WordPress es uno de los sistemas de gestión de contenido (CMS) más populares que existen. Por eso es vital prevenir la piratería de WordPress.
Estadísticamente, más del 33% de los sitios web se ejecutan actualmente en WordPress.
Esta publicación no es una descripción general de “talla única”, ya que hay muchas otras formas de proteger WordPress de la piratería. Aquí en Sucuri, sin duda abogamos por investigar y expandir los valores de seguridad fundamentales.
A continuación, se ofrecen algunos consejos para proteger tu sitio contra los ataques de WordPress.
1 – Utiliza gestión y contraseñas seguras
Muchos sitios web de WordPress son pirateados porque los piratas informáticos encuentran una forma de descubrir las credenciales del sitio web, lo que se denomina ataques de fuerza bruta. Los riesgos de sufrir ataques de fuerza bruta disminuyen significativamente cuando utiliza contraseñas seguras.
Crear contraseñas complejas y difíciles es una excelente manera de evitar que esto ocurra. Múltiples servicios y aplicaciones requieren un nombre de usuario y contraseña, por ejemplo, inicios de sesión de wp-admin, bases de datos, FTP / sFTP, etc. Puede ser abrumador pensar en cómo recordar docenas de contraseñas sin escribirlas o usar la misma contraseña en todos los ámbitos (ninguno de los cuales se recomienda).
Afortunadamente, puedes utilizar un administrador de contraseñas para almacenar y cifrar contraseñas de forma segura. Aunque hay varios, un administrador de contraseñas que recomendamos es LastPass.
LastPass es una aplicación / extensión que crea y recuerda sus contraseñas para que usted no tenga que hacerlo. Incluso te alertará si algunas de tus contraseñas son demasiado débiles.
2 – Utiliza el principio de privilegio mínimo
No delegues el acceso a usuarios / desarrolladores en los que no confíes al 100%. Si es absolutamente necesario otorgar acceso, asegúrate de restringirlo. Otorga el conjunto de privilegios más bajo permitido para las tareas de cada usuario. Y una vez que tu tarea esté completa, te recomendamos que elimines tu acceso de inmediato. Estas son las acciones detrás del principio de privilegio mínimo.
Aquí hay una cita simple que lo resume mejor:
“Solo hay dos personas en las que puedo confiar; tú y yo, y no estoy tan seguro de ti “. – Shon Harris, CISSP Boxed Set, Segunda edición
3 – Mantén los complementos de WordPress seguros y actualizados
WordPress en su esencia es seguro, con desarrolladores que actualizan constantemente el CMS, así como una amplia comunidad que ayuda a protegerlo aún más mediante la publicación de complementos para ayudar en estos esfuerzos. La instalación de demasiados complementos sin estar seguro de que son seguros puede provocar vulnerabilidades de WordPress o que tu sitio de WordPress sea pirateado.
La comunidad construida alrededor de WordPress es completamente de código abierto, lo que significa que todos tienen acceso al código / contenido de complementos y temas.
Piensa en cada complemento que instales como una puerta adicional en tu sitio de WordPress. Si tienes los mejores métodos de seguridad implementados solo en la puerta delantera y trasera, pero te olvidas de proteger las “entradas laterales”, básicamente estás invitando a los piratas informáticos a explotar estas áreas también.
Aunque la instalación de ciertos complementos puede ayudar a aliviar la carga de algunas tareas e incluso agregar una funcionalidad fresca y elegante a tu sitio de WordPress, en última instancia, estos complementos pueden usarse en su contra.
4 – Utiliza un método de endurecimiento de WordPress
Puedes utilizar métodos de endurecimiento para evitar que WordPress se piratee, como:
- Agregar reglas adicionales de permitir / denegar a través de tu archivo .htaccess,
- Restringir las URL de inicio de sesión a rangos de IP específicos,
- Protegiendo tu archivo wp-config,
- El bloqueo incluye,
- Evitar el enlace directo de imágenes, así como evitar la exploración de directorios,
- No iniciar sesión en WiFi público o no usar VPN en WiFi público,
- Eliminar complementos y archivos de WordPress no utilizados,
- Mantener limpio tu servidor.
La mayoría de los firewalls de sitios web aplican estos métodos de forma predeterminada.
5 – Evita un pirateo de WordPress con un firewall de sitio web
En 2018, entre todos los sitios web pirateados con los que trabajó Sucuri, WordPress representó más del 90% de todos los CMS pirateados.
Un problema común con el que nos encontramos a menudo es que los usuarios a veces no pueden actualizar su versión de WordPress debido a incapacidades con complementos o temas. Esto puede dejar un sitio de WordPress vulnerable a ataques.
En estos casos, recomendamos habilitar un firewall de WordPress para parchear virtualmente el sitio por usted.
Una excelente opción para evitar que tu sitio web de WordPress sea pirateado es habilitar un firewall de aplicaciones web (WAF).
Un WAF es esencialmente un paso para el tráfico que visita tu sitio, filtrando las solicitudes incorrectas (intentos de pirateo, exploits, DoS, etc.) y permitiendo que las buenas pasen.
Un firewall de WordPress:
- Previene un ataque futuro al detectar y detener métodos y comportamientos de piratería conocidos para mantener tu sitio de WordPress protegido contra infecciones en primer lugar.
- Agrega una actualización de seguridad virtual. Los piratas informáticos explotan rápidamente las vulnerabilidades en los complementos y temas de WordPress. Un buen firewall para sitios web reparará los agujeros en el software de tu sitio web de WordPress incluso sin actualizaciones de seguridad.
- Bloquea los ataques de fuerza bruta. Un firewall de WordPress deberías evitar que los visitantes no deseados accedan a tu página wp-admin o wp-login y utilicen la automatización de fuerza bruta para adivinar tu contraseña.
- Mitiga los ataques de denegación de servicio distribuido (DDoS) que intentan sobrecargar los recursos de un servidor o una aplicación. Al detectar y bloquear los ataques DDoS, un WAF se asegura de que el sitio de WordPress esté disponible incluso si es atacado con un gran volumen de visitas falsas.
- Optimiza el rendimiento de WordPress. La mayoría de los firewalls de sitios web ofrecerán almacenamiento en caché para una velocidad de página global más rápida con el fin de mantener contentos a sus visitantes y reducir las tasas de rebote mientras se mejora la participación del sitio web, las conversiones y la clasificación de los motores de búsqueda.
El firewall de WordPress que ofrece Sucuri es un WAF basado en la nube que detiene y previene los ataques y hacks de sitios web. Simultáneamente, acelera tu sitio mediante el uso de nuestra Red de entrega de contenido (CDN). No se necesita instalación; con un simple cambio de tu registro DNS A, estás habilitado.
Conclusión
La implementación de estas 5 formas enumeradas anteriormente no garantizará una seguridad perfecta y creará un sistema impenetrable contra los piratas informáticos; nada puede hacerlo. Considéralos consejos útiles sobre la reducción / eliminación de riesgos.
Recordar estos conceptos básicos al crear o trabajar en tu sitio web de WordPress puede ayudarte a evitar que ocurran hackeos de WordPress.
Neothek ofrece servicios de web hosting, registro de dominios, correo electrónico, certificados SSL, diseño de páginas web y diseño gráfico.
