Fuente: Search Engine Journal
Cómo proteger un sitio de WordPress de los piratas informáticos
Traducido y Publicado en este sitio web por Dulce Urdaneta / Grupo Milos C.A. / Diciembre 1 de 2020
Todo sitio web puede ser víctima del ataque de piratas informáticos y por eso, debemos cuidarlos y tomar todas las medidas preventivas posibles.
Con respecto a los sitios web de WordPress, Roger Monti escribió un excelente artículo para tratar el tema de la piratería web. Monti nos explica cómo trabajan los piratas informáticos y cómo protegernos de ellos.
Fuente: Escrito por Roger Montti para Search Engine Journal y publicado el 3 de noviembre de 2020.
WordPress es un objetivo frecuente de piratería. Los piratas informáticos tienen como objetivo el tema, los archivos principales de WordPress, los plugins e incluso la página de inicio de sesión. Estos son los pasos a seguir para que sea menos probable que sea pirateado y para poder recuperarse más fácilmente si aún sucediera.
Cómo atacan los hackers a WordPress
Todos los sitios en la web están bajo ataque constante, ya sea un foro phpBB o un sitio de WordPress, todos los sitios están siendo investigados por piratas informáticos. No es inusual que un pirata informático escanee miles de páginas o intente iniciar sesión cientos de veces al día.
Y ese es solo un hacker. Los sitios están siendo atacados por varios piratas al mismo tiempo.
Por lo general, no es una persona la que intenta hackearlo. Los piratas informáticos emplean software automatizado para rastrear la web en busca de debilidades específicas en el sitio web.
Estos programas de software automatizados que rastrean la web se denominan bots. Los llamo hacker bots para distinguirlos de los scraper bots (software que intenta copiar contenido).
Proteja su sitio de WordPress con un firewall
Un firewall es un programa de software que bloquea a un intruso. En mi opinión, el mejor firewall de WordPress es un plugin llamado Wordfence.
Lo que hace Wordfence es verificar si el comportamiento de un visitante del sitio web coincide con el de un bot abusivo. Si el bot infringe ciertas reglas, como pedir demasiadas páginas web en poco tiempo, Wordfence lo bloqueará automáticamente.
Wordfence también está programado para permitir bots legítimos como Google y Bing en el sitio.
Hay funciones avanzadas que permiten a un editor ver qué bots están atacando un sitio y ver de dónde proviene el bot, como si es un bot malo que proviene de Amazon Web Services o Bluehost, por ejemplo. Wordfence proporciona al editor la capacidad de bloquear el bot por su dirección IP, todo el rango de direcciones IP o incluso por un agente de usuario de navegador falso que el bot está utilizando.
Acerca de los agentes de usuario (UA)
Un agente de usuario es información de identificación que envía un navegador que le dice a un sitio web qué navegador es (Chrome, Firefox, Vivaldi) y en qué sistema operativo está operando (Windows 10, Mac OS X).
Por ejemplo, esta es una cadena de agente de usuario para un navegador Safari 11 en una computadora Mac OS X:
Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit / 605.1.15 (KHTML, como Gecko) Versión / 11.1.2 Safari / 605.1.15
Los bots emplean una gran cantidad de agentes de usuario diferentes para engañar a los sitios web y colarse. Por ejemplo, algunos bots fingen ser un navegador en Windows XP.
La cantidad real de usuarios reales en Win XP es cercana a cero, puedo crear una regla con Wordfence para bloquear todos los agentes de usuario con Windows XP como sistema operativo y con esa regla puedo bloquear miles de bots malos, independientemente del país provienen de una dirección IP.
Los robots maliciosos a veces responden cambiando a otro agente de usuario, por lo que al combinar estas reglas, un editor tiene la posibilidad de bloquear una amplia gama de robots piratas informáticos maliciosos.
Y eso es con la versión gratuita de Wordfence.
La versión de pago puede bloquear países enteros. Entonces, si no tiene visitantes legítimos del sitio de ciertos países, puede bloquear a todos los visitantes que provengan de esos países.
Defensa de WordPress contra exploits
Además, la versión paga de Wordfence lo protegerá por adelantado de muchos temas y plugins comprometidos antes de que se solucionen esos plugins.
Una vez que los investigadores de Wordfence son conscientes de un exploit, actualizarán la versión premium del cortafuegos para brindar a los suscriptores protección contra esos exploits, a veces semanas antes de que el tema comprometido o el desarrollador del plugin solucione el exploit.
Fortalecimiento de la seguridad del sitio web
Otro plugin gratuito que proporciona una capa adicional de protección se llama Sucuri Security. Sucuri (propiedad de GoDaddy) ayuda a fortalecer la seguridad de WordPress para evitar que los robots maliciosos se aprovechen de ciertos tipos de ataques. También tiene una función de escaneo de malware que verifica todos los archivos para ver si han sido alterados.
Sucuri lo alertará cada vez que alguien inicie sesión en su sitio, lo que ayudará a los editores a identificar si un hacker está iniciando sesión. Sucuri también puede alertar a un editor si se modificó un archivo, algo que hacen los hackers.
