1 Followers
26 Following
firejoin68

firejoin68

Blog

Shelf

Timeline

0 BOOKS
SPOILER ALERT!

Cómo progresar la seguridad en WordPress

1:30 pm 1 June 2020

9min de lectura


Introducción


WordPress es uno de los sistemas de administración de contenido (CMS) más populares del mundo. En él se ejecutan el ciento ochenta y nueve por cien de todos los sitios web de Internet y se ha instalado más de 76,5 millones de veces. Desafortunadamente, la popularidad también tiene sus desventajas. Según unde hackeo de Securi, una compañía experta en seguridad de sitios web, WordPress es el Content Management System más hackeado del planeta. ¡Pero no hay que entrar en pánico! Es bastante fácil mejorar la seguridad Wordpress si aplicas las mejores prácticas y también implementas algunos trucos proporcionados en este tutorial de Wordpress.


Lo que necesitarás


Antes de empezar con esta guía, necesitarás lo siguiente:


  • Acceso al área de administrador de WordPress
  • Acceso a tu cuenta de alojamiento (opcional)

Paso 1 – Sostener tu WP actualizado


Este el primer y más importante consejo. Si quieres tener un sitio web limpio y libre de malware, es indispensable sostener WordPress actualizado. Si bien puede parecer un consejo elemental, solo el 22 por ciento de todas y cada una de las instalaciones de WordPress ejecutan la última versión.


WordPress implementó la característica de actualización automática en la versión 3.7, sin embargo, solo marcha para actualizaciones de seguridad menores. Por ende, las actualizaciones primordiales deben hacerse manualmente.


Paso dos – Utilizar credenciales de comienzo de sesión poco comunes



¿Estás utilizando
admincomo tu nombre de usuario de administrador de WP? Si tu respuesta es afirmativa, estás facilitando las cosas para que los piratas informáticos procuren penetrar en tu escritorio. Se recomienda bastante cambiar el nombre de usuario de admin a otra cosa o bien crea una nueva cuenta de administrador con un nombre de usuario diferente y elimina la precedente. Sigue estos pasos si prefieres la segunda manera:


  1. Accede al escritorio de WordPress
  2. Navega a la sección de
    Usuariosy presiona
    Añadir nuevo.
  3. Crea un nuevo usuario y asígnale la función de administrador.
  4. Vuelve a comenzar sesión en Wordpress con tu nuevo nombre de usuario.
  5. Dirígete otra vez a la sección Usuarios y suprime el usuario “admin”.

Una buena contraseña juega un papel esencial en lo que respecta a la seguridad WordPress. Es mucho más difícil realizar un ataque de fuerza bruta a una contraseña que contiene números, letras mayúsculas y minúsculas y caracteres singulares. Herramientas comoypueden ayudarte a crear y regentar contraseñas complejas. Además, si alguna vez precisas comenzar sesión en el panel de control de Wordpress mientras que estás conectado a una red no segura (por ejemplo, en cafeterías, bibliotecas públicas, etcétera), no olvides emplear unaque resguarde tu información de registro.


Paso tres – Habilitar la autenticación de 2 pasos


La verificación en 2 pasos le agrega un nivel adicional de seguridad a tu página de comienzo de sesión. Como su nombre lo sugiere, añade otro paso que debes completar para comenzar sesión. Lo más probable es que ya lo estés usando para acceder al correo electrónico, al banco en línea o a cualquier otra cuenta que contenga información confidencial. ¿Por qué no usarlo en Wordpress?


Aunque puede parecer complicado, es muy fácil habilitar la verificación de dos pasos en el blog de Wordpress. Todo lo que precisas es instalar la aplicación de autenticación de 2 factores y configurar tu Wordpress.


Paso 4 – Deshabilitar los informes de fallos de PHP


Los informes de errores de PHP pueden ser útiles si estás desarrollando tu sitio y quieres asegurarte de que todo funcione correctamente. No obstante, mostrarle los errores a todo el mundo es una grave falla de seguridad en WP.


Debes reparar esto a la mayor brevedad. No tengas miedo, no tienes que ser un programador para deshabilitar los informes de errores de PHP para WordPress. Muchos proveedores de hosting tienen la opción de desactivar los informes de errores dentro del panel de control. Si no existe ninguno, sencillamente agrega las siguientes líneas a tu archivo wp-config.php. Puedes utilizar elo el Administrador de ficheros para editar el fichero
wp-config.php.


Eso es todo. El informe de errores ahora está desactivado.


Paso cinco – No utilizar los temas anulados de WordPress


Recuerda: «El único queso sin coste está en la ratonera». Podemos decir lo mismo sobre los temas y plugins anulados de WordPress.


Hay miles y miles de complementos y temas cancelados rondando en Internet. Los usuarios pueden descargarlos de múltiples sitios Warez o torrents de forma gratuita. Lo que no saben es que la mayoría de ellos están inficionados con malware o con enlaces de posicionamiento web black hat.


Deja de usar complementos y temas cancelados. No solo no es ético sino más bien extremadamente dañino para la seguridad de WP. Terminarás pagando más por un desarrollador a fin de que limpie tu sitio.


