1 Followers
26 Following
citygame32

citygame32

Blog

Shelf

Timeline

0 BOOKS
SPOILER ALERT!

Seguridad de WordPress

7:43 am 19 August 2020

Tu día a día comoes una lucha constante contra elementos que quieren entrar en tu página web y usarla para fines… muy distintos al que habías pensado.


Reconocerlo y saberlo es el paso inicial
para mejorar la.



¿Quieres saber a qué me refiero?



  • Bots(programas automáticos) que buscan vulnerabilidades en tu web.

  • </ <a href="https://citiface.com/es/diseño-woocommerce">agencia de marketing digital Madrid >, personas con ciertos conocimientos de los sistemas, buscando entrar tambien.
  • Ese compañero de trabajo al que le duele tu éxito, y ha descubierto en Google como emplear
    o
    .
  • El diseñador poco profesional que te hizo la página web, y esta resentido pues has contratado a otro mejor.

Casos hay cientos, más de los que te he puesto aquí de ejemplo, y cada uno de estos, los he vivido, combatido o bien recuperado.


El último caso es real. No pienses que no ocurre.


¿Qué encontrarás aquí?


Me avisó una web en la que había trabajado haciendo unos cambios, de que había desaparecido por completo.


Revisando los logs del servidor, vimos que la orden de borrado de todos y cada uno de los ficheros se había hecho por FTP, y desde la IP del diseñador original de la web. ¿Cómo se sabe que era su IP? Pues coincide con su localidad, y porque es la misma IP que figuraba en los logs de cuando se creo la página web. agencia de marketing inmobiliario que sí, estas cosas pasan.



Y no te pienses que por estar empezando, no recibes ataques.Te sorprenderías con la rapidez con la que tu weblog empieza a percibir estas visitas no deseadas. Y de hecho, cómo verás ,los blogs novatos son los más vulnerables.


El único que no te he puesto es el del
hacker profesional.


Hasta yo considero que como uno se empeñe a entrar en mi web, lo consigue.


Pero exactamente estos no vienen a hacer daño. Es solo la superación del reto. Y en un caso así, también considero que no soy lo suficientemente esencial o bien conocido para ser un reto, estando por ahi disponible la web de la Casa Blanca.


Y que ataques puedes percibir o bien para qué:



  • Ataques de fuerza brutao de
    diccionariopara averiguar tu contraseña (hay diccionarios con más de posibles contraseñas, y que efectivamente son utilizadas por el 73 por ciento de las personas).

  • Ataques de Psicología Social(el típico e-mail de hemos detectado un inconveniente con su cuenta, envíe usuario y contraseña, o la llamada descubriendo detalles nuestros), o bien aun el Basureo (no, lo siento, tienes que leer más para saber que es esta técnica).

  • Aprovechamiento de vulnerabilidades XSS,exploits, o fallos en código. Muy técnico. Un rollo. Pero quédate con la idea que la tecnología que utilizamos puede tener fallos, y hay que aplicarle parches para cerrar esos orificios de seguridad.

  • Ataques DDoS, o de denegación de servicio. Esto es que recibes tantas solicitudes, que te echan el servidor abajo.

  • Spam: Llenan tus artículos de enlaces ocultos, para posicionar webs fraudulentas, y a ti te tocará estar en listas negras.


Pero deja de preocuparte.


Respira.


Que para eso estoy aquí, para dejarte esta mega-guía con pilares que tienes quey transformarla en elde los WP.


Los cinco pilares fundamentales para mejorar la seguridad de WordPress


Cuando hayas reforzado estas cinco bases de tu proyecto, dormirás más sosegado.


Tambien descubrirás, que contra lo que pensabas, si estas siendo atacado ya. Pero cuando menos bien sabes que le pusiste solución y estas protegido.


No existe ninguna parte más esencial que otra. Sencillamente hay que reforzar las 5 o el sistema tendrá un punto de fallo.


Y una vez hecho, solo es cuestión de aplicar lógica y tomar en consideración 2 o bien 3 medidas básicas.


¿Vamos a ello?


