ThemeLocal: consejos de blog que funcionan como magiaThemeLocal: consejos de blog que funcionan como magia
  • Blogging
  • WordPress
  • Marketing por correo
  • SEO
  • Redes sociales
  • Más
    • Tutoriales
    • Shopify
    • Críticas
    • Consejo
    • Seguridad
    • Software y servicios
    • Generación de tráfico
    • Guia de principiantes
    • Escaparate
Search
  • Términos de Uso
  • Política de privacidad
  • Política de cookies
  • Contactar
© 2022 Themelocal. Reservados todos los derechos.
Lectura: 5 amenazas de seguridad predeterminadas en WordPress (más correcciones)
Cuota
Notificación Mostrar más
Últimas noticias
HP Envy vs HP Pavilion: ¿Cuál es mejor?
Versus
Esta oferta de tarjeta SIM le brinda 60 GB de datos por solo £ 10
Ofertas
SharePlay: Cómo hacer ejercicio con amigos usando Apple Fitness Plus
Cómo
¿El modo de enfoque no funciona? Pruebe estos 8 consejos para solucionar problemas
Cómo
Oppo Find X6 Pro vs Oppo Find X5 Pro: ¿Qué hay de nuevo?
Versus
Aa
ThemeLocal: consejos de blog que funcionan como magiaThemeLocal: consejos de blog que funcionan como magia
Aa
  • Blogging
  • WordPress
  • Marketing por correo
  • SEO
  • Redes sociales
  • Más
Search
  • Blogging
  • WordPress
  • Marketing por correo
  • SEO
  • Redes sociales
  • Más
    • Tutoriales
    • Shopify
    • Críticas
    • Consejo
    • Seguridad
    • Software y servicios
    • Generación de tráfico
    • Guia de principiantes
    • Escaparate
Síganos
  • Términos de Uso
  • Política de privacidad
  • Política de cookies
  • Contactar
© 2022 Themelocal. Reservados todos los derechos.
ThemeLocal: consejos de blog que funcionan como magia > Blog > Seguridad > 5 amenazas de seguridad predeterminadas en WordPress (más correcciones)
Seguridad

5 amenazas de seguridad predeterminadas en WordPress (más correcciones)

Última actualización: noviembre 14, 2021 9:24 am
ThemeLocal hace 1 año 11 Minutos mínimos para leer
Cuota
11 Minutos mínimos para leer
Cuota

WordPress es un software de código abierto completamente popular. Lo mejor de eso en cuanto a seguridad es que hay una gran comunidad que trabaja con él, que es capaz de descubrir errores y riesgos de seguridad más rápido de lo que uno podría hacerlo con una solución de CMS interna. (Es difícil descubrir las debilidades cuando una forma de averiguarlo es explotarlas, y tener una gran base de usuarios hace que el descubrimiento sea mucho más probable).

Contents
Su sitio muestra que está usando WordPress, más la versiónTodos saben dónde se encuentra su página de inicio de sesión / área de administraciónWordPress tiene un prefijo de tabla predeterminado que todos usanLos archivos de temas y complementos de WordPress se pueden editar a través del panelWordPress tiene una configuración de firewall muy abierta que puede permitir que incluso los bots maliciosos conocidos intenten ataquesIntentos de inicio de sesión de WordPress ilimitadosConclusión

La desventaja es que los piratas informáticos con malas intenciones saben exactamente cómo está construido su sitio web. Ellos ya tienen el ‘plano’ de su sitio. Y si hay alguna debilidad en el núcleo, los temas o los complementos que usa, eso es algo que podrán saber sin tener acceso al backend de su sitio.

Entonces, en esta publicación, le mostraré cómo solucionar 5 amenazas de seguridad que están presentes en cualquier instalación completamente predeterminada de WordPress. (Si ya ha tomado algunas precauciones, es posible que descubra que ya ha solucionado una o dos, pero es importante corregir las cinco para minimizar el riesgo de ser pirateado).

Su sitio muestra que está usando WordPress, más la versión

Versión de WordPress

La versión predeterminada de WordPress tendrá líneas de código que revelan que su sitio está construido con WordPress, incluso hasta la versión para las personas que saben dónde buscar. Dependiendo del tema, incluso podría mostrarse visualmente en cada página de su sitio web.

La razón por la que esto podría ser un riesgo para la seguridad es que las personas pueden apuntar a su sitio sin otro motivo que el hecho de que esté construido en WordPress. Si alguien encuentra una debilidad de seguridad en el núcleo de WordPress, un tema o complemento, es posible que encuentre el camino a su sitio para explotarlo. Mientras que si hubiera ocultado con éxito que su sitio se construyó con WordPress, las personas que buscan sitios de WordPress utilizando bots o rastreadores serían engañadas para que piensen que su sitio no es un objetivo viable.

