Share
WordPress es de código abierto, lo que significa que todos, incluidos los piratas informáticos con intenciones maliciosas, pueden rastrear el código fuente en busca de agujeros en su seguridad. Es por eso que les mostraré algunos buenos pasos de precaución para protegerlo a usted, a su WordPress y, lo que es más importante, a sus usuarios..
Probablemente, lo más fácil que podría hacer para protegerse es comenzar cambiando / eliminando el superusuario de administrador. Cualquiera que use WordPress sabe que hay un usuario llamado admin con una autorización de seguridad de nivel superior, especialmente hackers. Si el nombre de usuario es admin, ¿qué tan difícil puede ser descifrar la contraseña? Cree una nueva cuenta administrativa, pero esta vez con un nombre diferente, y luego elimine la cuenta de administrador.
De hecho, lo que personalmente recomendaría es crear una cuenta administrativa con un nombre de usuario y contraseña muy complejos (como x7duEls91 *), almacenarla en algún lugar y crear otra cuenta para que publique contenido que tenga su nombre y que no tenga ejecutivo. potestades. La cuenta de administrador es esencialmente solo necesaria para administrar temas, complementos y otros aspectos del sitio que no necesitan ser cambiados diariamente, una cuenta de editor sería suficiente.
?Trate su contraseña como su cepillo de dientes. No permita que nadie más lo use, y obtenga uno nuevo cada seis meses.?
~ Clifford Stoll
Independientemente del tipo de sitio que esté ejecutando, puede correr el riesgo de sufrir un ataque de fuerza bruta. En el primer paso, cuando eliminamos el nombre de usuario del administrador, probablemente disuadimos a la mayoría de los piratas informáticos, pero siempre hay aquellos que son muy persistentes o ya conocen su nombre de usuario. El siguiente paso a seguir es elegir una contraseña muy difícil y una contraseña diversa. Una buena manera de determinar si su contraseña es segura es ingresarla en un verificador de contraseñas en línea como passwordmeter.com o generar una contraseña aleatoria.
Además, prefiero tomar precauciones adicionales al proteger mi blog, la instalación de complementos puede agregar una capa adicional de seguridad. Existen numerosos complementos que pueden manejar contraseñas y aspectos de inicio de sesión de WordPress. Un plugin que me parece muy útil es Login LockDown; registra la dirección IP y la marca de tiempo de todos los inicios de sesión fallidos, además del bloqueo de IP después de un cierto número de inicios de sesión fallidos. Este complemento es especialmente útil cuando se trata de defenderse contra un ataque de fuerza bruta: la mayoría de los atacantes se dan por vencidos en un sitio si están prohibidos por IP cada 5 minutos mientras ejecutan su programa de fuerza bruta.
Como dije anteriormente, WordPress es de código abierto, lo que lo convierte en un objetivo más fácil para los piratas informáticos. Casi 60 millones de sitios usan WordPress, cuando Automattic lanza una actualización, cuanto antes se actualice su sitio, mejor porque cuando hacen una nueva actualización también publican las vulnerabilidades que corrigieron. Además, no lleva mucho tiempo actualizar la instalación de WordPress, de acuerdo con WordPress, se tarda 5 minutos en completarse.
Digamos que se olvida de actualizar su instalación de WordPress, o simplemente no tiene 5 minutos de sobra. Su versión de WordPress le da a los hackers una buena idea de cómo pueden hackear su sitio, especialmente si está desactualizado..
De forma predeterminada, WordPress muestra la versión, ya que quieren que las métricas vean cuántas personas están usando qué versión, etc. Sin embargo, esto es como poner un letrero rojo brillante en su sitio que le dice a los hackers qué hacer.
Si está utilizando un tema premium, lo más probable es que el desarrollador se haya tomado la libertad de desactivarlo, pero siempre es mejor estar seguro. Abra su archivo functions.php y suelte en esta línea de código.
Es muy importante que tenga los permisos de archivo adecuados para garantizar la seguridad de su sitio. Le recomiendo que restrinja sus permisos de archivo al valor CHMOD de 744, que esencialmente lo hace de solo lectura para todos, excepto usted..
