Los ataques a sitios que ejecutan el sistema de administración de contenido de WordPress ahora son comunes, a pesar del núcleo bien seguro del sistema. En la siguiente publicación, le ofrecemos algunos consejos simples que pueden complicar significativamente sus intenciones maliciosas.
Cambiar nombre de usuario «admin»
Este es el nombre predeterminado al instalar WordPress, que nunca debe permanecer en su forma original. Los piratas informáticos utilizan este error con bastante frecuencia, y la mejor defensa es crear una nueva cuenta de administrador y eliminar la predeterminada.
Usa una contraseña segura
Número de teléfono, fecha de nacimiento o incluso su nombre: una contraseña en forma de frase simple le da a un atacante la oportunidad de tomar el control de su sitio en minutos. Una opción ideal es usar una expresión que no está disponible en el diccionario (una herramienta estándar para los llamados ataques de fuerza bruta) y una combinación de letras con números, como 1d34ln3-h3sl0 .
Edite el archivo .htaccess
Los cambios en .htaccess requieren al menos un conocimiento mínimo del problema, de lo contrario existe el riesgo de mal funcionamiento del sitio o de sus componentes, por lo que antes de editarlo, es recomendable hacer una copia de seguridad del archivo original. El siguiente ejemplo muestra cómo es posible bloquear el acceso al panel de administración de WordPress para todos, excepto las direcciones IP definidas, de una manera simple pero efectiva. Pegue el .htaccess modificado en el directorio wp-admin .
AuthType Basic
order deny,allow
deny from all
# vasa domaca IP adresa
allow from xxx.xxx.xxx.xxx
# vasa IP adresa v praci
allow from xxx.xxx.xxx.xxx
Actualizar el sistema
Un clic para eliminar el riesgo potencial de que su sitio se vea comprometido por errores ocultos del sistema. Los desarrolladores del kernel del sistema corrigen constantemente sus errores, y no debe dudar ni un momento, especialmente con las actualizaciones de seguridad.
Sube solo archivos «limpios»
Asegúrate de que los archivos que vas a subir al servidor no contengan virus. Su proveedor de alojamiento definitivamente no le agradecería por tal pieza, y ciertamente no quiere una «recompensa» de Google en forma de una página roja con una advertencia sobre contenido peligroso, ¿verdad?
Instale el módulo de seguridad
Al ofrecer un servicio muy decente en su categoría, el módulo Better WP Security combina muchas características y técnicas de seguridad en un solo paquete, BulletProof Security lo ayuda con la protección contra ataques XSS, RFI, CRLF, CSRF, Base64, Code Injection y SQL Injection. Wordfence Security ofrece una solución integrada, un escáner de virus y URL maliciosas, y monitoreo de datos en tiempo real como una solución completa.
No use módulos obsoletos
Si usa uno de los módulos almacenados en el repositorio oficial de WordPress , encontrará una fuerte alerta de este hecho cada vez que no se haya actualizado durante mucho tiempo (vea la imagen a continuación). Depende de usted si desea arriesgarse a una posible incompatibilidad o problema de seguridad.
Realice copias de seguridad con regularidad
Si no quieres dejar nada al azar, definitivamente no debes ignorar este paso. Cuanto más raro sea el contenido de su sitio, más a menudo debe hacer una copia de seguridad de su contenido, pero la recomendación general es ‘una vez al día’. Concéntrese principalmente en la base de datos MySQL y el tema utilizado, estos dos elementos son los objetivos más comunes de ataque (específicamente el archivo index.php y las tablas de la base de datos wp-user y wp-usermeta ).
Por supuesto, los 8 puntos mencionados no son un resumen de todas las opciones disponibles para asegurar WordPress. Es posible que conozca otras formas de defenderse contra los ataques en el sitio y nos encantaría que nos las describiera brevemente a través de los comentarios.
Was this article helpful for you? Support me by sharing, please. 👍