Pilar #1. El eslabón más débil de la cadena somos nosotros


Pues sí, voy a comenzar por el más básico, pero de algún modo el que más falla.
El eslabón más débil de la cadena de seguridad somos nosotros, y el primordial punto de entrada de ataques. Así que sigue estos consejos al pie de la letra, y conviértete en el eslabón más fuerte.


Las personas somos el eslabón débil de la cadena de seguridad.


Usa contraseñas fuertes.


El fallo número uno..


Y fuerte no significa solo larga, y con números y mayusculas y minúsculas. Fuerte significa además
aleatoria.


No sirve de nada que Luis Perez, que tiene un perro que lleva por nombre Nostradamus (Nostri es como lo llaman en la familia), ponga de contraseña Nostradamus .


Si. Es segura. Y si, un ataque de fuerza salvaje lo tendrá complicado. Mas alguien que lo conozca puede tener fácil descifrarla.


Una contraseña segura es esta: 2nFBxtjGH?TR1a



Al final te cuento el secreto para recordarlas.


Usa contraseñas diferentes.


Por que claro, de nada te vale usar una contraseña fuerte, si entonces te registras en todos los sitios con la misma.


Pues sabrás que no todos los sitios guardan la contraseña de una forma cifrada.


Y por lo tanto ese foro de cocina que tanto te gusta, o esa web donde te registraste mientras que buscabas coche, es posible que este viendo tu correo electrónico y contraseña. Y por tanto, tener acceso a tu, correo,…


O que se produzca un ataque de esos que birlan miles y miles de contraseñas, de algún servicio web, y se vean comprometidos todos tus.



Así que bien sabes, fuerte, azarosa, y además diferente para cada cuenta y web.


¿Ves como vas a necesitar algo para recordarlas?



No se las des a absolutamente nadie. Nunca.


Repito. Nunca.


Si un desarrollador tiene que entrar a tu sitio web, para comprobar un, para hacerte cambios, etc… crea un usuario para el, que podrás desactivar después, eliminar, o bien mudarle los permisos.


Así tendrás controlado quien entra en tu web, y cuando.


Y si no puedes crear un usuario, cambia la contraseña, y pon una temporal, y cuando finalice el trabajo, vuélvela a mudar.


Multiplica el Nº de clics en tus contenidos


Con este
eBook gratuitode plantillas de
crearás titulos que
dispararán los clicsen tus contenidos:


  • 77 Plantillas de títulos demostradas que multiplicarán los clics.
  • Sacaras infinitas ideas crear tus títulos.
  • Con las palabras "mágicas" redactarás textos irreprimibles.
  • Vale para todo: blogs,,, etc.

Obtén tu eBook aquí


Apúntate a nuestra
Zona VIPy descárgate tu eBook ya


Es
100 por cien gratis🙂


El
responsablede este lugar es Wenova En línea SL, cuya
finalidades el envío de información y formación sobre blogging y, con la
legitimaciónde tu permiso otorgado en el formulario.


El
destinatariode tus datos (la herramienta que utilizamos) es. Está situada en España y podrás ejercer tus
derechos de acceso, rectificación, limitación o supresión de tus datos(ver la).


Recuerda de forma eficiente y segura tantas contraseñas


No vale apuntarlas en un post-it, o en tu agenda. O bien en un papel que entonces arrugas y tiras a la papelera.



¿Recuerdas que te hablaba del basureo?


Pues es exactamente buscar en la mesa, o bien basura de alguien por este género de apuntes. Si; es una técnica de hackeo. ¿Increíble verdad?


Así que para que puedas recordarpara cada cuenta o sitio, lo mejor es emplear un gestor de contraseñas:



  • con versiones para todos y cada uno de los sistemas operativos habituales, aplicación para móviles y extensiones para navegador. Gratuita y con versión premium. Lo que no me agrada es que las contraseñas se almacenan cifradas en sus servidores.

  • :Multiplataforma tambien, mas solo en versión de pago. Es el que empleo, porque marcha excelente, y las contraseñas están almacenadas en mi propioen un fichero cifrado.

  • :Versión para Mac, Windows y apps para móviles inteligentes, y completamente sin costo. Para mi recién descubierto, mas tiene buena pinta. De haberlo encontrado antes quizá no hubiera comprado 1Password. Las contraseñas se guardan también de forma local.

