Endurecimiento de WordPress Security 25 Plugins esenciales y consejos
Si está ejecutando un sitio web impulsado por WordPress, su seguridad debe ser su principal preocupación. En la mayoría de los casos, los blogs de WordPress están comprometidos porque sus archivos principales y / o complementos están desactualizados; los archivos desactualizados son trazables y es una invitación abierta para los piratas informáticos.
¿Cómo mantener tu blog lejos de los malos para siempre? Para empezar, asegúrese de estar siempre actualizado con la última versión de WordPress. Pero hay más. En la publicación de hoy, me gustaría compartir con ustedes algunos complementos útiles, así como algunos consejos para fortalecer la seguridad de WordPress..
Lista completa despues del salto!
Complementos para una mejor seguridad
WP DB BackupWP DB Backup es un complemento fácil de usar que le permite respaldar sus tablas de base de datos de WordPress con solo unos pocos clics. Además, es tan fácil que también ha sido uno de los complementos más utilizados para proteger su sitio web con tecnología WP..
Exploración de seguridad WPCon este complemento, escanear su sitio impulsado por WordPress será una tarea simple. Encuentra las vulnerabilidades en su sitio y ofrece consejos útiles para eliminarlas..
Pregunte a Apache Proteger con contraseñaEste complemento no controla WordPress ni se mete con su base de datos, sino que utiliza funciones de seguridad integradas rápidas y probadas para agregar varias capas de seguridad a su blog..
Stealth LoginEl complemento de inicio de sesión Stealth te ayudará a crear direcciones URL personalizadas para iniciar sesión, registrarte y cerrar sesión en WordPress.
Login LockdownEl bloqueo de inicio de sesión le ayudará a bloquear los intentos durante un período de tiempo al iniciar sesión en el panel de administración después de varios intentos.
Administrador de WP-DBEste es otro gran complemento que le permite administrar su base de datos WP. Se podría utilizar como una alternativa al administrador de copia de seguridad de WordPress.
Admin SSL Secure PluginOtro plugin para mantener seguro tu panel de administración. Actúa sobre el cifrado SSL y es realmente útil contra piratas informáticos o personas que intentan obtener acceso no permitido a su panel. Es el rival del complemento de inicio de sesión seguro de Chap..
Usuario LockerSi desea evitar la piratería bruta en su sitio, entonces el complemento User Locker es el adecuado para usted. Funciona en el mismo sistema que Login Lockdown, sin embargo, es un plugin WP calificado con 5 estrellas que tiene una gran fama entre sus usuarios.
Limitar los intentos de inicio de sesiónLos intentos de inicio de sesión limitados impiden que la dirección de Internet realice más intentos después de alcanzar un límite específico de reintentos, lo que hace que un ataque de fuerza bruta sea difícil o imposible.
Cifrado de inicio de sesiónLogin Encrypt es un complemento de seguridad. Utiliza una combinación compleja de DES y RSA para cifrar y asegurar el proceso de inicio de sesión en el panel de administración.
Contraseña de una sola vezEste complemento único le ayudará a establecer una contraseña de un solo uso para su inicio de sesión, a fin de evitar el registro de usuarios no deseados de cafés de Internet o similares..
AntivirusAntivirus es un complemento de seguridad bastante popular que te ayudará a mantener tu blog protegido contra bots, virus y malware.
Mal comportamientoMala conducta es el complemento que te ayuda a luchar con esos molestos spammers. El complemento no solo lo ayudará a evitar los mensajes de spam en su blog, sino que también intentará limitar el acceso a su blog para que ni siquiera puedan leerlo..
Explotador de escánerBusque los archivos y la base de datos de su instalación de WordPress en busca de signos que puedan indicar que los archivos o la base de datos han sido víctimas de piratas informáticos malintencionados. Incluso si es otro plugin de escaneo, vale la pena intentarlo.
Usuario Spam RemoverEl nombre del complemento dice sus funciones, un complemento popular que le ayudará a prevenir y eliminar los mensajes de spam no deseados.
Bloquear malas consultas Este complemento intenta bloquear todas las consultas maliciosas intentadas en su servidor y en el blog de WordPress. Funciona en segundo plano, verificando cadenas de solicitud excesivamente largas (es decir, más de 255 caracteres), así como la presencia de cualquiera "eval" o "base64" en la solicitud URI.
8 consejos esenciales
Cambiando los prefijos "wp_" por defecto
Su sitio web podría estar en juego si está usando los prefijos wp_ predecibles en su base de datos. El siguiente tutorial le enseña cómo cambiarlos a través de phpMyAdmin en 5 sencillos pasos.
También puede hacer esto con el complemento WP Security Scan.
Ocultar mensajes de error de inicio de sesión
Los mensajes de inicio de sesión de error pueden exponer y darles una idea a los hackers si han obtenido un nombre de usuario correcto / incorrecto, y viceversa. Es aconsejable ocultarlo del inicio de sesión no autorizado.
