Seguridad de WordPress: lo que todos los propietarios de sitios deben saber

Índice de contenidos
  1. Una dura lección de un desarrollador sobre la seguridad de WordPress
  2. Llamado al rescate
  3. Protección de complementos
  4. Protección del núcleo de WordPress
  5. Bloquear el acceso a su sitio
  6. Cambiar el prefijo de la base de datos de WordPress
  7. Vaya a wp-config.php
  8. Corrección de .htaccess
  9. Final feliz

Una dura lección de un desarrollador sobre la seguridad de WordPress


La seguridad es un elemento importante de su sitio de WordPress. Irónicamente, la mayoría de los propietarios de sitios de WordPress no piensan realmente en la seguridad de WordPress hasta que el sitio está en riesgo... La mayoría de las personas hacen su trabajo diario sin que se den cuenta hasta que se dan cuenta de que algo no funciona correctamente. Tal vez noten muchos comentarios vinculados a la red de sitios de remedios caseros naturales (en el mejor de los casos). Probablemente encontrará que su cuenta de correo electrónico está en la lista negra (en el peor de los casos) porque su sitio envía cientos de correos electrónicos no deseados por hora. De cualquier manera, las noticias no son buenas y la mayoría de los propietarios de sitios se encuentran luchando por despejar el lío.

Una parte importante de mi trabajo de consultoría Dedicado a rescatar a los propietarios de sitios de las infracciones de WordPress y evitar que vuelvan a ocurrir.. De hecho, no hace mucho, comencé a trabajar con un cliente en la lista negra como en el ejemplo anterior. Hemos aprendido mucho sobre los tipos comunes de vulnerabilidades de seguridad que funcionan con este y otros clientes y los mejores métodos de reparación. Así que pensé en compartir mi experiencia contigo y mostrarte cómo puedes proteger tu sitio de WordPress y evitar todas estas molestias.

Puede estar seguro de que las mejores prácticas de seguridad que se describen a continuación se han probado en combate y funcionan bien... Por cierto, este cliente no ha tenido ningún problema de seguridad desde que comenzamos a trabajar en él.

Llamado al rescate

Lo primero que hice después de recibir una llamada de un cliente fue examinar más de cerca todo el sitio para averiguar dónde ocurrió el problema. Encontré algunas imágenes de medicamentos que mejoran a los hombres que alguien subió al sitio. Eso fue ciertamente una mala noticia para mis clientes, pero no fue tan mala como podría haber sido. Era difícil identificar dónde ocurrió la vulnerabilidad, por lo que comenzamos a bloquear sistemáticamente el sitio de acuerdo con las mejores prácticas.

Protección de complementos

Lo siguiente que hice fue desactivar todos los complementos del sitio. Luego le pregunté al cliente qué complementos estaba usando realmente y solo los actualicé y habilité. Borré todo el resto.

Siempre me sorprende la frecuencia con la que trabajo en un sitio que tiene más complementos instalados de los que necesito. En la mayoría de los casos, el propietario del sitio no actualizará estos complementos huérfanos. Esto crea un enorme vector de ataques contra los malos. Por lo tanto, si alguno de estos complementos huérfanos está instalado en su sitio, hágalo usted mismo. Desactive y elimine lo antes posible para mejorar la seguridad de WordPress de inmediato.

También debe asegurarse de estar utilizando un complemento confiable. WordPress es genial porque ofrece una amplia gama de complementos para elegir para agregar funcionalidad a su sitio. Con una cantidad tan grande de opciones, puede encontrarse con algunos problemas que no están bien documentados y que tienen agujeros de seguridad. WordPress tiene un sistema de calificación que le permite ver qué tan bien calificaron sus usuarios su complemento. Elija un complemento que haya sido bien recibido por una gran cantidad de usuarios de WordPress.

Finalmente, asegúrese de que todos los complementos estén actualizados. Adquiera el hábito de iniciar sesión en su sitio de WordPress al menos una vez a la semana para verificar si hay actualizaciones de complementos y luego instalar las disponibles. Adquirir este hábito puede marcar una gran diferencia en lo que respecta a la seguridad de WordPress.

