¿Cómo asegurar un sitio? Guía de seguridad del sitio web

Escucha este artículo

Seguridad del sitio web o cómo proteger un sitio web? Algunos ataques ocurren por razones completamente ridículas: actualizaciones inoportunas, contraseñas débiles, etc. En esta guía esencial de seguridad de sitios web, le mostraré cómo proteger un sitio web:

• Incluso si... eres nuevo en la seguridad de sitios web y no entiendes muy bien lo que eso significa;
• Incluso si... ha intentado y no ha podido asegurar su sitio antes;
• Incluso si… estás abrumado por el trabajo principal y no sabes por dónde empezar;
• Incluso si... piensas: "No soy rival para los piratas informáticos, entonces, ¿por qué intentar hacer algo?"

Pero lo que es más importante, voy a hablar sobre cómo comenzamos a pensar en la seguridad de nuestros sitios web en primer lugar. De esta manera, tiene todas las herramientas que necesita para tomar las decisiones correctas (de seguridad) para su sitio. Habrá tanta información como sea posible, sírvete una taza de té o café y prepárate.

El contenido del artículo:

• ¿Qué es la seguridad del sitio?
• ¿Por qué es importante la seguridad del sitio web?
• ¿Cómo proteger su sitio de los piratas informáticos? (Pasos efectivos)
• Buenas prácticas de seguridad del sitio web
• ¿Qué debes evitar al proteger tu sitio web?
• ¿Qué hacer si su sitio es pirateado?
• All In One WP Security & Firewall - Seguridad del sitio de WordPress
• Producción

¿Qué es la seguridad del sitio?

Si bien es bueno que esté tomando algunas medidas para proteger su sitio web. Debe comprender que la seguridad del sitio es un proceso continuo que requiere su atención periódica. Los piratas informáticos son personas creativas, por lo que las amenazas evolucionan constantemente.

La seguridad del sitio es el plan para proteger su sitio web y a los usuarios de los piratas informáticos y su malware. Esto incluye comprender los componentes de su sitio web, cómo funcionan juntos y qué vulnerabilidades tienen.

Una vez que esta base está en su lugar, debe formular un plan de seguridad integral para protegerse contra las vulnerabilidades. Esto incluye una serie de pasos de configuración, implementación de políticas y mantenimiento de la información sobre amenazas actualizada.

La clave para asegurar un sitio web es entender que esto no es algo que se hace una sola vez. La seguridad evoluciona porque las amenazas evolucionan.

Verá en el artículo a continuación que un buen complemento de seguridad hará la mayor parte del trabajo duro en términos de malware, pero ser cuidadoso y estar atento es lo que mantiene un sitio web seguro en primer lugar.

¿Por qué es importante la seguridad del sitio web?

WordPress es utilizado por millones de personas, por lo que probablemente sea seguro, ¿verdad? Si y no.

— Sí, porque los archivos principales de WordPress están protegidos e incluso si se encuentra una vulnerabilidad, se soluciona muy rápidamente.

- No, porque tu sitio no es solo el núcleo de WordPress. Es una combinación de complementos y temas que ayudan a que su sitio sea más funcional, interactivo y atractivo. Estos complementos y temas mejoran la funcionalidad de WordPress, pero también aumentan el potencial de vulnerabilidades. Los buenos desarrolladores de complementos solucionarán las vulnerabilidades rápidamente. Pero el peligro en este sentido es mucho mayor.

¿Cómo proteger su sitio de los piratas informáticos? Pasos de acción

Para tener un plan eficaz para proteger su sitio web, el primer paso es comprender cómo se piratean los sitios web. Según el siguiente estudio, los sitios web son pirateados principalmente de tres maneras:

• 90+% - Vulnerabilidad en un plugin o tema de WordPress.
• 5+% - Nombre de usuario y/o contraseña comprometidos.
• <1% - Servicios de alojamiento web deficientes.

Esta asignación debe formar la base de cómo planea proteger su sitio y dónde debe asignar más tiempo y recursos.

