ThemeLocal: consejos de blog que funcionan como magiaThemeLocal: consejos de blog que funcionan como magiaThemeLocal: consejos de blog que funcionan como magia
  • Blogging
  • WordPress
  • Marketing por correo
  • SEO
  • Redes sociales
  • Más
    • Tutoriales
    • Shopify
    • Críticas
    • Consejo
    • Seguridad
    • Software y servicios
    • Generación de tráfico
    • Guia de principiantes
    • Escaparate
Search
  • Términos de Uso
  • Política de privacidad
  • Política de cookies
  • Contactar
© 2022 Themelocal. Reservados todos los derechos.
Lectura: 5 amenazas de seguridad predeterminadas en WordPress (más correcciones)
Cuota
Notificación Mostrar más
Aa
ThemeLocal: consejos de blog que funcionan como magiaThemeLocal: consejos de blog que funcionan como magia
Aa
  • Blogging
  • WordPress
  • Marketing por correo
  • SEO
  • Redes sociales
  • Más
Search
  • Blogging
  • WordPress
  • Marketing por correo
  • SEO
  • Redes sociales
  • Más
    • Tutoriales
    • Shopify
    • Críticas
    • Consejo
    • Seguridad
    • Software y servicios
    • Generación de tráfico
    • Guia de principiantes
    • Escaparate
Síganos
  • Términos de Uso
  • Política de privacidad
  • Política de cookies
  • Contactar
© 2022 Themelocal. Reservados todos los derechos.
ThemeLocal: consejos de blog que funcionan como magia > Blog > Seguridad > 5 amenazas de seguridad predeterminadas en WordPress (más correcciones)
Seguridad

5 amenazas de seguridad predeterminadas en WordPress (más correcciones)

Última actualización: noviembre 14, 2021 9:24 am
ThemeLocal hace 2 años 11 Minutos mínimos para leer
Cuota
11 Minutos mínimos para leer
Cuota

WordPress es un software de código abierto completamente popular. Lo mejor de eso en cuanto a seguridad es que hay una gran comunidad que trabaja con él, que es capaz de descubrir errores y riesgos de seguridad más rápido de lo que uno podría hacerlo con una solución de CMS interna. (Es difícil descubrir las debilidades cuando una forma de averiguarlo es explotarlas, y tener una gran base de usuarios hace que el descubrimiento sea mucho más probable).

Contents
Su sitio muestra que está usando WordPress, más la versiónTodos saben dónde se encuentra su página de inicio de sesión / área de administraciónWordPress tiene un prefijo de tabla predeterminado que todos usanLos archivos de temas y complementos de WordPress se pueden editar a través del panelWordPress tiene una configuración de firewall muy abierta que puede permitir que incluso los bots maliciosos conocidos intenten ataquesIntentos de inicio de sesión de WordPress ilimitadosConclusión

La desventaja es que los piratas informáticos con malas intenciones saben exactamente cómo está construido su sitio web. Ellos ya tienen el ‘plano’ de su sitio. Y si hay alguna debilidad en el núcleo, los temas o los complementos que usa, eso es algo que podrán saber sin tener acceso al backend de su sitio.

Entonces, en esta publicación, le mostraré cómo solucionar 5 amenazas de seguridad que están presentes en cualquier instalación completamente predeterminada de WordPress. (Si ya ha tomado algunas precauciones, es posible que descubra que ya ha solucionado una o dos, pero es importante corregir las cinco para minimizar el riesgo de ser pirateado).

Su sitio muestra que está usando WordPress, más la versión

Versión de WordPress

La versión predeterminada de WordPress tendrá líneas de código que revelan que su sitio está construido con WordPress, incluso hasta la versión para las personas que saben dónde buscar. Dependiendo del tema, incluso podría mostrarse visualmente en cada página de su sitio web.

La razón por la que esto podría ser un riesgo para la seguridad es que las personas pueden apuntar a su sitio sin otro motivo que el hecho de que esté construido en WordPress. Si alguien encuentra una debilidad de seguridad en el núcleo de WordPress, un tema o complemento, es posible que encuentre el camino a su sitio para explotarlo. Mientras que si hubiera ocultado con éxito que su sitio se construyó con WordPress, las personas que buscan sitios de WordPress utilizando bots o rastreadores serían engañadas para que piensen que su sitio no es un objetivo viable.

Como arreglarlo:
Para solucionar este problema, puede utilizar el complemento Hide My WP. Con este pequeño y útil complemento, puede evitar el tráfico innecesario en su servidor y, al mismo tiempo, mantenerse a salvo de los ataques que se dirigen específicamente a los sitios de WordPress.

