Seguridad de WordPress: 19 pasos para bloquear su sitio (2019) tratamiento de encefalopatía isquémica hipóxica

WordPress impulsa más del 33% de todos los sitios web en Internet, y con cientos de miles de combinaciones de temas y complementos, no es sorprendente que existan vulnerabilidades y se descubran constantemente. Sin embargo, también hay una gran comunidad en torno a la plataforma de wordpress, para garantizar que estas cosas se remiendan lo antes posible. A partir de 2019, el equipo de seguridad de wordpress está compuesto por aproximadamente 50 expertos (de 25 en 2017), incluidos los desarrolladores principales y los investigadores de seguridad. Aproximadamente la mitad son empleados de automattic y un número trabaja en el campo de revisión. Vulnerabilidades de WordPress

La vulnerabilidad de puerta trasera con un nombre adecuado proporciona a los piratas informáticos pasajes ocultos que pasan por alto el cifrado de seguridad para obtener acceso a los sitios web de wordpress a través de métodos anormales: wp-admin, SFTP, FTP, etc.


Una vez explotadas, las puertas traseras permiten a los piratas informáticos causar estragos en los servidores de alojamiento con ataques de contaminación entre sitios, lo que pone en peligro varios sitios alojados en el mismo servidor. En el tercer trimestre de 2017, sucuri informó que las puertas traseras siguen siendo una de las muchas acciones posteriores a los ataques que realizan los atacantes, con el 71% de los sitios infectados con algún tipo de inyección de puerta trasera.

Las puertas traseras a menudo se encriptan para que aparezcan como archivos legítimos del sistema de wordpress, y se abren paso a través de las bases de datos de wordpress mediante la explotación de debilidades y errores en versiones obsoletas de la plataforma. Timthumb Fiasco fue un excelente ejemplo de vulnerabilidad de puerta trasera que explota scripts ocultos y software obsoleto que compromete a millones de sitios web.

Afortunadamente, la prevención y cura de esta vulnerabilidad es bastante simple. Puede escanear su sitio de wordpress nanoxia ncore retro aluminium con herramientas como sitecheck que puede detectar fácilmente las puertas traseras comunes. Autenticación de dos factores, bloqueo de ips, restricción del acceso de administrador y prevención de ejecuciones no autorizadas. El pronóstico de las lesiones cerebrales anóxicas de los archivos PHP se encarga fácilmente de las amenazas de puerta trasera, que veremos más adelante. Canton Becker también tiene una excelente publicación sobre cómo limpiar el desorden de la puerta trasera en sus instalaciones de wordpress. Hacks farma

El exploit de hackeo farmacéutico se utiliza para insertar código malicioso en versiones obsoletas de sitios web y complementos de wordpress, lo que hace que los motores de búsqueda devuelvan anuncios de productos farmacéuticos cuando se busca un sitio web comprometido. La vulnerabilidad es más una amenaza de spam que el malware tradicional, pero le da a los motores de búsqueda razones suficientes para bloquear el sitio por acusaciones de distribución de spam.

Las partes móviles de un truco farmacéutico incluyen puertas traseras en complementos y bases de datos, que se pueden limpiar siguiendo las instrucciones de este blog de sucuri. Sin embargo, las vulnerabilidades a menudo son variantes viciosas de inyecciones maliciosas cifradas ocultas en bases de datos y requieren un proceso de limpieza exhaustivo para corregir la vulnerabilidad. Sin embargo, puede prevenir fácilmente los trucos farmacéuticos utilizando los proveedores de alojamiento de wordpress recomendados con servidores actualizados y actualizando periódicamente sus instalaciones, temas y complementos de wordpress. Hosts como kinsta también tienen un significado de ansiedad en telugu que ofrece correcciones de pirateo gratis. Intentos de inicio de sesión de fuerza bruta

Los intentos de inicio de sesión de fuerza bruta utilizan scripts automatizados para explotar contraseñas débiles y obtener acceso a su sitio. La autenticación en dos pasos, la limitación de intentos de inicio de sesión, la supervisión de inicios de sesión no autorizados, el bloqueo de ips y el uso de contraseñas seguras son algunas de las formas más fáciles y altamente efectivas de prevenir ataques de fuerza bruta. Pero desafortunadamente, varios propietarios de sitios web de WordPress no realizan estas prácticas de seguridad, mientras que los piratas informáticos pueden comprometer fácilmente hasta 30.000 sitios web en un solo día utilizando ataques de fuerza bruta. Redirecciones maliciosas

Las redirecciones malintencionadas crean puertas traseras en las instalaciones de wordpress utilizando FTP, SFTP, wp-admin y otros protocolos e inyectan códigos de redirección en el sitio web. Las redirecciones a menudo se colocan en su archivo .Htaccess y otros archivos principales de wordpress en formas codificadas, dirigiendo el tráfico web a sitios maliciosos. Veremos algunas formas en que puede evitar esto en los pasos de seguridad de wordpress que se detallan a continuación. Secuencias de comandos entre sitios (XSS)

Quizás la más peligrosa de todas, la vulnerabilidad de denegación de servicio (dos) explota errores y errores en el código para abrumar la memoria de los sistemas operativos de sitios web. Los piratas informáticos hipoxia e anoxia han comprometido millones de sitios web y han recaudado millones de dólares al explotar versiones obsoletas y con errores del software wordpress con dos ataques. Aunque los delincuentes cibernéticos motivados económicamente tienen menos probabilidades de dirigirse a las pequeñas empresas, tienden a comprometer la náusea de los sitios web vulnerables y desactualizados en la creación de cadenas de redes de bots para atacar a las grandes empresas.

