Descubrir Vulnerabilidades De WordPress Que Debes Tener En Cuenta

La mitad de los portales web que trabajan con WordPress se encuentran auto-alojados, lo que significa que la plataforma tiene un gran porcentaje de responsabilidad relacionada con la seguridad del proceso de instalación.

Los dueños de los sitios pueden tomar recaudos para cuidarse de las posibles vulnerabilidades de WordPress con la instalación de complementos adicionales relacionados con la seguridad, pero sorprendentemente una gran cantidad prefiere no instalar nada.

Vulnerabilidades De WordPress

 

Esto es justamente lo que quieren los piratas informáticos para ingresar a los sitios web de WordPress y realizar diferentes actividades maliciosas.

La instalación principal de WordPress es realmente sencilla y con una buena protección, los inconvenientes comienzan cuando el ususario agrega nuevas funcionalidades por medio de complementos y códigos de dudoso origen.

Cuantas más cosas se instalen, más complicado será la protección del sitio en WordPress, sin importar si se está ejecutando en un blog personal o un sitio web empresarial.

¿Cómo Proteger Los Sitio Web De WordPress Por Su cuenta?

A continuación vamos a compartir algunos tips de seguridad a tener en cuenta para mejorar la seguridad de su portal web:

Desalentar los ataques de fuerza bruta en la página de inicio

La URL de la página de inicio de WordPress es una página normal, por lo que los hackers encuentran sencillo el acceso a las operaciones de backend forzando su camino a través de ella.

Lo único que deben hacer es pegar /wp-login.php/ o / wp-admin / al lado del nombre de dominio del sitio, y su trabajo estará casi listo.

Sin embargo este inconveniente es simple de arreglar:

Hay que hacer la instalación de una función de bloqueo que inhabilite a los piratas informáticos el acceso al sitio luego de varios intentos fallidos y contraseñas incorrectas. Estos detalles además le notificarán cada vez que se está realizando una actividad no autorizada en su portal web.

Mantener actualizada la versión de WordPress de forma periódica

Una gran cantidad de usuarios prefieren dejar de lado el banner de “Actualización disponible” que aparece en el panel de WordPress, pero esto es una mala idea ya que lo mejor es mantener actualizada la plataforma.

Por lo tanto, no olvidar actualizar cotidianamente el portal para cerrar los caminos de los hackers.

Mantener actualizada las plantillas y complementos

Quitar los temas y complementos que no se usan.

Si tienen menos plugins y plantillas, será más complicado para los hackers atacar al portal web, así que: ¿Porqué mantener los que no están en uso? A menos que se tengan actualizados a diario, es aconsejable quitarlos lo antes posible.

Descartar el nombre de usuario “admin”

La instalación básica de WordPress usa “admin” como nombre de usuario estándar y mantenerlo puede ser un grave problema ya que facilita el trabajo de los hackers.

Lo que se debe hacer es agregar una consulta SQL a PHPMyAdmin, y modificar el nombre de usuario en algo más complejo.

Iniciar sesión con su cuenta de correo

Iniciar sesión con su ID de correo electrónico es una gran idea que usar un nombre de usuario ya que es más sencillo de adivinar que un ID de correo electrónico, porque WordPress genera un nuevo email para cada usuario.

Utilizar una contraseña difícil de descifrar y modificarla con la mayor frecuencia posible.

Fortalecer su contraseña y cambiarla con la mayor frecuencia posible

En lugar de utilizar contraseñas simples y sencillas de adivinar, es una buena idea cambiarlas con cadenas aleatorias de números y letras, que se pueden crear de forma manual o utilizar un generador de contraseñas automático (Strong Password Generator y Norton Password Generator son excelentes opciones).

Usar la autenticación en dos pasos

La autenticación en dos pasos es una excelente opción de seguridad para la prevención de ataques de fuerza bruta y es uno de los mejores trucos de seguridad a tener en cuenta en las plataformas WordPress.

Esto quiere decir que al momento de iniciar sesión, los usuarios deberán proporcionar un código de autorización además de la contraseña, que es entregado por correo electrónico o mensaje de texto.

Hay diferentes complementos recomendados, uno de ellos que recomiendo se llama Google Authenticator.

Evitar plugins de pago ofrecidos de forma gratuita

En general, los plugins de pago sólo se deben descargar de páginas oficiales y legales de sus vendedores, ya que las versiones “pirateadas y gratuitas” siempre vienen con un regalo extra llamado malware.

La mayoría de las veces, son los mismos hackers que ofrecen en sitios ilegales estos complementos inseguros para intentar ingresar a nuestra configuración WordPress.

Deshabilitar el editor de plantillas y complementos

A menos que utilicen el editor de plugins y plantillas instalado en tu tablero WP de forma regular, es recomendable mantenerlo deshabilitado por completo. La razón de ello es que una vez que una cuenta de usuario autorizada es haceada, el atacante obtiene el acceso directo al editor y consigue modificar todos los códigos importantes.

Deshabilitar los informes de errores de PHP

Mientras que los informes de problemas de plugin son la mejor opción para la solución de inconvenientes, incluyen incluir la ruta completa del servidor del portal web, que no será un problema, siempre y cuando los infiltrados no echen mano en ellos.

