Gracias por A2A.
En primer lugar, me gustaría felicitarte. Hago esto porque hablo a diario con los propietarios de negocios en línea y casi nadie que he conocido que haya considerado la seguridad en el día 1 como lo hizo usted. Ahora, respondería su pregunta en profundidad:
Medidas de seguridad a considerar justo después de instalar WordPress:
- ¿Cuál es la razón por la cual la plataforma de programación web WebObjects de Apple nunca despegó entre las nuevas empresas Web 2.0?
- ¿Cuánto HTML necesito saber para construir un sitio web simple?
- ¿Cuál es la forma más fácil de construir una aplicación usando internet de las cosas?
- ¿Cuáles son las ventajas o desventajas de usar Java vs JavaScript como marco de back-end para aplicaciones móviles?
- ¿Cuánto tiempo lleva dominar HTML / CSS, HTML5 y JavaScript con 2 horas de práctica diaria?
- Cierre de directorios abiertos: He visto que wp / includes & wp / content son dos directorios que están abiertos en un 60-70% de sitios WP. Estos directorios revelan información sobre complementos y estructura de archivos WP. Las primeras cosas que comprueba un hacker en un sitio web de WordPress son estas. Puede ocultar estos directorios usando el tutorial aquí.
- Panel de administración: esta es el área más objetivo de los bots. Cuando los robots escanean un sitio web de WP, lo primero que comprueban es abrir el área ‘ wp-admin’ para que puedan intentar ingresar por fuerza bruta. Para dar un pequeño ejemplo, acabamos de instalar nuestro Firewall de WordPress en el sitio web de un autor famoso hace un par de días. A los pocos minutos de instalar el firewall, nos dimos cuenta de la enorme cantidad de ataques de fuerza bruta que el panel de administración estaba recibiendo. Vea la captura de pantalla a continuación:
En cuestión de minutos hubo cientos de intentos de inicio de sesión. El nombre de usuario oculto es de uno de los autores. ¿Cómo encontraron el nombre de usuario válido? Te lo diré en el próximo. Puede usar este complemento para cambiar la URL del administrador.
- Enumeración de nombre de usuario: no mucha gente lo sabe, pero los hackers seguramente hacen que encontrar nuestros nombres de usuario en WordPress sea muy fácil. Simplemente envíenos la siguiente URL: ‘ www.wp-site.com/?author=1′. Si seguimos iterando el valor del número, los nombres de usuario siguen apareciendo. Esto facilita el trabajo de los hackers. Para evitar esto, se recomienda el complemento de prevención de enumeración de nombre de usuario.
- Eliminar estos también: después de no encontrar wp / includes, wp-content & wp-admin open, el hacker intenta encontrar la versión de tu WordPress para que pueda encontrar las vulnerabilidades relacionadas con esa versión. ¿Y de dónde encuentra la versión? Es el archivo /readme.html que había mantenido abierto. Debe eliminar el archivo léame después de la instalación o establecer permisos de archivo adecuados para que nadie pueda verlo.
Medidas de seguridad para seguridad continua
Si bien los métodos anteriores aseguran una configuración sólida, es importante garantizar una seguridad continua. A decir verdad, no hay nada como el 100% de seguridad, pero podemos lograrlo en WordPress de la siguiente manera:
- Actualización periódica de WordPress: hace un par de semanas, se lanzó una vulnerabilidad muy crítica en WordPress que causó el pirateo de millones de sitios web y provocó spam SEO en otros. Para vulnerabilidades como estas, WP lanza actualizaciones inmediatas. Asegúrese de actualizar regularmente su wordpress y no cree dependencias en la versión.
- Use un cortafuegos de WordPress: las soluciones como WordFence hacen un trabajo bastante bueno y son buenas para mantener su instancia de WP segura siempre. Además, también me gustaría recomendar Astra Firewall. Astra protege su WordPress contra malware, bots, ataques como fuerza bruta, SQLi, XSS y muchos más. Puedes consultar Astra aquí. PS Astra es una solución de mi empresa 🙂
Espero que esto haya ayudado! ¡Gracias!