13 mitos de seguridad de WordPress | ¡Proteja su sitio web de ser pirateado!
Publicado: 2019-03-23Aunque WordPress alberga una vasta comunidad de usuarios de todo el mundo y es la principal plataforma de gestión de contenido, ese lugar número uno pone un objetivo en su espalda y aparecen muchos mitos de seguridad de WordPress.
Encontrará muchos consejos de seguridad sobre la protección de sus sitios, así como la forma de mejorar la seguridad de WooCommerce, pero esto ha llevado a muchos mitos que en realidad no hacen nada beneficioso para proteger su sitio. Algunos de estos consejos pueden incluso dejarlo más vulnerable a los ataques.
Mitos de seguridad de WordPress
Examinemos los 13 principales mitos de seguridad de WordPress y lo que puede hacer para proteger su sitio web de WordPress correctamente.
1. Oculte sus páginas wp-admin o wp-login, y nadie podrá encontrar la URL de inicio de sesión
La lógica detrás de esta idea es evitar que los piratas informáticos potenciales pirateen cosas que no pueden encontrar. Si su URL de inicio de sesión no es la URL estándar de WordPress / wp-admin / URL, ¿no está protegido contra ataques de fuerza bruta? Si bien ocultar la URL de su wp-admin puede ayudar a detener algunos ataques, no los detendrá a todos.
La razón por la que esta estrategia no funciona es porque hay otras formas de iniciar sesión en sus sitios de WordPress además de la forma normal de usar un navegador de Internet, como REST API o XML-RPC. Esto significa que incluso si cambia la URL de inicio de sesión de WordPress , un complemento o tema que use aún puede vincularse a la URL alterada.
Si bien ocultar la función de backend es lo suficientemente bueno para evitar la mayoría de los intentos de acceso directo, aquellos que encuentren sus URL personalizadas de wp-admin o wp-login aún pueden ser redirigidos a sus páginas de inicio de sesión.
Otra razón por la que esto no funciona es que ocultar el backend por completo dañaría su sitio. Todo lo que instale asume que wp-admin estará en la URL.
Ocultar la URL de inicio de sesión puede oscurecer, pero no puede cambiar por completo el enlace real a sus inicios de sesión de WordPress, y personalizar la URL de inicio de sesión puede causar muchos problemas, ya que muchos temas, complementos y aplicaciones codifican el wp-login.php en su código base.
Si estos complementos, temas, etc. no pueden encontrar el enlace, en su lugar encuentran un error. Una solución más confiable sería utilizar la autenticación de dos factores y negar las contraseñas comprometidas.
2. Oculte su número de versión de WordPress y el nombre del tema para una protección adicional
La idea detrás de esta táctica es que, si los piratas informáticos tienen esta información, pueden usarla para acceder a su sitio.
Ocultar la información de la versión de WordPress o el nombre del tema no lo mantendrá a salvo de las brechas de seguridad, ya que hay muchos bots que buscan vulnerabilidades conocidas en el código que se ejecuta en su sitio web.
En lugar de ocultar esta información, asegúrese de que su instalación de WordPress esté siempre actualizada para asegurarse de tener instalados los últimos parches de seguridad.
3. Cambie el nombre de su directorio wp-content y estará seguro
Sus complementos, temas y carpetas de carga de medios están todos contenidos en el directorio wp-content de su sitio. Hay un montón de código e información para usar, por lo que, por supuesto, es prudente proteger esta información.
Sin embargo, cambiar el nombre del directorio de contenido no agregará esa capa adicional de protección a su sitio. Con las herramientas de desarrollo del navegador, se puede encontrar el nombre de su contenido de wp incluso si lo cambia.
Renombrarlo incluso puede causar conflictos con complementos que tienen una ruta de directorio de contenido wp codificada que necesitan usar para funcionar.
La única razón por la que debería preocuparse por su directorio wp-content es si contiene un complemento o tema con una vulnerabilidad que pueda explotarse. La mejor manera de prevenir esto es manteniendo sus temas y complementos actualizados para evitar vulnerabilidades de seguridad.
