilice algún tipo de software.

Si no los actualiza, corre el riesgo de ser pirateado como si la cerradura de la puerta principal estuviera rota, corre el riesgo de que un ladrón ingrese a su casa.

Mantenga actualizado su núcleo de WordPress y asegúrese de utilizar temas y complementos que se mantengan activamente con actualizaciones cuando sea necesario.

Servidor web y servidor

También debe proteger su cuenta de host web y su servidor web. Asegúrese de que sus credenciales sean únicas y sólidas con la autenticación de 2 factores. También asegúrese de que su servidor también esté actualizado.

Copias de seguridad

Realice buenas copias de seguridad de su sitio web. Copia de seguridad de su base de datos y archivos. Puede usar un complemento para esto o puede hacer una copia de seguridad manual usando SFTP y PHPMyAdmin.

Cifre toda comunicación con su servidor y sitio

Cifrar su tráfico significa que si alguien está mirando su tráfico web, no podrá ver lo que está haciendo.

• Certificado SSL para HTTPS
• SFTP para transferencia de archivos
• SSH
• VPN

Esas son solo algunas formas de cifrar su tráfico.

Computadora y red

Asegúrese de proteger sus computadoras con firewalls, software antivirus y antimalware y también asegúrese de usar solo software confiable y mantener todo actualizado.

Asegure su red con WPA2 y cambie sus credenciales de enrutador predeterminadas.

Complementos de seguridad

WordPress se beneficia de tener una gran cantidad de complementos que se centran en proteger su sitio web.

• Wordfence Security
• iThemes Security (anteriormente Better WP Security)
• Seguridad anti-malware y firewall de fuerza bruta
• Autenticador de Google

Las opciones enumeradas anteriormente son solo algunas que puede usar. Todos son excelentes para ayudarlo a proteger su sitio web.

Estas son solo algunas de las formas en que puede proteger su sitio web de WordPress. También creé un video de YouTube que habla sobre los 10 mejores complementos de WordPress que debes usar en tu sitio web. Compruébalo y hazme saber lo que piensas.

Espero que esta respuesta ayude.

Millones de sitios web se están desarrollando con WordPress CMS y funcionan sin problemas. Si bien los sitios web enriquecidos de WordPress son lo suficientemente competentes para ayudar a un emprendedor a promover sus negocios. Existen varios complementos disponibles mediante los cuales puede mejorar la velocidad y el rendimiento generales al proteger su sitio web. A medida que su sitio web crece tanto en contenido como en tráfico, debe verificar periódicamente la velocidad de carga de su sitio web y tomar medidas cuando sea necesario para mejorarlo.

Además de usar el complemento de WordPress, debes considerar que nada funcionará
perfectamente cuando se trata de mantener sitios web de WordPress y mantenerlos libres de ataques de hackers o libres de scripts maliciosos. En este caso, es muy importante que aumente su seguridad contra estos ataques silenciosos asegurándose de que sus versiones de complementos estén siempre actualizadas y contengan las últimas correcciones para los agujeros conocidos, que los piratas informáticos están buscando.

Hay algunos consejos mediante los cuales puede mejorar la velocidad y el rendimiento general de su sitio web de WordPress.

• Elija un mejor proveedor de host
• Minificar archivos JS y CSS
• Usar el complemento de almacenamiento en caché
• Habilitar compresión GZIP
• Implementar AMP (páginas móviles aceleradas)
• Use CDN
• Limpia tu base de datos
• & Más

Para obtener información más profunda sobre el mismo, lea aquí:

Cómo asegurar su sitio web de WordPress

Pasos para el mantenimiento de WordPress

En caso de que necesite asistencia, no dude en ponerse en contacto con nosotros en Consulta – CMARIX

Actualice su WordPress y complementos regularmente

Siempre debe actualizar su WordPress y sus complementos a la última versión, ya que la versión anterior podría tener algún tipo de exploit abierto a los piratas informáticos.

Nota: No use el nombre de usuario y contraseña predeterminados proporcionados por WordPress.

Habilitar autenticación de dos factores

Recomendamos encarecidamente el complemento gratuito Google Authenticator. Pide una clave secreta que ayuda a prevenir ataques de fuerza bruta o cualquier inicio de sesión no autorizado.

Use complementos de seguridad de WordPress

Seguridad Sucuri

Wordfence Security

Bloquear bots malos

Edite su archivo .htaccess:

RewriteEngine On
RewriteCond% {HTTP_USER_AGENT} ^. * (Agent1 | Wget | Catall Spider). * $ [NC]
RewriteRule. * – [F, L]

Verificar permisos de archivo

Todos los archivos en la carpeta a continuación deben ser editables solo por su cuenta de usuario.

