1 Followers
24 Following
heartopera38

heartopera38

Blog

Shelf

Timeline

0 BOOKS
SPOILER ALERT!

Tutorial seguridad en WP

10:37 pm 9 October 2020

 


Una cuarta una parte de webs publicadas en Internet a nivel mundial están efectuadas con WP.


Esta popularidad tiene aspectos positivos como, por poner un ejemplo, tener a tu disposición una comunidad enorme de desarrolladores, programadores y diseñadores a los que recurrir en el caso de precisar ayuda.


Pero a su vez, la existencia de ese gran volumen de instalaciones hace que sea muy goloso para usuarios maliciosos crear herramientas (robots) que fisgan por internet buscando WordPress vulnerables.


¡No dejes que metan las narices en el tuyo!


Si tu WordPress es hackeado, los costes pueden ser esenciales. No solo por tener que contratar a un técnico a fin de que limpie la página web, también debes considerar la pérdida de ventas y clientes del servicio potenciales y una pérdida de reputación.


Sigue nuestra guía de seguridad y actúa ahora para reducir los peligros de padecer un hackeo Wordpress.


En Webempresa llevamos diecinueve años trabajando en el sector del alojamiento. Nuestro objetivo es conseguir clientes contentos y felices con su alojamiento para WordPress.



Nuestra obsesión:
Seguridad – Soporte – Velocidad


 


Todo el equipo ha participado en la creación de esta guía de seguridad con la que deseamos asistirte a conocer los peligros a los que estás expuesto y enseñarte cómo levantar diferentes barreras de seguridad en torno a tu Wordpress.


¡Nos emociona WP!




Lo más esencial de todo



Siempre hay un riesgo


Sentimos decirte esto: tu WordPress nunca será 100 por cien seguro.


Los usuarios maliciosos están en constante innovación y se descubren fallos en complementos con frecuencia; sin embargo puedes hacer muchas cosas para disminuir al mínimo el peligro.


Aquí estamos nosotros para asistirte, mas ten en cuenta que la seguridad requiere un trabajo incesante y no puedes bajar la guardia.



¿WordPress es inseguro?


Esta es una pregunta que recibimos de forma frecuente en nuestro servicio de soporte.


La respuesta es que Wordpress no es menos seguro que cualquier otro gestor de contenidos.


Dependiendo de cómo mimemos y empleemos nuestro Wordpress, lo sostendremos más o menos distanciado de los malos.


Si jamás actualizas tu WP, tu tema es pirata, tu contraseña es mil doscientos treinta y cuatro y no tienes antivirus en tu ordenador… suponemos que también debes dejar tu turismo con las llaves puestas y el motor en marcha un sábado por la tarde en un centro comercial, ¿verdad? 😉


después de examinar veinte WP se encontró con este dato:



Preocupante, ¿verdad?


Pues manos a la obra!


 



El eslabón más débil eres tú




1.Cuidado con tu conexión a Internet


¿Cómo te conectas a internet? Es mejor que trabajes conectado por cable ethernet en lugar de wifi.


Si te conectas por wifi, verifica que empleas seguridad WPA-dos y que has alterado la contraseña de acceso a la administración del enrutador que viene por defecto. ¡Utiliza una contraseña segura!


Si estás usando WPS en tu conexión wi-fi, desactívalo, puesto que teniéndolo activo es muy fácil que te hurten la contraseña de tu conexión.


Evita conectarte a tu Wordpress desde equipos externos poco fiables como, por ejemplo, el ordenador de la recepción de un hotel.


 



Wifi gratis: alto precio en seguridad


Todos hemos caído en la tentación de usar las redes wi-fi abiertas que están libres por poner un ejemplo en hoteles y cafeterías. ¡Wifi sin costo! Mas emplear una wifi de esta clase supone pagar un alto precio en cuestión de seguridad.


Desaconsejamos la conexión desde wifis abiertas o bien públicas, en tanto que no son seguras. En el caso de que sea imprescindible emplearlas, comprueba que tienes tu equipo protegido con un antivirus y firewall actualizados, o conéctate a través de una VPN de confianza.


Hoy en día muchas soluciones de seguridad antivirus incluyen una VPN privada, esta sería una buena opción. También puedes contratar un servicio específico de VPN a fin de que todas tus conexiones estén cifradas. Si te conectas habitualmente desde redes no seguras (viajes, fuera de casa o bien de la oficina, etcétera) con la VPN aumentarás mucho tu seguridad.