Simplemente abra su programa FTP y haga clic derecho en la carpeta o archivo y haga clic en "Permisos de archivo". Si es 777, tienes mucha suerte de no haber sido hackeado. Debe cambiar el valor de CHMOD a 744, solo otorgando acceso completo al "propietario".
Las listas blancas le permiten administrar quién puede acceder a ciertas partes de su sitio web. Es como construir la Gran Muralla China alrededor de su carpeta de administrador, de modo que nadie, excepto usted, pueda acceder a la carpeta. Hacemos esto usando el archivo .htaccess.
Navegue a su carpeta / wp-admin /, luego verifique si ya existe un archivo .htaccess, si no hay uno, solo cree uno. Si ya hay uno, sugiero hacer una copia de seguridad antes de realizar cualquier edición.. Asegúrese de que está en la carpeta wp-admin y no en la carpeta raíz.
Pegue el siguiente código en el archivo .htaccess:
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basicordenar denegar, permitir negar de todas # Lista blanca Su dirección IP permite desde xx.xx.xx.xxx # Lista blanca La dirección IP de su oficina permite desde xx.xx.xx.xxx # Lista blanca Su dirección IP mientras viaja (Eliminar cuando regrese Inicio) permitir desde xx.xx.xx.xxx
Reemplace los xx con su dirección IP, que puede encontrar en WhatsMyIP.org. Ahora, cada vez que vaya a iniciar sesión desde algún lugar distinto de los lugares que agregó en su archivo .htaccess, debe agregar la nueva dirección IP antes de poder usarla.
Independientemente del nivel de seguridad de su sitio de WordPress, es un buen hábito realizar siempre una copia de seguridad de su sitio. Hay muchas maneras de hacer esto. Puede aprovechar los trabajos de cron, si la empresa de hosting lo proporciona, usando este comando:
DBNAME = DB_NAME DBPASS = DB_PASSWORD DBUSER = DB_USER EMAIL = "you@your_email.com" mysqldump --opt -u $ DBUSER -p $ DBPASS $ DBNAME> backup.sql gzip backup.sql DATE = "fecha +% Y% m% d "; mv backup.sql.gz $ DBNAME-backup- $ DATE.sql.gz echo 'BLOG BACKUP: Su copia de seguridad está adjunta' | mutt -a $ DBNAME-backup- $ DATE.sql.gz $ EMAIL -s "MySQL Backup" rm $ DBNAME-backup- $ DATE.sql.gz
Alternativamente, puede usar VaultPress, un servicio de Automattic. Si está interesado en aprender más sobre VaultPress, le recomiendo que lea este tutorial..
La forma más fácil de hacerlo es simplemente iniciar sesión en el panel de administración, navegar a Herramientas y luego hacer clic en Exportar. Esto facilita su vida, especialmente cuando necesita volver a configurar su WordPress.
Poner un archivo de índice en blanco en su carpeta / wp-content / plugins / ocultará todos sus complementos. Algunos de ustedes probablemente estén pensando: "¿A quién le importa si alguien puede ver mis complementos?". Bueno, los complementos pueden decirle a los hackers cómo piratear su sitio, o al menos si es hackeable.
Como puede ver, los complementos son claramente visibles para cualquiera que navegue a la carpeta / wp-content / plugins. Si un pirata informático no ve complementos de seguridad, inmediatamente se dará cuenta de que este será un trabajo fácil. Agregar index.html en blanco a la carpeta de complementos es como poner una señal de seguridad en su césped, no importa si realmente tiene el sistema de seguridad, pero mientras el hacker no lo sepa, estará menos inclinado a intentarlo. cualquier cosa.
La mejor herramienta de seguridad, independientemente del complemento / software que instale, es tú. Para estar seguro de que está completamente protegido, debe adoptar un enfoque proactivo de la seguridad de su sitio web. Tres veces al día reviso los registros de mi servidor y los análisis web para ver si hay algún comportamiento inusual.
Ahora, con una instalación segura y segura de WordPress, está listo para publicar libremente su contenido sin tener que tener miedo si es vulnerable a ser hackeado..
Si tiene alguna pregunta sobre este tutorial, la seguridad de WordPress o la seguridad en general, solo deje un comentario y le responderé tan pronto como pueda..
Accentsconagua