Anuncio
Sin duda, para un blog autohospedado, WordPress es el mejor CMS de blog que puede obtener. Sin embargo, al ser un software popular y de código abierto, también significa que los hackers tienen acceso completo a código que pueden examinar para encontrar cualquier exploits que puedan usar para hackear cualquier WordPress habilitado sitio.
En el lado bueno, una de las mejores cosas de WordPress es su sistema de complementos que permite a cualquiera instale cualquier complemento o cree sus propios complementos para ampliar su funcionalidad, incluida la mejora seguridad.
Aquí, he enumerado algunos complementos de seguridad de WordPress (y un par de trucos) que puede usar para asegurar el blog de WordPress.
Todos los complementos y trucos enumerados a continuación están diseñados para WP 2.7 y superior. Si todavía usa una versión anterior de WordPress, es hora de actualizar su blog.
Protegiendo su inicio de sesión
Este complemento usa el CAP protocolo para encriptar su contraseña. La contraseña se procesa primero con un número aleatorio (nonce) generado por la sesión, seguido del algoritmo de transformación md5. Este resultado se envía al servidor donde se descifra y se autentica. Este es un complemento de configuración cero, lo que significa que puede usarlo inmediatamente después de activarlo.
2. Acceso sigiloso
Stealth Login ofusca su página de inicio de sesión al permitirle definir una página de inicio de sesión personalizada en lugar de la predeterminada wp-login.php. En caso de que se filtre su contraseña, el hacker también tendrá dificultades para encontrar la URL de inicio de sesión correcta. Un buen uso de esto es evitar que cualquier bot malicioso acceda a su archivo wp-login.php e intente ingresar.
Login Lockdown es útil para prevenir un ataque de fuerza bruta. Lo que hace LockDown es registrar la dirección IP y la marca de tiempo de cada intento fallido de inicio de sesión. Si se detectan más de un cierto número de intentos en un corto período de tiempo desde el mismo rango de IP, se bloqueará la función de inicio de sesión y evitará que cualquier persona de ese rango de IP inicie sesión.
Este complemento agrega una autenticación HTTP adicional para proporcionar una segunda capa de defensa para su blog. Puede configurar la protección con contraseña para su blog utilizando la autenticación básica HTTP, o puede elegir utilizar la autenticación de resumen HTTP más segura.
Tenga en cuenta que este complemento podría / no funcionar dependiendo de la capacidad de su servidor. Si su sitio no pasa las pruebas de configuración de AskApache (las pruebas ejecutadas por el complemento para detectar las capacidades de su servidor), póngase en contacto con su proveedor de alojamiento web y vea si pueden realizar cambios en el servidor lado.
Este complemento proporciona un entorno de inicio de sesión "semiseguro" cifrando su contraseña con el Criptografía RSA
Protegiendo su base de datos
Quizás para algunos de ustedes, respaldar una base de datos podría significar una tarea técnica problemática. Con WP-DB-Backup, solo necesita configurarlo una vez y hacer que se ejecute automáticamente a intervalos regulares.
Lo que hace este complemento es automatizar el respaldo de su base de datos y enviarlo a su bandeja de entrada de correo electrónico. Además de la tabla predeterminada creada por WordPress, también puede hacer copias de seguridad de tablas personalizadas creadas por complementos. En caso de que su cuenta falle, puede importar y restaurar fácilmente la base de datos con la copia de seguridad.
Wp-DBManager es como un phpmyadmin dentro de su tablero. Puede administrar fácilmente su base de datos directamente desde su tablero. Hay características útiles como la optimización / reparación / copia de seguridad / restauración de su base de datos y, si es lo suficientemente técnico, incluso puede ejecutar su propia consulta SQL desde la página de opciones.
En el lado negativo, si algún hacker logra iniciar sesión en su sitio, este complemento será una puerta de entrada para que cree estragos en su base de datos.
8. Cambiar el prefijo de la tabla de la base de datos
El prefijo predeterminado utilizado por WordPress es "wp". Puede cambiar fácilmente el prefijo a otros términos que son difíciles de adivinar usando el WP-Security-Scan. Más detalles sobre este complemento a continuación.