Todos saben dónde se encuentra su página de inicio de sesión / área de administración

Inicio de sesión de WordPress

Si todavía está demostrando que usa WordPress (también conocido como, no ocultándolo activamente, por ejemplo, usando un complemento como Hide My WP), las personas con malas intenciones ya sabrán dónde intentar un ataque de fuerza bruta en su sitio.

Como arreglarlo:

Para solucionar esta amenaza y reducir drásticamente las posibilidades de ser pirateado, y para reducir el estrés del servidor, debemos evitar que personas malintencionadas y bots accedan a nuestra página de inicio de sesión.

Hay dos formas principales de hacer esto. Puede cambiar la ubicación física de su página de inicio de sesión a otra cosa utilizando un complemento (o unas pocas líneas de código), o puede limitar el acceso a su página de inicio de sesión y área de administración por direcciones IP. Puede hacer esto con un complemento dedicado a esta cosa en particular, o con un complemento de seguridad como Sucuri, Wordfence, iThemes Security Pro o Todo en uno WP Security & Firewall.

WordPress tiene un prefijo de tabla predeterminado que todos usan

Prefijo de tabla de WordPress

Un prefijo de tabla es lo que viene antes de los nombres de las tablas en su base de datos. En lugar de usuarios, con el prefijo estándar de WordPress, sería wp_users. Si usa el prefijo de tabla predeterminado, las personas pueden acceder más fácilmente a su sitio al aprovechar las posibles debilidades de la inyección SQL. Porque saben exactamente dónde inyectar información en su base de datos para luego obtener acceso a su sitio.

De hecho, me piratearon uno de mis sitios web debido a la inyección de SQL, por lo que esta es una amenaza muy real contra la que debe tomar contramedidas.

Como arreglarlo:

Afortunadamente, es muy fácil eliminar esta amenaza. Si ya ha instalado WordPress con el prefijo wp_ predeterminado, puede cambiarlo fácilmente con un complemento como Sucuri. Primero, necesita hacer una copia de seguridad de su base de datos antes de usar esa opción, ya que existe una pequeña posibilidad de que algo salga mal. Puede hacer esto con el clic de un botón. Luego puede elegir un nuevo prefijo, o simplemente dejar que Sucuri genere aleatoriamente el nuevo prefijo para usted.

Nota: Si está instalando WordPress por primera vez, puede cambiarlo en la interfaz de instalación.

Los archivos de temas y complementos de WordPress se pueden editar a través del panel

Editor de complementos de WordPress

El problema con esto es que si un pirata informático obtiene acceso a su sitio web, puede causar mucho daño. Pueden hacer que su sitio web infeste a otras personas con malware (lo que podría terminar con su sitio en la lista negra de Google y desindexado de los motores de búsqueda), desfigurar su sitio web o abrir puertas traseras fácilmente.

Como arreglarlo:
Puede agregar esta línea de código a su archivo wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

O use un complemento de seguridad para hacerlo por usted (que básicamente solo insertará esa línea de código por usted). El único problema es que hay complementos que permiten a las personas activar y desactivar esta capacidad, por lo que un pirata informático muy dedicado podría instalar un complemento, activar el complemento y luego obtener acceso para editar código sin acceso FTP.

Si desea ser extremadamente minucioso y protegerse contra esto, puede deshabilitar todas las actualizaciones / instalación de complementos y temas agregando esta línea de código a wp-config.php:

define( 'DISALLOW_FILE_MODS', true );

Pero, obviamente, esto significaría que tendría que cambiar su valor a falso cada vez que quisiera actualizar o instalar un complemento o tema (realmente no recomendamos esta opción, ya que mantener los temas y complementos actualizados es una de las mejores formas). para asegurarse de que su sitio sea menos vulnerable).

WordPress tiene una configuración de firewall muy abierta que puede permitir que incluso los bots maliciosos conocidos intenten ataques

Serrings de firewall de WordPress

La configuración predeterminada del firewall de WordPress está en el lado liberal. Esto significa que algunos bots no deseados y otros visitantes no deseados obtienen luz verde.

Como arreglarlo:
Puede mejorar esto instalando las reglas básicas del firewall de la lista negra de 5G, ya sea copiándolo manualmente en su archivo .htaccess (puede encontrarlo aquí) o instalando este complemento, o use un complemento de seguridad para optimizar mejor las reglas en su .htaccess.

Intentos de inicio de sesión de WordPress ilimitados

Si bien la configuración predeterminada es de hecho intentos de inicio de sesión ilimitados, es posible que haya elegido limitar los intentos de inicio de sesión cuando instaló WordPress en su sitio. Sin embargo, si no lo hizo, es una solución increíblemente fácil.