Protección del núcleo de WordPress

Otra cosa a tener en cuenta es que también necesita actualizar su núcleo de WordPress. Este proyecto en particular fue la versión 3.5 cuando la versión actual era 4.3. Se han realizado muchas correcciones de seguridad y errores entre estas dos versiones. Entonces, lo siguiente que hice fue actualizar el núcleo de WordPress para este cliente a 4.3.

No puedo enfatizar lo importante que es mantener actualizado su núcleo de WordPress. Afortunadamente, muchos proveedores de alojamiento de WordPress como Pressable actualizan automáticamente su núcleo de WordPress. Por lo tanto, si no está trabajando con un host que brinde este servicio, debería considerar trasladarse al host de inmediato.

Bloquear el acceso a su sitio

Ahora es el momento de bloquear los puntos de acceso de su sitio, comenzando con su cuenta de administrador de WordPress. Se sorprenderá de la frecuencia con la que se encuentra con el sitio de un cliente en el que realmente no piensa en crear nombres de usuario y contraseñas seguros. Este cliente no fue la excepción. Una de las herramientas que se utilizan para generar contraseñas seguras es Generador de contraseñas de Norton..

Otra consideración en esta etapa fue proteger otros puntos de acceso. Aquí hay una breve lista de elementos que deben agregarse a la lista de verificación.

  • Acceso a cPanel / host
  • Acceso FTP
  • Acceso a la base de datos

Asegúrese de crear un nombre de usuario único y una contraseña segura para todos estos puntos de acceso.

Cambiar el prefijo de la base de datos de WordPress

Una de las cosas que hago en todos los sitios de clientes es cambiar el prefijo de tabla que WordPress usa por defecto. Esta es la línea que dice "wp_" en wp-config.php. Normalmente lo cambio a un prefijo alfanumérico que es único para cada cliente. Esto dificulta que los usuarios malintencionados accedan o modifiquen los datos directamente desde la base de datos.

Vaya a wp-config.php

Otro vector de ataque común es una modificación del archivo wp-config.php. Entonces decidí mover este archivo a otro directorio. El archivo de configuración puede estar en un directorio un nivel por encima del directorio público. Las carpetas se conocen comúnmente como html, www, public o public_html. Mueva el archivo wp-config.php para que esté al mismo nivel que la raíz del sitio. WordPress primero lo busca en el directorio actual. Si no se encuentra allí, WordPress subirá un nivel en la estructura del directorio y buscará allí hasta que llegue al directorio raíz de su sitio. Si mueve este archivo allí, el público en general no podrá acceder a él a través de su navegador.

Corrección de .htaccess

Mi último paso fue verificar el sitio del cliente en mi dispositivo móvil. Por alguna razón, en mi dispositivo móvil, el sitio de mi cliente continuó descargando la aplicación del casino. Inmediatamente revisé el archivo .htaccess y confirmé que estaba en riesgo. Probablemente sucedió porque habían estado ejecutando una versión anterior y menos segura de WordPress durante mucho tiempo. Para solucionar este problema, acabo de crear un nuevo archivo .htaccess y lo probé para asegurarme de que la experiencia móvil no se vea comprometida.

Final feliz

Afortunadamente, el negocio del cliente no tardó en volver a la normalidad. También se dieron cuenta de que no estaban en condiciones de mantener seguro WordPress por sí mismos.Así que estaban felices de inscribirse en uno de nosotros. Paquete de mantenimiento continuo Para ayudar a mantener su sitio seguro. Las cosas han ido bien desde entonces.

Escuche mis consejos y no permita que esto le suceda a su negocio.. Practique estas estrategias de seguridad de WordPress desde el principio y evite confusiones. Además, si no sabe cómo hacerlo o no tiene tiempo, consulte con un experto. Créame, la mayoría de nosotros que hacemos este tipo de trabajo no querríamos lanzarnos a rescatar como Batman después de que los malos explotaran Gotham. Nos gusta hacer todas las pequeñas cosas todos los días para mantener al Joker atrapado en Arkham en primer lugar.

Deja una respuesta

Subir