Una guía completa para mejorar la seguridad de los sitios web de WordPress

06820

Un sistema de gestión de contenidos (CMS) es una aplicación de software que ayuda a los usuarios a crear, gestionar y personalizar sitios web sin tener que escribir su propio código.WordPress es uno de los sistemas de gestión de contenidos más populares del mundo, y como tal es un objetivo de alto valor para los ciberatacantes.

El propio equipo interno de WordPress proporciona actualizaciones y parches de seguridad periódicos para las vulnerabilidades del sistema recién descubiertas, pero hay medidas que los usuarios de WordPress pueden tomar para asegurarse de que sus sitios están protegidos contra las amenazas conocidas y emergentes. La mayoría de estas medidas se dividen en dos categorías: eliminación de amenazas y reducción de riesgos.

?Es seguro WordPress?

Image[1]-Guía completa: Cómo mejorar la seguridad de los sitios web de WordPress - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida

Ataques comunes a WordPress

  1. ataque basado en contrase?aLos intentos de contrase?a por fuerza bruta se producen cuando un atacante introduce repetidamente diferentes credenciales de usuario (combinaciones de nombre de usuario y contrase?a) en la página de inicio de sesión, y suelen utilizarse para obtener acceso no autorizado a una cuenta de WordPress. Otras formas de ataques a contrase?as incluyen el relleno de credenciales y los ataques de diccionario.
  2. Ataques de secuencia de comandos en sitios cruzados (XSS): XSS permite inyectar código malicioso en sitios web de WordPress. Esto suele hacerse a través de un plugin de WordPress.
  3. Inyección SQL (SQLi)Los ataques SQLi, a veces conocidos como inyección en bases de datos, inyectan código malicioso en sitios web de WordPress a través de campos de entrada de datos, como los formularios de contacto.
  4. Ataque DDoSAtaques DDoS: los ataques DDoS pueden dirigir grandes cantidades de tráfico no deseado a un sitio web WordPress, provocando una grave degradación del rendimiento o la interrupción del servicio.

Vulnerabilidad de WordPress

  1. Versiones de WordPress obsoletasWordPress actualiza periódicamente su software principal para parchear las vulnerabilidades existentes y reforzar las defensas frente a nuevas amenazas. Las versiones antiguas de WordPress no disponen de estas protecciones y pueden seguir siendo vulnerables a los ataques.
  2. Temas y plug-ins de tercerosTemas y plugins de WordPress de terceros: Los temas y plugins de WordPress de terceros ofrecen una amplia gama de funcionalidades, pero no siempre cumplen los requisitos de seguridad más recientes. Por lo tanto, instalarlos en tu sitio WordPress supone un riesgo.
  3. fig. bajo el mostrador (forma indirecta de influir o presionar)Una vez que un atacante ha descifrado una cuenta de WordPress, puede crear una puerta trasera (un método encubierto para eludir las medidas de seguridad). Una puerta trasera permite a un atacante acceder repetidamente a un sitio de WordPress o lanzar nuevos ataques.
  4. Autenticación de usuario deficienteEl no prestar atención a la higiene de las contrase?as (crear contrase?as seguras, cambiar las contrase?as con regularidad, etc.) o no implementar la autenticación multifactor (MFA) aumenta el riesgo de cracking.
  5. Configuración predeterminada de WordPressWordPress tiene una gran variedad de configuraciones predeterminadas, por lo que es fácil para un atacante identificar puntos de entrada comunes (como la URL /wp-login.php) e información sensible del sitio (como el archivo wp-config.php).

Buenas prácticas de seguridad en WordPress

Hay varias medidas que los usuarios pueden tomar para proteger los sitios web de WordPress de las ciberamenazas más comunes y de las vulnerabilidades conocidas. Estas medidas suelen clasificarse en las siguientes categorías:Configuración del sitio, funciones de seguridad activas, acceso de usuarios, derechos de usuarios y actualizaciones de seguridad del sitio..