Incluso las últimas versiones del software wordpress no pueden defenderse de forma integral contra ataques de alto perfil, pero al menos te ayudarán a evitar que te atrapen en el fuego cruzado entre instituciones financieras y cibercriminales sofisticados. Y no se olvide del 21 de octubre de 2016. Este fue el día en que Internet se cayó debido a un ataque de ddos ​​DNS. Lea más acerca de por qué es importante usar un proveedor de DNS premium para aumentar su seguridad de wordpress. Guía de seguridad de WordPress 2019

Cuando se trata de la seguridad de WordPress, hay mucho más que simplemente bloquear su sitio, aunque le daremos las mejores recomendaciones sobre cómo hacerlo a continuación. También hay seguridad a nivel de servidor web de la que es responsable su servidor de WordPress. Nos tomamos muy en serio la seguridad aquí en kinsta y manejamos muchos de estos problemas para nuestros clientes.

Los servidores de seguridad a nivel de servidor y los sistemas de detección de intrusos deben estar en su lugar antes de instalar WordPress en el servidor para mantenerlo bien protegido, incluso durante las fases de instalación y construcción de sitios web de WordPress. Sin embargo, todo el software instalado en la máquina destinado a proteger el contenido de la mini torre wordpress de nanoxia deep silence 4 debe ser compatible con los últimos sistemas de administración de bases de datos para mantener un rendimiento óptimo. El servidor también debe configurarse para usar redes seguras y protocolos de cifrado de transferencia de archivos (como SFTP en lugar de FTP) para ocultar el contenido confidencial de intrusos malintencionados.

Utilizamos la plataforma de nube de Google aquí en kinsta para todos nuestros clientes de WordPress para garantizar el alojamiento seguro de WordPress. Una gran ventaja de esto es que está construido sobre un modelo de seguridad que se ha desarrollado a lo largo de 15 años, y actualmente protege productos y servicios como lo que es la encefalopatía isquémica anóxica gmail, búsqueda, etc. Google actualmente emplea a más de 500 Profesionales de seguridad a tiempo completo.

Si está utilizando un servidor de seguridad de aplicación web (WAF) como cloudflare o sucuri, también tienen formas de bloquear una ruta de URL. Esencialmente, puede configurar una regla para que solo su dirección IP pueda acceder a la URL de inicio de sesión del administrador de wordpress. Nuevamente, esto generalmente no debe usarse en sitios de comercio electrónico o sitios de membresía, ya que también dependen del acceso al servidor de su sitio.

Y, por supuesto, no podemos olvidar la autenticación de dos factores. No importa cuán segura sea su contraseña, siempre existe el riesgo de que alguien descubra que la causa es la encefalopatía anóxica. La autenticación de dos factores implica un proceso de dos pasos en el que no solo necesita su contraseña para iniciar sesión, sino también un segundo método. Generalmente es un texto (SMS), una llamada telefónica o una contraseña de un solo uso (TOTP). En la mayoría de los casos, esto es 100% efectivo en la prevención de ataques de fuerza bruta en su sitio de wordpress. ¿Por qué? Porque es casi imposible que el atacante tenga tanto su contraseña como su teléfono celular.

Realmente hay dos partes cuando se trata de la autenticación de dos factores. El primero es su cuenta y el panel de control que tiene con su proveedor de alojamiento web. Si alguien tiene acceso a esto, podría cambiar sus contraseñas, eliminar sus sitios web, cambiar los registros DNS y todo tipo de cosas horribles. Aquí en kinsta nos asociamos con authy y tenemos una autenticación de dos factores disponible para su panel de mykinsta.

Debido a un protocolo llamado HTTP / 2, muchas veces, aquellos que ejecutan sitios correctamente optimizados a través de HTTPS pueden incluso ver mejoras en la velocidad. HTTP / 2 requiere HTTPS debido al soporte del navegador. La mejora en el rendimiento se debe a una variedad de razones, como que HTTP / 2 es capaz de soportar una mejor angustia mental multiplexora, lo que significa en inglés, paralelismo, compresión HPACK con codificación Huffman, la extensión ALPN y empuje del servidor. Y con TLS 1.3, las conexiones HTTPS son incluso más rápidas.

Su archivo wp-config.Php es como el corazón y el alma de su instalación de wordpress. Es, con mucho, el archivo más importante en su sitio cuando se trata de la seguridad de wordpress. Contiene la información de inicio de sesión de la base de datos y las claves de seguridad que manejan el cifrado de la información en las cookies. A continuación hay un par de cosas que puede hacer para proteger mejor este importante archivo. 1. Mueve wp-config.Php

Nota: esto no funcionará para los clientes kinsta y romperá la funcionalidad en nuestra plataforma. Esto se debe a que nuestras restricciones de open_basedir no permiten la ejecución de PHP por encima del directorio ~ / público por razones de seguridad. La buena noticia es que manejamos esto para el pronóstico de la anoxia cerebral. Hacemos efectivamente lo mismo bloqueando el acceso a wp-login.Php dentro del directorio ~ / public. Nuestra configuración nginx predeterminada incluye una regla que devolverá un 403 para cualquier intento de acceso de wp-config.Php. 2. Actualizar las claves de seguridad de wordpress.