WordPress es el CMS más popular en el mundo por un margen considerable, la alimentación de millones de sitios web y servir contenido a casi todos los usuarios de Internet única. WordPress ha evolucionado a partir de una plataforma de blogs simple a un ecosistema completo de plugins y temas que pueden manejar todo, desde los sitios de adhesión a sistemas de comercio electrónico complicados.
Por supuesto, esta complejidad también tiene sus desventajas - y el gran número de sitios de WordPress en el Internet hacen de WordPress un objetivo tentador para los hackers que quieren destrozar sitios web, subir contenido malicioso, o introducirse en los servidores de robar información privada. Los siguientes consejos de seguridad ayudarán a asegurar que su sitio de WordPress está protegida contra los ladrones y hackers - y que mantendrán sus usuarios a salvo y su sitio funcionando sin problemas.
La dependencia mínima Plugin
Para empezar, cada plugin que agrega a su instalación de WordPress produce una posible vía para que un hacker tomar el control de su sitio. Aunque la mayoría de los plugins son perfectamente seguros, y escrito con código relativamente simple, algunos plugins son intencionalmente maliciosa - o que no se han actualizado en mucho tiempo y ya no son seguras.
La mayoría de los ataques de WordPress actuales se dirigen a sitios web con plugins o complementos fuera de la fecha en que han conocido fallas de seguridad - por lo que mantener el número total de plugins en su página web a un mínimo es importante simplificar su sitio y producir menos cantidad de "agujeros" en la seguridad incorporada global del sistema de WordPress.
Sólo descargar plugins de sitios confiables que ya han sido controlados por la comunidad de WordPress - y mantener a los plugins actualizados. Si uno de sus plugins ya no es compatible, y ya no está recibiendo actualizaciones regulares, que podría ser una buena idea para desactivar y eliminar ese plugin, ya que sólo seguirá para conseguir más y más fuera de fecha - y cada vez más probable que se vea comprometida.
Reglas hTAccess
.htaccess es un archivo de nivel de directorio que controla la configuración de su servidor web - y le da la capacidad de crear normas específicas para el dominio que su sitio web de WordPress está ejecutando. No vuelvas a sobrescribir estas reglas sin consultar con la documentación para asegurarse de que su formato y la lógica es correcto - pero no tenga miedo de hacer cambios de seguridad después de haber realizado la investigación adecuada.
El bloqueo del rango de IP
Para empezar, una de las maneras más rápidas para asegurar su sitio web es con el bloqueo de IP. El bloqueo de IP, básicamente, hace que su sitio inaccesible desde las direcciones IP que se ajustan a una distancia de su elección. Hay dos formas principales de usar el bloqueo a su ventaja. Por un lado, se pueden encontrar listas negras rango de direcciones IP que se actualizan constantemente cada vez que hay un intento de hackeo - añadiendo automáticamente algunos de los botnets conocidos y ordenadores maliciosos en la lista negra.
En segundo lugar, se puede bloquear rangos de IP de los países que sabe que no puede visitar su sitio web. Por ejemplo, si sólo está haciendo negocios en los Estados Unidos, es posible que desee bloquear algunos de los países que tienen una alta tasa de originación de intentos de hackeo - principalmente de China, Rusia, India, Rumania, y (en menor medida) Siria .
Wordfence
Una excepción a la regla de que los plugins de WordPress por lo general hacen su sitio menos seguro es Wordfence. Aunque sin duda hay otros plugins que están diseñados para aumentar la seguridad de su sitio, Wordfence es uno de los más antiguos y de mayor confianza. Wordfence contiene automáticamente un sistema de ataque de respuesta en vivo que agrega direcciones IP a una lista negra que se mantiene entre cada sitio de WordPress que ejecuta el plugin.
Esto le da a su sitio en beneficio de una vasta red de inteligencia que mantiene al tanto de los ataques actuales. Wordfence también le permite configurar el bloqueo de rango de IP y otras normas de seguridad directamente desde su panel de WordPress sin tener que acceder a los archivos individuales - y que incluye algunas otras características de seguridad así como la capacidad de utilizar la autenticación de dos factores para su registro en las .
Consideraciones avanzadas
Uno de los ataques más comunes en un sitio de WordPress es el intento de "adivinar" el registro de la contraseña por fuerza bruta con contraseñas y nombres de usuario comunes. Una contraseña compleja sin duda puede ayudar a prevenir este tipo de ataques - pero también lo pueden usar métodos avanzados como "ocultar" los archivos de inicio de sesión para el público, y sólo por lo que es posible iniciar sesión en el panel de control del sitio desde una dirección IP aprobado que se correlaciona a su hogar u oficina.
EmoticonEmoticon