Obtenga un cambio de imagen de seguridad para su sitio de WordPress con WebsiteDefender

Anuncio

Con la popularidad de WordPress cada vez mayor, los problemas de seguridad nunca han sido más relevantes, pero aparte de simplemente mantenerse actualizado, ¿cómo puede un usuario principiante o de nivel promedio mantenerse al tanto de las cosas? ¿Sabrías si tu blog ha sido pirateado? Un nuevo servicio útil de Defensor del sitio web tiene como objetivo resolver este problema.

¿Vale la pena el esfuerzo? Quiero decir, nunca me pasaría verdad? Bueno, una vulnerabilidad fue descubierto recientemente en timthumb.php, una utilidad de creación de miniaturas que se utiliza en un porcentaje considerablemente grande de temas y complementos antiguos (antes de que WordPress creara miniaturas e imágenes destacadas en el sistema central). Dado que este archivo se puede detectar con escáneres automáticos, las posibilidades de tu blog está siendo pirateado El nuevo malware destaca la importancia de actualizar y asegurar su blog de WordPressCuando aparece una infección de malware tan devastadora como el recién descubierto SoakSoak.ru, es vital que los propietarios de blogs de WordPress actúen. Rápido.

Lee mas en los próximos meses es bastante alto, y ni siquiera sabrá si lo ha sido. Lo he visto algunas veces solo en la última semana y ahora están lidiando con las consecuencias.

¿Cómo saber si su sitio ha sido pirateado?

Normalmente no lo haces. El hack más común que he visto es donde el sitio normal y los paneles de administración funcionan normalmente; sin embargo, cualquier visitante de Google es secuestrado y enviado a un sitio en Rusia. Por supuesto, dado que es poco probable que busque en Google su propio sitio, el hack permanece sin ser detectado hasta que sus usuarios le den su opinión, su sitio web hosts lo cierra como una amenaza, o recibe la temida advertencia de los propios Google que dicen que su sitio web ahora aloja oficialmente malware. ¡Adiós tráfico!

El pirata informático generalmente también instala un back-end GUI completo en su servidor, lo que le da a cualquier persona con URL acceso a todos sus archivos y reinado gratuito para hacer lo que desee. Es bastante aterrador, y debido a la forma en que pueden ajustar los archivos principales, recuperarse de tal ataque requiere mucho trabajo, y ciertamente no es algo que un usuario normal pueda hacer.

Entonces... ¿Cómo puedo proteger mi blog?

Afortunadamente, esto es gratis Defensor del sitio web El servicio puede escanear su sitio. Dirígete hacia allí para Regístrate. Sin embargo, este servicio solo está disponible para los bloggers de WordPress que ejecutan autohospedado Se explican las diversas formas de alojamiento de sitios web [Tecnología explicada] Lee mas instala. Si usa WordPress.com, Blogger.com u otro blog alojado gratuito similar, no puede usarlo. Los planes de alojamiento gratuito tampoco funcionan. Debe poder cargar un archivo de verificación en su servidor antes de que comience el escaneo, y las cuentas gratuitas están limitadas a un sitio web.

Registro y Verificación

Una vez que haya verificado su dirección de correo electrónico ingresada durante el registro, se le enviará a una página donde puede descargar un pequeño archivo de verificación. Esto debe cargarse en la raíz de su sitio web. Cuando haya hecho eso, regrese al sitio y haga clic en el botón PRUEBA.

Si recibe un error similar al que recibí, simplemente descargue el archivo zip como se le indicó, luego también suba el compat directorio a la raíz de su sitio.

Presumiblemente, necesita algunas bibliotecas PHP adicionales para ayudar al escaneo que su servidor no tiene. Después de cargar la carpeta en el mismo directorio raíz que el archivo de verificación que hizo un momento nuevamente, presione TEST nuevamente y debería recibir una confirmación de que el escaneo se ejecutará pronto.

En mis pruebas, recibí un correo electrónico después de aproximadamente 2 horas que detallaba cualquier problema, así que no se alarmen si lleva un tiempo.

Las advertencias que reciba se clasificarán de Crítico a Bajo, pero en mi informe aparecieron algunos errores de seguridad inesperados con los que tendré que tratar. También considera que WordPress y las actualizaciones de complementos son de seguridad media, por lo que si vergonzosamente no ha actualizado algo, quizás esto sirva como un recordatorio útil.

Cada problema también se vinculará con una explicación más detallada e instrucciones sobre cómo resolverlo, lo que es increíblemente útil para aquellos de nosotros que somos menos técnicos sobre sitios web y servidores. No se preocupe si ha eliminado el correo electrónico: puede acceder a un desglose completo del informe en cualquier momento desde tablero.

Complementos

El equipo de Website Defender también tiene algunos complementos que puede usar para proteger WordPress, aunque curiosamente no los menciona cuando realiza el escaneo a través del método del sitio web descrito anteriormente.

Esto realiza una auditoría de seguridad básica para usted en cosas como permisos de directorio, prefijo de base de datos, permisos .htaccess, nombres de usuario predeterminados y ocultación de la versión de WordPress.

Esto bloqueará y realizará una serie de medidas de seguridad para proteger su wordpress. Esto esencialmente equivale a eliminar todas las referencias a su versión de WordPress, eliminando algunas líneas de su encabezado para Windows Live Writer, y evitar la inclusión de sus temas y directorios de complementos, entre otros.

Ambos complementos incluyen formularios de registro para el servicio en línea de Website Defender y parecen permitirle vincular a una cuenta existente. Sin embargo, durante las pruebas no pude vincularlos ya que mi cuota gratuita de un sitio web ya estaba agotada (a pesar de que estaba tratando de vincular la misma URL de todos modos, parecía pensar que era diferente sitio).

Conclusión

El hecho de que haya dos complementos disponibles y de poder ejecutar el escaneo sin un complemento a través del sitio web es bastante confuso para ser honesto, ni el escaneo iniciado en el sitio web ni siquiera menciona los complementos, y no puedo ver la lógica detrás ese. Si bien cada complemento es único, es difícil ver por qué no acaban de crear un único complemento de seguridad definitivo, lo que fortalece su WordPress y comprueba si hay problemas. También descubrí que el método de escaneo a través del sitio web mostró más problemas de seguridad que el uso del complemento WP-Security-Scan, presumiblemente debido a las restricciones impuestas a Complementos de WordPress Los mejores complementos de WordPress Lee mas realmente puede hacer.

Eso no quiere decir que no recomiendo totalmente el servicio gratuito, porque creo que deberías ir regístrate ahora y asegúrate de no ser vulnerable a la creciente cantidad de WordPress hazañas De hecho, recomendaría una combinación del complemento Secure WordPress para bloquearlo, mientras realizo el escaneo real a través del método del sitio web. Déjame saber cómo resulta en los comentarios.