En todo caso, cuando estés fuera de casa o bien de la oficina, siempre y en todo momento es preferible que te conectes desde la conexión 3G de tu teléfono móvil que emplear una conexión wi-fi cuya seguridad ignoras.


 



¿Proxy? No, gracias.


No navegues nunca a través de un proxy, y menos si se trata de un proxy gratuito. En la red de redes existen muchos sitios donde aconsejan un proxy para navegar de forma anónima. No debes confundir anónimo con seguro.


Si navegas a través de un proxy todo tu tráfico pasa por un servidor de alguien a quien no conoces. Muchos de esos proxy se anuncian exactamente para espiar el tráfico que pasa por ellos y poder robar datos privados.


 



SSL para encriptar datos


Es muy recomendable instalar un certificado SSL en tu página web y acceder vía HTTPS por el hecho de que así los datos viajarán encriptados por la red.


Cuando navegas con HTTPS toda la información se envía de forma cifrada al servidor, de forma que si hay un usuario conectado a la misma red que tú que esté intentando hurtar tus credenciales de acceso, solo verá una serie de caracteres sin ningún sentido.


Tienes más información a este respecto en el artículo.


No es necesario que compres el certificado más costoso del mercado, con un certificado estándar de RapidSSL te puede servir.


También puedes probar la opción gratis que te ofrece.


 



2.Usa contraseñas seguras



Nada de usar contraseñas como
“12345”,
“password”,
“juan”,
“nombredemiweb”o
“qwerty”. Si tienes una contraseña de esta clase ya estás tardando en cambiarla.


Una buena contraseña debe contener mayúsculas, minúsculas, números y caracteres especiales (como una coma, una arroba o bien un guión).


Este es un ejemplo de contraseña robusta:
7sP3@$ zjT1b3


La longitud de la contraseña también es un factor importante a tomar en consideración. Lo recomendable es que tenga una longitud de doce caracteres o mayor.


Si te cuesta rememorar una contraseña de este tipo puedes optar por edificarte una que te resulte más fácil de recordar, como “25beatriz–Seguro++35”.


¡No se lo pongas fácil a los atacantes!


No guardes nunca contraseñas en tu navegador, utiliza un gestor de contraseñas cifrado como nuestro servicio.



Las contraseñas cortas o bien largas por si acaso solas pueden ser vulneradas. ¡Utiliza siempre un segundo factor de autenticación!


 



Dobla la seguridad utilizando la doble autenticación


Utiliza un doble factor de autenticación siempre y cuando puedas, verás que configurarlo y empezar a usarlo es muy sencillo:


Puedes habilitarlo para utilizarlo con los gestores de contraseña y con tu e-mail. Tener el email protegido es esencial, en tanto que muchas contraseñas o bien recordatorios se envían por correo electrónico. ¡No te dejes vencer por la pereza y habilítalo!


 



3.Tu equipo



Tienes que mantener limpios y protegidos los equipos y dispositivos desde donde accedes a la administración de tu WP.


Muchos usuarios maliciosos hallan una puerta de entrada cuando los usuarios se conectan a la administración de WP desde un equipo hackeado. Cuando el usuario introduce las contraseñas los atacantes capturan esos datos y entonces ya no habrá medida de seguridad posible que evite un desastre.


 



Sistema operativo y navegador actualizados


Mantén actualizado el sistema operativo y también tu navegador, puedes elegir el navegador que más te guste pero asegúrate de que estás usando la última versión (por favor, no utilices IE 6 o navegadores obsoletos).


Lo ideal es que configures las actualizaciones automáticas, así te aseguras de estar al día eludiendo la tarea de actualizar manualmente.


En la medida de lo posible, evita navegar por webs “sospechosas”, puesto que algunas de ellas tratarán de instalar programas no deseados en tu equipo.


No uses sistemas operativos “piratas” o instales programas procedentes de aplicaciones P2P o bien de páginas de descargas, porque es posible que incluyan un “regalo” en forma de troyano.


Descarga siempre los programas que vayas a instalar desde la página web de los desarrolladores.


 



Antivirus y firewall


Debes contar con un buen antivirus y un firewall actualizados, ya que tener un antivirus con una base de datos de virus vieja es prácticamente lo mismo que no tener ninguno.


