Las 10 mejores recomendaciones de seguridad de WordPress
Publicado: 2023-02-15¿Cuáles son los diez pasos principales que puede seguir para proteger su sitio de WordPress? ¿Qué medidas de refuerzo de la seguridad tendrán el mayor impacto en la seguridad de su sitio web? La seguridad siempre es un tema candente en la comunidad de WordPress, y preguntas como estas son importantes por una buena razón. WordPress impulsa casi la mitad de Internet y su posición de liderazgo lo convierte en un objetivo de alta prioridad para los piratas informáticos.
Miles de sitios web de WordPress son víctimas de ciberataques todos los días. Es una gota en el océano del número total de sitios de WordPress, pero ¿y si te pasa a ti? Eso es enorme. Algunos propietarios de sitios sufren consecuencias a largo plazo por la pérdida de datos, el robo de datos y el fraude debido. Las malas políticas de seguridad y la gestión de riesgos provocan desastres como este. ¿Qué significa tener políticas de seguridad sólidas como propietario de un sitio de WordPress? ¿Cuáles son los principales riesgos y cómo se pueden gestionar?
La clave es establecer bases seguras y luego seguir construyendo sobre ellas con prácticas de seguridad consistentes. Esta guía le enseñará cómo hacerlo y proteger su sitio de WordPress hoy.
En esta guía, profundizaremos en la seguridad de WordPress. Aprenderá sobre los ataques cibernéticos más peligrosos dirigidos a WordPress. Aprenderá a minimizar el riesgo de ser víctima de ellos. Le proporcionaremos nuestras diez principales recomendaciones de seguridad de WordPress y le explicaremos cómo implementarlas. Entonces podrá defenderse contra los ataques más sofisticados y maliciosos de la actualidad.
¿Es seguro WordPress? ¡Sí!
En resumen, sí, la plataforma principal de WordPress es segura.
Como un proyecto de software de código abierto maduro de veinte años, WordPress es uno de los marcos de creación de sitios web más probados y seguros.
Una comunidad de desarrolladores y expertos en seguridad mantiene el núcleo de WordPress. Además, el código base está disponible públicamente. Eso significa que los investigadores de seguridad son libres de analizarlo. Bajo el escrutinio público, cualquier error que haya pasado las fases iniciales de prueba de una nueva versión tiende a descubrirse rápidamente. WordPress recibe actualizaciones periódicas y corrige rápidamente cualquier vulnerabilidad que se encuentre en el núcleo de WordPress. Esta adaptación constante aumenta la seguridad y la calidad de la plataforma en general.
¿Qué hace que un sitio de WordPress sea inseguro?
Cuando las personas crean sitios con WordPress, es posible que la seguridad no sea una de sus prioridades. La personalización descuidada combinada con malas prácticas de seguridad (o ninguna) presenta riesgos de seguridad significativos para todo el ecosistema de WordPress.
Propietarios de sitios que no ejecutan actualizaciones
Las actualizaciones regulares y el soporte de los desarrolladores de WordPress hacen que WordPress sea altamente seguro. Sin embargo, la popularidad de WordPress tiene mucho que ver con la facilidad de personalizarlo con complementos y temas. Estos complementos de terceros pueden o no ser tan compatibles y probados como el núcleo de WordPress. También deben actualizarse cuando se lanzan nuevas versiones. Para un sitio de WordPress con 12-24 complementos, puede haber varias actualizaciones nuevas disponibles cada semana. Dejar las vulnerabilidades conocidas sin parchear y no realizar actualizaciones periódicas aumenta significativamente la probabilidad de que su sitio web de WordPress sea pirateado.
El núcleo de WordPress también recibe actualizaciones durante todo el año. Por lo general, habrá cuatro lanzamientos principales. Las versiones de seguridad y mantenimiento también surgirán a medida que se necesiten. A partir de 2023, alrededor del 60 % de los sitios de WordPress usan la última versión (6.1) del núcleo de WordPress. El 40% no lo hace, y eso no es bueno para su seguridad. A partir de diciembre de 2022, las versiones de WordPress 3.7 a 4.0 ya no son compatibles y es posible que no reciban parches de seguridad.