Esta es la razón por la que se debe mantener desactivado el informe de errores y buscar una alternativa diferente de gestión a la solución de problemas.

Usar .htaccess para la protección de archivos vitales

Los archivos de .htaccess son conocidos para los usuarios expertos de WordPress y su trabajo es elemental para tener una completa seguridad de todo el sitio. La razón de ello es que los archivos .htaccess son el núcleo de la funcionalidad de WP y dictan la capacidad del sitio para armar la estructuración de permalinks y protecciones.

Una una variedad inmensa de fragmentos de código que se pueden insertar en los .htaccess para determinar qué archivos serán visibles en el directorio del portal web, incluyendo las etiquetas #BEGIN y #END procedentes directamente del codex de WordPress.

El primer paso recomendable es ocultar el archivo wp-config.php, ya que este es el núcleo del sitio web y que contiene todos los detalles de seguridad e información personal.

Obtener Un Alojamiento De Calidad

Ninguno de estas recomendaciones de seguridad tendrá sentido si no se contrata un proveedor de alojamiento sólido, en particular, cuando se usa un plan de alojamiento compartido no ofrece la seguridad necesaria para el sitio web.

Es recomendable la contratación de un servicio de alojamiento exclusivo para sitios WordPress, ya que proporciona un cortafuegos WP, MySQL actualizado y PHP, además de la exploración periódica de malware. La mayoría de estos proveedores también permiten la conexión a expertos en el tema para evacuar preguntas y consultas relacionadas.

Por lo tanto, gaste lo necesario en un servicio de calidad y prestar atención a la seguridad que brinda el proveedor de alojamiento seleccionado.

Mantener la protección del directorio wp-admin

Todas las operaciones básicas de WordPress pasan por el directorio wp-admin, lo que significa que un hacker que pueda ingresar al lugar tendrá acceso completo a todo el sitio web y puede causar daños graves.

Un consejo para evitar el acceso fraudulento a wp-admin es la protección de la base de datos con dos contraseñas únicas, una utilizada para el inicio de sesión en el portal web y la segunda para el acceso al área de administración.

El administrador también estará habilitado para el desbloqueo de diferentes partes de la base de datos wp-admin y dar acceso a usuarios específicos mientras se preserva el control sobre el resto.

El área administrativa se puede proteger gracias a la herramienta AskApache Password Protect, que se usa para generar archivos .htpasswd, configurar y solucionar los permisos de archivo y cifrar ambas contraseñas.

Plugins Recomendables Para Seguridad

WordPress Exploit Scanner

Este plugin se usa para la supervisión y análisis de todos los archivos disponibles en la base de datos de la administración, incluidos los mensajes y comentarios.

Informará las actividades sospechosas, como complementos desactualizados, nombres de archivos inusuales, pero no los eliminará. En su lugar, notificará al usuario y lo invitará a realizar la acción.

BulletProof Security

La seguridad es un tema de relevancia al momento del funcionamiento de la plataforma WordPress. BulletProof Security es una famosa herramienta para la optimización del rendimiento y la seguridad del sitio. Además ofrece un código personalizado de bonificación para portales web que procesan grandes volúmenes de datos confidenciales.

¿Cuál es el funcionamiento de BulletProof Security para la optimización del rendimiento? Bueno, mientras mantiene los datos asegurados, este complemento también verificará si el proyecto funciona lento o de forma errónea, y que no habrá problemas de memoria o de rendimiento, todo lo hace con su velocidad Boost Cache Bonus Code.

Pensamientos Finales

Es importante tener en cuenta que la mayoría de las vulnerabilidades provienen de los plugins. El mercado de WordPress es enorme y se encuentran miles de complementos supuestamente útiles de orígenes dudosos y que pueden poner todo el sitio web en grave peligro, por lo tanto tener mucho cuidado con los extras que están instalando.

La mejor manera de protección de un portal web en WordPress ante los ataques de fuerza bruta es la limitación de complementos instalados si realmente no son necesarios. Esto es realmente complicado de lograr, teniendo en cuenta que la mayoría de los bloggers prefieren WordPress para el trabajo diario.

Por supuesto que no se espera que todos los usuarios quiten todos los complementos de raíz, sino que elimine aquellos que no se usen y mantener el resto actualizado para reducir la probabilidad de vulnerabilidad y brechas de seguridad.

También es una buena idea chequear que los complementos instalados no se encuentren abandonados por su creador y reemplazarlos por alternativas mejores.

Lo creas o no, la gran mayoría de los ataques de fuerza bruta son cuestión de suerte ya que los hackers utilizan diferentes combinaciones de nombre de usuario y contraseña hasta encontrar la correcta.

Esto es bastante sencillo de resolver, simplemente seleccionado un nombre de usuario y contraseña lo suficientemente fuerte y que nos sea sencillo de adivinar.

WordPress no es tan complicado de asegurar, ya que cuenta con una base sólida creada por sus desarrolladores y una comunidad gigante de usuarios que sugieren ideas para la correcta protección del blog ante los ataques.

Recordar que la zona de ataque más frecuente por los hackers es el panel de administración, ahí es donde se debe reforzar la seguridad. Por lo tanto, hacer que sea imposible que se apoderen de nuestro sitio web y que causen daños irreparables.

[Total:0    Promedio:0/5]