Mantén activadas las opciones de firewall y análisis de seguridad por defecto del antivirus y ejecuta de manera semanal una exploración completa de tu equipo.


Si el antivirus que estás utilizando no cuenta con un firewall, evalúa la posibilidad de añadir uno.


Si empleas Windows puedes usar
Windows Defendery emplear el firewall de Windows que viene incorporado.


En este link puedes ver cómo utilizar
Windows Defenderpara escanear malware:.


También puedes ver como habilitar o deshabilitar el firewall de Windows en este enlace:.


 



Control de usuarios


Accede a tu equipo con un usuario con privilegios de usuario, no de administrador. De esta forma, será más difícil que se instalen aplicaciones no deseadas en tu máquina.


Si otra persona tiene que usar tu equipo, crea usuarios convidados o bien con permisos restringidos.


 



Control de accesos


Utiliza una contraseña segura y diferente para cada uno de los accesos: administración de Wordpress, Webmail, FTP y para el acceso al panel de control del alojamiento.


Te aconsejamos no usar FTP. Es frecuente que los atacantes inficionen equipos para obtener datos guardados de acceso FTP y así poder acceder al panel de control del alojamiento web. En caso de que no tengas alternativa y necesites emplear FTP para conectar con tu hosting,.


 



Aísla tu ambiente de trabajo


Si solo dispones de un equipo físico de trabajo (ordenador), valora la posibilidad de trabajar con una máquina virtual.


Además de lo práctico que puede resultar para trasladar tu estación de trabajo de un equipo físico a otro y de facilitarte la vida con backups, etcétera, te deja aislar tu ambiente de trabajo.


Así no mezclas tus cosas personales con las profesionales y hay menos opciones de que un descuido de tu vida personal afecte a tu vida profesional.


 



Cuidando de tu WordPress



 



1.¡Mantén siempre a la última tu WordPress!


Cuando se lanza una nueva versión de WP no es solo para arreglar fallos o bien añadir nuevas funcionalidades, también se hace para corregir los problemas de seguridad que se han ido detectando.


Tener una versión vieja de esta herramienta es como abrir una puerta a los usuarios maliciosos, ya que exactamente se aprovecharán de los fallos de seguridad conocidos para atacarnos.


Actualiza tu WP toda vez que veas una notificación de actualización en la administración; es muy sencillo y solo te llevará un minuto.


Si por algún motivo no puedes actualizar la versión de WP desde la administración de la web, también se puede actualizar manualmente. Consulta el artículopara ver cómo puedes hacerlo.


Como siempre recomendamos, para evitar desazones, efectúa una backup ya antes de actualizar.


 



2.Los complementos son maravillosos, ¡cuídalos!


La mayor una parte de los ataques que recibe WP se realizan a través de los plugins.


Al igual que sucede con el propio WP, las actualizaciones suelen corregir inconvenientes de seguridad, con lo que debes mantener tus complementos actualizados.


Puedes hacer las actualizaciones desde la administración de WP de forma automática y, como en el anterior punto, es muy aconsejable realizar una copia de seguridad antes de actualizar.


 



Limita el empleo de plugins


Utiliza solo los plugins que vayas a necesitar: no es una gran idea instalar complementos en grandes cantidades ya que cada uno de ellos podría ser una puerta de entrada para hackear tu WordPress.


Quédate solo con los complementos indispensables y si has instalado un plugin que ya no utilizas…
¡desinstálalo!.


También es esencial que utilices plugins fiables. Lo idóneo es que utilices el propio buscador de plugins que tienes en la administración de WordPress o bien que los descargues de la página oficial de plugins.



Si se trata de un plugin de pago asegúrate de que lo descargas desde la página de sus desarrolladores.


Nunca (repetimos,
NUNCA) instales un complemento que hayas logrado desde un torrent (red P2P), un gestor de descargas o bien una página sospechosa tipo “super-plugins-depago-gratis” en tanto que es muy posible que con el complemento venga un “regalo” en forma de código malicioso.


Es preferible abonar por la licencia de un complemento que quedarnos sin web.


Fíjate en el número de descargas del plugin (cuantas más mejor) y en la última data de actualización (si es de hace 2 años sospecha).


Si deseas probar un plugin haz un clon de tu web y pruébalo en ese clon, nunca en la página web real que tienes publicada.


Puedes instalar el pluginque te avisará de las nuevas vulnerabilidades que aparezcan en los complementos de tu instalación de WP.