Propietarios de sitios y anfitriones que no actualizan PHP
Una estadística más preocupante es que muchos sitios de WordPress usan una versión de PHP inferior a la 7.4. PHP es parte del entorno del servidor de su host. Es el lenguaje en el que se ejecuta WordPress. A principios de 2023, el 55 % de todos los sitios de WordPress estaban alojados en PHP 7.4. Esa es la última versión importante de la rama PHP 7. Es la versión más alta de PHP admitida oficialmente por WordPress en este momento, aunque muchos hosts de WordPress ofrecen PHP 8. Los hosts de WordPress bien administrados mantendrán la seguridad de PHP 7, pero ha llegado al final de su vida útil para soporte oficial. Los complementos de WordPress requerirán PHP 8 cada vez más con el tiempo. Los sitios que no siguen el ritmo del desarrollo de WordPress y PHP corren un mayor riesgo de ser pirateados.
Por qué es importante la seguridad de WordPress
¡La seguridad del sitio web de WordPress es importante! Ahora es siempre el mejor momento para comenzar a tomarlo en serio si no tiene prácticas de seguridad consistentes. La creciente sofisticación y el volumen de los ataques cibernéticos hacen que la seguridad de los sitios web sea extremadamente importante, especialmente para los propietarios de sitios web de WordPress. Los atacantes no eligen simplemente qué sitios web piratear. Los ataques cibernéticos modernos están altamente automatizados y se pueden atacar miles de sitios de WordPress a la vez. La popularidad de WordPress y la cantidad de sitios que no se han actualizado lo convierten en un objetivo grande y fácil.
Ya sea que esté ejecutando un blog, un sitio web comercial o una tienda en línea, se le confía la seguridad de sus clientes y sus datos. Una violación de datos puede poner en riesgo su negocio y dañar significativamente su reputación. Las malas prácticas de seguridad pueden provocar graves pérdidas financieras.
Un estudio reciente mostró que la mayoría de las pequeñas y medianas empresas (PYMES) piensan que no son objetivos para la piratería, pero están equivocados. Los ataques van en aumento y se dirigen específicamente a ellos. En promedio, las pequeñas empresas que experimentan una brecha de seguridad digital terminan pagando costos superiores a $ 100,000.
Los cinco problemas de seguridad de WordPress más comunes
Las amenazas más comunes a las que se enfrentó WordPress en 2022 que explotan las vulnerabilidades internas del sitio fueron los ataques de secuencias de comandos en sitios cruzados (XSS) y falsificación de solicitudes en sitios cruzados (CSRF), así como inyecciones de SQL (SQLi). Las cargas útiles comunes o el daño causado a los sitios pirateados e infectados incluyen puertas traseras y redireccionamientos maliciosos. Finalmente, los ataques más comunes no involucran ninguna vulnerabilidad de software. Estos son intentos de inicio de sesión de fuerza bruta, relleno de contraseñas, robo de tarjetas, cardado y ataques distribuidos de denegación de servicio (DDoS).
Echemos un vistazo a estas amenazas y profundicemos en las soluciones que evitarán que penetren en su sitio de WordPress.
Relleno de contraseñas, inicio de sesión de fuerza bruta y ataques DDOS
Los ataques de fuerza bruta y DDoS son ciberataques altamente distribuidos impulsados por bots. Intentan entrar en un sitio web o desconectarlo haciendo que el servidor que lo aloja esté sobrecargado con solicitudes web. Ambos tipos de ataques a menudo involucran una red de bots (también conocida como botnet) controlada por el atacante.
Los ataques de inicio de sesión de fuerza bruta, también conocidos como ataques de adivinación de contraseñas, utilizan una red de computadoras (generalmente pirateadas) para probar miles de combinaciones aleatorias de letras, números y símbolos para descubrir un nombre de inicio de sesión y una contraseña válidos para un sitio objetivo.