Como arreglarlo:
Para solucionar este problema, puede utilizar el complemento Hide My WP. Con este pequeño y útil complemento, puede evitar el tráfico innecesario en su servidor y, al mismo tiempo, mantenerse a salvo de los ataques que se dirigen específicamente a los sitios de WordPress.

Todos saben dónde se encuentra su página de inicio de sesión / área de administración

Inicio de sesión de WordPress

Si todavía está demostrando que usa WordPress (también conocido como, no ocultándolo activamente, por ejemplo, usando un complemento como Hide My WP), las personas con malas intenciones ya sabrán dónde intentar un ataque de fuerza bruta en su sitio.

Como arreglarlo:

Para solucionar esta amenaza y reducir drásticamente las posibilidades de ser pirateado, y para reducir el estrés del servidor, debemos evitar que personas malintencionadas y bots accedan a nuestra página de inicio de sesión.

Hay dos formas principales de hacer esto. Puede cambiar la ubicación física de su página de inicio de sesión a otra cosa utilizando un complemento (o unas pocas líneas de código), o puede limitar el acceso a su página de inicio de sesión y área de administración por direcciones IP. Puede hacer esto con un complemento dedicado a esta cosa en particular, o con un complemento de seguridad como Sucuri, Wordfence, iThemes Security Pro o Todo en uno WP Security & Firewall.

WordPress tiene un prefijo de tabla predeterminado que todos usan

Prefijo de tabla de WordPress

Un prefijo de tabla es lo que viene antes de los nombres de las tablas en su base de datos. En lugar de usuarios, con el prefijo estándar de WordPress, sería wp_users. Si usa el prefijo de tabla predeterminado, las personas pueden acceder más fácilmente a su sitio al aprovechar las posibles debilidades de la inyección SQL. Porque saben exactamente dónde inyectar información en su base de datos para luego obtener acceso a su sitio.

De hecho, me piratearon uno de mis sitios web debido a la inyección de SQL, por lo que esta es una amenaza muy real contra la que debe tomar contramedidas.

Como arreglarlo:

Afortunadamente, es muy fácil eliminar esta amenaza. Si ya ha instalado WordPress con el prefijo wp_ predeterminado, puede cambiarlo fácilmente con un complemento como Sucuri. Primero, necesita hacer una copia de seguridad de su base de datos antes de usar esa opción, ya que existe una pequeña posibilidad de que algo salga mal. Puede hacer esto con el clic de un botón. Luego puede elegir un nuevo prefijo, o simplemente dejar que Sucuri genere aleatoriamente el nuevo prefijo para usted.

Nota: Si está instalando WordPress por primera vez, puede cambiarlo en la interfaz de instalación.

Los archivos de temas y complementos de WordPress se pueden editar a través del panel

Editor de complementos de WordPress

El problema con esto es que si un pirata informático obtiene acceso a su sitio web, puede causar mucho daño. Pueden hacer que su sitio web infeste a otras personas con malware (lo que podría terminar con su sitio en la lista negra de Google y desindexado de los motores de búsqueda), desfigurar su sitio web o abrir puertas traseras fácilmente.

Como arreglarlo:
Puede agregar esta línea de código a su archivo wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

O use un complemento de seguridad para hacerlo por usted (que básicamente solo insertará esa línea de código por usted). El único problema es que hay complementos que permiten a las personas activar y desactivar esta capacidad, por lo que un pirata informático muy dedicado podría instalar un complemento, activar el complemento y luego obtener acceso para editar código sin acceso FTP.

Si desea ser extremadamente minucioso y protegerse contra esto, puede deshabilitar todas las actualizaciones / instalación de complementos y temas agregando esta línea de código a wp-config.php:

define( 'DISALLOW_FILE_MODS', true );

Pero, obviamente, esto significaría que tendría que cambiar su valor a falso cada vez que quisiera actualizar o instalar un complemento o tema (realmente no recomendamos esta opción, ya que mantener los temas y complementos actualizados es una de las mejores formas). para asegurarse de que su sitio sea menos vulnerable).

WordPress tiene una configuración de firewall muy abierta que puede permitir que incluso los bots maliciosos conocidos intenten ataques

Serrings de firewall de WordPress

La configuración predeterminada del firewall de WordPress está en el lado liberal. Esto significa que algunos bots no deseados y otros visitantes no deseados obtienen luz verde.

Como arreglarlo:
Puede mejorar esto instalando las reglas básicas del firewall de la lista negra de 5G, ya sea copiándolo manualmente en su archivo .htaccess (puede encontrarlo aquí) o instalando este complemento, o use un complemento de seguridad para optimizar mejor las reglas en su .htaccess.

Intentos de inicio de sesión de WordPress ilimitados

Si bien la configuración predeterminada es de hecho intentos de inicio de sesión ilimitados, es posible que haya elegido limitar los intentos de inicio de sesión cuando instaló WordPress en su sitio. Sin embargo, si no lo hizo, es una solución increíblemente fácil.