Con estos sistemas solo deberás rememorar una contraseña. La de acceso a la base de datos de contraseñas. El resto estará cifrado y seguro. Tan seguro, que si olvidas esa contraseña… ¡las perderás para siempre! (y ahora no me vayas a apuntar ésta en el artículo-it pegado a tu monitor…)


La diferencia entre que se almacene de manera local o bien remota, es que si los servidores de la empresa se ven comprometidos,. Yo soy más de tener yo el control, pero seguro que ellos invierten más en seguridad que yo.


Pilar #2. Tu ordenador y sistemas siempre seguros


De nada sirve emplear contraseñas fuertes y poner mil medidas de seguridad, si entonces un simple
keylogger(un programa que atrapa lo que escribimos en el teclado) captura tus datos de acceso.



Por lo tanto, es una parte imprescindible que le des vitaminas a tu computador, para resguardarlo de virus, y malware.


No es difícil manejar uno de los antivirus más potentes que ahi.


Eso se hace con un buen antivirus, y mucho sentido lógico.


Para mi los mejores antivirus serian
,y
.¿Debes emplear únicamente uno de estos? No, si el que tienes te va bien, no tienes porque mudar. Pero si no usas ninguno, tienes donde elegir. Imprescindible si usas Windows.


Si eres usuario de Mac o Linux, no te confíes.
No te creas la leyenda urbana de que no existen virus o bien malware para estos sistemas. No es cierta. Pero tampoco precisas un antivirus. Sus sistemas de permisos, y que sean sistemas menos extendidos, los hace menos apetecibles a ataques. Si precisas utilizar mucho tu sentido común.


Consejos aplicables a todos y cada uno de los sistemas (ordenadores o móviles):



  • No instales aplicaciones de procedencia sospechosa. Unos euros ahorrados por emplear una app pirata te pueden costar costosos. Ni instalesgratuitas «extrañas» en tu equipo de trabajo». No descargues de Softonic (curiosamente, la versión gratuita de avast te manda descargarla de softonic…).
  • Usa solo por norma general
    , que tengan reviews de bloggers independientes.

  • No abras adjuntos de correos electrónicos de desconocidos. Y de conocidos si no aguardas nada, observalo con precaución.

  • Solo usa tus claves en webs que tu mismo hayas escrito la url.

Y unos consejos extras, relacionados con las comunicaciones:


  • Por ahorrarte de nuevo unos eurillos, no compartas la conexión a Internet con vecinos o bien desconocidos. Mucho menos, le «robes» la conexión a nadie.
  • No utilices WiFis públicas de centros comerciales o bien hoteles.

El motivo de esto es que es sencillísimo para alguien, «sniffar» o bien extraer toda la información que circula por esa red, para después examinarla tranquilamente. Esta recomendación es sobre todo esencial si el panel de admin de tu WP no emplea https. Es un consejo básico para mejorar la seguridad.


Pilar #3. La seguridad de tu WordPress es el baso de tu negocio online


Tengo claro que no abrirías un bar en un edificio viejo, o bien mal construido, que consideras que se te puede venir abajo en cualquier momento.


O que los ladrones se pueden colar haciendo un simple orificio en la pared de lo debilucha que es.



¿Entonces pues utilizas para tu negocio on-line servidores de poca calidad?


Yo personalmente, como Berto,. Por seguridad, por soporte, y por desempeño.


Aquí te dejo una captura de pantalla de sus diferentes planes y costes (haz clic en ella si deseas irte a su página web):


Los planes decon el precio después de aplicar el descuento.


Laes excepcional:


  • Medidas de seguridad
    pro-activas, para que aunque no actualices no te veas afectado.
  • Medidas de seguridad
    pasivas,como bloqueo por intentos errados repetidos de comenzar sesión.
  • Bloqueo a todos y cada uno de los países de habla no hispana al admin de tu página web. ¡Ni te imaginas lo que te quita esto de encima!

Otro servidor que me funciona realmente bien a nivel de seguridad para WP, y donde. Mucho más costoso, mas sencillamente te olvidas de gestionar seguridad o bien desempeño, en tanto que es un.