El relleno de contraseñas es un tipo de ataque de fuerza bruta que utiliza contraseñas reales robadas en otro lugar para obtener acceso a su sitio. Si usted o los usuarios de su sitio han utilizado las mismas credenciales de inicio de sesión en otro sitio que se ha visto comprometido, el relleno de contraseñas puede tener éxito en su sitio.
Cuando un atacante intenta miles de inicios de sesión por minuto, puede tener el efecto de un ataque DDoS. Los DDoS arrojan tantas solicitudes a su servidor que está sobrecargado. A veces, los ataques DDoS se realizan simplemente para desconectar los sitios de esta manera.
Cuando se trata de WordPress y WooCommerce, los ataques de tarjetas son un buen ejemplo de un intento de fuerza bruta de introducir números de cuentas de tarjetas de crédito robadas en un sitio de comercio electrónico para realizar compras fraudulentas. Los ataques de Carding también pueden tener un efecto DDoS.
Secuencias de comandos entre sitios y falsificación de solicitudes
Las secuencias de comandos entre sitios y la falsificación de solicitudes entre sitios, también conocidas como XSS y CSRF, son ataques cibernéticos que intentan ejecutar secuencias de comandos maliciosas en su sitio web que explotarán las computadoras de sus visitantes. Al usar su sitio, estos ataques envían solicitudes no autorizadas en nombre de su usuario. El objetivo es defraudar a los visitantes de su sitio y robarles información confidencial o dinero. Las secuencias de comandos entre sitios y la falsificación de solicitudes se consideran dos de los ataques cibernéticos más peligrosos dirigidos a los sitios web de WordPress.
Uno de los ejemplos más destacados de ataques de secuencias de comandos entre sitios que afectan a WordPress implica skimmers de tarjetas basados en JavaScript que se inyectan en las tiendas de WooCommerce. El malware de robo de tarjetas cargado desde el sitio web del atacante se inyecta en los navegadores de sus visitantes. Este código malicioso intentará robar información de pago crítica de la página de pago una vez que se realiza la compra.
Puertas traseras y Web Shells
Las puertas traseras y los shells web son dos tipos relacionados de software malicioso que a menudo se cargan en sitios web pirateados como carga útil en la infracción inicial. Ambos permiten un nivel más profundo de daño: infección de malware. Ambas son herramientas que los piratas informáticos maliciosos utilizan para profundizar en su servidor y aplicaciones web o para realizar fraudes y ataques adicionales en otros sitios.
Las puertas traseras son software que se inyecta en un sitio web para permitir que el atacante obtenga acceso no autorizado a sus áreas críticas al pasar por alto los métodos de autenticación normales. Los shells web, a su vez, son utilidades de administración de archivos maliciosos que utiliza el pirata informático para cargar más cargas útiles maliciosas en el sitio web comprometido.
Las puertas traseras a menudo pueden escabullirse de los propietarios de sitios web e incluso del software antivirus. Una puerta trasera permitirá que el hacker regrese y vuelva a infectar o explote aún más un sitio web en una fecha posterior, incluso si se han tomado todas las medidas de seguridad necesarias. De manera similar, si no se elimina un shell web, el atacante mantendrá el control del sitio web.
Redirecciones maliciosas
Uno de los objetivos más comunes de un atacante es infectar a sus visitantes con malware. Una de las formas más comunes de lograr este objetivo es redirigir a los usuarios desprevenidos desde sitios web confiables sobre los que los atacantes han obtenido el control.
Los piratas informáticos pueden colocar redireccionamientos maliciosos en cualquier lugar de los sitios web pirateados, lo que puede dificultar su localización y eliminación. A menudo, los propietarios de sitios web tienen que reinstalar WordPress (que es simple) o restaurar todo su sitio web a partir de una copia de seguridad (lo que puede ser más complicado) para eliminar los redireccionamientos maliciosos después de haber parcheado la vulnerabilidad que hizo posible este exploit.