Para ocultar los mensajes de error de inicio de sesión, simplemente coloque el siguiente código en functions.php
add_filter ('login_errors', create_function ('$ a', "return null;"));
[Fuente]
Mantenga el directorio wp-admin protegido
Mantener protegida la carpeta "wp-admin" agrega una capa adicional de protección. Quien intente acceder a los archivos o directorios después de "wp-admin" se le pedirá que inicie sesión.
La protección de su carpeta "wp-admin" con inicio de sesión y contraseña se puede hacer de varias maneras:
- Plugin de WordPress - Usando el plugin WordPress AskApache Password Protect.
- cPanel - Si su alojamiento admite el inicio de sesión de cPanel admin, puede configurar la protección fácilmente en cualquier carpeta a través de cPanel's Directorios Protegidos por Contraseña interfaz gráfica del usuario. Descubre más en este tutorial..
- .htaccess + htpasswd - La creación de una carpeta protegida por contraseña también se puede hacer fácilmente configurando las carpetas que desea proteger dentro .htaccess y los usuarios pueden acceder dentro .htpasswd. El siguiente tutorial te muestra cómo hacerlo en 7 pasos.
Mantenimiento de copias de seguridad
Mantener copias de respaldo de todo su blog de WordPress es tan importante como mantener el sitio a salvo de los piratas informáticos. Si esto último falla, al menos todavía tiene los archivos de copia de seguridad limpios para revertir.
Anteriormente hemos cubierto una lista de soluciones para hacer copias de seguridad de sus archivos y bases de datos de WordPress, que incluyen complementos útiles y servicios de copia de seguridad.
Impedir la navegación en el directorio
Otra gran laguna de seguridad es tener sus directorios (y todos sus archivos) expuestos y accesibles al público. Aquí hay una prueba simple para verificar si sus directorios de WordPress están bien protegidos:
- Ingrese la siguiente URL en el navegador, sin las comillas. "http://www.domain.com/wp-includes/"
Si aparece en blanco o te redirige a la página de inicio, estás a salvo. Sin embargo, si ve una pantalla similar a la imagen de abajo, no está.
Para evitar el acceso a todos los directorios, coloque este código dentro de su .htaccess expediente.
# Prevenir la búsqueda de carpetas Opciones Todos los índices
Mantener actualizados los archivos y complementos de WordPress
Una de las formas más seguras de mantener seguro su sitio de WordPress es asegurarse de que sus archivos estén siempre actualizados a la última versión. Aquí hay algunas formas (prácticas) que puedes hacer:
- Inicie sesión en Dashboard a menudo - Aparecerá una notificación amarilla en la parte superior del Tablero si hay actualizaciones disponibles. Inicie sesión a menudo y manténgase actualizado con la última copia de los archivos principales de WordPress.
- Desactivar y eliminar los complementos no utilizados - El complemento no utilizado eventualmente quedará desactualizado y puede suponer un riesgo para la seguridad. Si no lo estás utilizando, bórralo..
- Suscríbete a WordPress Lanzamientos RSS.
Elija una contraseña segura
¿Es segura tu contraseña? Una contraseña segura y segura es más que algo memorable con números (por ejemplo, john123). Para empezar, debe constar de más de 12 caracteres con la combinación de números y alfabetos en mayúsculas y minúsculas.
Aquí hay algunas aplicaciones que te permiten generar contraseñas seguras:
- Buena contraseña
- Multicianos
- KeePass
- Ultimo pase
- PcTools
- 1 contraseña
Alternativamente, también puede verificar qué tan segura (y segura) es su contraseña actual con howsecureismypassword.net.
Eliminar usuario administrador
Una instalación típica de WordPress viene con un usuario predeterminado llamado "admin". Si ese es el nombre de usuario de su sitio de WordPress, ya está haciendo la vida del hacker un 50% más fácil. El uso del usuario "admin" debe evitarse en todo momento..
Un método más seguro para iniciar sesión en su administrador de manera segura es crear un nuevo administrador y eliminar "admin". Y así es como lo haces:
- Inicie sesión en el panel de administración de WordPress
- Ir Usuarios -> Añadir nuevo
- Agrega un nuevo usuario con Administrador rol, asegúrate de usar una contraseña segura.
- Cierre sesión en WordPress, vuelva a iniciar sesión con su nuevo usuario administrador.
- Ir Usuarios
- Eliminar usuario "admin"
- Si "admin" tiene publicaciones, recuerde atribuir todas las publicaciones y enlaces al nuevo usuario.
Recursos más útiles:
- Endurecer WordPress (WordPress)
- Preguntas frecuentes sobre la seguridad de WordPress (WordPress)
- ¿Qué hacer si tu sitio es hackeado? (WordPress)
- Comprender .htaccess y .htpasswd (Apache)
- Comprender .htaccess y .htpasswd (Javascriptkit.com)
- Protegiendo el directorio wp-admin (nicolaskuttler.com)
- Limpieza de instalación de WordPress pirateado (Blogsblogsblogs.com)