En este caso, de nuevo, estimar ahorrar algo de dinero, te puede costar verdaderamente caro luego.


Aquí no hay más ciencia.
Si deseas seguridad en tu WordPress, invierte en un servidor de veras.


Como ejemplo, decirte que uno de los más conocidos,, no se pues últimamente me he encontrado numerosos clientes que lo utilizaban, con el blog infectado por Spam SEO.


Sencillamente es mejor seleccionar algo que te un buen soporte, y pero que ser famosísimo, saber que administra realmente bien sus recursos.


No hay mayor complicación para tener un buen pilar de seguridad en este sentido.



Pilar #4. La seguridad de WP es algo que no hay que olvidar


No podemos estar hablando de la seguridad en Wordpress, y no hablar de lo que hay que hacer, para que ésta sea inmejorable.


Resultado de un escáner hecho con Sucuri Security.


Básicamente se basa en reforzar múltiples aspectos:



  • Obligar a los usuarios a utilizar contraseñas fuertes(esto lo hace por defecto WordPress desde la versión 4.3, pero no esta de más asegurarnos).

  • Limitar los intentos de empezar sesión, y así bloquear los ataques por fuerza salvaje.
  • Realizar una
    búsqueda periódica de malware, a fin de que nos avise en caso de cambios inopinados, y podamos solventarlo de manera eficaz y rápida.

  • Eliminar posibles vulnerabilidadeso debilidades de los
    plugins o temasque tengamos instalados.

  • Bloquear bots(programas automáticos) en busca de dichas vulnerabilidades.

Para poder hacer todo esto,, y labores periódicas de mantenimiento que hay que hacer si o si.


Lo más importante: Mantén WP actualizado


Como te he explicado, una de las formas más frecuentes de ataque es aprovechando las vulnerabilidades de complementos, temas, o del propio WP. Por eso en ocasiones salen actualizaciones, que corrigen dichas debilidades, y es sumamente aplicarlas.


No debes tener temor a actualizar, si lo haces bien, y no permites que se acumulen las actualizaciones.



  • Nunca actualices WP tras salir la actualización. O bien si lo haces, asegúrate de tener una
    copia de seguridadque sepas restaurar. En general se espera dos o 3 días, a que se descubran posibles fallos o bien incompatibilidades que pueda dar. Cuando pase el periodo de gracia ni lo pienses. Actualiza.
  • Si tienes varias actualizaciones de plugins pendientes,
    no las hagas todas y cada una de golpe. Es mejor ir de una en una, si bien tardes más. De esa manera si alguna falla, sabrás precisamente como ha sido, y podrás solucionarlo.

  • Actualiza tambien temas o complementos que tengas desactivados. Aunque de esto te hablaré más adelante.
  • Siempre haz una
    copia de seguridadantes de actualizar por si acaso.

Entro en muchas webs que tienen aún Wordpress 3.9 o bien afín. Que absolutamente nadie que lea Ciudadano veinte sea de estos por favor. Ponte a trabajar, que es sencillísimo.



Especial cuidado con actualizar los temas, pues si no utilizas un sistema basado enes fácil que al actualizar pierdas cambios y personalizaciones realizadas. Para eso lo mejor es emplear un sistema, como en el momento en que te instalasFramework + un Child Tema. Si es tu caso, y no quieres cambiar de tema, habla con un profesional a fin de que te haga un Child Theme.


Instala un complemento todo en uno


Lo primero es instalar un complemento que nos asista a efectuar varias funciones. Aquí te daré dos elecciones, ya probadas:



es el plugin que suelo usar para resguardar mis instalaciones fuera de, y las de mis clientes del servicio. Es fácil de emplear, y prácticamente desde su activación ya estas protegido sin haber configurado nada.


Otra opción que uso en ciertos de mis clientes del servicio es el plugin.


Utiliza solo uno de ellos. Si bien hay gente que utiliza ambos combinados, creo que si no sabes lo que haces te puede dar más inconvenientes que soluciones.


Cualquiera de ellos te ayudará a limitar los intentos de login, bloquear bots y ataques, y fortalecer normalmente la seguridad de WordPress.


