Los medios de comunicación suelen informarnos sobre irregularidades en el funcionamiento de los sitios web de bancos, entidades financieras u oficinas. Todos los sitios web son vulnerables a los ataques de piratas informáticos. Incluso los sitios web más seguros pueden tener brechas de seguridad. ¿Podemos sentirnos seguros? Seguro que mucho más si preparamos la web de acuerdo con las normas básicas de seguridad para reducir al mínimo el riesgo.
¿Cómo proteger WordPress?
Al principio, vale la pena enfatizar que los sitios web (no solo los que están en el motor de WordPress, sino también todos los demás) están expuestos a ataques de varias partes todos los días. Aquí no estamos hablando solo de “diferentes partes del mundo”, sino también de los canales a través de los cuales pueden ocurrir infecciones e inyección de código malicioso.
Los ataques se llevan a cabo principalmente en servidores, bases de datos y todos los formularios de contacto, formularios de inicio de sesión, etc. Pero antes de hablar sobre la protección de su WordPress, respondamos a la pregunta: ¿por qué los piratas informáticos atacan sitios web regulares?
Razones para hackear sitios web
¿Por qué WordPress es el objetivo más común de los ataques? La razón principal es su popularidad: las estadísticas dicen que incluso uno de cada tres sitios web se basa en este CMS. El entorno de este sistema es específico, ya que gran parte de las soluciones están generalmente disponibles y son gratuitas, lo que permite descargar y analizar el código para buscar el llamado. puertas traseras. Sin embargo, no es cierto que WordPress sea más vulnerable a la piratería que otros sistemas CMS. Si un sitio web basado en WP se crea de acuerdo con el arte y se actualiza constantemente, el riesgo de problemas será mínimo, no mayor que en el caso de otras soluciones disponibles en el mercado.
Entonces, ¿qué motiva a los piratas informáticos a entrar en un sitio web?
- Voluntad de distribuir malware en una región determinada,
- Robo de datos confidenciales almacenados en bases de datos o archivos no seguros,
- spam,
- El deseo de “aparecer” en el entorno y probar tus habilidades, sí, la jactancia habitual.
Prevención
servidor y hospedaje
La selección de una empresa de alojamiento es un punto importante en el proceso de mantenimiento de un sitio web. A veces no vale la pena sugerir solo el precio. Las buenas empresas utilizan filtros de spam en sus servidores. Una buena solución en este caso es comprar un servicio con un servidor dedicado. Desafortunadamente, tales soluciones son costosas, tampoco brindan un 100% de certeza en términos de seguridad, pero son más seguras que los servidores compartidos. Al colocar un sitio web en un servidor compartido, es importante asegurarse de que la separación de sitios esté habilitada en el panel de alojamiento. Esto ayudará a separar el entorno del sitio de otros directorios en el servidor.
Una buena solución es utilizar las “superposiciones” de CloudFlare. En resumen: es una especie de “filtro-proxy” para el servidor, es una barrera que enmascara los robots de los motores de búsqueda o los robots de spam. Los ataques se bloquean tan pronto como se intenta llegar al servidor.
Además, recuerde mantener la versión más alta (actualizada) de PHP en el servidor. Solo los scripts admitidos brindan protección avanzada de archivos.
Actualización de scripts y complementos
El primer y más importante punto a tener en cuenta cuando se trata de la seguridad de WordPress es actualizar el script y todos los complementos. La mayoría de las veces, los piratas informáticos buscan “tantas lagunas” en scripts obsoletos que no son compatibles con la seguridad actual. Es por eso que el CMS de WordPress se actualiza con tanta frecuencia, simplemente “sellando” estos agujeros.
Además, al crear una página, preste atención a la cantidad de complementos. Instalemos solo los necesarios. Cuantos más complementos, mayor será la probabilidad de una “brecha” en el script.
Nota: Solo las actualizaciones periódicas ayudarán a reducir los ataques de spam. Por supuesto, antes de actualizar, recuerda hacer una copia de seguridad del sitio web.
certificado SSL
El certificado SSL es un punto muy importante en el proceso de reducción de ataques. Proporciona, por ejemplo, el cifrado de datos ya en el navegador y su transferencia segura a los servidores.
Hay muchos tipos de seguridad SSL, cada uno tiene un nivel diferente de seguridad y alcance de encriptación de datos. Está claro que para los bancos y las instituciones gubernamentales, las tiendas en línea y los sitios web comunes de información y tarjetas comerciales, el nivel de seguridad requerido es diferente. En muchos casos, el certificado gratuito de Let’s Encrypt debería ser suficiente.
Salvaguardia
Cambio de contraseñas e inicio de sesión
Una buena práctica para cuidar su sitio web es cambiar periódicamente las contraseñas de acceso al panel de CMS. Las contraseñas deben ser generadas por generadores, y los inicios de sesión no deben tener “inicio de sesión” o “admin” en su nombre, y la mejor solución es iniciar sesión con una dirección de correo electrónico.
También vale la pena recordar cerrar sesión en el sistema CMS cada vez que termine el trabajo. Deshabilitar una página en el navegador no siempre equivale a cerrar sesión en el panel; vale la pena recordarlo.
Evitamos almacenar contraseñas en el navegador.
Evitamos el envío de contraseñas por correo electrónico.