 



3.Cuida el tema que estés utilizando


Puedes usar tanto temas gratis como temas de pago, mas asegúrate siempre y en todo momento de emplear la última versión disponible.


Si el tema que estás utilizando está en el directorio de wordpress.org, las actualizaciones se mostrarán de forma automática en la administración de Wordpress. Para los temas de pago o bien temas gratuitos descargados desde otras webs, normalmente tendrás que revisar de forma periódica si han publicado nuevas versiones que corrigen problemas de seguridad.


De nuevo, NUNCA emplees temas que hayas conseguidos desde gestores de descarga o bien páginas sospechosas: pueden venir hackeados de serie.


Instala solo temas procedentes de wordpress.org o de la web de sus desarrolladores.


 



4.Usuario admin, NO gracias.


No uses el usuario admin para acceder a la administración de tu WordPress: si un hacker desea entrar en la administración de tu web lo primero que hará será probar a utilizar el usuario “admin”.


Lo mejor es que crees un nuevo usuario con privilegios de administrador (recuerda utilizar una contraseña segura).


Una vez hecho esto, cierra la sesión y vuelve a conectarte con el nuevo usuario que has creado.


Después accede al gestor de usuarios, edita el usuario “admin” y cambia sus privilegios de administrador por subscritor o bien suprime de manera directa el usuario “admin”.


Si lo eliminas, asegúrate de reasignar las entradas y páginas que estaban asignadas al usuario “admin” a otro usuario existente.


Con este cambio, un usuario malicioso no solo tendrá que saber la contraseña de un usuario administrador, sino también su nombre.


Si eres un usuario avanzado y prefieres realizar el cambio de cuenta directamente, puedes hacerlo siguiendo los pasos de nuestro artículo


 



5.Realiza backups periódicos y automatizados


Algunos distribuidores de alojamiento web ya realizan copias de seguridad automáticas mas, por si acaso, es una gran idea que hagamos copias periódicas de nuestra página web.


Tendrás que hacer las copias con más o bien menos frecuencia en función de la cantidad de información que vayas añadiendo.


Es esencial realizar copias de seguridad ya antes de realizar acciones como la actualización de complementos o bien WP, la instalación de nuevos complementos, cambios en la base de datos, etc…


A veces se producen resultados no deseados y si la última copia es reciente no perderás trabajo previo.


Existen plugins para WordPress que nos permitirán hacer esta labor de forma automática como XCloner, del que.


Es esencial que realicemos las copias de respaldo en un almacenaje externo como Dropbox, cuentas FTP externas o Amazon S3, o bien que nos descarguemos las copias que efectuamos, ya que si alguien nos borra todos los datos de la web también perderemos la propia backup.


Para eludir inconvenientes de espacio en tu cuenta de hosting suprime las copias de respaldo tras descargarlas.


 



6.Limita los intentos de acceso fallidos


Una de las formas más frecuentes que emplean los usuarios maliciosos para acceder a la administración de WP son los ataque por a la fuerza bruta.


Esto consiste en probar el acceso al administrador con todas y cada una de las combinaciones posibles de usuario y contraseña. Frecuentemente estos ataques están basados en diccionarios de contraseñas, por eso es importante usar contraseñas complejas o robustas.


Limitar el número de intentos de conexión errados desde una única dirección IP puede reducir el riesgo de sufrir un acceso ilícito.


La mayoría de plugins de seguridad ya permiten configurar este límite, mas si prefieres no emplearlos, hay plugins con esta finalidad específica como BruteProtect de Automattic. Tienes más información en nuestro blog:.


En nuestro alojamiento web, bloqueamos IP’s automáticamente cuando detectamos múltiples intentos de acceso fallidos a la administración o bien al panel de control cPanel.


 



7.Protección adicional con Captcha y doble autenticación



El empleo de opciones adicionales de autenticación añadirá una capa más de seguridad a tu WordPress.



Administración de WordPress


Te aconsejamos resguardar el acceso a la administración de tu WP con un formulario de autenticación con Captcha o un doble factor de autenticación como por poner un ejemplo Latch.


En nuestro blog te charlamos de las 2 opciones en los artículosy.


 



Formularios


Es frecuente que se usen los formularios de la web para hacer SPAM usando bots. Para prevenirlo debes resguardar la creación de comentarios con un.