4. La piratería solo ocurre en sitios grandes
Incluso si su sitio de WordPress es pequeño con poco tráfico, es vital ser proactivo cuando se trata de proteger su sitio.
Al hacker no le importa qué tan grande u ocupado sea un sitio. Cualquier sitio que sea vulnerable puede convertirse en un centro para sitios maliciosos, correos electrónicos no deseados o incluso minar bitcoins. La clave es la vulnerabilidad más que el tamaño del sitio o los niveles de tráfico.
Puede mitigar esto manteniendo siempre actualizados los complementos, temas y el propio WordPress , e instalando un complemento de seguridad confiable para WordPress. El alojamiento de calidad y la autenticación de dos factores también son partes importantes para mantener a raya a los atacantes.
5. WordPress no es una plataforma segura
Es posible que haya escuchado esta afirmación antes, pero simplemente no es cierto. WordPress, siendo uno de los mejores sistemas de gestión de contenido en línea en la actualidad, no llegó a donde está ahora sin medidas de seguridad sólidas y confiables.
La mayor vulnerabilidad proviene de los usuarios y puede evitarse con las medidas de precaución que tomen los propietarios del sitio. La razón número uno de los ataques es el software desactualizado, y la mayoría de los complementos se parchearán regularmente para corregir posibles vulnerabilidades en su código.
Asegúrese siempre de mantener actualizados sus temas y complementos. Cuando un sitio es pirateado, no es un defecto de WordPress, es un error de vigilancia del usuario lo que lo deja abierto a un ataque .
6. Las actualizaciones periódicas siempre mantienen su sitio seguro.
Si bien actualizar sus complementos y temas con regularidad es vital para mantener la seguridad en su sitio, no es una panacea para la posible explotación de su sitio. WordPress tiene muchos complementos y temas disponibles, y una gran cantidad de ellos no se ha actualizado durante dos o más años.
Los complementos que no han recibido un mantenimiento regular adecuado pueden contener características desactualizadas que ralentizan los tiempos de carga o, lo que es peor, rompen su sitio.
Asegúrese de que sus complementos reciban soporte activo para mantenerse a salvo de posibles vulnerabilidades y elimine los complementos antiguos que ya no reciben soporte para minimizar el riesgo de piratería.
7. Las copias de seguridad siempre arreglarán su sitio web
Las copias de seguridad son una de las soluciones más comunes para reparar sitios web comprometidos. Si bien una copia de seguridad completa del sitio (verifique los mejores complementos de copia de seguridad gratuitos de WordPress) le permite restaurar su sitio, lo deja con las mismas vulnerabilidades de seguridad que comprometieron su sitio en primer lugar.
- Nombre
- Versión gratuita
- Versión de pagoCon actualizaciones y complementos adicionales
- Copia de seguridad completa del sitio¿Es posible hacer una copia de seguridad de todo el sitio con todos los archivos?
- Copias de seguridad de la base de datos¿Es posible hacer una copia de seguridad solo de la base de datos?
- Copias de seguridad en Dropbox¿Es posible guardar archivos de respaldo en Dropbox?
- Copias de seguridad en Amazon S3¿Es posible guardar archivos de respaldo en Amazon S3?
- Copias de seguridad en Google Drive¿Es posible guardar archivos de respaldo en Google Drive?
- Copias de seguridad a FTP¿Es posible guardar archivos de respaldo en FTP?
- Copias de seguridad en Rackspace¿Es posible guardar archivos de respaldo en Rackspace?