Como un tipo de spam de SEO, los hacks farmacéuticos han sido uno de los ataques más notorios que afectan a los sitios web de WordPress. Los atacantes llenan un sitio web de WordPress comprometido con palabras clave de spam para medicamentos populares en un intento de obtener una clasificación alta en los motores de búsqueda y luego redirigir a los visitantes a portales fraudulentos que venden productos farmacéuticos regulados. La mayoría de las veces, los atacantes colocan redireccionamientos maliciosos en un .htaccess file
de Apache o crean un archivo .ico aparentemente inofensivo para este propósito.
Ataques de inyección SQL
Un ataque de inyección de SQL, también conocido como inserción de SQL (SQLi), es un tipo de ataque de inyección de datos que aprovecha la validación insuficiente de la entrada del usuario que permite a un atacante manipular la base de datos del sitio web de forma maliciosa. Tanto las inyecciones de SQL como las secuencias de comandos entre sitios aprovechan las llamadas vulnerabilidades de entrada que pueden afectar ciertas áreas de su sitio web de WordPress. Las vulnerabilidades de entrada surgen cuando un complemento acepta datos o contenido enviado por el usuario, pero no lo detecta en busca de código malicioso. Ese código puede ejecutar consultas en su base de datos para robar datos privados o dañarlos.
Las 10 mejores recomendaciones de seguridad de WordPress
Cuando se trata de la seguridad del sitio web de WordPress, es clave un enfoque consciente para reducir la superficie de ataque. Conocer las vulnerabilidades más comunes de WordPress y los tipos de ataques cibernéticos lo ayudará a mejorar significativamente la seguridad de su sitio web. Las siguientes 10 recomendaciones de seguridad de WordPress más importantes son el conocimiento básico que necesita para proteger cualquier sitio de WordPress. La mayoría de estas recomendaciones son relativamente fáciles de seguir y no requieren ninguna solución de seguridad paga.
Realice actualizaciones periódicas y no instale ningún software de fuentes no verificadas
Una de las recomendaciones de seguridad más importantes de WordPress es realizar actualizaciones periódicas del núcleo, el tema y los complementos. Asegúrese de que todo el software que instale provenga de fuentes verificadas y confiables. Como WordPress está escrito en PHP, asegúrese de utilizar una versión PHP compatible de la última versión importante. En este momento, es PHP 7.4 con solo soporte beta para PHP 8.
Las funciones predeterminadas de WordPress rara vez satisfacen todas las necesidades de los propietarios de negocios, por lo que amplían las capacidades de la plataforma al instalar más complementos y temas. Los temas y complementos de terceros aumentan la superficie de ataque, lo que hace que los sitios de WordPress sean vulnerables a más amenazas de seguridad.
Los principales problemas pueden provenir del uso de versiones piratas no oficiales de complementos y temas pagos. Estos siempre provienen de fuentes muy cuestionables. Usar versiones obsoletas de WordPress y no parchear las vulnerabilidades también es extremadamente arriesgado.
Use un complemento de seguridad como iThemes Security Pro
La mejor manera de mantener su sitio web seguro es activar las actualizaciones automáticas para el núcleo, los temas y los complementos. iThemes Security Pro puede realizar fácilmente un seguimiento de todas las actualizaciones de software disponibles e instalar nuevas versiones del núcleo de WordPress, así como temas y complementos. Si administra varios sitios web de WordPress, iThemes Sync Pro le permite realizar todas las tareas administrativas desde una sola interfaz y aprovechar el monitoreo del tiempo de actividad y el seguimiento de las métricas de SEO.
La mayoría de las soluciones de alojamiento de WordPress, como los planes de alojamiento de WordPress en la nube administrados que ofrece Nexcess, también se encargan de todas las actualizaciones de software por usted e incluso vienen con herramientas integradas como Visual Comparison para ayudarlo a rastrear posibles conflictos de complementos y otros problemas antes de realizar cualquier actualización. Nexcess también le proporciona un catálogo de soluciones premium de WordPress. Ofrece Kadence WP como el tema de bloque incorporado con bloques personalizados para ayudarlo a diseñar el sitio web de sus sueños mientras garantiza su seguridad.
