WordPress es un software de código abierto completamente popular. Lo mejor de eso en cuanto a seguridad es que hay una gran comunidad que trabaja con él, que es capaz de descubrir errores y riesgos de seguridad más rápido de lo que uno podría hacerlo con una solución de CMS interna. (Es difícil descubrir las debilidades cuando una forma de averiguarlo es explotarlas, y tener una gran base de usuarios hace que el descubrimiento sea mucho más probable).
La desventaja es que los piratas informáticos con malas intenciones saben exactamente cómo está construido su sitio web. Ellos ya tienen el ‘plano’ de su sitio. Y si hay alguna debilidad en el núcleo, los temas o los complementos que usa, eso es algo que podrán saber sin tener acceso al backend de su sitio.
Entonces, en esta publicación, le mostraré cómo solucionar 5 amenazas de seguridad que están presentes en cualquier instalación completamente predeterminada de WordPress. (Si ya ha tomado algunas precauciones, es posible que descubra que ya ha solucionado una o dos, pero es importante corregir las cinco para minimizar el riesgo de ser pirateado).
Su sitio muestra que está usando WordPress, más la versión
La versión predeterminada de WordPress tendrá líneas de código que revelan que su sitio está construido con WordPress, incluso hasta la versión para las personas que saben dónde buscar. Dependiendo del tema, incluso podría mostrarse visualmente en cada página de su sitio web.
La razón por la que esto podría ser un riesgo para la seguridad es que las personas pueden apuntar a su sitio sin otro motivo que el hecho de que esté construido en WordPress. Si alguien encuentra una debilidad de seguridad en el núcleo de WordPress, un tema o complemento, es posible que encuentre el camino a su sitio para explotarlo. Mientras que si hubiera ocultado con éxito que su sitio se construyó con WordPress, las personas que buscan sitios de WordPress utilizando bots o rastreadores serían engañadas para que piensen que su sitio no es un objetivo viable.
Como arreglarlo:
Para solucionar este problema, puede utilizar el complemento Hide My WP. Con este pequeño y útil complemento, puede evitar el tráfico innecesario en su servidor y, al mismo tiempo, mantenerse a salvo de los ataques que se dirigen específicamente a los sitios de WordPress.
Todos saben dónde se encuentra su página de inicio de sesión / área de administración
Si todavía está demostrando que usa WordPress (también conocido como, no ocultándolo activamente, por ejemplo, usando un complemento como Hide My WP), las personas con malas intenciones ya sabrán dónde intentar un ataque de fuerza bruta en su sitio.
Como arreglarlo:
Para solucionar esta amenaza y reducir drásticamente las posibilidades de ser pirateado, y para reducir el estrés del servidor, debemos evitar que personas malintencionadas y bots accedan a nuestra página de inicio de sesión.
Hay dos formas principales de hacer esto. Puede cambiar la ubicación física de su página de inicio de sesión a otra cosa utilizando un complemento (o unas pocas líneas de código), o puede limitar el acceso a su página de inicio de sesión y área de administración por direcciones IP. Puede hacer esto con un complemento dedicado a esta cosa en particular, o con un complemento de seguridad como Sucuri, Wordfence, iThemes Security Pro o Todo en uno WP Security & Firewall.
WordPress tiene un prefijo de tabla predeterminado que todos usan
Un prefijo de tabla es lo que viene antes de los nombres de las tablas en su base de datos. En lugar de usuarios, con el prefijo estándar de WordPress, sería wp_users. Si usa el prefijo de tabla predeterminado, las personas pueden acceder más fácilmente a su sitio al aprovechar las posibles debilidades de la inyección SQL. Porque saben exactamente dónde inyectar información en su base de datos para luego obtener acceso a su sitio.
De hecho, me piratearon uno de mis sitios web debido a la inyección de SQL, por lo que esta es una amenaza muy real contra la que debe tomar contramedidas.
Como arreglarlo:
Afortunadamente, es muy fácil eliminar esta amenaza. Si ya ha instalado WordPress con el prefijo wp_ predeterminado, puede cambiarlo fácilmente con un complemento como Sucuri. Primero, necesita hacer una copia de seguridad de su base de datos antes de usar esa opción, ya que existe una pequeña posibilidad de que algo salga mal. Puede hacer esto con el clic de un botón. Luego puede elegir un nuevo prefijo, o simplemente dejar que Sucuri genere aleatoriamente el nuevo prefijo para usted.