- Notificación de correo electrónicoNotificación por correo electrónico cuando se crea la copia de seguridad
- Cambia solo copias de seguridadPara reducir los recursos del servidor y ahorrar espacio, solo se agregan nuevos cambios a la copia de seguridad
- Copias de seguridad programadas
- Backups en tiempo realLos archivos de respaldo se crean cada vez que realiza cambios en su sitio
- Migrar sitioCopie el sitio o muévalo a un nuevo host
- Restauración de archivos individualesRestaurar archivos / archivos individuales desde la copia de seguridad en lugar de todo
- Restaurar la copia de seguridad desde la interfaz
- Escaneo de seguridad y malwareOpciones para buscar virus y otras infecciones
- Reparación y optimización de bases de datosOpciones para optimizar la base de datos de wordpress
- Soporte multisitio
- Precio de la versión de pagoCon todos los complementos y funciones (plan más barato para 1-2 sitios)
- AtrásWPupTambién tiene una versión premium / paga con complementos y actualizaciones adicionales
- Solo en versión paga
- 75 $Para plan estándar
- Copia de seguridadWordPressTambién tiene una versión premium / paga con complementos y actualizaciones adicionales
- Solo disponible con complemento de pago cuyo precio ronda los 24 $
- Solo disponible con complemento de pago cuyo precio ronda los 24 $
- Solo disponible con complemento de pago cuyo precio ronda los 24 $
- Solo disponible con complemento de pago cuyo precio ronda los 24 $
- Solo disponible con complemento de pago cuyo precio ronda los 24 $
- 60 $Para plan personal
- UpdraftPlusTambién tiene una versión premium / paga con complementos y actualizaciones adicionales
- Solo disponible con complemento de pago cuyo precio ronda los 15 $
- Complemento pagadoSolo disponible con complemento de pago cuyo precio ronda los 30 $
- Complemento pagadoSolo disponible con complemento de pago cuyo precio ronda los 25 $
- 99 $ (número ilimitado de sitios)Para plan de desarrollador con todos los complementos y para un número ilimitado de sitios
Entonces, ¿cómo arreglas esto? No confíe solo en las copias de seguridad para reparar su sitio después de un pirateo exitoso, ya que perderá datos y registros , como transacciones que ocurrieron después de su última copia de seguridad.
Para guardar su información, esté atento a la aplicación de parches a fallas de código reales antes de que pueda ser víctima de un intento de pirateo exitoso.
8. Cambiar el prefijo de la tabla de WordPress mejora su seguridad
Ésta es una recomendación común. Cambiar el prefijo de las tablas de su base de datos de WordPress evitará ataques de inyección de SQL. Sin embargo, no es tan simple como cambiar "wp_" a un valor diferente.
Aún no hay ninguna prueba de que este método hará algo para mejorar la seguridad de su sitio. Y puede poner en riesgo todo su sitio si no se ejecuta perfectamente.
Medidas como esta se consideran "teatro de seguridad" porque te hacen sentir que estás haciendo un gran esfuerzo para mejorar tu seguridad y, en realidad, lograr muy poco. Para proteger su sitio contra los ataques de inyección de SQL , se requiere un enfoque de seguridad de tres frentes.
Necesitará un firewall de aplicaciones web eficaz además de parchar y actualizar continuamente sus complementos, temas y núcleo. Y, por supuesto, asegúrese de estar monitoreando su sitio para detectar intentos de inicio de sesión sospechosos o malware.
9. Mi sitio tiene un certificado SSL, por lo que es completamente seguro.
Algo a tener en cuenta acerca de los certificados SSL es que la seguridad que brindan es puramente transaccional. Solo protege la información que se transmite entre su sitio y sus visitantes, como información de tarjetas de crédito y datos personales (vea cómo agregar un certificado SSL gratuito al sitio de WordPress).
Sin embargo, los certificados SSL no protegen los archivos y datos que se encuentran en el sitio en sí . Para cubrir los datos de su sitio, es vital tener un firewall de aplicaciones web y asegurarse de que sus complementos, temas y archivos principales estén actualizados.
10. Mi sitio web es seguro; Utilizo CDN o firewall en la nube
Las redes de entrega de contenido, o CDN, y los servicios de firewall en la nube como Cloudflare, Incapsula o Sucuri aseguran sus sitios redirigiendo el tráfico a sus servidores y filtrando el tráfico por reglas de firewall. Si su tráfico es compatible con las reglas del firewall, pasa a su sitio.
Si bien puede pensar que esta es la manera perfecta de evitar exponer la ubicación real del servidor de su sitio, la dirección IP de origen de su sitio aún puede delatarlo y puede ser difícil de ocultar, si no imposible.