Paso seis – Escanear Wordpress para advertir malware


Los piratas informáticos frecuentemente utilizan “vacíos” o bien loopholes en temas o bien complementos para infectar WordPress con malware. Por lo tanto, es vital escanear tu blog con frecuencia. Existen muchos plugins bien codificados para este propósito perose destaca entre la multitud. Ofrece opciones de escaneo manuales y automáticas así como numerosas configuraciones diferentes. Incluso puede restaurar archivos modificados/infectados con solo dos clicks. Es sin coste y de código abierto. Estos factores deberían ser suficientes a fin de que instales este plugin ahora mismo.


Otros complementos de seguridad populares de WordPress:


  • : en contraste a WordFence, que hemos descrito anteriormente, BulletProof no escaneará tus archivos, pero te proporcionará un firewall, seguridad de base de datos y más. consultoria marketing pequenas empresas de las mejores cosas es que se puede configurar e instalar con solo unos pocos clics.
  • : este complemento te protegerá de los ataques DOS, mantendrá una lista negra, escaneará tu sitio web en pos de malware y administrará tu firewall. Si advierte algo, te lo notificará por correo electrónico. Google, Norton, McAfee: todos estos motores de listas negras se incluyen en este complemento.

No vaciles en probarlos todos. Puedes hallar una guía completa sobre cómo instalar complementos de WP.


Paso siete – Migrar el sitio de WordPress a un hosting más seguro


Puede sonar como un consejo extraño, pero las estadísticas muestran que más del 40 por cien de los sitios de Wordpress fueron hackeados debido a vacíos de seguridad en las cuentas de hosting. Este número por sí mismo debería obligarte a replantear tu elección de hosting actual ya un alojamiento web más seguro. Ciertos factores clave a tener en consideración al buscar un nuevo hosting:


  • Si se trata de hosting compartido, asegúrate de que tu cuenta esté apartada de otros usuarios y no haya peligro de que un sitio infecte a todos y cada uno de los demás en el servidor.
  • Tiene la función de copias de respaldo automáticas.
  • Debe tener una herramienta de escaneo de virus y de firewall por la parte del servidor.

Paso ocho – Hacer copias de seguridad con la mayor frecuencia posible



Incluso los sitios más grandes son hackeados todos los días a pesar del hecho de que sus propietarios gastan miles para reforzar la seguridad de WordPress.


Aún si estás siguiendo las mejores prácticas y cumples con otros consejos de este artículo, prosigue siendo crucial hacer una backup de tu sitio de Wordpress regularmente.


Hay bastantes formas de crear copias de seguridad. Por ejemplo, puedes descargar manualmente archivos de WordPress y exportar la base de datos o emplear la herramienta de copias de respaldo de tu distribuidor de hosting. Otra forma es emplear plugins de WordPress. Los complementos de copia de respaldo de Wordpress más populares son:


Incluso puedes mecanizar el proceso de copias de seguridad y guardar copias de respaldo de Wordpress en Dropbox.


Paso nueve – Desactivar la edición de archivos


Como sabrás, WP tiene un editor de archivos incorporado que permite editar archivos PHP. Si bien esta característica es muy útil, también puede hacer mucho daño. Si el atacante obtiene acceso a tu panel de administrador, lo primero que buscará es el Editor de archivos. Algunos usuarios de WP prefieren deshabilitar totalmente esta función. Se puede desactivar editando el fichero
wp-config.phpe incluyendo la siguiente línea de código:


Eso es todo cuanto tienes que hacer para deshabilitar la edición de archivos en WordPress.


IMPORTANTE: Caso de que quieras regresar a habilitar esta función, use el usuario FTP o bien el Administrador de archivos de tu proveedor de alojamiento web y elimina este código del fichero wp-config.php.


Paso diez – Suprimir temas y complementos no utilizados


Haz una limpieza de tu lugar de Wordpress y elimina todos y cada uno de los plugins y temas no empleados. Los piratas informáticos acostumbran a buscar temas y complementos deshabilitados y desactualizados (aun los plugins oficiales de WP) y utilizarlos para obtener acceso a tu escritorio o bien cargar archivos maliciosos en tu servidor. Al suprimir plugins y temas que dejaste de usar (y seguramente olvidaste actualizar) hace mucho tiempo, reduces el riesgo y haces que el sitio de Wordpress sea un poco más seguro.


Paso once – Emplear .htaccess para mayor seguridad


Se requiere un fichero .htaccess a fin de que los links de WordPress funcionen adecuadamente. Sin las reglas correctas en el fichero .htaccess, obtendrías muchos errores 404.


No muchos usuarios saben que .htaccess se puede emplear para progresar la seguridad de WP. Por poner un ejemplo, con .htaccess puedes bloquear el acceso o bien deshabilitar la ejecución de PHP en carpetas específicas. Los ejemplos a continuación muestran cómo se puede utilizar .htaccess para reforzar la seguridad de Wordpress.


IMPORTANTE Antes de efectuar cualquier cambio, se aconseja realizar una backup del archivo .htaccess anterior. agencia marketing españa usar elo el
Administrador de archivospara esto.


