Cómo proteger WordPress de los piratas informáticos
Consejos sobre cómo proteger un sitio de WordPress para que no sea pirateado, incluidos los complementos de seguridad recomendados.
WordPress es un objetivo frecuente de piratería. Los piratas informáticos tienen como objetivo el tema, los archivos principales de WordPress, los complementos e incluso la página de inicio de sesión. Estos son los pasos a seguir para que sea menos probable que sea pirateado y para poder recuperarse más fácilmente si aún sucediera.
Cómo atacan los hackers a WordPress
Todos los sitios en la web están bajo ataque constante, ya sea un foro phpBB o un sitio de WordPress, todos los sitios están siendo investigados por piratas informáticos. No es inusual que un pirata informático escanee miles de páginas o intente iniciar sesión cientos de veces al día.
Y ese es solo un hacker. Los sitios están siendo atacados por varios piratas al mismo tiempo.
Por lo general, no es una persona la que intenta hackearlo. Los piratas informáticos emplean software automatizado para rastrear la web en busca de debilidades específicas en el sitio web.
Estos programas de software automatizados que rastrean la web se denominan bots. Los llamo hacker bots para distinguirlos de los scraper bots (software que intenta copiar contenido).
Proteja su sitio de WordPress con un firewall
Un firewall es un programa de software que bloquea a un intruso. En mi opinión, el mejor firewall de WordPress es un complemento llamado Wordfence.
Lo que hace Wordfence es verificar si el comportamiento de un visitante del sitio web coincide con el de un bot abusivo. Si el bot infringe ciertas reglas, como pedir demasiadas páginas web en poco tiempo, Wordfence lo bloqueará automáticamente.
Wordfence también está programado para permitir bots legítimos como Google y Bing en el sitio.
Hay funciones avanzadas que permiten a un editor ver qué bots están atacando un sitio y ver de dónde proviene el bot, como si es un bot malo que proviene de Amazon Web Services o Bluehost, por ejemplo. Wordfence proporciona al editor la capacidad de bloquear el bot por su dirección IP, todo el rango de direcciones IP o incluso por un agente de usuario de navegador falso que el bot está utilizando.
Un agente de usuario es información de identificación que envía un navegador que le dice a un sitio web qué navegador es (Chrome, Firefox, Vivaldi) y en qué sistema operativo está operando (Windows 10, Mac OS X).
Los bots utilizan una gran cantidad de agentes de usuario diferentes para engañar a los sitios web y colarse. Por ejemplo, algunos bots fingen ser un navegador en Windows XP.
La cantidad real de usuarios reales en Win XP es cercana a cero, puedo crear una regla con Wordfence para bloquear todos los agentes de usuario con Windows XP como sistema operativo y con esa regla puedo bloquear miles de bots malos, independientemente del país provienen de una dirección IP.
Los robots maliciosos a veces responden cambiando a otro agente de usuario, por lo que al combinar estas reglas, un editor tiene la posibilidad de bloquear una amplia gama de robots piratas informáticos maliciosos.
Y eso es con la versión gratuita de Wordfence.
La versión de pago puede bloquear países enteros. Entonces, si no tiene visitantes legítimos del sitio de ciertos países, puede bloquear a todos los visitantes que provengan de esos países.
Defensa de WordPress contra exploits
Además, la versión paga de Wordfence lo protegerá por adelantado de muchos temas y complementos comprometidos antes de que se solucionen esos complementos.
Una vez que los investigadores de Wordfence son conscientes de un exploit, actualizarán la versión premium del cortafuegos para brindar a los suscriptores protección contra esos exploits, a veces semanas antes de que el tema comprometido o el desarrollador del complemento solucione el exploit.
Fortalecimiento de la seguridad del sitio web
Otro complemento gratuito que proporciona una capa adicional de protección se llama Sucuri Security. Sucuri (propiedad de GoDaddy) ayuda a fortalecer la seguridad de WordPress para evitar que los robots maliciosos se aprovechen de ciertos tipos de ataques. También tiene una función de escaneo de malware que verifica todos los archivos para ver si han sido alterados.
Limite los inicios de sesión a su sitio
WordFence puede bloquear bots que completan repetidamente nombres de usuario y contraseñas en la página de inicio de sesión de WordPress.
Pero si desea centrarse en limitar esos inicios de sesión, existe un complemento llamado Limitar los intentos de inicio de sesión recargados que permite a los editores bloquear automáticamente a todos los piratas informáticos que ingresan un número determinado de combinaciones fallidas de nombre y contraseña. Por ejemplo, puede configurarlo para que bloquee a los piratas informáticos después de tres intentos de adivinar la contraseña.
Copia de seguridad de su sitio de WordPress
Es importante crear automáticamente una copia de seguridad diaria de su sitio web. Cualquier evento catastrófico que derribe el sitio se puede recuperar con una copia de seguridad.
Hay muchas soluciones de copia de seguridad, pero la que he encontrado inmensamente útil se llama UpdraftPlus WordPress Backup Plugin. UpdraftPlus cuenta con la confianza de más de dos millones de usuarios, es una opción bien considerada.
Se puede configurar para enviar las copias de seguridad por correo electrónico todos los días o enviarlas a una ubicación de almacenamiento en la nube como Dropbox.
Una vez eliminé accidentalmente todos los archivos de diseño de tema de un sitio, eliminé por completo el aspecto del sitio. Pero pude restaurar el sitio exactamente como estaba antes usando una copia de seguridad de UpdraftPlus. Fue fácil de hacer y estaba muy agradecido.
Proteja su sitio de WordPress de los piratas informáticos
Para muchos sitios, simplemente seguir estos pequeños pasos para asegurar un sitio web es suficiente para evitar que los sitios sean pirateados. Las versiones gratuitas de estos complementos brindan una cantidad extraordinaria de protección y las versiones premium brindan aún más protección.
Hay muchos complementos de tipo de seguridad y algunos de ellos contienen vulnerabilidades. Wordfence y Sucuri son, en mi opinión, las mejores opciones para la seguridad de WordPress.