Cambiar la dirección de inicio de sesión
Una cierta forma de limitar los intentos de ataque es cambiar la dirección de inicio de sesión del sitio web. La dirección predeterminada y, por lo tanto, a la que se llama con mayor frecuencia durante un intento de ataque de Fuerza Bruta, es dominio.pl/wp-login.php o /wp-admin. Dar una dirección de inicio de sesión individual al sitio web definitivamente reducirá la cantidad de intentos de piratería, siempre que /wp-admin y /wp-login.php no redireccionen a una nueva dirección, sino que devuelvan un código 404 o 410.
Este cambio se puede realizar por su cuenta, con un complemento o con la ayuda de un programador.
Proceso de inicio de sesión en dos pasos y bloqueo de fallas
Algunos proveedores de alojamiento le permiten crear un proceso de inicio de sesión de WordPress CMS de dos pasos de forma predeterminada. También hay complementos que le permiten enviar un SMS o correo electrónico para iniciar sesión.
El bloqueo de direcciones IP es también uno de los métodos de prevención eficaz de ataques, utilizado principalmente por desarrolladores y programadores. En este caso, modifique el archivo htaccess, limitando el acceso a la subpágina de inicio de sesión solo a las direcciones IP indicadas, ejemplo:
AuthName “Ejemplo de control de acceso”
AuthType
Orden básica denegar, permitir
denegar de todos
permitir desde dirección IP
Donde “dirección IP” es la dirección que usamos para iniciar sesión en el panel.
Cambio de prefijo de tabla
La mayoría de las bases de datos MySQL de WordPress tienen un aspecto similar: las filas y las tablas comienzan con el prefijo wp_. Esto permite que el sistema reconozca que esta base de datos está asignada a él. Cambiar el prefijo a uno menos distintivo hará que sea más difícil para los hackers modificar la base de datos.
¿Qué pasa con los complementos?
Hay bastantes complementos en el mercado que incluyen las características mencionadas anteriormente. A primera vista, ayudan a proteger WordPress contra ataques como Brute Force, ahorran dinero porque no requieren el empleo de un programador y se puede hacer clic en todas las funciones en aproximadamente una docena de minutos. Pero, ¿los costos más bajos realmente garantizan el efecto esperado?
Los complementos de Wordfence pueden tener todas las funciones necesarias, pero siguen siendo solo soluciones adicionales y otro código implementado en el sistema. Como se mencionó anteriormente, los complementos adicionales a menudo tienen una “puerta trasera” a través de la cual se inyecta el código malicioso. En este caso, hay que tener en cuenta la rapidez y facilidad de implementación por un lado, y una mayor seguridad por otro, pero lamentablemente también los costes.
Sugerimos que tales soluciones son solo una adición a un script que el programador protege de forma segura.
Limpieza
Desafortunadamente, hay momentos en que nuestro sitio web es atacado. ¿Qué tengo que hacer? En primer lugar, no se asuste. A veces, restaurar una copia de la página solucionará el problema (dependiendo del tipo de ataque), pero entonces es imperativo que tome medidas preventivas.
Desafortunadamente, en gran medida, la limpieza de la infección debe subcontratarse a especialistas. En primer lugar, estará en sus manos examinar la magnitud de la intrusión y luego limpiar los archivos infectados. Una vez que haya solucionado completamente el problema, debe asegurar la página de acuerdo con las sugerencias anteriores.
Limpieza de archivos .htaccess y wp-config
Después de un ataque de piratas informáticos, los archivos infectados con mayor frecuencia en CMS WordPress son los archivos de configuración: .htaccess, wp-config e index.php. En primer lugar, debe revisar los archivos indicados (y los de la plantilla y los complementos) para detectar la inyección de código sospechoso que modifica la visualización del contenido, los resultados de búsqueda, el número y la calidad de las subpáginas, etc.
El proceso puede ser tedioso, pero la limpieza de estos archivos permitirá a los piratas informáticos “cortar” los datos almacenados en su sitio web.
Bloqueo de direcciones de la indexación
Después de limpiar los archivos indicados, las direcciones infectadas deben informarse a Google Search Console para su indexación. El siguiente paso importante será bloquear estas direcciones con el código 410 en el archivo .htaccess para evitar la reindexación de subpáginas infectadas en los resultados de búsqueda.
Proteger su sitio web basado en el sistema WordPress contra ataques de piratas informáticos es un asunto extremadamente importante. Desafortunadamente, los sitios web que se dejan desatendidos, no actualizados, no respaldados por los administradores, tienen más probabilidades de infectarse. Entonces, nuestros datos de clientes, información de transacciones, números de tarjetas y cuentas, contactos comerciales, datos estadísticos e incluso nuestro buen nombre están en manos de los ciberdelincuentes. Debemos ser conscientes de las consecuencias de esto. En el texto de la mayoría de normativas e información sobre la Política de Privacidad y Cookies, damos a nuestros usuarios una garantía de la seguridad de sus datos. Este problema no se puede subestimar en absoluto, porque en los tribunales estaremos en una posición perdida.
Entonces, ¿vale la pena arriesgarse a tales pérdidas? Definitivamente no. Así que prevengamos molestias usando las recomendaciones anteriores, y ciertamente el tiempo y el costo invertidos reducirán casi por completo la posibilidad del problema.
Como actualizar Windows 7,8, 10