Cree una estrategia de copia de seguridad sólida
Una estrategia sólida de copia de seguridad es absolutamente esencial para la seguridad de WordPress. Realizar copias de seguridad periódicas de su sitio de WordPress lo prepara para una fácil recuperación en caso de incumplimiento, actualización fallida o cualquier otro problema que pueda surgir.
Lo mejor es tener al menos diez días o incluso dos semanas de copias de seguridad completas de WordPress que incluyan la base de datos de WordPress, los archivos del sitio web y cualquier otro contenido relacionado. Mantener copias de seguridad semanales y mensuales puede ser muy beneficioso además de las copias de seguridad diarias y por horas.
Asegúrese de seguir el principio de redundancia de datos. Mantener copias de trabajo de su sitio web de WordPress en más de un lugar. Esto lo ayudará a recuperar su información en caso de que algo le suceda a un archivo de copia de seguridad.
Puede utilizar las soluciones de copia de seguridad proporcionadas por su proveedor de alojamiento, incluidas las copias de seguridad de cPanel y Acronis, para guardar copias de su sitio web en ciclos diarios, semanales y mensuales. un complemento de copia de seguridad de WordPress puede ayudarlo a crear un programa de copia de seguridad más flexible. BackupBuddy es un complemento de recuperación y protección de datos de clase mundial para WordPress. Puede ayudarlo a crear una sólida estrategia de copia de seguridad y un fácil acceso a las restauraciones con un solo clic siempre que las necesite.
Realice un análisis regular de vulnerabilidades y malware
El escaneo de vulnerabilidades y el monitoreo de la integridad de los archivos son una de las mejores herramientas que puede usar para proteger todas las áreas críticas de su sitio web de WordPress. La interfaz incorporada de WordPress Site Health es una gran herramienta para comenzar. Si necesita más recomendaciones de seguridad de WordPress adaptadas a su sitio web, iThemes Pro Site Scan le proporcionará un informe completo sobre la seguridad de su sitio web de WordPress.
La prevención es clave, pero también lo es la detección y mitigación tempranas de ataques. El objetivo principal de la mayoría de los programas maliciosos es pasar desapercibido el mayor tiempo posible. No es raro tener sitios web de WordPress pirateados durante semanas hasta que sus propietarios se dan cuenta. iThemes Security Pro ofrece monitoreo avanzado de cambios de archivos que lo alertará cada vez que haya alguna actividad sospechosa dentro de los archivos de su sitio web de WordPress.
Realizar escaneos regulares de malware ayudará a identificar una infección de malware temprano. Esa es la clave para bloquear a los malos y limpiar su sitio web de WordPress antes de que se produzca un daño irreversible. Si está buscando excelentes escáneres de malware gratuitos, ImunifyAV de CloudLinux ha demostrado ser extremadamente confiable y fácil de usar.
Mantenga los permisos de archivo seguros y proteja wp-config.php
Los permisos de archivos de WordPress pueden afectar en gran medida la seguridad general de su sitio web de WordPress. La configuración de permisos incorrecta puede poner en grave riesgo a todo el sistema, especialmente si mantiene su propio servidor y ejecuta varios sitios en él. Configurar los permisos de archivos de WordPress de forma segura es absolutamente esencial.
Una de las áreas más vulnerables de su sitio web de WordPress es su archivo de configuración principal: wp-config.php
. Los datos críticos almacenados allí, incluida la información de conexión de la base de datos de WordPress, hacen que wp-config.php
sea un objetivo de alta prioridad para los ataques que intentan tomar el control de su sitio web.
