WordPress: 10 bones pràctiques en matèria de seguretat per a llocs web

Linux Post Install

10 minuts

WordPress: 10 bones pràctiques en matèria de seguretat

WordPress: 10 bones pràctiques en matèria de seguretat

WordPress (WP) és conegut com el més popular CMS, Per entre moltes coses, haver estat dissenyat amb èmfasi en l'accessibilitat, rendiment, i facilitat d'ús, estar en continu desenvolupament (versió actual 5.2), Comptar amb una enorme comunitat d'usuaris en molts idiomes i tenir una enorme capacitat de personalització mitjançant l'ús de temes (themes) i complements (plugins) propis o de tercers.

També per ser molt segur, Però per a això com en tota aplicació o sistema s'ha de comptar amb unes bones pràctiques a seguir per aconseguir una implementació segura a llarg termini. I en aquesta publicació volem proporcionar algunes recomanacions bàsiques a l'respecte.

Introducció

WP a l'ésser el més popular CMS per construir llocs web, També sol ser un blanc freqüent d'atacs informàtics, pel que a part de la seva actualització constant, requereix d'freqüent manteniment, actualització, i procediments de securització per la així evitar les debilitats per vulnerabilitats en complements, contrasenyes febles, programari obsolet, entre moltes altres raons, és a dir, aconseguir reduir en gran mesura la seva vulnerabilitat a qualsevol atac previst o imprevist.

A més, WP com qualsevol altre Sistemes de Gestió de Continguts (CMS) permet construir ràpidament i eficientment un lloc web per després posar-lo en línia. El seu altament capacitat de treball i de creixement, via mòduls, temes complements, facilita més que mai assolir aquesta tasca però sense la necessitat dels llargs anys d'aprenentatge que en general solen ser requerits per a això.

No obstant això, un efecte secundari gens agradable que pot sorgir d'això, pot ser que alguns encarregats d'aquesta eina, acostumin passar per alt, les mesures necessàries per assegurar-se que el lloc web creat o mantingut es trobi segur. Per això, és important tenir present algunes mesures (bones pràctiques) generals i especifiques, sobre WP o qualsevol altre CMS i lloc web per mantenir-lo segur.

bones Pràctiques

1.- Reforceu la seva seguretat en general

WP segurament supera avui dia amb facilitat el 30% de la base dels llocs web actius a Internet, El que el converteix en un objectiu predilecte per als invasors i / o atacants (hackers / crackers) amb bones o males intencions. Per tant, una vulnerabilitat coneguda i ja explotada amb èxit en un lloc similar amb WP serà intentada en altres llocs similars amb WP.

WordPress: 1era Bona Pràctica

Així que si vostè administra i / o fa servir un o diversos lloc (s) web amb WP vos de ser més acurat, exhaustiu i conscient de la seguretat en línia dels mateixos. Tingueu present que les majories de les violacions de seguretat analitzades i reportades en llocs web amb WP van ser van tenir poc o res a veure amb el nucli de l'aplicació mateixa, però si molt a veure amb tot allò relacionat seva implementació, configuració i manteniment general, dut a terme de forma incorrecta per part dels desenvolupadors o administradors ».

WordPress: 2dóna Bona Pràctica

2.- Conegui els seus vulnerabilitats

WordPress té prop de 4.000 vulnerabilitats de seguretat conegudes, distribuïdes de la següent manera: WP Core (37%), Complements (52%) i Temes (11%), Segons un informe recent del lloc web WPScans, que ara es diu WPSec (Des del 01). Investigui les vulnerabilitats de seguretat que afronta el seu lloc web i busqui una solució per resoldre aquests problemes. Eviteu amb petites insegures de l'WP Core, o dels seus complements i temes.

Enfóquese en els següents temes de seguretat en el seu WP o lloc web, és a dir, en els diferents tipus de Atacs de:

  • Força bruta: Reforçant la seguretat en la seva pàgina d'inici de sessió.
  • Inclusió d'arxius: Reforçant la seguretat del seu arxiu de configuració wp-config.php.
  • Injecció SQL: Reforçant la seguretat de la base de dades MySQL associada a WP.
  • Seqüències de comandaments de llocs creuats: Reforçant la seguretat dels complements de WP usats.
  • Infecció per Malware: Reforçant la seguretat general del seu lloc web per evitar els accessos no autoritzats, la inserció de malware i la posterior recopilació de dades confidencials per part d'aquests codis maliciosos. Els Malware o atacs més freqüents solen ser de l'tipus: Backdoor, Spam SEO, HackTool, Mailer, Defacement i Phishing. Busqui protegir el seu lloc contra cadascun d'aquests tipus de malware o atac.