/ wp-admin /
/ wp-incluye /
/ wp-content /
/ wp-content / plugins /

Bloquear la página de inicio de sesión de WordPress

Use este complemento para limitar el número de intentos de inicio de sesión por parte de un usuario y también bloquee la IP si hay más del número requerido de intentos fallidos de inicio de sesión.

Asegurando wp-config.php

Nuevamente edite el archivo .htaccess:

orden permitir, negar
Negar todo

Deshabilitar incluye navegación y edición de archivos

Edite el archivo .htaccess:

# Bloquee los archivos de solo inclusión.

RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / incluye / – [F, L]
RewriteRule! ^ Wp-includes / – [S = 3]
RewriteRule ^ wp-includes / [^ /] + \. Php $ – [F, L]
RewriteRule ^ wp-includes / js / tinymce / langs /.+ \. Php – [F, L]
RewriteRule ^ wp-includes / theme-compat / – [F, L]

Bloquear XML-RPC en Apache

## bloquear cualquier intento de solicitud XML-RPC

orden negar, permitir
Negar todo
permitir desde 123.123.123.123

Ocultar versión de WordPress

Primero elimine el archivo readme.html de su servidor. A continuación, elimine del código fuente HTML.

Si desea ocultar la versión de WordPress en su archivo fuente, agréguelo a su archivo function.php:

función wpversion_remove_version () {
regreso ”;
}
add_filter (‘the_generator’, ‘wpversion_remove_version’);

Incluso si el pirata informático no puede encontrar ningún buen exploits para la versión del núcleo de WordPress, saber que la instalación está ejecutando algo más antiguo que la última versión indica que el sitio puede no ser administrado de cerca. En este caso, la posibilidad de explotación en otros lugares ha aumentado considerablemente.

Estos son los cambios necesarios para asegurar su instalación de WordPress, pero en cualquier caso necesita más ayuda gratuita para comunicarse conmigo.

Además, si no tiene experiencia, haré todos estos cambios por usted, lea más sobre mis servicios aquí Aditya Farrad

Primero , voy a citar los consejos principales que se mencionan en este artículo, y luego puede leerlo cuando decida cuáles de las ideas enumeradas a continuación son las que desea probar. 🙂

• Parte (a): Asegure la página de inicio de sesión y evite los ataques de fuerza bruta
• Parte (b): Asegure su panel de administración
• Parte (c): Asegure la base de datos
• Parte (d): Asegure su configuración de alojamiento
• Parte (e): Asegure sus temas y complementos de WordPress

En segundo lugar , también hay cosas súper simples que puede comenzar con las que se explican en detalle aquí, como …

• Eliminar el nombre de usuario “admin”
• Elimine y actualice constantemente en su sitio los archivos, temas y complementos desactualizados.
• Limitar los intentos de inicio de sesión

¡Buena suerte! 🙂

Estoy respondiendo las preguntas específicamente para sitios de WordPress.

Active la actualización automática. Instale el complemento de WordFence, funciona de maravilla.

Si está utilizando un host compartido, tenga cuidado con con quién está compartiendo. Mejor vaya para profesionales o dedicados.

Instale un CDN – Red de entrega de contenido. Siga este enlace para obtener información sobre la integración de CDN con WordPress: ¿cómo y por qué debe integrar CDN con el sitio web de WordPress?

Sí, es importante guardar tu contenido.

Si usted es totalmente dependiente de otros, entonces deberá usar complementos (otro código) para superar los objetivos de desarrollo de su sitio web. Si su sitio genera dinero, entonces se vuelve crítico ya que debe asegurarlo a través de SSL, derechos de autor, datos del cliente, pago datos del procesador, copia con el botón derecho desactivado, monitoreo en vivo en el sitio para ver quién intentó acceder, control de spam, etc.

Pero si usa el código de otros desarrolladores para todo esto, nuevamente hay una preocupación. Lee mis blogs anteriores

diseño del sitio web, ¿importa el tiempo de carga? traemos diferencia a su negocio | diseño y desarrollo de sitios web | SEO | ALOJAMIENTO | diseño de aplicaciones móviles

si necesita más información, visítenos

servicios de diseño web en woodbridge NJ | diseño y desarrollo de sitios web | SEO | diseño de aplicaciones móviles | soporte de tecnología informática

1. Oculta la navegación de tu directorio sin conexión.
2. Ocultar nombre de usuario o contraseña mensaje inicial incorrecto.
3. Proteja su sitio del ataque de fuerza bruta.