I. Protección de la configuración del sitio web

  1. seguro Alojamiento WordPressLa seguridad de un sitio web WordPress depende de su proveedor de alojamiento (un servicio de terceros que proporciona contenidos en nombre de los usuarios). Deben elegirse hosts capaces de resistir ataques sofisticados, que ayuden a escanear vulnerabilidades y amenazas emergentes y que proporcionen recursos de recuperación ante desastres.
  2. Cambiar la URL de la página de inicio de sesión predeterminada de WordPress y el prefijo de la base de datosEstas URL (que terminan en /wp-login.php y /wp-admin, respectivamente) están activadas por defecto en todos los sitios de WordPress, por lo que son fáciles de encontrar para los atacantes. Pueden renombrarse para ayudar a evitar intentos de descifrado de contrase?as por fuerza bruta y otras amenazas dirigidas.
  3. Mover el archivo wp-config.phpEl archivo : wp-config.php contiene la clave de seguridad de WordPress y otros detalles sensibles de la instalación de WordPress. Desafortunadamente, también es muy fácil de encontrar. Mover este archivo por encima del directorio raíz de WordPress hace que sea difícil de encontrar para los atacantes.
  4. Instalación de temas WordPress segurosAlgunos temas de WordPress no se han actualizado para ser compatibles con la última versión de WordPress o pueden no cumplir las normas de seguridad de WordPress. Como resultado, pueden ser más fáciles de explotar para los atacantes. Elige un tema que esté incluido en el directorio de temas de WordPress o verifícalo con el validador de temas de WordPress antes de instalarlo.
  5. Ocultar la versión de WordPress que se está utilizandoMuchos ataques a WordPress aprovechan vulnerabilidades específicas de diferentes versiones de WordPress. Al ocultar qué versión de WordPress se está utilizando, los usuarios pueden evitar estas amenazas o dificultar que los atacantes descubran vulnerabilidades existentes en su sitio.

II. Instalación de dispositivos de seguridad activa

  1. Uso de certificados SSL/TLS: Secure Sockets Layer (SSL), también conocido como Transport Layer Security (TLS), es un protocolo de seguridad que ayuda a garantizar la seguridad y el cifrado de los datos transmitidos a través de la Web.Los certificados SSL pueden obtenerse de proveedores de alojamiento o de servicios de seguridad de terceros como Cloudflare.
Image[2]-Guía completa: Cómo mejorar la seguridad de los sitios web de WordPress - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida
  1. Instalación de cortafuegosEl cortafuegos de aplicaciones web (WAF) se instala en el front-end de un sitio web WordPress y se utiliza para filtrar y bloquear el tráfico no autorizado. La instalación de un WAF ayuda a evitar que los ataques DoS y DDoS tengan un impacto significativo en los servicios de su sitio web.
  2. Bloqueo de peticiones HTTP mediante el protocolo XML-RPCXML-RPC: XML-RPC se utiliza a menudo en ataques de red a gran escala o intentos de fuerza bruta. La funcionalidad XML-RPC puede excluirse mediante plug-ins o reglas de cortafuegos.
  3. Prevención de enlaces calientesHotlinking permite a terceros incrustar contenidos de sitios WordPress sin tener que alojarlos ellos mismos. Cuando esto ocurre repetidamente, aumentan los costes de ancho de banda del host original del contenido.

III. Protección del acceso de los usuarios

Image[3]-Guía completa: Cómo mejorar la seguridad de los sitios web de WordPress - Photon Flux | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida
  1. Aplicación del AMFMFA: requiere que los usuarios proporcionen una forma adicional de autenticación antes de acceder a un sistema o cuenta protegidos, lo que dificulta que un atacante pueda entrar en un sitio de WordPress incluso si descifra la combinación de nombre de usuario y contrase?a de un usuario legítimo.
  2. Limitar el número de intentos fallidos de inicio de sesión: Un ataque con contrase?a tiene más probabilidades de éxito cuando un atacante intenta introducir credenciales sin límite en la página de inicio de sesión.
  3. Baja automática de usuarios inactivosAlgunos usuarios pueden acceder a su cuenta de WordPress desde un ordenador público o desarrollar otros hábitos de navegación poco seguros. Cierre automáticamente la sesión de los usuarios tras un periodo determinado de inactividad para reducir el fisgoneo y otros accesos no autorizados.Acceso de tercerosLa oportunidad.
  4. Eliminación de cuentas de usuario inactivasEl problema es que, aunque un usuario ya no acceda al sitio de WordPress con su propia cuenta, su cuenta y sus credenciales de inicio de sesión pueden ser el objetivo de un atacante.