Recordeu que una vegada que qualsevol lloc web és vulnerat, la seva classificació SEO pot veure afectada. Ja que els motors de cerca solen registrar ràpidament els llocs web vulnerats perquè en conseqüència, els navegadors indiquin als visitants senyals d'advertència o bloquegin completament la capacitat de navegar aquests llocs.

WordPress: 3ra Bona Pràctica

3.- Coneixeu la infraestructura de la seva proveïdor de Hosting

Si el seu lloc web utilitza un allotjament extern, és a dir, contractat fora de la seva infraestructura, no escatimi en costos per assegurar la qualitat de servei del seu proveïdor de hosting. Sobretot, si el mateix allotja el seu lloc sota l'esquema de «allotjament compartit».

Ja que si el «allotjament compartit» és de baixa qualitat pot fer que el seu lloc sigui més vulnerable a l'veure compromès un dels diversos llocs web emmagatzemats en el mateix servidor. És a dir, si hi ha un lloc web és hacker en un servidor amb «allotjament compartit», els atacants també poden accedir a altres llocs web i les seves dades.

WordPress: 4ta Bona Pràctica

4.- Conegui les especificaciones tècniques web del seu proveïdor de Hosting

A l'hora d'avaluar un proveïdor de hosting, la seva infraestructura no ho és tot. Les especificacions tècniques web usades per la seva proveïdor de hosting per aconseguir una millor seguretat dels lloc web allotjats també és important. Procureu que el mateix segueixi les següents pautes de seguretat recomanades per a l'allotjament del seu lloc web:

  • Fàcil instal·lació de certificats SSL
  • Gestió activa de versions de programari de servidor web.
  • Protecció de tallafocs
  • Registre d'accessos a la pàgina web
  • Auditories de seguretat de rutina
  • Detecció d'activitat maliciosa
  • Suport per SFTP (no només FTP), TLS 1.2 i 1.3, i per a PHP 5.6, com a mínim tot i que es recomana de 7.0 en endavant.

Tot això és necessari, com a mínim per incrementar la seguretat del seu lloc web amb o sense WP com CMS usat.

WordPress - Temes i Complements: Complements

5.- Cuídese dels Temes i Complements usats

Els plugins i temes que s'instal·lin importen molt a nivell de seguretat. Procureu l'ús de només els temes i complements oficials de WP o certificats per la Comunitat, de repositoris comercials ben coneguts o directament de desenvolupadors acreditats. Ja que molts d'ells (no certificats) poden contenir codis maliciosos.

No importa quant protegeixi el seu lloc web de WP si és vostè qui instal·la el malware. Investigui abans de descarregar i instal·lar qualsevol tema i complement, o el seu desenvolupador o lloc web promotor, i tingui les seves reserves amb aquells gratuïts o amb descompte.

WordPress: 5ta Bona Pràctica

6.- Procureu actualitzar freqüentment la seva CMS

Les actualitzacions de la seva plataforma web són molt importants per a la seva seguretat. ja sigui WP seu CMS o no, les versions obsoletes de la seva Core, Tema o complements poden portar-lo a albergar vulnerabilitats conegudes al seu lloc web. En el cas de WP que és codi obert hi ha un equip específicament dedicat a aquest assumpte dins de l'Core de l'aplicació.

Cada vulnerabilitat de seguretat descoberta en WP, és corregida i eliminada immediatament per així solucionar cada nou problema de seguretat descobert en WP. A causa d'això actualitzar WP i tots els seus temes i complements a l'última versió és un component vital d'una estratègia de seguretat reeixida.

WordPress: 6ta Bona Pràctica

7.- Vaig procurar una clau adequada

La qualitat o fortalesa de les nostres contrasenyes en els llocs web és molt important. L'inici de sessió dels nostres llocs web és un objectiu predilecte per a l'explotació de vulnerabilitats, perquè proporciona l'accés més fàcil a la pàgina d'administració del seu lloc web.