Para protegerte contra el spam puedes usar el plugin Akismet, que está instalado por defecto en WP.


También tenemos un artículo sobre esto, no te pierdas.


 



8.Asegúrate de mantener los usuarios indispensables y con privilegios mínimos.


Es muy probable que los usuarios creados en tu sitio con privilegios de administrador tengan una contraseña débil, comprometiendo así la seguridad de tu WordPress. Concediendo a los usuarios únicamente los privilegios imprescindibles se reducen las posibilidades de que la seguridad se vea comprometida.


Ante la duda, puedes resetear todas y cada una de las contraseñas de usuarios de tu Wordpress fácilmente. Solo debes continuar los pasos del artículo.


Revisa periódicamente qué usuarios existen y suprime los que no se usen o no deban tener acceso a tu WordPress.


 



9.Ocultar la versión de WordPress



Cada versión de Wordpress tiene una serie de vulnerabilidades conocidas que los usuarios maliciosos intentan aprovechar. Esconder la versión de WordPress que estás empleando hará que no sea tan fácil identificar esas vulnerabilidades.


La encargada de mostrar la versión de tu WP en tu página web es la función wp_head(), que incluye una llamada a la función
wp_generator().


Para esconder esa información, debes incluir la siguiente línea en el fichero functions.php de tu WordPress:


 



10.Audita tu WordPress



Utiliza herramientas para verificar distintos apartados esenciales de la seguridad de tu WP.


Webempresa ofrece de manera gratuita un análisis de seguridad para WordPress desde.


Con
wpdoctorpodrás comprobar de forma automática si estás al día en muchos de los puntos tratados en esta guía:


  • Te informa si no estás empleando la última versión de WordPress y de sus plugins más importantes.
  • Comprueba si el acceso al administrador está protegido contra ataques de fuerza bruta.
  • Te muestra la información que se puede recolectar de tu instalación y te indica cómo esconderla.

Puedes comprobar la salud de tu Wordpress con Google Safe Browsing:


O también de manera directa en Google Console (ya antes Webmaster Tools):


 



La primera línea de defensa: El Hosting



Ahora que estás al tanto de los peligros que acechan y de las medidas de seguridad que debes aplicar para minimizar el peligro, llega el momento de charlar del alojamiento web.


De poco te servirá tener un WP a prueba de balas si el servidor donde lo has alojado es un coladero. Un servicio de hosting debe suministrar elementos de seguridad a nivel de servidor;
debe ser la primera línea de defensa.


 



Usa un distribuidor de alojamiento profesional


Verifica las características del servicio de alojamiento que vayas a contratar para tu web y asegúrate que la seguridad es una de sus prioridades.


 



Sistema Operativo


Te aconsejamos apostar por Linux frente a Windows. Ambas plataformas presentan problemas de seguridad y suelen ser objeto de ataques de usuarios maliciosos; sin embargo Linux continúa llevando cierta ventaja gracias a la comunidad de desarrolladores con la que cuenta.


Linux no está libre de peligros pero, hasta el instante, es capaz de solucionar los problemas de seguridad de forma mucho más rápida y eficaz que Windows.


 



¿Tu hosting está al día en seguridad?


A continuación te señalamos algunas de las medidas que deberías valorar en un servicio de alojamiento compartido.


Los permisos adecuados de tu Hosting deben ser:


  • 644 para ficheros.
  • 755 para carpetitas.

Si no los tienes así por defecto ya puedes ir pensando en cambiar de Hosting.


Uso de un sistema de aislamiento por cuenta de alojamiento, de manera que un mal comportamiento o el hackeo de una web alojada en el servidor no afecte al resto.


Uso de aplicaciones de monitorización en tiempo real que examinen todos y cada uno de los archivos que se leen o se graban en disco, para asegurar que no tienen malware ni código sospechoso.


Uso de sistemas para evitar Ataques de Denegación de Servicio (DDoS).


Medidas preventivas para evitar ataques de fuerza salvaje a WP.


Uso de un WAF (Web Application Firewall). Gracias a él se pueden establecer reglas de seguridad, que pararán la mayoría de los ataques que se realicen a un WordPress.


De esta forma, aunque algún complemento de tu web tenga una vulnerabilidad en el código, es probable que el WAF evite este ataque.


Configuración a nivel de servidor que evite que se pueda hacer un listado de directorios (que un usuario pueda ver los archivos de una determinada carpeta de la página web) o averiguar la versión de PHP que se está ejecutando, puesto que esto compromete gravemente la seguridad.


