WordPress es la software de blog más popular y el sistema de gestión de contenido más popular. No es de extrañar que muchos atacantes intenten acceder a instalaciones aleatorias de WordPress y servidores para hackearlos. En contra de esto, se puede y debe defenderse, solo porque en Google existen diversas instrucciones sobre cómo utilizar vulnerabilidades para aprovecharlas.
El Escaneo de Seguridad de WordPress
¿Estás incierto sobre si tu sitio web de WordPress o tu blog son vulnerables a ataques de hackers y si debes protegerlos especialmente? Luego haz el Escaneo de seguridad (página externa, gratuita). El escaneo verifica, entre otras cosas, la versión de WordPress, que debe estar actualizada. Además, se verifican todos los plugins reconocidos y se comparan con una base de datos de plugins peligrosos. Si todo va bien, el resultado del test es así:
Además, el escaneo verifica los nombres utilizados por los administradores. Por favor, no debería llamarse admin ni igual que la propia página web.
Un escáner adicional llamado Nikto revisa tu sitio web y tu servidor en general para vulnerabilidades de seguridad (necesitas registrarte o descargar la versión offline).
Medidas generales
En cualquier caso es necesario y absolutamente esencial utilizar un fuerte contraseña para tu usuario de administración de WordPress, así puedes asegurar con poco esfuerzo a WordPress y protegerlo contra ataques. Además, no utilices la misma contraseña más de una vez, ni dentro de una instalación de WordPress para varios usuarios ni igualar contraseñas para diferentes servicios y aplicaciones!
A las medidas de seguridad más simples pertenece el borrado del usuario estándar con la identificación 1 y el nombre de usuario »admin«. Pues el nombre del autor con el índice 1 puede ser muy fácilmente averiguado mediante la llamada a la siguiente URL.
www.yourblog.com/?author=1
El área de administración en tu servidor también debería estar protegida con un Protección de directorios. De lo contrario, simplemente puedes llamar a la pantalla de inicio como se muestra a continuación:
www.yourblog.com/wp-admin
Así se crea un protección de directorio para el área administrativa:
Una archivo de contraseña fuera del directorio protegido y fuera del directorio principal colocar, que se llama_.htpasswd_ y tiene la siguiente estructura:
username:passworthash
Para username elijes un nombre de usuario que no coincida con tu nombre de usuario en WordPress. passworthash es el valor hash del password con el que deseas autenticar el acceso al directorio. La forma más sencilla de generar este contenido es mediante un htpasswd-Generator. Asegúrate de utilizar contraseñas seguras, algo que debería ser obvio!
Después de eso, crea un archivo llamado .htaccess en el directorio wp-admin de tu instalación de WordPress, con el siguiente contenido:
AuthType Basic AuthName "Passwortgeschuetzter Bereich" AuthUserFile /pfad/zur/Datei/.htpasswd AuthGroupFile /dev/null require valid-user
Con esto se garantiza una autenticación multifactor, también conocida como MFA. Sería aún mejor un corte de medios, pero eso podría llevar demasiado lejos en sitios web de información. En el banca en línea puede ser diferente.
Ahora también prohíba el acceso desde fuera a la archivo wp-config.php en el camino de WordPress, porque en este archivo están todas las importantes información de acceso como el usuario de base de datos y su contraseña correspondiente. En el mismo directorio o carpeta donde se encuentra wp-config.php hay un archivo htaccess. En este archivo agrega al final las siguientes líneas:
\# Zugriff auf wp-config.php von außen verbieten <files wp-config.php> Order deny,allow deny from all </files>
Estas medidas deberían brindar una sensación de mayor seguridad, con lo que ya puedes proteger a WordPress contra hackers de manera bastante efectiva!
Actualice plugins y WordPress regularmente
El panel de control informa sobre la disponibilidad de una actualización. A menudo, las actualizaciones contienen medidas de seguridad o código para cerrar vulnerabilidades de seguridad. Quien encuentre tedioso actualizar manualmente puede agregar la siguiente línea en el archivo wp-config.php para activar la actualización automática:
// Enable all automatic updates define( 'WP_AUTO_UPDATE_CORE', true );
Noch mehr Security-Tipps
Para evitar que atacantes o hackers puedan leer directamente la versión de WordPress, es recomendable agregar el siguiente código en la función functions.php al final: Traducción: Para evitar que los atacantes o hackers puedan leer directamente la versión de WordPress, es recomendable agregar el siguiente código en la función functions.php al final:
remove\_action('wp\_head','wp\_generator');
Puedes editar el archivo a través del Panel de Administración, Diseño → Editor
Si deseas proteger aún más a WordPress, agrega la siguiente línea al final del archivo wp-config.php:
define('DISALLOW\_FILE\_EDIT', true);
Evita la edición de archivos PHP y CSS a través del editor de WP en el panel de administración por parte de hackers. Sin embargo, solo deberías prohibir cambios en estos archivos si no deseas editarlos tú mismo con frecuencia (por comodidad). Sin embargo, puedes modificar todos estos archivos directamente en el servidor web, por ejemplo, mediante FTP o Shell.
Si tu página de WordPress no admite HTTPS ni SSL, entonces nunca debes acceder como administrador a tu instalación desde un lugar público por WLAN, porque es posible que los atacantes lean tu contraseña en claro y este camino es algo que no deseas recorrer. En algunos casos también podrías tener que aceptar consecuencias legales si revelas seguridad de almacenamiento por redes inalámbricas. SSL solo se puede utilizar con un certificado, generalmente kostenpflichtig, lo que significa que las empresas son las que tienen la posibilidad de hacerlo.