1. Protege tu sitio de vulnerabilidades

Los piratas informáticos buscan constantemente sitios web vulnerables. No importa si el sitio es grande o pequeño. Tienen muchos beneficios al piratear casi cualquier sitio web. Según nuestra experiencia, más del 90% de todas las infracciones se deben a que los piratas informáticos descubrieron y explotaron una vulnerabilidad.

Echemos un vistazo más de cerca a lo que son las vulnerabilidades. Esto es muy importante de comprender para que pueda dar forma consciente a la estrategia de seguridad de su sitio web en el futuro.

¿Qué es una vulnerabilidad?

Su sitio web se compone de 3 componentes principales: WordPress, complementos y temas. Básicamente, todo es software y, como cualquier software, contiene errores que a veces hacen que se bloquee.

Los errores pueden tener varias consecuencias: algunas ralentizan tu sitio web o provocan un error cuando alguien lo visita. Esto es molesto y problemático, pero los más serios permiten que usuarios no autorizados (como piratas informáticos) obtengan acceso a su sitio web. Este error se conoce como vulnerabilidad.

Tipos de vulnerabilidades

Las vulnerabilidades se pueden caracterizar, como hicimos en el párrafo anterior, como errores en el código. Sin embargo, hay algunos tipos específicos que ocurren con más frecuencia que otros:

1. Software desactualizado: es importante mantener actualizados el núcleo, los complementos y los temas;
2. Mala gestión de roles de usuario: no le dé a cada usuario acceso completo de administrador;
3. Entradas no desinfectadas: los campos de entrada deben validar la entrada antes de guardar y/o ejecutar.

Posibles hacks en un sitio web no seguro

Las vulnerabilidades están estrechamente relacionadas con los tipos de ataques que permiten y, a menudo, se denominan indistintamente. Los ataques más comunes a los que se enfrenta WordPress son:

• Inyección de código: cuando se inserta código malicioso a través de campos de entrada y se ejecuta mediante el código del sitio web o la base de datos. Una variante común de inyección de código SQL que es especialmente notoria para aplicaciones basadas en bases de datos como WordPress.
• Ataques de secuencias de comandos entre sitios: este tipo de vulnerabilidad roba las cookies de los usuarios para hacerse pasar por ellos, o incluso secuestrar la sesión. El acceso del usuario objetivo se utiliza para atacar su sitio.
• Ataques de fuerza bruta: Como sugiere el nombre, no hay truco para este tipo de ataque. El hacker bombardea su página de inicio de sesión con combinaciones de nombre de usuario/contraseña en un intento de encontrar la correcta.
• correo basuraR: Cualquier spam es grave, pero este ataque ataca lo que más daña a un sitio web: el SEO. Los propietarios de sitios web desperdician recursos trabajando en su SEO, solo para que un pirata informático se aproveche indebidamente al insertar ventanas emergentes y enlaces a productos ilegales o grises. Los ataques de spam de SEO también son difíciles de detectar y, a menudo, los sitios web experimentan los efectos nocivos del spam antes de darse cuenta de que están infectados.
• Ataques de phishing: En estos ataques, un hacker intenta hacerse pasar por una persona legítima para engañar al usuario para que entregue voluntariamente su información. El phishing funciona junto con el correo electrónico y un sitio web pirateado para obtener esas credenciales.

¿Cuál es el efecto de la vulnerabilidad?

Los complementos y temas se instalan en varios miles de sitios, por lo que el efecto de este defecto se multiplica muchas veces. Los desarrolladores responsables de complementos y temas están haciendo esfuerzos para cerrar las brechas de seguridad en sus productos mediante el lanzamiento de actualizaciones.

De hecho, esta es la razón clave por la que se recomienda elegir complementos premium siempre que sea posible. Se debe prestar la máxima atención al mantenimiento regular del software en una estrategia de seguridad del sitio web. Genial, eso significa que el error se ha solucionado. Estamos a salvo ahora, ¿verdad? Bueno, no del todo. El descubrimiento de vulnerabilidades es un momento peligroso para los propietarios de sitios.

¿Qué sucede cuando se descubre una vulnerabilidad?