- Red de entrega de contenidos
- Protección contra los mayores ataques volumétricos
- Visibilidad total de la capa de aplicación
- Mitigación de ataques contra servidores DNS
- Protección de servicios de infraestructura no web(FTP, SMTP, VOIP, etc.)
- Detección y mitigación de ataques a la capa de aplicación
- Personalización instantánea y propagación de reglas de seguridad.
- Visibilidad y control en tiempo real
- Protección de direcciones IP de origen contra ataques DDoS
- Monitoreo externo de ataques DDoS para infraestructura de red
- Compresión y minificación
- Optimización de contenido y redes
- Almacenamiento en caché de contenido generado tanto estático como dinámicamente
- Sirviendo recursos en caché directamente desde la memoria física
- Almacenamiento en caché de nivel secundario en SSD para actualizaciones de caché en tiempo real
- Firewall de aplicaciones web (WAF) compatible con PCI
- Control de acceso
- Sistema de monitoreo basado en reputación de IP
- Autoservicio de personalización de reglas de seguridad
- Propagación de reglas de seguridad de 60 segundos
- Protección de puerta trasera para protegerse contra infecciones de malware
- Integración API
- Autenticación de dos factores para evitar el robo de contraseñas
- Equilibrio de carga del servidor global
- Nivel de aplicación Equilibrio de carga del servidor local
- Conmutación por error del sitio de la capa de aplicación
- Supervisión del estado de la capa de aplicación en tiempo real
- Reglas de entrega de aplicaciones(por ejemplo, redirecciones basadas en cookies, encabezado, etc.)
- Sistema de tickets
- Soporte telefónico
- Soporte HTTP / 2HTTP / 2 es la última evolución del protocolo HTTP, que ofrece mejoras significativas en la velocidad de carga y la capacidad de respuesta del sitio web.
- Centros de datos
- Origen-Pull
- Push (subir a servidores CDN)
- Purgar / Purgar todo
- Gzip
- Honra todos los encabezados del servidor de origen
- Puede anular los encabezados del servidor de origen
- Establecer encabezados de almacenamiento en caché para archivos insertados
- CNAME personalizados
- HTTPS
- Protección de Hotlink
- Chat en vivo
- Copias de seguridad gratuitas
- Integración con WordPress
- Precio
- Incapsula
- Siempre activo
- 30
- Reenviar desde el origen o comprimir en el borde
- El certificado compartido es gratuito en todos excepto en el plan gratuito.
- El certificado compartido es gratuito en todos excepto en el plan gratuito.
- Se integra independientemente de WordPress. Necesita cambiar la configuración de DNS. Recibirá todas las instrucciones por correo electrónico y en el panel de Incapsula.
- Planes gratuitos y de pagoUn plan gratuito incluye protección de bots, control de acceso, protección de inicio de sesión, CDN y Optimizer, análisis de sitios web y soporte de la comunidad. Un plan PRO pagado comienza en $ 59 por mes e incluye las mismas funciones que el plan gratuito, además de soporte SSL, rendimiento avanzado y soporte por correo electrónico.
- CloudFlare
- Manual
- 86
- Se integra independientemente de WordPress. Solo necesita registrarse en CloudFlare y luego asignar nuevos servidores DNS a su nombre de dominio. CloudFlare comienza a partir de ahí.
- Planes gratuitos y de pagoOfrecen un plan básico gratuito adecuado para sitios web pequeños y blogs y paquetes de pago que varían entre $ 20 y $ 200.
- Akamai
- Más de 100.000
- Reenviar desde el origen o comprimir en el borde
- Para conocer los precios de los productos de Akamai, debe ponerse en contacto con ellos.
- MaxCDN
- MaxCDN comenzará a ofrecer DDOS y WAF pronto
- MaxCDN comenzará a ofrecer DDOS y WAF pronto
- MaxCDN comenzará a ofrecer DDOS y WAF pronto
- MaxCDN comenzará a ofrecer DDOS y WAF pronto
- MaxCDN comenzará a ofrecer DDOS y WAF pronto
- MaxCDN comenzará a ofrecer DDOS y WAF pronto
- MaxCDN comenzará a ofrecer DDOS y WAF pronto
- 75
- El CDN maneja el gzipping
- Después de configurar su zona de extracción, puede integrar MaxCDN a través del complemento de caché. Por ejemplo, W3 Total Cache, Super Cache o WP Rocket.