Una de las principales recomendaciones de seguridad de WordPress que puede implementar en este momento es establecer permisos para el archivo wp-config.php
de su sitio web en al menos 640. Si no está seguro de qué permisos de archivo deben tener los archivos de otros sitios web, las comprobaciones de permisos de archivos de iThemes Security Pro herramienta le ayudará a averiguarlo.
Los compromisos entre cuentas se ven facilitados por permisos de archivos inseguros y aislamiento de usuario deficiente
Los piratas informáticos explotan activamente el aislamiento deficiente del usuario, combinado con permisos de archivo inseguros, para realizar peligrosos ataques entre cuentas. Estos se conocen como "hacks de enlaces simbólicos" o hacks de WordPress "Anonymous Fox".
Al usar un sitio web pirateado como punto de entrada, un atacante puede crear enlaces simbólicos entre cuentas a los archivos de configuración de otros sitios web, como wp-config.php
, para exponer información confidencial y obtener control sobre todos los sitios web en el servidor dado. Este truco solo es posible si otros usuarios en el mismo servidor pueden leer su archivo wp-config.php
.
Algunas recomendaciones de seguridad de WordPress sugieren mover wp-config.php
, lo que podría ayudar, pero esto realmente no solucionará todos los riesgos. Mantenga seguros los permisos de los archivos y asegúrese de que todos los sitios web estén aislados entre sí en el mismo servidor. Una de las mejores formas de lograrlo es utilizar CageFS, proporcionado por el sistema operativo CloudLinux.
Configurar un cortafuegos de aplicaciones web
Otra recomendación clave de seguridad de WordPress es usar un firewall de aplicaciones web, o mejor aún, múltiples sistemas de defensa como un WAF basado en host y en la nube. Un firewall de aplicaciones web sirve como la primera línea de defensa contra todos los ataques cibernéticos conocidos, filtrando cualquier tráfico malicioso en función de un conjunto de reglas que se actualiza constantemente.
Los WAF escanean todo el tráfico web en busca de solicitudes sospechosas en función de una serie de patrones establecidos por las reglas que definimos. Esto garantiza un alto nivel de protección contra DDoS y ataques de fuerza bruta, así como contra SQLi y XSS.
Un WAF basado en la nube, como el WAF de Cloudflare, puede mitigar una amplia gama de ataques al tiempo que reduce la carga en el servidor de origen. Las solicitudes que llegan al servidor que aloja su sitio web de WordPress se someten a otra ronda de comprobaciones por parte de un WAF basado en host, como ModSecurity. Ambas soluciones son completamente gratuitas y se consideran el estándar de la industria para la seguridad de WordPress.
Configurar encabezados de seguridad HTTP
Los encabezados de respuesta de seguridad HTTP son una de las herramientas más valiosas que tiene para aumentar la seguridad de su sitio web de WordPress. De manera similar a los firewalls de aplicaciones web, los encabezados de respuesta HTTP pueden bloquear el acceso a áreas críticas de su sitio web y evitar cualquier actividad que pueda poner en peligro a sus clientes y sus datos.
Los encabezados de seguridad HTTP más importantes para WordPress incluyen:
- Política de seguridad de contenido (CSP). Una solución robusta que puede ayudar a mitigar las secuencias de comandos entre sitios y el secuestro de clics, y otros ataques cibernéticos peligrosos dirigidos a sitios web de WordPress. El uso de CSP lo ayuda a definir la lista de recursos que pueden cargar contenido desde su sitio web, así como la lista de recursos desde los que su sitio web puede cargar contenido.
- Establecer-Cookie . El encabezado de respuesta Set-Cookie controla cómo se envían las cookies desde el servidor al navegador del usuario. La configuración del atributo SameSite puede ayudar a defender su sitio web de WordPress contra la falsificación de solicitudes entre sitios y el secuestro de clics.
- Seguridad estricta en el transporte (HSTS). El encabezado de respuesta HSTS garantiza que solo se pueda acceder a su sitio web de WordPress a través de HTTPS, lo que permite el cifrado de extremo a extremo entre el servidor y el navegador.