Como arreglarlo:

Simplemente instale el Complemento Limitar intentos de inicio de sesión. O, si está utilizando el alojamiento WPEngine, esta es una función que ya han incorporado para usted, ¡no se requiere un complemento! Si ya protege su área de inicio de sesión permitiendo que solo sus propias direcciones IP accedan al tablero, no necesitará hacer esto. Pero si simplemente ocultó la dirección de su página de inicio de sesión, es una buena protección doble contra posibles ataques de fuerza bruta.

Conclusión

El delito cibernético está creciendo rápidamente e Internet está en camino de convertirse en el hogar de más delincuentes que «el mundo real». En algunos países esto ya ha sucedido. Y si bien gran parte de esto es fraude bancario y de tarjetas de crédito, existe un número creciente de piratas informáticos y, como propietarios de sitios web, debemos protegernos a nosotros mismos y a nuestros sitios lo mejor que podamos.

Si bien una instalación predeterminada de WordPress tiene algunas debilidades, la belleza de WordPress está realmente en la facilidad con la que puede resolver prácticamente cualquiera de sus problemas con su sitio, incluidas las amenazas de seguridad mencionadas en esta publicación. Más allá de tener un nombre de usuario único y una contraseña segura, al instalar un complemento de seguridad, editar algunas configuraciones y tal vez insertar una línea de código o dos, ya puede reducir significativamente el riesgo de que su sitio sea pirateado o infestado de malware.

¿Ha tomado alguna medida para mejorar la seguridad de su sitio de WordPress? ¿Que tipo? ¡Nos encantaría escuchar algunos de tus consejos y trucos! Por favor, háganos saber en los comentarios.

También podría gustarte

Cómo configurar correctamente los ajustes de correo electrónico de WordPress

Cómo agregar pago con código QR Stripe en WordPress

Cómo agregar fácilmente emojis a su título SEO en WordPress

Guía del comprador de iPhone 15 Plus frente a 15 Pro Max: más de 35 diferencias comparadas

Pixel 7a acaba de destruir a la competencia con su oferta más asequible hasta el momento

ETIQUETADO: amenazas, correcciones, más, predeterminadas, seguridad, WordPress
ThemeLocal noviembre 14, 2021 noviembre 14, 2021
Comparte este artículo
Facebook Twitter Pinterest Whatsapp Whatsapp
Cuota
¿Qué piensas?
Amor0
Triste0
Contento0
Somnoliento0
Enfadado0
Sin comentarios0
Guiño0
Artículo anterior Cómo no seguir automáticamente enlaces externos en WordPress
Artículo siguiente Publicidad WP Pro: creación, venta e integración de anuncios
Deja un comentario

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Publicación popular

Cómo agregar pago con código QR Stripe en WordPress
Tutoriales
Cómo crear Live Stickers en iOS 17
Cómo
iOS 17: Cómo utilizar el recorte con un toque en fotos
Cómo
Primeras impresiones: revisión de Philips Fidelio L4
Reseñas de tecnología
Los fanáticos del café echarán espuma por este recorte de precios de Sage Barista
Ofertas
Apple Watch 9 vs Apple Watch 8: ¿Cómo se compara el nuevo dispositivo portátil de Apple?
Versus

También podría gustarte

Tutoriales

Cómo configurar correctamente los ajustes de correo electrónico de WordPress

hace 1 día 14 Minutos mínimos para leer
Tutoriales

Cómo agregar pago con código QR Stripe en WordPress

hace 2 días 12 Minutos mínimos para leer
Tutoriales

Cómo agregar fácilmente emojis a su título SEO en WordPress

hace 2 días 9 Minutos mínimos para leer
Guías

Guía del comprador de iPhone 15 Plus frente a 15 Pro Max: más de 35 diferencias comparadas

hace 5 días 8 Minutos mínimos para leer
Ofertas

Pixel 7a acaba de destruir a la competencia con su oferta más asequible hasta el momento

hace 5 días 2 Minutos mínimos para leer
Reseñas de tecnología

Reseñas del iPhone 15 Pro: las mejoras van mucho más allá del USB-C

hace 6 días 4 Minutos mínimos para leer
Guías

Guía del comprador de iPhone 15 frente a iPhone 15 Pro: más de 35 diferencias comparadas

hace 7 días 7 Minutos mínimos para leer
Ofertas

Olvídese del iPhone 15, esta oferta de iPhone 14 es la opción más inteligente

hace 7 días 3 Minutos mínimos para leer
Mostrar más
ThemeLocal: consejos de blog que funcionan como magiaThemeLocal: consejos de blog que funcionan como magia
Síganos
© 2022 Themelocal. Reservados todos los derechos.
  • Términos de Uso
  • Política de privacidad
  • Política de cookies
  • Contactar
Welcome Back!

Sign in to your account

¿Perdiste tu contraseña?