Protección de las bases de datos. Entre otras muchas medidas, lo correcto sería que sólo se permitiera el acceso a la mismas desde el propio servidor, y no desde equipos recónditos.


Puerto MySQL cerrado: lo ideal es que el puerto de MySQL esté cerrado, y si precisas acceder desde tu casa, que te habiliten el acceso solamente a tu IP.


Para esto necesitarás una IP fija o una cuenta de.


Software actualizado: del mismo modo que ocurre con tu WP y sus complementos, es esencial que el software que utilice el servidor se encuentre actualizado, ya que las versiones antiguas del mismo también pueden ser frágiles.


Un valor añadido que puede ofrecer un servicio de hosting es la realización de copias de respaldo automáticas de nuestros datos de forma que, si debemos volver a un estado precedente de nuestra página web, siempre y en todo momento dispongamos de alguna copia de respaldo.


Pero recuerda que el hecho de que tu servicio de hosting ya haga copias de seguridad automáticas no es excusa para que hagas tus copias.


La copia libre en tu servicio de alojamiento no tiene por qué corresponder con la fecha exacta del estado de la página web que quieres recuperar.


Estas son solo algunas de las medidas que aplicamos en Webempresa y que nos permiten a nosotros y a nuestros clientes del servicio dormir más sosegados.


Monitorizamos veinticuatro horas todos nuestros servicios y nuestro equipo técnico recibe alarmas cuando se advierten actividades sospechosas para poder actuar de inmediato y coordinadamente con el cliente del servicio.


Nuestros administradores de sistemas actualizan periódicamente las reglas que protegen los Wordpress alojados en nuestros servidores ante vulnerabilidades o bien fallos de seguridad.


El seguimiento de las nuevas formas de agredir WordPress debe ser una labor diaria y constante, ¡no se puede bajar la guardia!.


 


Más madera para usuario medio y avanzado



Las medidas de seguridad que se pueden aplicar para resguardar tu WordPress son muchas, y no queremos agobiarte con cambios complicados.


Sin embargo si eres un usuario avanzado y deseas proseguir trabajando en la seguridad de tu WP, aquí tienes ciertas mejoras auxiliares que puedes aplicar.


 



1.Activa la actualización automática en tu WordPress


En la versión 3.7 de WordPress se hizo una enorme mejora añadiendo la actualización automática de WordPress.


Manteniendo esta opción activada, nos aseguraremos de que las actualizaciones de seguridad se instalarán tan pronto como estén disponibles.


Puedes configurar las actualizaciones automáticas del núcleo de WP desde el fichero wp-config.php. Solo debes añadir las siguientes líneas para cada una de las configuraciones:


Las actualizaciones de complementos y plantillas es mejor hacerlas de forma manual, ya que pueden ser más sensibles y podrían provocar fallos en la página web si no se verifica bien la compatibilidad con la versión de WordPress.


 



2.Modifica la url de login de tu WordPress



En webs efectuadas con WP el acceso a la administración se realiza por defecto en la url
/wp-admino
/wp-login.php


Los atacantes son siendo conscientes de este acceso y tratan de explotar el acceso mediante lanzar ataques de fuerza bruta.


Modificando esta url de acceso a la administración evitarás esos intentos de acceso a la fuerza bárbara.


Aprende cómo hacerlo consultando el artículo.


Nota En Webempresa, para nuestros clientes del servicio, ya incorporamos medidas de seguridad encaminadas a resguardar los accesos a /wp-admin y /wp-login.php contra este género de ataques con lo que no es necesario que implementes este tipo de medidas de seguridad..


 



3.Protege los archivos que pueden comprometer la seguridad de tu página web.


Existen diferentes archivos que pueden comprometer la seguridad de Wordpress.


Hay algunos ficheros que se añaden con la instalación de Wordpress, que son meramente informativos, pero cuya información puede ser útil para los atacantes.


Puedes ver en nuestro blog cómo protegerlos:.


 



4.</ <a href="https://citiface.com/es/agencias-diseño">expertos en diseño web granada tu base de datos cambiando el prefijo de las tablas por defecto



La base de datos es donde guardas toda la información de tu instalación de Wordpress.


Como imaginarás es muy goloso para los crackers y spammers, que procuran enviar códigos automatizados para acceder a tus datos.