La mayoría de las veces, puede configurar encabezados de seguridad HTTP para su sitio web de WordPress en su archivo .htaccess
local. Tenga en cuenta que la mayoría de los proveedores de alojamiento de WordPress configuran encabezados de respuesta HTTP para usted, por lo que es posible que deba consultar con el equipo de soporte de su host para ver si necesita redefinir alguna regla localmente.
Deshabilite la ejecución de PHP en la carpeta Cargas y desactive la indexación de directorios
Cuando se trata de WordPress, los piratas informáticos tienden a ocultar el malware en carpetas que normalmente no almacenan ningún código ejecutable. Una de esas carpetas es el directorio de cargas en wp-content
. Deshabilitar la ejecución de PHP en la carpeta de cargas es una buena idea. Esto puede ayudar a limitar el alcance de una infección de malware y acelerar la reparación de malware.
Si tiene Apache HTTP disponible para usar, cree un archivo .htaccess
en wp-content/uploads y agréguele la siguiente regla. Esto bloqueará la carga de cualquier script PHP desde la carpeta de carga. Esa es una ubicación común donde un atacante puede colocar código malicioso.
Además de bloquear la ejecución de PHP, deshabilitar la indexación de directorios en su sitio web es otro elemento importante en la lista de nuestras recomendaciones de seguridad de WordPress. Si la indexación de directorios no está deshabilitada, el navegador cargará la lista de archivos presentes en el directorio solicitado si falta un archivo index.php
o index.html
.
Los atacantes explotan ampliamente esta capacidad, especialmente cuando se trata de ataques de enlaces simbólicos entre cuentas descritos anteriormente en la guía. Puede bloquear la indexación de directorios globalmente o por directorio utilizando la siguiente regla en .htaccess
:
Cambie el prefijo de su base de datos de WordPress y el nombre de usuario de administrador predeterminado
A menos que cambie el proceso de instalación predeterminado, WordPress utilizará automáticamente el prefijo wp-
estándar para su base de datos y creará un usuario admin
predeterminado. Dado que esto es de conocimiento público, los ataques de fuerza bruta e inyección de datos lo asumen.
Elimine el usuario administrador predeterminado y cambie el prefijo de la base de datos de WordPress a algo similar a wp2789_
. Puede hacerlo cambiando el nombre de todas las tablas de la base de datos usando phpMyAdmin o a través de la interfaz de línea de comandos de MySQL. Asegúrese de actualizar el prefijo de la base de datos en wp-config.php
después.
Restringir el acceso a XMLRPC e inicio de sesión de WordPress
Cuando se trata de ataques de fuerza bruta y DDoS, xmlrpc.php
y la página de inicio de sesión de WordPress son las dos áreas de los sitios web de WordPress a las que más se dirigen los atacantes. Si el acceso a estas dos interfaces no está restringido, es probable que su sitio de WordPress sufra un rendimiento deficiente y un tiempo de inactividad frecuente. Además, existe la posibilidad de que, eventualmente, un pirata informático pueda descifrar su cuenta de administrador y causar estragos en su sitio web.
XMLRPC es una interfaz de programación de aplicaciones (API) que permite que WordPress se comunique con otros sistemas y ha sido parte de WordPress desde el inicio de la plataforma. Sin embargo, como WordPress depende en gran medida de la API REST, XMLRPC rara vez se usa y, por lo general, se puede desactivar por completo sin consecuencias negativas. Puede agregar la siguiente regla al .htaccess file
de su sitio web o simplemente poner a cero los permisos del archivo xmlrpc.php para este propósito.
Restringir el acceso a su panel de administración de WordPress es otra de nuestras recomendaciones clave de seguridad de WordPress. Si bien cambiar la dirección de inicio de sesión de WordPress hace que sea mucho más difícil de descubrir, proteger la página de inicio de sesión con contraseña o definir un rango exclusivo de direcciones IP que puedan acceder eliminará efectivamente el riesgo de que un atacante obtenga acceso no autorizado al backend de WordPress.
