La seguridad de WordPress es a menudo una preocupación olvidada para los nuevos usuarios de WordPress. El " Hackear Es para ellos algo que leen, pero que no conciben posible que les pase. Por lo tanto, las inyecciones de SQL, XSS, la escalada de privilegios y las vulnerabilidades de seguridad críticas son solo palabras de moda en las nuevas tecnologías.
Pero las cosas deben ser diferentes. La seguridad de WordPress es fundamental: cada sitio de WordPress debe estar protegido de manera completa y adecuada.
Por lo tanto, es esencial como propietario de un sitio de WordPress saber qué hacer para proteger su blog de los ataques.
Acabo de empezar, creo que mi blog se salvará
Si lo cree, se encontrará con serias dificultades incluso antes de haber ganado algo con su blog. Los piratas informáticos no buscan tu blog manualmente ni necesitan hacerte daño directamente.
Por lo general, los "piratas informáticos" utilizan scripts automatizados que buscan blogs. Si aparece un enlace a su sitio en un foro, otro blog o incluso en una red social, este enlace puede aprovecharse para llegar a su blog.
El objetivo generalmente perseguido por los piratas informáticos es poder utilizar su alojamiento hacer otra cosa. Por tanto, le conviene no descuidar este aspecto.
La "lista de TODO" de cada bloguero en términos de seguridad
Ya sabes que tu blog no se salvará. ¿Qué puedes hacer entonces?
Hemos preparado una lista de recomendaciones (También es un recordatorio para todos aquellos que nos siguen aquí en BlogPasCher), lo que debe hacer para proteger mejor su blog de WordPress.
1 - Siempre debes tener una versión actualizada de WordPress
Una y otra vez, leerá comentarios sobre bloggers que se niegan a actualizar su versión de WordPress, porque temen que esta actualización plantee un problema de compatibilidad.
En 2016, es desafortunado ver que todavía hay este tipo de mentalidad.
Si tuviera que elegir entre un sitio pirateado y un complemento que no funciona momentáneamente, ¿qué elegirá?
Los complementos que son incompatibles con las últimas versiones de WordPress pueden seguir siéndolo por un corto tiempo, pero un sitio pirateado, por otro lado, es un problema mucho mayor.
Cada actualización de WordPress corrige problemas de seguridad descubiertos recientemente. Si su versión de WordPress no se actualiza, su sitio será vulnerable a fallas.
Aprenda a administrar las actualizaciones de WordPress
2 - No modifique el código fuente de WordPress
Desde el momento en que usted o un desarrollador de WordPress modifique los archivos del sistema de WordPress, no podrá actualizar WordPress fácil y automáticamente a su última versión, ya que perderá los cambios realizados en su sitio.
Esto hará que su sitio web sea vulnerable a problemas de seguridad descubiertos en la versión de WordPress que está utilizando. Entonces te necesitarás a ti mismo patcher Las diferentes vulnerabilidades, y dudo que esta noche sea una tarea fácil. Un dicho entre los desarrolladores de WordPress dice: Nunca modifiques el código fuente de WordPress por ningún motivo. Cuando lo haces, un gatito en la tierra muere.
Realmente no tiene sentido, pero debe entenderse que WordPress es tan flexible que permite que el complemento modifique su comportamiento sin tocar el código fuente.
3: asegúrese de tener siempre complementos actualizados
Al igual que con su versión de WordPress, las vulnerabilidades se encuentran a menudo en plugins de WordPress. Ha habido muchos casos de hackeo de blog de WordPress relacionados con la vulnerabilidad de los complementos.
La mayoría del software es propenso a estos problemas en algún momento de su existencia. La forma en que se manejan las vulnerabilidades muestra la seriedad con la que algunas empresas manejan sus negocios.
En principio, tan pronto como se descubre un problema, los desarrolladores del complemento lo corregirán rápidamente y ofrecerán una actualización.
Descubra cómo actualizar complementos automáticamente
4: elimina los complementos que no uses
Cuantos más complementos instales, más vulnerabilidades expondrá tu blog.
A veces instalamos complementos para probar su funcionalidad y olvidamos eliminarlos. Si se descubre una vulnerabilidad en estos complementos, su sitio web será vulnerable automáticamente, incluso si el complemento no se usa realmente.