Autenticación de dos factores
Con la ayuda de un plugin se puede implementar una autenticación de dos factores al iniciar sesión. Para ello es necesario crear además una aplicación Google. Además del login de WordPress real, hay que autorizar desde el teléfono. El plugin se llama Google Authenticator – Two Factor Authentication (2FA). ¡Muchas gracias a Ralf por la excelente sugerencia en los comentarios de este artículo!
Limitar intentos de inicio de sesión
Incrediblemente, pero cierto: Por defecto, cualquier persona puede realizar número ilimitado de intentos de inicio de sesión en tu área administrativa! En el marco de la seguridad de WordPress, deberías instalar un plugin como Login Lockdown para establecer un límite. Después de la instalación, encontrarás las opciones del plugin bajo Configuraciones -> Bloqueo de inicio de sesión. Allí podrás configurar especialmente cuántas veces alguien puede intentar iniciar sesión seguidamente, es decir, cuántos intentos fallidos tiene. Una vez que se alcanzan estos intentos, no será posible iniciar sesión durante 5 minutos desde la misma IP. Puedes configurar también este tiempo. Ahora los malintencionados tendrán que hacer más esfuerzo para hackearse!
Muy útil es también la configuración Mask Login Errors. Debe establecerla en Yes. De esta manera, el atacante no obtendrá información sobre por qué su acceso falló. En caso contrario, se le informará si el nombre de usuario era conocido pero la contraseña era incorrecta o si incluso el nombre de usuario era incorrecto.
Cambiar prefijo de la tabla
Normalmente cada tabla comienza con el prefijo wp . Esto facilita a los intentos de Inyección SQL leer o manipular los contenidos de las tablas en la base de datos. Antes de la instalación, se puede cambiar ese prefijo editando el archivo _wp-config.php. Si ya se ha realizado la instalación, entonces ayuda el plugin Change DB Prefix.
Hemos recibido nosotros mismos hace poco un comentario de spam que contenía un intento de inyección SQL descarado y revela el camino del hacker:
Ese probablemente era un conciudadano ruso que no sabe escribir correctamente en inglés ni SQL. Porque la sentencia SQL contiene errores de sintaxis y no lleva a ninguna acción en la base de datos. Es difícil pensar en algo más tonto, pero apenas se puede imaginar lo que habría pasado si este ataque hubiera tenido éxito!
Lee los archivos de Readme y Licencia o protege o elimina
readme.html y license.txt Las archivos readme.html y license.txt se encuentran en la carpeta raíz de la instalación y contienen información sobre la versión de WordPress. Ofrecen a los atacantes un buen punto de partida para evaluar el objetivo del ataque. Se pueden eliminar estos dos archivos, ya que no son necesarios para el funcionamiento. O se puede editar la archivo htaccess en la carpeta raíz y agregar las siguientes líneas:
# Protect readme.html File <Files readme.html> order allow,deny deny from all </Files>Plugins de seguridad utilizan
Con un plugin como Bullet Proof Security, que es muy extendido y disfruta de gran popularidad entre los administradores en numerosas instalaciones, se obtiene una solución gratuita y completa para cerrar posibles vulnerabilidades y puntos débiles.
El plugin resiste a diversas agresiones, protege por ejemplo la htaccess archivo, establece una Firewall alrededor de toda la instalación, limita el número máximo de intentos de inicio de sesión permitidos, verifica contraseñas y ofrece una efectiva protección para la base de datos.
Este plugin de seguridad es muy fácil de usar y se instala y configura con solo unos cuantos clics, ¡definitivamente vale la pena probarlo!
Otros detalles
Por supuesto, debes realizar Backup de tus instalaciones de WordPress con regularidad, basta con copiar el directorio de instalación a un disco local. En ningún caso, almacena el backup en el mismo servidor donde tienes instalado WordPress o subirlo mediante FTP! El plugin mencionado anteriormente crea un backup de tu base de datos. Medida única como ajustar htaccess para proteger las instalaciones y otras configuraciones de seguridad descritas anteriormente te protegen bastante contra ser hackeado. Lo más importante son los actualizaciones ofrecidas para plugins y temas. En todo caso, leer el Change Log y si se han cerrado vulnerabilidades, instalarlas sin duda.
Si creas tú mismo temas o modificas plantillas existentes, ten en cuenta al diseñar tu sitio web que no abras vulnerabilidades de seguridad. Informate lo mejor posible antes de utilizar bibliotecas de JavaScript externas, para asegurarte de que sean seguras.
WordPress tiene, por cierto, un archivo con noticias de seguridad relevancia.
Revisar sitios web
Los aspectos de seguridad y protección de datos van juntos. Quien proteja su sitio web en WordPress no debe tener solo a los hackers en mente, sino también las leyes de protección de datos. Con el cheque de sitio web en línea sabrás directamente cómo está configurada tu página principal.
El cheque de la web funciona muy sencillamente:
- Ingrese la dirección web
- Pulsa el botón de inicio
- Pocos segundos de espera, resultado directamente en el navegador para ver
Mensajes clave
Para proteger tu sitio web de WordPress de ataques, mantén tu software actualizado, usa contraseñas fuertes y protege el área administrativa con un archivo .htaccess.
Para proteger tu sitio web de WordPress de hackers, actualiza regularmente el software, bloquea el acceso al archivo wpconfig.php y utiliza autenticación de dos factores.
Para proteger tu sitio web de WordPress, es importante instalar plugins de seguridad, limitar los intentos de inicio de sesión y proteger información sensible.
Para proteger tu sitio web de WordPress, usa plugins de seguridad, mantén tu software actualizado y protege tus datos.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.