IV. Gestión de los derechos de los usuarios

  1. Restringir los permisos de archivos y carpetasLos usuarios no deben tener privilegios de administrador a menos que sea absolutamente necesario. Limita las funciones que los usuarios pueden realizar en tu sitio WordPress para reducir la probabilidad de que se compartan datos no deseados y minimizar el impacto de las vulnerabilidades.
  2. Prohibir la edición de documentosEl editor de archivos predeterminado de WordPress permite a los usuariosEditar PHP archivos. Si una cuenta de WordPress es crackeada, esta característica también permite a un atacante masivamenteModificar el código del archivo del sitio web.
  3. Supervisar la actividad de los usuariosLos ataques a WordPress pueden proceder tanto de fuentes externas como internas. Registra y revisa periódicamente la actividad de los usuarios para detectar cualquier comportamiento sospechoso (por ejemplo, modificación de archivos, instalación de plugins no autorizados, etc.).

V. Actualización de las funciones de seguridad de WordPress

  1. Actualizar a la última versión de WordPressWordPress se actualiza periódicamente para protegerlo de las vulnerabilidades conocidas. Compruebe las notificaciones en la parte superior del panel de control de WordPress, que avisa a los usuarios cuando hay nuevas versiones disponibles. En el panel de control, seleccione "actualización"Compruebe si Wordpress es la última versión.
Image[4]-Guía completa: Cómo mejorar la seguridad de los sitios web de WordPress - Photon Fluctuation Network | Servicio profesional de reparación de WordPress, alcance global, respuesta rápida
  1. Actualizar temas y plugins de WordPressCada tema y plugin es un punto de entrada potencial para los atacantes. Al igual que las versiones antiguas de WordPress pueden contener vulnerabilidades importantes, los atacantes suelen utilizar temas y plugins obsoletos contra los usuarios de WordPress. Esto puede verse en elpaneles de instrumentostal vezPlug-ins instaladosderechaplug-in (componente de software)Haz actualizaciones.
  2. Realice análisis de seguridad periódicos: Usocreíbleplug-ins de seguridad, software o servicios de terceros para comprobar automáticamente la existencia de malware y otros riesgos para la seguridad.
  3. Copias de seguridad periódicas de los datos del sitio webNurtureCopias de seguridad periódicas de los datos del sitio webEn caso de ataque, los datos perdidos pueden restaurarse mediante una copia de seguridad reciente del sitio web.

Resumen:

Tomando estas medidas, los usuarios pueden mejorar enormemente la seguridad de su sitio web WordPress, protegiéndolo de una amplia gama de ciberamenazas y vulnerabilidades conocidas. Mantener la seguridad del sitio web no solo salvaguarda la integridad de los datos, sino que también aumenta la confianza de los usuarios, lo que ayuda al sitio web a lograr estabilidad a largo plazo.


Contacte con nosotros
?No puede leer el tutorial? Póngase en contacto con nosotros para obtener una respuesta gratuita. Ayuda gratuita para sitios personales y de peque?as empresas
Servicio de atención al cliente WeChat
Servicio de atención al cliente WeChat
Tel: 020-2206-9892
QQ咨詢:1025174874
(iii) Correo electrónico: info@361sale.com
Horario de trabajo: de lunes a viernes, de 9:30 a 18:30, días festivos libres
? Declaración de reproducción
Este artículo fue escrito por: xiesong
EL FIN
Tutorial de WordPressWP constructor de sitios web autodidactaWordPress
# WordPress Seguridad# Estrategia de seguridad de la red
Si le gusta, apóyela.
felicitaciones0 compartir (alegrías, beneficios, privilegios, etc.) con los demás
comentarios compra de sofás

Por favor, inicie sesión para enviar un comentario

    Sin comentarios