Si no utiliza un complemento, elimínelo. También asegúrese de tener siempre en cuenta que las pruebas de complementos se pueden realizar localmente.
Cómo desinstalar un complemento de WordPress
5: asegúrese de que su tema se actualice regularmente
La misma lógica que se aplica a las actualizaciones de WordPress y sus complementos, se aplica a sus temas. Asegurar WordPress significa que todos los temas deben actualizarse a sus últimas versiones. De lo contrario, cualquier vulnerabilidad de seguridad que se haya solucionado seguirá siendo un problema para usted.
Ahora probablemente pueda pensar que todos los cambios que realizó en el tema ya no estarán disponibles después de la actualización. En principio, las modificaciones de un tema deben realizarse necesariamente mediante un tema hijo, en lugar de hacerlo directamente en el tema padre. Esto le permitirá obtener los últimos parches y actualizaciones de seguridad sin eliminar los cambios.
6: instala complementos y temas desde una fuente confiable
A veces, cuando los tiempos son difíciles, podemos tener la tentación de "omitir" el pago de un buen tema o complemento y obtenerlo gratis de una mala fuente.
De hecho, no hay nada de malo en indexar una fuente aquí. La piratería, los torrents y otras fuentes que ofrecen software de pago de forma gratuita son algo que debes evitar como la plaga.
Sin embargo, de lo que generalmente no nos damos cuenta es que muchos de estos temas pirateados descargados de forma gratuita se han dañado de forma malintencionada. Principalmente un " puerta trasera Fue instalado en el script. Esto permite que el sitio donde se usa el tema o el complemento se controle de forma remota.
Por lo tanto, debe asegurarse de descargar tantos temas gratuitos como sea posible WordPress.orgo temas premium en fuentes como " ThemeForest ".
7: usa contraseñas seguras
Muchos propietarios de blogs son negligentes a este nivel. Si su contraseña es fácil de adivinar, entonces está en serios problemas. Las contraseñas más utilizadas son:
- 123456
- Administración
- 0000
- Contraseña
- Secreto
Es horrible notar eso. No puede considerar trabajar seriamente en su blog, si su contraseña no lo es.
La protección de un blog también es tener una contraseña confiable.
8: limitar los intentos de conexión
Ya hemos hablado de los casos de ataques de contraseña de fuerza bruta y el hecho de que usar bots es barato y muy accesible para sus hackers. Por esta razón, debe implementar mecanismos para bloquear cualquier intento de ataques de fuerza bruta.
El complemento « límite de sesión Hace exactamente eso Si detecta varios intentos de inicio de sesión incorrectos, evita que ese usuario inicie sesión nuevamente. Esto, por supuesto, hace que los intentos de ataques de fuerza bruta sean difíciles de organizar y protege mejor tu blog.
9 - Hacer copias de seguridad
He enumerado una lista de cosas que debe hacer para proteger WordPress y entiendo que puede ser algo difícil de poner en práctica. También sé que es posible que se olvide de armar.
Pero hay una tarea que no debe omitir: hacer copias de seguridad de tu blog.
Lo único que nunca debe olvidar es tener un plan de respaldo de WordPress. No solo en caso de ataques, sino incluso en caso de accidentes, fallas técnicas y otros contratiempos, tener una copia de seguridad garantiza que pueda recuperarse fácilmente.
Snapshot Pro es como una máquina del tiempo para su sitio web, lo que le permite realizar copias de seguridad y restaurar todo su sitio e incluso programar copias de seguridad automáticas periódicas.
10 - Activar Google Search Console
Si bien esta no es una recomendación estricta sobre WordPress, sigue siendo algo que debe considerar como un complemento de las diversas recomendaciones de esta lista.
Google y otros motores de búsqueda siempre quieren asegurarse de que su sitio web esté libre de amenazas para los usuarios de los motores de búsqueda. Es por esta razón que Google le notificará si nota algo anormal en su sitio web.
Esta práctica le permitirá restaurar adecuadamente un sitio web que ha sido "Hackeado", especialmente porque Google oculta de sus resultados cualquier sitio que represente una amenaza para estos usuarios.
Es todo ?
No, la lista no es exhaustiva. Hay muchas cosas que puedes hacer para proteger mejor tu blog. Pero este es el primer paso.