- Desde $ 9 / mes hasta $ 299 / mesTambién hay precios personalizados por gigabyte.
- KeyCDN
- 25
- Solo si el servidor de origen hace Gzip
- Después de la configuración, puede integrar a través del complemento de caché. Por ejemplo, W3 Total Cache, Super Cache o WP Rocket.
- Paga lo que consumasNo es necesario comprar ningún paquete. El precio comienza desde $ 0.04 / GB
Este ha sido un problema común con los proveedores de firewalls en la nube, y la solución simple es implementar medidas de seguridad de punto final en su sitio. Si protege sus datos en su punto de origen, esa es la mejor defensa directa contra piratas informáticos y otras formas de ataque.
11. El bloqueo de IP mantiene a raya a los piratas informáticos
Hay servicios útiles en línea para registrar inicios de sesión sospechosos y rastrear las direcciones IP, e incluso pueden bloquear estas direcciones IP por completo.
Si bien puede pensar que el bloqueo de IP es un método eficaz para evitar que los piratas informáticos accedan a su sitio, los piratas informáticos cambian constantemente las IP y, a menudo, operan desde varias IP simultáneamente para lograr sus objetivos.
Cuando bloquea una dirección IP, simplemente pueden cambiar a la siguiente que hayan alineado. Peor aún, no bloquear las direcciones IP correctamente puede bloquear su sitio, lo que puede llevar mucho tiempo solucionarlo.
12. Todo lo que necesita es un nombre de usuario y una contraseña seguros
Si bien un nombre de usuario de administrador único y una contraseña sólida y compleja son vitales para la seguridad adecuada en su sitio, no es un método infalible para frustrar a los posibles piratas informáticos.
Una táctica común que se usa para violar sitios es usar bots para recorrer miles de contraseñas comunes con el nombre de usuario estándar de "administrador".
Asegúrese de cambiar su nombre de administrador e incorporar varios tipos de caracteres en su contraseña , incluidas letras mayúsculas y minúsculas, números, puntuación y otros símbolos únicos que harán que sea más difícil de descifrar.
Sin embargo, tenga en cuenta que una combinación eficaz de nombre de usuario y contraseña no lo protegerá de todo. Los piratas informáticos tienen otros medios para atacar su sitio, incluso a través de vulnerabilidades en temas o complementos desactualizados, violaciones de datos e incluso esquemas de phishing.
13. Simplemente deshabilite los complementos / temas que no usa
Este es un error común que cometen muchos propietarios de sitios. En lugar de eliminar los complementos antiguos, los deshabilitan. Sin embargo, incluso los complementos y temas inactivos pueden explotarse debido a la falta de actualizaciones o correcciones de seguridad.
Si bien puede actualizar los complementos y temas deshabilitados, la mejor opción es eliminar las cosas que no necesita para minimizar los riesgos de seguridad.
Conclusión de los mitos de seguridad de WordPress
Hay muchas razones por las que los sitios de WordPress son pirateados. Después de leer estos mitos de seguridad de WordPress, optimizar la seguridad en su sitio puede parecer un poco abrumador. No siempre es fácil saber si la medida de seguridad será efectiva y qué es simplemente un "teatro de seguridad".
Mantener su sitio de WordPress seguro es muy importante, así como prevenir el robo de contenido. Si bien no hay forma de garantizar que un sitio sea 100% invulnerable a los ataques, existen muchas prácticas y precauciones que puede incorporar en la administración y el mantenimiento de su sitio que pueden minimizar el riesgo de piratería y brindarle tranquilidad.
Para estar seguro, es mejor instalar el complemento de seguridad de WordPress como iThemes Security, WordFence, MalCare, Swift Security u Hide My WP, que brindan una gran cantidad de configuraciones y opciones que puede habilitar para proteger su sitio web e implementar capas de seguridad. Para obtener más información, consulte Revisión de seguridad de iThemes, revisión de MalCare, Wordfence vs iThemes Security, Swift Security vs Hide My WP.