Como arreglarlo:

Simplemente instale el Complemento Limitar intentos de inicio de sesión. O, si está utilizando el alojamiento WPEngine, esta es una función que ya han incorporado para usted, ¡no se requiere un complemento! Si ya protege su área de inicio de sesión permitiendo que solo sus propias direcciones IP accedan al tablero, no necesitará hacer esto. Pero si simplemente ocultó la dirección de su página de inicio de sesión, es una buena protección doble contra posibles ataques de fuerza bruta.

Conclusión

El delito cibernético está creciendo rápidamente e Internet está en camino de convertirse en el hogar de más delincuentes que «el mundo real». En algunos países esto ya ha sucedido. Y si bien gran parte de esto es fraude bancario y de tarjetas de crédito, existe un número creciente de piratas informáticos y, como propietarios de sitios web, debemos protegernos a nosotros mismos y a nuestros sitios lo mejor que podamos.

Si bien una instalación predeterminada de WordPress tiene algunas debilidades, la belleza de WordPress está realmente en la facilidad con la que puede resolver prácticamente cualquiera de sus problemas con su sitio, incluidas las amenazas de seguridad mencionadas en esta publicación. Más allá de tener un nombre de usuario único y una contraseña segura, al instalar un complemento de seguridad, editar algunas configuraciones y tal vez insertar una línea de código o dos, ya puede reducir significativamente el riesgo de que su sitio sea pirateado o infestado de malware.

¿Ha tomado alguna medida para mejorar la seguridad de su sitio de WordPress? ¿Que tipo? ¡Nos encantaría escuchar algunos de tus consejos y trucos! Por favor, háganos saber en los comentarios.

También podría gustarte

La oferta de datos ilimitados del iPhone 14 ahora es aún más barata

Ctrl+Alt+Supr: los portátiles deberían poner más énfasis en la personalización

Revisión: 5C NFC YubiKey de Yubico funciona bien con la función de llaves de seguridad de Apple

El iPhone 14 Plus ahora es más barato que el iPhone 14 con esta oferta

Los mejores complementos de WordPress de realidad aumentada

ETIQUETADO: amenazas, correcciones, más, predeterminadas, seguridad, WordPress
ThemeLocal noviembre 14, 2021
Comparte este artículo
Facebook Twitter Pinterest Whatsapp Whatsapp
Cuota
¿Qué piensas?
Amor0
Triste0
Contento0
Somnoliento0
Enfadado0
Sin comentarios0
Guiño0
Artículo anterior Cómo no seguir automáticamente enlaces externos en WordPress
Artículo siguiente Publicidad WP Pro: creación, venta e integración de anuncios
Deja un comentario

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Publicación popular

Ctrl+Alt+Supr: los portátiles deberían poner más énfasis en la personalización
Reseñas de tecnología
Samsung Galaxy A54 vs Google Pixel 7: ¿Qué teléfono es el adecuado para ti?
Versus
SharePlay: Cómo hacer ejercicio con amigos usando Apple Fitness Plus
Cómo
Samsung Galaxy A34 5G vs Galaxy A33 5G: ¿Vale la pena la actualización?
Versus
Nest Hub nunca ha sido más barato con esta increíble oferta
Ofertas
Cómo eliminar el fondo de pantalla en iOS 16: la forma más rápida (2023)
Cómo

También podría gustarte

Ofertas

La oferta de datos ilimitados del iPhone 14 ahora es aún más barata

hace 23 horas 2 Minutos mínimos para leer
Reseñas de tecnología

Ctrl+Alt+Supr: los portátiles deberían poner más énfasis en la personalización

hace 4 días 5 Minutos mínimos para leer
Reseñas de tecnología

Revisión: 5C NFC YubiKey de Yubico funciona bien con la función de llaves de seguridad de Apple

hace 5 días 11 Minutos mínimos para leer
Ofertas

El iPhone 14 Plus ahora es más barato que el iPhone 14 con esta oferta

hace 5 días 3 Minutos mínimos para leer
Plugins

Los mejores complementos de WordPress de realidad aumentada

hace 5 días 12 Minutos mínimos para leer
Cómo

Cómo conseguir vuelos más baratos con una VPN

hace 7 días 3 Minutos mínimos para leer
Reseñas de tecnología

Primeras impresiones: Samsung Galaxy A54 5G Primeras impresiones: ¿Un S23 más barato? Revisar

hace 7 días 15 Minutos mínimos para leer
Ofertas

Nest Hub nunca ha sido más barato con esta increíble oferta

hace 7 días 2 Minutos mínimos para leer
Mostrar más
ThemeLocal: consejos de blog que funcionan como magiaThemeLocal: consejos de blog que funcionan como magia
Síganos

© 2022 Themelocal. Reservados todos los derechos.

  • Términos de Uso
  • Política de privacidad
  • Política de cookies
  • Contactar

Removed from reading list

Deshacer
Welcome Back!

Sign in to your account

¿Perdiste tu contraseña?