Utilice contraseñas seguras y configure la autenticación multifactor
No se puede exagerar la importancia de utilizar contraseñas seguras. Sin embargo, algunos propietarios de sitios web de WordPress tienden a olvidar que el panel de administración de WordPress no es el único vector de ataque. Una gran cantidad de sitios de WordPress son pirateados como resultado de que un atacante obtenga acceso a sus cuentas del panel de control de alojamiento web.
Con muchos hosts, el nombre de la cuenta de su sitio web de WordPress corresponde a un usuario real creado en el servidor host. Es fácil de adivinar o públicamente visible. Combinado con su contraseña, el par de credenciales puede permitirle conectarse a su sitio a través de SSH y SFTP. Es la forma de acceder a su panel de control de hosting. Si esta cuenta se ve comprometida, un atacante puede obtener acceso completo no solo a su sitio, sino también a toda su cuenta de alojamiento, correo electrónico e incluso a sus nombres de dominio o registros DNS.
Adopte políticas de contraseña seguras y autenticación multifactor tanto para los usuarios administradores de WordPress como para la cuenta del panel de control de alojamiento de su sitio web. Si es posible, deshabilite la autenticación de contraseña para SSH por completo a favor de los métodos de autenticación basados en claves.
iThemes Security Pro le permite configurar la autenticación sin contraseña para su panel de administración de WordPress utilizando claves de acceso con inicios de sesión biométricos. Esto, combinado con la autenticación multifactor configurada para su cuenta de alojamiento, garantiza una protección total contra los ataques de fuerza bruta y protege su sitio web incluso si sus credenciales de inicio de sesión se han visto comprometidas.
Implemente las mejores recomendaciones de seguridad de WordPress con iThemes Security Pro
Como el sistema de administración de contenido más popular del mundo, WordPress es un objetivo de alta prioridad para los piratas informáticos de todo el mundo. Para explotar las violaciones de datos y distribuir malware, los atacantes emplean una amplia gama de técnicas sofisticadas, como inyecciones de bases de datos, secuencias de comandos entre sitios y falsificación de solicitudes entre sitios. A menos que su sitio de WordPress esté protegido contra estas amenazas de seguridad comunes, puede convertirse en un objetivo fácil.
Con la gran cantidad de recomendaciones de seguridad de WordPress dando vueltas, puede ser complicado comprender cómo mantener seguro su sitio web, especialmente cuando existen múltiples estrategias para mitigar cada ataque cibernético. Hacer que la seguridad de WordPress sea más accesible es lo que busca iThemes. ¡Deje que iThemes Security Pro y BackupBuddy sean sus asistentes de seguridad personal! Ofrecen más de 50 formas de proteger su sitio de WordPress de los ataques cibernéticos más peligrosos que existen hoy en día.
El mejor complemento de seguridad de WordPress para asegurar y proteger WordPress
Actualmente, WordPress funciona en más del 40% de todos los sitios web, por lo que se ha convertido en un objetivo fácil para los piratas informáticos con intenciones maliciosas. El complemento iThemes Security Pro elimina las conjeturas de la seguridad de WordPress para que sea más fácil asegurar y proteger su sitio web de WordPress. Es como tener un experto en seguridad a tiempo completo en el personal que supervisa y protege constantemente su sitio de WordPress por usted.
Kiki tiene una licenciatura en administración de sistemas de información y más de dos años de experiencia en Linux y WordPress. Actualmente trabaja como especialista en seguridad para Liquid Web y Nexcess. Antes de eso, Kiki formó parte del equipo de soporte de Liquid Web Managed Hosting donde ayudó a cientos de propietarios de sitios web de WordPress y aprendió qué problemas técnicos encuentran a menudo. Su pasión por la escritura le permite compartir su conocimiento y experiencia para ayudar a las personas. Además de la tecnología, a Kiki le gusta aprender sobre el espacio y escuchar podcasts sobre crímenes reales.