Muchos usuarios se olvidan de cambiar el
prefijo de base de datosal instalar Wordpress.


Esto hace que sea más fácil para los usuarios maliciosos planear un ataque masivo al dirigirse al prefijo por defecto de las tablas de la base de datos que es: wp_ .


Lo recomendable es que cambies el prefijo por defecto al instalar el WP.


Si ya lo tienes instalado, puedes mudar el prefijo fácilmente con el plugin.


Recuerda hacer unaantes de realizar ningún cambio.


 



5.Protege el fichero wp-login.php


Si no dejas registro y acceso de usuarios en el frontal del WP es conveniente que resguardes el acceso al wp-login.php o dejes únicamente el acceso desde IPs autorizadas ( si te conectas con IPs fijas).


¿Quieres aprender cómo resguardarlo? En este artículo te lo enseñamos:.


¡Ojo! Esto solo debes hacerlo si los visitantes de tu web no necesitan identificarse como usuario.


Por ejemplo, en una tienda virtual no deberás proteger el fichero wp-login.php.


 



6.Agrega una cabecera X-Content-Type


Con esta cabecera evitarás que haya usuarios que procuren suplantar archivos css o bien js por ejecutables.


Se puede evitar con el sencillo cambio que te explicamos en el artículo :.


 



7.Instala algún complemento de seguridad para WordPress



Este tipo de plugins te ayudarán a aumentar la seguridad de distintas formas. te dejan desde proteger el acceso a la administración hasta revisar los ficheros de tu WordPress en pos de código malicioso.


Existen posicionar en buscadores , como por ejemplo:


Si quieres conocer todas y cada una de las características de Wordfence, te las mostramos en este artículo:.


Recuerda deshabilitar las estadísticas (tabla wfhits) para no sobrecargar tu WP.


Una opción interesante de Wordfence es la verificación de ficheros básicos de WP para revisar si han sido cambiados.


Ten precaución en el momento de configurar esta clase de plugins, puesto que podrías bloquear tu acceso con estas herramientas.


Antes de instalar algún complemento de este tipo, haz una copia de seguridad. Así podrás volver al estado precedente en caso de inconvenientes.


¡No te vuelvas desquiciado con la instalación de plugins!


Ten presente que instalar todos los complementos de seguridad que halles no hará que tu WordPress sea más seguro y es posible que tenga comportamientos inopinados provocados por haber varios complementos modificando archivos claves para el funcionamiento de tu WordPress, como puede ser el archivo .htaccess.


 



8.Agrega una cabecera X-Frame-Options


Añadiendo esta cabecera evitaremos que nuestra página web cargue en un frame o iframe (marcos).


Con ello, evitaremos también ataques de tipo clickjacking y no podrán suplantar nuestra página web cargándola desde una ubicación externa.


Si dejas esto, podría estar tu contenido en otro dominio y tener problemas con Google si lo considera contenido duplicado. posicionar web /p>

Tienes todos los detalles en el artículo


 



9.Agrega una cabecera X-XSS-Protection


Añadiendo esta cabecera puedes acrecentar la seguridad frente ataques de tipo XSS. Te lo contamos todo sobre esta cabecera en.


Tras añadir la cabecera, tanto si lo haces en el archivo .htaccess tal y como si lo haces en el functions.php, asegúrate de revisar que tu página web funciona según lo esperado.


Si ves que afecta de algún modo al funcionamiento de tu web, suprime el código añadido para revertir el cambio.


Recuerda hacer siempre una copia de seguridad de los archivos que vayas a editar.


 



Hay varias fórmulas con las que puedes añadir protecciones extra mediante
.htaccess


 



Impedir la ejecución de ficheros .php en el directorio uploads


El directorio /uploads en general se emplea para almacenar imágenes o vídeos y a veces puede ser explotado por usuarios maliciosos que suben código PHP infectado aprovechando los scripts para subir imágenes de Wordpress.


Una buena solución es añadir un fichero .htaccess en el directorio uploads impidiendo el acceso a archivos php:


También se puede limitar el acceso exclusivo a documentos de imagen en directorios como el uploads:


Para eludir que algunos códigos maliciosos se intenten ocultar bajo nombres como
xxxxxx.php.jpg, también se puede bloquear por estructura:


 



Redirigir siempre y en todo momento los errores


Redirigir los errores es buena práctica para eludir que se muestre información que pueda dar pistas a algún individuo malintencionado:


 



Denegar el acceso a ciertas herramientas como wget, curl, perl, etc.