El siguiente código permitirá el acceso al área de administrador de Wordpress solo desde direcciones IP específicas.


Ten en cuenta que debes cambiar
XX.XX.XX.XXXpor tu dirección IP. Puedes usarpara contrastar tu IP actual. Si usas más de una conexión para regentar tu lugar de WordPress, asegúrate de incluir también todas las otras direcciones IP (no vaciles en añadir todas las líneas de permiso que precises). No se aconseja utilizar este código si tienes una dirección IP dinámica.



Deshabilitar la ejecución de PHP en carpetitas específicas


A los atacantes les agrada cargar scripts de puerta trasera a la carpetita de carga de WP. De manera predeterminada, esta carpeta se utiliza para cargar solo ficheros multimedia. Por lo tanto, no debería contener ningún fichero PHP. Puedes desactivar fácilmente la ejecución de PHP creando un nuevo archivo .htaccess en
/wp-content/uploads/con estas reglas:



Proteger el archivo wp-config.php


El fichero wp-config.php contiene la configuración del núcleo de WP y los detalles de la base de datos MySQL. Por tanto, es el archivo de WordPress más esencial. Es por eso que es el objetivo principal de los hackers de WP. No obstante, puedes resguardar fácilmente este archivo usando las reglas .htaccess:


Paso 12 – Cambiar el prefijo predeterminado de la base de datos de WP para evitar inyecciones de SQL


La base de datos de WordPress guarda y guarda toda la información crucial requerida a fin de que tu sitio funcione. Como resultado, se transforma en un fin atrayente para hackers y spammers que ejecutan código automatizado para realizar inyecciones de SQL. Al instalar Wordpress, la mayoría de las personas ni siquiera se molestan en cambiar el prefijo de base de datos predeterminado
wp_. Según“1 de cada cinco casos de hackeo de WP ocurren debido a las inyecciones de SQL”. Como
**wp**es la configuración predeterminada, los piratas informáticos intentarán agredir ese valor primero. En este paso, vamos a ofrecer una breve descripción de cómo puedes resguardar tu sitio de WP contra dichos ataques.


Cambiar el prefijo de tabla para un sitio de WP existente


¡IMPORTANTE! La seguridad es lo primero. Asegúrate de
hacer una backup de tu base de datos MySQL de WordPressantes de seguir.


Parte 1 – Mudar el prefijo en wp-config.php


Usando elo el Administrador de ficheros, halla tu
wp-config.phpy busca el valor
dólares americanos table_prefix.


Puede agregar números, letras o bien guiones bajos. Después de eso, guarda los cambios y continúa con el próximo paso. En este tutorial, usaremos
wp_1secure1_como el nuevo prefijo de tabla.


Mientras estés en tu fichero
wp-config.php, busca también el nombre de tu base de datos, para que sepas qué base de datos precisas editar. Busca la sección
define('DB_NAME'


Parte dos – Actualizar todas y cada una de las tablas de la base de datos


Ahora, necesitarás actualizar todas y cada una de las entradas en tu base de datos de WP. Esto se puede hacer mediante phpMyAdmin.


Encuentra la base de datos que identificaste en la parte 1 y acceda a ella.


Una instalación predeterminada de Wordpress tiene doce tablas y cada una debe ser actualizada. Sin embargo, se puede hacer más rápido utilizando la sección
SQLde phpMyadmin.


Cambiar cada tabla manualmente tomaría una cantidad de tiempo excesiva, por tanto, utilizaremos consultas SQL para acelerar las cosas. Utiliza la próxima sintaxis para actualizar todas y cada una de las tablas en tu base de datos.


Algunos temas o bien plugins de WordPress pueden crear tablas auxiliares en la base de datos. Caso de que tengas más de 12 tablas en tu base de datos MySQL, añade el resto de ellas manualmente a la lista de consultas SQL y ejecútalas.


Parte tres – Contrastar las tablas options y usermeta


Dependiendo de la cantidad de plugins que tengas instalados, algunos valores en tu base de datos deberán actualizarse manualmente. Eso se puede hacer ejecutando consultas SQL separadas en las tablas
optionsy
usermeta.


Para la tabla de
options, deberías usar:


Para la tabla
usermetadeberías usar:


Cuando consigas los resultados de la consulta SQL, simplemente actualiza todos los valores de
wp_con tu prefijo recién configurado y listo. En la tabla
usermetanecesitarás editar el campo
meta_key, al paso que en
options, el valor de
option_namedeberá ser alterado.


Asegurar nuevas instalaciones de WordPress


Si planeas instalar nuevos sitios de Wordpress, no será preciso realizar este proceso nuevamente. Sencillamente podrás mudar tu prefijo de tabla de WP durante la instalación:


¡Felicitaciones! Has mejorado de forma exitosa la protección de la base de datos de WP contra las inyecciones de SQL.


Conclusión


Aunque Wordpress es el CMS más hackeado del mundo, no es difícil prosperar su seguridad. En este tutorial damos 10 consejos que deberías proseguirse para prosperar la seguridad en WP.


 

Powered by BookLikes © 2015 | RSS