Anuncio
Ejecutar un sitio web basado en WordPress suele ser un placer, ya que le permite centrarse en el contenido y construir relaciones con los lectores y otros sitios web.
Sin embargo, no todos en la web son tan amigables como usted. En algún lugar hay una lista con el nombre de tu blog, dónde se encuentra, esperando ser atacado por los piratas informáticos. Cuando lleguen a su blog, probarán varias tácticas para obtener acceso a él, tal vez con el objetivo de vender drogas legales o infectar las computadoras de sus visitantes con malware.
Afortunadamente, hay varias formas de proteger su blog de WordPress de los hackers.
Actualiza regularmente WordPress
Una de las soluciones más potentes pero que se pasan por alto a menudo para mantener WordPress a salvo de los piratas informáticos es asegurarse de que se actualice regularmente.
Obviamente hay una desventaja en esto: algunos de sus mejores complementos de WordPress Los mejores complementos de WordPress Lee mas podría dejar de funcionar si se actualiza WordPress, pero al mismo tiempo debería considerarse como una oportunidad para actualice sus complementos, encuentre reemplazos que sean seguros y confiables y, básicamente, ajuste su sitio web o blog Seguir los complementos que se encuentran en el directorio de WordPress también es una buena manera de mantener las cosas bajo control.
La actualización de WordPress es posible desde el Panel, pero siempre haga una copia de seguridad de su base de datos antes de hacerlo.
Mantener copias de seguridad regulares
Un procedimiento importante para todos los propietarios de blogs de WordPress es garantizar que las copias de seguridad se realicen regularmente y que puedan restaurarse fácilmente en el peor de los casos.
Las soluciones son abundantes, pero Cloudsafe365 es uno de los más potentes, combinando copia de seguridad en la nube (se puede usar Dropbox) con Diversas herramientas de protección segura contra técnicas como secuencias de comandos de sitios cruzados, inyección SQL e incluso monitorea el contenido robo.
Cloudsafe365, disponible desde Sitio de complementos de WordPress, viene en tres sabores. Una opción gratuita cubre las cosas enumeradas anteriormente, mientras que las opciones pagas ofrecen características adicionales como protección contra la inyección de código y ataques de fuerza bruta.
Instalar un complemento de inicio de sesión cifrado
La mejor manera de proteger el acto real de iniciar sesión en su sitio web basado en WordPress es mediante el uso de un complemento de inicio de sesión cifrado, ya que el software del sitio web no tiene esta función de forma predeterminada. Probablemente la mejor solución para esto, perfecta para proteger los detalles de inicio de sesión de su blog de rastreadores de paquetes en redes inalámbricas, es Chap Secure Login, que utiliza el algoritmo SHA-256 para proteger su nombre de usuario y contraseña.
Mientras tanto el Bloqueo de inicio de sesión El complemento es una forma útil de bloquear las IP que registran intentos fallidos repetidos de acceder a su sitio.
Otros pasos de protección de inicio de sesión que puede seguir incluyen la instalación de un complemento CAPTCHA fuerte. RetinaPost es un complemento particularmente impresionante, que requiere que los usuarios ingresen caracteres resaltados de una frase en lugar de intentar descifrar imágenes de texto jodidas o hacer desafíos matemáticos. Cualquier intento de interrumpir su blog usando el sistema de comentarios puede reducirse notablemente usando este complemento.
Ocultar "Desarrollado por WordPress"
Los hackers tienen una táctica diferente para cada uno de los diversos tipos de software de sitios web que se utilizan, pero puede hacer las cosas más difíciles para ellos al no anunciar el hecho de que su sitio web está "Desarrollado por WordPress ".
De manera predeterminada, esta información se puede encontrar en el archivo footer.php, al que se accede al ingresar al Panel de control de su blog, seleccionando Apariencia> Editor para editar dentro de la ventana del navegador. Los diferentes temas requerirán diferentes métodos para eliminar este texto, por lo que debe verificar en línea para encontrar el mejor enfoque (si se usa texto sin formato para mostrar la leyenda, luego elimínelo; si se usa código PHP, pise con cuidado a menos que sepa lo que está haciendo).
Cambiar nombre de usuario administrador
Una forma en que los piratas informáticos pueden encontrar una manera de ingresar a su sitio es mediante el uso de software de fuerza bruta que intentará múltiples inicios de sesión utilizando palabras y frases comunes como contraseñas, junto con una selección de obvias nombres de usuario
El nombre de usuario del administrador en WordPress se puede seleccionar cuando el software está configurado, pero en la prisa por hacer las cosas, muchos usuarios lo dejan en la opción predeterminada de "admin". Como dicen los nombres de usuario obvios, esto aparece en la parte superior de la lista, por lo que es importante cambiarlo.
Existen dos formas de cambiar el nombre de usuario administrador. Primero, puede crear una segunda cuenta de administrador con un nombre de usuario que no sea obvio, y luego eliminar el usuario original. Sin embargo, tenga en cuenta que esto podría tener un efecto en los artículos escritos bajo la cuenta del administrador (tal vez no se publiquen hasta que se establezca un nuevo nombre o se muestre un error en la página de publicación).
Probablemente la forma más efectiva de hacerlo es acceder al phpMyAdmin de su sitio, seleccione WordPress base de datos, busque la tabla wp_users ("wp_" es un prefijo predeterminado que puede haber cambiado en la instalación) y utilizar el Vistazo icono para encontrar el nombre de usuario "admin".
Una vez descubierto, busque la columna user_login, haga clic en el editar botón en la fila correspondiente y luego cambie "admin" a su nombre de inicio de sesión de cuenta de administrador preferido, haciendo clic Vamos cuando termines.
Mueva el archivo wp-config
Un problema evidente con WordPress es que los detalles clave de seguridad se almacenan en un único archivo no cifrado que puede ser pirateado y utilizado para tomar el control de su blog. El archivo wp-config.php contiene los detalles de inicio de sesión de administrador, así como el nombre de usuario y la contraseña de la base de datos MySQL.
Por lo tanto, proteger este archivo es primordial si desea proteger el sitio de los piratas informáticos.
Sin embargo, una cosa que no debe hacer es eliminar wp-config; esto dejaría su sitio inutilizable (y más bien en blanco). Entonces, ¿cómo protege su sitio de esta extraña vulnerabilidad?
Desde el lanzamiento de WordPress 2.8, los propietarios de blogs han tenido la capacidad de mover el archivo al directorio web raíz en el servidor. Lo que esto significa, por ejemplo, es que si tiene su sitio instalado en www.mysite.com/wordpress, el archivo wp-config.php se puede subir de nivel, al directorio mysite.
Conclusión
Independientemente de lo técnico o no técnico que sea, si ejecuta un blog de WordPress no hay excusa para no implementar ninguna o todas estas herramientas para proteger su sitio web de los piratas informáticos.
Después de todo, ¿cuál es el punto de hacer todo ese trabajo duro solo para descubrir que alguien se ha apoderado del sitio y ahora le está costando a sus visitantes habituales anunciando Viagra?
Estos pasos se pueden implementar en solo un par de horas, tal vez una sola mañana de fin de semana si tiene poco tiempo, así que no ignore, actúe ahora.
Christian Cawley es editor adjunto de seguridad, Linux, bricolaje, programación y tecnología explicada. También produce el podcast realmente útil y tiene una amplia experiencia en soporte de escritorio y software. Colaborador de la revista Linux Format, Christian es un fabricante de frambuesa Pi, amante de Lego y fanático de los juegos retro.