9. Proteja su archivo wp-config.php
Su archivo wp-config.php contiene todas las credenciales de inicio de sesión de su base de datos y debe ocultarse de la vista pública en todas las circunstancias. En su archivo htaccess, ponga en esta línea:
orden permitir, negar. Negar todo.
para evitar que alguien vea el archivo wp-config.php.
Protegiendo su página de administrador
Este complemento fuerza SSL en todas las páginas donde se pueden ingresar contraseñas para que toda la información transmitida se encripte.
Sin embargo, una cosa es que debes tener un certificado SSL antes de poder hacerlo. Si no está dispuesto a desembolsar el dinero extra para comprar un certificado SSL privado, puede preguntarle a su proveedor de alojamiento web sobre SSL compartido. La mayoría de los servidores web proporcionan SSL compartido para todos sus clientes y es fácil de configurar.
11. Cambiar nombre de usuario de inicio de sesión
Usar "admin" como su nombre de usuario de inicio de sesión es lo último que desea hacer. Cuando instaló WordPress por primera vez, debe crear inmediatamente otra cuenta de administrador con su propio nombre de usuario y contraseña y eliminar la cuenta "admin".
Evite que otros vean su estructura interna de archivos
12. Ocultar la versión de WP
En la mayoría de los temas de WordPress bajo el
En la sección, siempre hay una línea de código que muestra la versión de WordPress que está utilizando. Regalar su número de versión de WordPress significa decirle al hacker qué hazaña usar para hackear su sitio.
Desde WP2.6.5, WordPress ha dificultado aún más la eliminación de la versión wp, ya que incorpora esa información en el wp_header etiqueta. Un complemento que puede usar para eliminar esa información es WP-Security-Scan.
13. Ocultar el contenido de WP
La carpeta de contenido WP es donde almacenó todos sus complementos y archivos de temas. Este es el lugar donde desea evitar que otras personas lo investiguen. Puedes subir un espacio en blanco index.html archivo a la carpeta wp-content, o cree un archivo .htaccess en la carpeta wp-content y agregue esta línea:
Opciones Todos-Índices14. Bloquear la carpeta wp de la indexación por parte de los motores de búsqueda
Si bien desea que los motores de búsqueda indexen su blog y generen mucho tráfico, lo último que desea ver es dejar que los motores de búsqueda expongan su estructura interna de archivos al público. Lo que puede hacer es bloquear la indexación de toda su carpeta wp mediante el motor de búsqueda agregando las siguientes entradas al robot.txt:
No permitir: / wp- *Mantenimiento
He mencionado este complemento varias veces, por lo que es hora de que explique lo que hace. WP-Security-Scan comprueba su WordPress en busca de vulnerabilidades de seguridad y sugiere / proporciona acciones correctivas. Las acciones correctivas incluyen cambiar el prefijo de su base de datos, ocultar el número de versión de WordPress del encabezado y le permite probar la seguridad de su contraseña.
De vez en cuando, es una buena idea ejecutar el escáner de seguridad incorporado y verificar en su blog cualquier invulnerabilidad de seguridad.
16. Cambiar contraseña regularmente
No solo debe cambiar su contraseña regularmente, sino que también debe asegurarse de que sea segura. Si tiene dificultades para crear uno, encuentre uno como pueda cree contraseñas seguras que pueda recordar fácilmente Cómo crear contraseñas seguras que puedas recordar fácilmente Lee mas .
17. Actualice WordPress y todos los complementos a la última versión
No hace falta decir que actualizar a la última versión de WordPress y complementos es la mejor manera de protegerse.
Protegiendo su conexión
18. SFTP
Transferir archivos a su cuenta en línea es algo común. Sin embargo, en lugar de usar el FTP no seguro, debe usar SFTP (FTP seguro). Esto creará una conexión SSH y enviará todos sus archivos encriptados al servidor. Si necesita ayuda para crear una conexión SFTP, aquí está el guía.
La información anterior debería ser suficiente para crear un blog seguro de WordPress. Si no ha implementado ninguno de estos, le insto a que lo haga ahora.
¿Qué otros métodos utilizas para asegurar tu blog de WordPress?
Damien Oh es un experto en tecnología que adora modificar y hackear varios sistemas operativos para hacer la vida más fácil. Echa un vistazo a su blog en MakeTechEasier.com donde comparte todos los consejos, trucos y tutoriales.