Aunque muestres contenido públicamente en tu web, posiblemente te interese eludir que puedan copiarlo.


No hay forma de resguardarlo del todo, pero para dificultar la tarea podemos denegar el acceso a determinadas herramientas de modo que no puedan escanear la página web y descargar contenido:


 



Evitar ataques de inyección SQL


WordPress por defecto tiene medidas para evitar este tipo de ataques, pero ¿quién sabe si alguno de tus plugins puede tener algún orificio en este aspecto?


Por si fuese el caso, puedes servirte del siguiente código para prevenir algunos ataques de inyección SQL.


 


Si deseas evitar que desde la administración de Wordpress se pueda alterar el código de ficheros, puedes añadir la siguiente línea al fichero wp-config.php


Si la web ya está creada y no necesitas añadir nuevos plugins o plantillas, también puedes deshabilitar la instalación de temas y plantillas añadiendo:


 



12.Deshabilitar XMLRPC para eludir ataques de DoS


Esta funcionalidad se usa bastante para efectuar ataques de denegación de servicios. Desde una localización oculta se lanzan muchas solicitudes pingback forjadas a mano a muchos WordPress, diciendo que en tu web han hablado sobre ellos.


Estos WordPress irán a revisar si verdaderamente les has enlazado descargando tu página, y al percibir tantas solicitudes de descarga juntas desde tantos sitios, tu página web quedará bloqueada.


Puedes evitarlo de 2 modos:


  1. Cerrar por completo el comportamiento XMLRPC. El inconveniente de deshabilitar XMLRPC es que pierdes alguna funcionalidades interesantes, como los pingback y los trackback.
  2. Disponer de un Firewall Web (WAF) que te proteja mediante reglas avanzadas que efectúan recuento de todas peticiones XMLRPC que recibes y, en el caso de que este número se dispare demasiado, bloquean todo ese tráfico. Esta opción la tenemos incorporada con éxito en Webempresa.

Si te decides a deshabilitar XMLRPC, puedes hacerlo manualmente o utilizando el plugin.


Para hacerlo manualmente debes añadir esta línea en el archivo
functions.php:


 



13.Bloqueos por usuario-agent


En ocasiones puede ser necesario bloquear ciertas aplicaciones, como por ejemplo a ciertos robots, estableciendo bloqueos por user-agent en el fichero .htaccess.


De este modo evitarás el acceso de un user-agent determinado a tu página web.


Algunos códigos de ejemplo para bloquear por usuario-agent pueden ser los siguientes:


 



14.Bloqueos por referer


También puedes ver preciso bloquear conexiones que vienen desde un determinado referer, para lo que podrías usar cualquiera de los próximos códigos:


Con este bloqueo conseguirías bloquear el acceso a tu web desde un link situado en un dominio determinado.


 



15.Crypto.php


Esta es una de las vulnerabilidades más esenciales y conocidas de Wordpress.


Afecta de manera directa a las plantillas y complementos no autenticados por el repositorio oficial de wordpress.org y por norma general viene integrado en plantillas o bien plugins pirateados u obtenidos de forma ilícita.


El propósito del malware es añadir a tu web enlaces a otros sitios web que en general vinculan a sitios con fines maliciosos.


También puede ser usada con otros fines ya que esta infección puede comunicarse con servidores de control para efectuar otras labores (envío de SPAM, alojar otro género de contenido, realizar ataques a otras webs, etcétera)


La infección generalmente está en una pequeña línea de código como la siguiente:


Como se puede ver, lo que hace es incluir un script llamando a un código que hay escondo en un fichero
.png, que en teoría debería ser una simple imagen.


 



¿Cómo evitarla?


La principal medida para evitar esta vulnerabilidad es no descargar plugins ni plantillas de sitios no contrastados, nuestra recomendación es realizar siempre y en todo momento las descargas desde el repositorio oficial de WordPress.org


En el caso de que estés infectado, te invitamos a instalar el plugin de seguridad
Wordfenceque incluye una opción para examinar las imágenes tal y como si de código php se tratase.


Desconfía si por servirnos de un ejemplo ves ficheros PHP en directorios donde solo debería haber imágenes, como el directorio /wp-content/uploads.


 

Powered by BookLikes © 2015 | RSS