Estas son las características de la versión gratuita de Sucuri:
- Auditoría de actividades de seguridad
- Supervisión de la integridad de los archivos
- Escaneo remoto de malware
- Monitoreo de lista negra
- Fortalecimiento efectivo de la seguridad
- Acciones de seguridad posteriores al pirateo
- Notificaciones de seguridad
La versión paga de Sucuri incluye un firewall de sitio web.
Limite los inicios de sesión a su sitio
WordFence puede bloquear bots que completan repetidamente nombres de usuario y contraseñas en la página de inicio de sesión de WordPress.
Pero si desea centrarse en limitar esos inicios de sesión, existe un plugin llamado “Limit Login Attempts Reloaded” que permite a los editores bloquear automáticamente a todos los piratas informáticos que ingresan un número determinado de combinaciones fallidas de nombre y contraseña. Por ejemplo, puede configurarlo para que bloquee a los piratas informáticos después de tres intentos de adivinar la contraseña.
Estas son las características del bloqueador de inicio de sesión:
- Limite el número de reintentos al iniciar sesión (por cada IP). Esto es completamente personalizable.
- Informa al usuario sobre los reintentos restantes o el tiempo de bloqueo en la página de inicio de sesión.
- Registro opcional y notificación por correo electrónico opcional.
- Es posible incluir en la lista blanca / negra IP y nombres de usuario.
- Compatibilidad con firewall de sitios web Sucuri.
- Protección de puerta de enlace XMLRPC.
- Protección de la página de inicio de sesión de Woocommerce.
- Compatibilidad de múltiples sitios con configuraciones MU adicionales.
- Cumple con GDPR. Con esta función activada, todas las IP registradas se ofuscan (md5-hash).
- Soporte de orígenes de IP personalizados (Cloudflare, Sucuri, etc.)
El plugin Limit Login Reloaded proporciona una forma rápida de apagar los bots piratas que intentan adivinar una contraseña.
Tenga cuidado con los plugins abandonados
Una advertencia final sobre plugins abandonados. Algunos plugins pueden seguir funcionando años después de que su desarrollador los haya abandonado. Lo que puede suceder es que estos plugins antiguos pueden contener una vulnerabilidad. Pero debido a que están abandonados, nunca se arreglará.
Otro problema es que los piratas informáticos a veces compran plugins antiguos y los actualizan con malware y virus.
Verifique todos sus plugins de WordPress para asegurarse de que no hayan sido abandonados y parezcan actualizarse con bastante frecuencia.
Proteja su sitio de WordPress de los piratas informáticos
Para muchos sitios, simplemente seguir estos pequeños pasos para asegurar un sitio web es suficiente para evitar que los sitios sean pirateados. Las versiones gratuitas de estos plugins brindan una cantidad extraordinaria de protección y las versiones premium brindan aún más protección.
Hay muchos plugins de tipo de seguridad y algunos de ellos contienen vulnerabilidades. Wordfence y Sucuri son, en mi opinión, las mejores opciones para la seguridad de WordPress.
Actualizar todos los temas y plugins
Es importante actualizar siempre todos los temas y plugins. WordPress proporciona una forma de actualizar todos los plugins automáticamente, lo cual es conveniente para los editores o empresas que no inician sesión y realizan actualizaciones con frecuencia.
Al habilitar la función de actualización automática, un editor puede estar seguro de tener el software más actualizado. Tener un plugin desactualizado es una de las principales causas de piratería.
Hay razones para no habilitar la función de actualización automática, pero los negativos tienden a ocurrir raramente. Por ejemplo, un plugin actualizado puede ser incompatible con otros plugins.
Pero para los sitios que no cambian con frecuencia, la función de actualización automática probablemente sea una buena opción para habilitar.
Copia de seguridad de su sitio de WordPress
Es fundamental crear automáticamente una copia de seguridad diaria de su sitio web. Cualquier evento catastrófico que derribe el sitio se puede recuperar con una copia de seguridad.
Hay muchas soluciones de copia de seguridad, pero la que me ha parecido inmensamente útil se llama UpdraftPlus WordPress Backup Plugin. UpdraftPlus cuenta con la confianza de más de dos millones de usuarios, es una opción bien considerada.
Se puede configurar para enviar las copias de seguridad por correo electrónico todos los días o enviarlas a una ubicación de almacenamiento en la nube como Dropbox.
Una vez eliminé accidentalmente todos los archivos de diseño de tema de un sitio, eliminé por completo el aspecto del sitio. Pero pude restaurar el sitio exactamente como estaba antes usando una copia de seguridad de UpdraftPlus. Fue fácil de hacer y estaba muy agradecido.
No sabía el riesgo de dejar plugins abandonados… Voy a corregir esa debilidad cuanto antes. Gracias!!!
¡Saludos!
Sí, realmente es un riesgo dejar plugins abandonados aunque no los actives.
Nos alegra haberte ayudado.
¡Éxito!