Els atacs de força bruta són el mètode més comú per explotar el seu inici de sessió, Descobrint el nom d'usuari i les combinacions de contrasenya per accedir a la pàgina web. En el cas específic de WP, per defecte estigui no limita el nombre d'intents fallits d'inici de sessió que algú pot fer, per tant, el més recomanable és l'ús d'una contrasenya complexa per a l'inici de sessió del seu administrador de WP.

A l'triar una contrasenya prengui en compte aquests 3 requisits fonamentals basats en el format CLU (Complex, Llarg, Únics):

  • COMPLEX: Les contrasenyes han de ser el més a l'atzar possible i el menys relacionada amb l'Administrador Web o el Lloc Web.
  • LLARG: La contrasenya ha de tenir 12 o més caràcters de longitud. I enfortides amb restriccions o limitacions en el nombre d'intents de connexió fallits.
  • ÚNIC: No reutilitzeu contrasenyes. Cada contrasenya ha de ser únic en el temps. Aquesta simple regla limita dràsticament l'impacte de qualsevol contrasenya que es vegi compromesa.

recomanació: Utilitzeu un gestor de contrasenyes com "LastPass" (línia) i "KeePass 2" (offline) per generar i emmagatzemar totes les seves contrasenyes en un format xifrat.

WordPress: 7ma Bona Pràctica

8.- Tingueu sempre preparat el seu pla anti-desastres

Sí fa servir WP recordi que aquest no té un sistema de còpia de seguretat incorporat. Inclogui un com a prioritat, perquè sempre tingui una còpia de seguretat actualitzada del seu lloc web. Les còpies de seguretat són crítiques i una estratègia de seguretat general a implementar.

No oblidi que no només ha de recolzar els seus llocs web i bases de dades usades, Sinó totes les configuracions de tot el servidor mitjançant tasques automatitzades amb script o sistemes d'imatges clonades, per facilitar les restauracions i re-instal·lacions necessàries en el menor temps possible.

WordPress: 8va Bona Pràctica

9.- Augmenti la seva seguretat usant 2FA

Enforteixi el seu inici de sessió com a administrador de WP o el seu lloc web mitjançant el mecanisme d'autenticació de dos factors (2FA), El qual és una de les millors maneres d'assegurar el seu lloc web actualment. L'autenticació de dos factors afegeix una capa addicional de protecció al seu inici de sessió del seu lloc web, a l'exigir que l'ús de la seva contrasenya, requereixi un codi addicional sensible a el temps d'un altre dispositiu, com el seu telèfon intel · ligent, per iniciar sessió correctament .

En el cas de WP que no ofereix per defecte està funcionalitat incorpori la mateixa mitjançant l'ús d'un complement, Com per exemple, iThemes Security per afegir la mateixa.

WordPress: 9na Bona Pràctica

10.- Utilitzeu qualsevol complement de seguretat necessari

La majoria dels CMS com WP fan ús de complements per augmentar el potencial de seguretat de si mateixos. En el cas específic de WP es recomana l'ús de l'complement de seguretat anomenat iThemes Security per afegir encara més protecció al seu lloc web. Aquest complement bloqueja WP, reparar forats coneguts, deté atacs automatitzats i enforteix les credencials dels usuaris.

Posseeix una versió gratuïta (iThemes Security) i una paga (iThemes Security Pro) que evidentment proveeix més més característiques de seguretat com 2FA, anàlisi programats de malware, registre d'usuaris, entre altres coses.

Conclusió

Ja sigui sobre WP o un altre CMS, vostè pot evitar la majoria dels problemes de seguretat del seu lloc web amb tan simplement seguir aquestes millors o bones pràctiques de seguretat. El seu lloc web mereix i ha de tenir implementades les necessàries mesures de seguretat que garanteixin o minimitzin la seva inviolabilitat en aquests temps tan convulsionats per l'activitat dels hackers i crackers.

Finalment i com a afegit, li recomanem llegir aquest altre article del nostre blog sobre el tema per reforçar la seguretat del seu lloc web, anomenat: Permisos de Linux per a Administradors i Desenvolupadors de Sistemes.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.