Nota: Si está instalando WordPress por primera vez, puede cambiarlo en la interfaz de instalación.
Los archivos de temas y complementos de WordPress se pueden editar a través del panel
El problema con esto es que si un pirata informático obtiene acceso a su sitio web, puede causar mucho daño. Pueden hacer que su sitio web infeste a otras personas con malware (lo que podría terminar con su sitio en la lista negra de Google y desindexado de los motores de búsqueda), desfigurar su sitio web o abrir puertas traseras fácilmente.
Como arreglarlo:
Puede agregar esta línea de código a su archivo wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );
O use un complemento de seguridad para hacerlo por usted (que básicamente solo insertará esa línea de código por usted). El único problema es que hay complementos que permiten a las personas activar y desactivar esta capacidad, por lo que un pirata informático muy dedicado podría instalar un complemento, activar el complemento y luego obtener acceso para editar código sin acceso FTP.
Si desea ser extremadamente minucioso y protegerse contra esto, puede deshabilitar todas las actualizaciones / instalación de complementos y temas agregando esta línea de código a wp-config.php:
define( 'DISALLOW_FILE_MODS', true );
Pero, obviamente, esto significaría que tendría que cambiar su valor a falso cada vez que quisiera actualizar o instalar un complemento o tema (realmente no recomendamos esta opción, ya que mantener los temas y complementos actualizados es una de las mejores formas). para asegurarse de que su sitio sea menos vulnerable).
WordPress tiene una configuración de firewall muy abierta que puede permitir que incluso los bots maliciosos conocidos intenten ataques
La configuración predeterminada del firewall de WordPress está en el lado liberal. Esto significa que algunos bots no deseados y otros visitantes no deseados obtienen luz verde.
Como arreglarlo:
Puede mejorar esto instalando las reglas básicas del firewall de la lista negra de 5G, ya sea copiándolo manualmente en su archivo .htaccess (puede encontrarlo aquí) o instalando este complemento, o use un complemento de seguridad para optimizar mejor las reglas en su .htaccess.
Intentos de inicio de sesión de WordPress ilimitados
Si bien la configuración predeterminada es de hecho intentos de inicio de sesión ilimitados, es posible que haya elegido limitar los intentos de inicio de sesión cuando instaló WordPress en su sitio. Sin embargo, si no lo hizo, es una solución increíblemente fácil.
Como arreglarlo:
Simplemente instale el Complemento Limitar intentos de inicio de sesión. O, si está utilizando el alojamiento WPEngine, esta es una función que ya han incorporado para usted, ¡no se requiere un complemento! Si ya protege su área de inicio de sesión permitiendo que solo sus propias direcciones IP accedan al tablero, no necesitará hacer esto. Pero si simplemente ocultó la dirección de su página de inicio de sesión, es una buena protección doble contra posibles ataques de fuerza bruta.
Conclusión
El delito cibernético está creciendo rápidamente e Internet está en camino de convertirse en el hogar de más delincuentes que «el mundo real». En algunos países esto ya ha sucedido. Y si bien gran parte de esto es fraude bancario y de tarjetas de crédito, existe un número creciente de piratas informáticos y, como propietarios de sitios web, debemos protegernos a nosotros mismos y a nuestros sitios lo mejor que podamos.
Si bien una instalación predeterminada de WordPress tiene algunas debilidades, la belleza de WordPress está realmente en la facilidad con la que puede resolver prácticamente cualquiera de sus problemas con su sitio, incluidas las amenazas de seguridad mencionadas en esta publicación. Más allá de tener un nombre de usuario único y una contraseña segura, al instalar un complemento de seguridad, editar algunas configuraciones y tal vez insertar una línea de código o dos, ya puede reducir significativamente el riesgo de que su sitio sea pirateado o infestado de malware.
¿Ha tomado alguna medida para mejorar la seguridad de su sitio de WordPress? ¿Que tipo? ¡Nos encantaría escuchar algunos de tus consejos y trucos! Por favor, háganos saber en los comentarios.