Simplemente usa el que te llame más la atención.


Añadamos un extra de seguridad


Con las 2 medidas anteriores, ya tienes tu WordPress lo suficientemente seguro. Pero a mi me gusta añadir una medida extra.


El plugin
te ayuda a escanear en pos de malware y avisarte rapidamente si ha encontrado algo o estas en listas negras.


Tambien conserva un log de las actividades en WP (comienzos de sesión, etc…) y puedes percibir estas notificaciones en tu e-mail.



Aviso:No te satures de notificaciones, pues llegará un momento que no eches cuenta, y no te ayudará a prosperar la seguridad. Desactiva las que creas no te serán de utilidad.


Pilar #5. No hay nada infalible. Ten a mano un Backup


Todo puede fallar. aunque tengas.


Un día tu mismo puedes eliminar toda tu Web.


O un día te desatiendes y usas una wi-fi pública y tu contraseña se ve comprometida, y entran en tu página web.


Al final ha pasado lo que tanto temías. Has perdido todo tu trabajo.


Pero si llevas a cabo una política adecuada de copias de seguridad, no tiene porque pasar nada.


Para hacer las
copias de seguridad
.Me agrada pues es fácil de usar, sirve para todo lo que necesitamos, y deja hacer restauraciones sencillamente.


Ten en cuenta estos consejos:


  • Las copias de respaldo siempre
    deben de hacerse en un repositorio externo, en la nube, como Dropbox o afín. No sirve de nada si se quedan en tu servidor.

  • Las copias han de ser programadas y automáticas. Toda vez que puedas, prográmalas a la noche.

  • No es preciso tener una copia diaria de tus ficheros. ¿Qué puedes perder,? Así que puedes hacerla semana a semana, y conserva al menos cuatro copias (un mes de copias de respaldo?

  • Las bases de datos si cambian cada día(comentarios, actualizaciones de blog post, etc….), así que programa una copia diaria, y conserva por lo menos 7 (una semana).
  • Por último, no sirve de nada una backup, si de cuando en cuando no miras en la carpetita que se esta haciendo, y verificas que efectivamente
    se hacen, están actualizadas, y puedes restaurar los ficheros.

Aparte de tenerlas programadas, no olvides hacer una a mano antes de actualizar, o bien después de hacer importantes cambios de diseño en tu web.


¡No te preocupes! El complemento que te recomiendo hace todo lo que te he dicho.


En seguridad, si uno de los pilares falla, la casa se cae


Como ves, y seguro que te has dado cuenta, si uno de los pilares falla, todo se cae.


  • De nada sirve tener una contraseña fuerte, si la consigue un virus de tu ordenador.
  • De nada sirve que tu ordenador sea un fortín, si entonces no actualizas Wordpress y arreglas esa vulnerabilidad tan grave que hallaron hace poco.
  • De nada sirve que lo sostengas Wordpress actualizado y blindado, si entonces te entran por vulnerabilidades del servidor.
  • De nada sirve tener un enorme servidor, para que te puedan entrar por FTP por tener una contraseña débil.

Es la pescadilla que se muerde la cola. O refuerzas los 4 pilares periféricos, o bien nada hay que hacer.


Y el quinto viene a la ayuda, reforzando desde el centro. Las copias de seguridad que están siempre y en todo momento ahi para ayudarnos a levantarnos rápido si caemos.


Son las 5 medidas básicas que aplico en las webs que diseño, y aun no ha caído ninguna. Unete a la comunidad de bloggers que descansamos tranquilo a sabiendas de que Wordpress es seguro.


No he podido hacer un paso a paso con todas y cada una de las instrucciones.


Son casi 3000 palabras para explicarte cinco cosas que tienes que tener en consideración para eludir ser hackeado.


Es lo único que tienes que aplicar. Y tienes enlazado tutoriales con explicaciones de las herramientas.


Haz que sean útil. Aplícalas y duerme apacible.



¿Has tenido alguna experiencia desagradable con tu web? ¿Piensas que conocer esto ya antes te hubiera ayudado?


 

Powered by BookLikes © 2015 | RSS