Los investigadores de seguridad de sitios web suelen descubrir vulnerabilidades. Informan de sus hallazgos al desarrollador del complemento o del tema. Como dijimos en la sección anterior, los desarrolladores responsables buscarán solucionar el problema y lanzar una actualización.
Cuando se solucione la vulnerabilidad, el investigador de seguridad del sitio publicará sus hallazgos. El desarrollador lanzó una solución para mantener seguros los sitios web, ¿verdad? Realmente no.

Los piratas informáticos también leen sobre la vulnerabilidad y buscan sitios web que no hayan actualizado sus versiones. Las vulnerabilidades públicas tienden a atraer a los piratas informáticos en ciernes (también conocidos como script kids) porque ahora pueden usar sitios web sin esfuerzo. Saben exactamente dónde está su objetivo.

¿Qué se debe hacer para proteger el sitio de vulnerabilidades?

Ahora hablaré sobre los pasos específicos que puede seguir para mantener su sitio web seguro y protegido de los piratas informáticos. Estos pasos pueden parecer simples, pero son formas efectivas de mantener su sitio seguro.

1. Haz copias de seguridad

Las copias de seguridad son la parte más subestimada de la estrategia de seguridad de un sitio. No puedo enfatizar lo suficiente la importancia de las copias de seguridad periódicas. Son su red de seguridad, lo único en lo que puede confiar cuando las cosas van mal. Las copias de seguridad lo ayudarán a restaurar rápidamente el sitio a un estado saludable.

2. Actualizar complementos y temas

Esto puede parecer muy obvio, especialmente si ha leído la sección anterior sobre la importancia de las actualizaciones. Sin embargo, es muy fácil ignorar la notificación roja en el tablero y continuar con algo más urgente.

Por lo tanto, repetiré. Los desarrolladores de complementos lanzan actualizaciones con correcciones de seguridad para esto. Incluso si decide retrasar la instalación de actualizaciones, actualice el complemento en una fecha posterior, al menos después de leer las notas de la versión.

3. Elija complementos y temas de buena calidad

Es poco probable que alguna vez haya un software completamente confiable, hay factores clave a considerar al elegir los complementos y temas adecuados para su sitio web:

• El complemento se actualiza periódicamente.R: Es más probable que un complemento o tema que su desarrollador mantiene constantemente reciba un parche de seguridad si se descubre una vulnerabilidad.
• ¿Es popular el complemento?? Esta es una espada de doble filo. Un complemento popular con millones de instalaciones será el objetivo de los piratas informáticos. Pero los complementos como este también tienden a ser más seguros porque están controlados por muchos más desarrolladores.
• ¿Es este un complemento premium?R: Los complementos pagos respaldan el trabajo de los desarrolladores y, por lo tanto, es mucho menos probable que se abandonen que los complementos gratuitos. Esto no significa que el software de código abierto nunca sea seguro; sin embargo, con un producto premium, paga por la atención al cliente y la calidad del producto.
• Nunca instale complementos y temas anuladosR: El software premium gratuito disponible es problemático en muchos niveles. El software puesto a cero a menudo contiene malware o puertas traseras que, una vez instaladas, permiten a los piratas informáticos acceder a su sitio web.

4. Usa un cortafuegos

No existe una forma confiable de evitar que los piratas informáticos o sus bots ataquen sitios web como el suyo. Sin embargo, puede reducir en gran medida la posibilidad instalando un firewall.

2. Proteja su nombre de usuario y contraseña

Aproximadamente 6% de los sitios web pirateados eran vulnerables a ataques debido a contraseñas débiles. Esto puede parecer un número pequeño en comparación con la actividad maliciosa directa, pero aún así es lo suficientemente significativo como para llamar su atención.

Perder la contraseña de administrador del sitio es como perder las llaves de su apartamento o automóvil. Con la llave, el ladrón tiene control total sobre sus posesiones valiosas. Del mismo modo, con una contraseña, los piratas informáticos tienen acceso total a su sitio y su información. Por el momento, ni siquiera un firewall o complemento de seguridad puede evitar que los piratas informáticos dañen su sitio.

La necesidad de contraseñas seguras todavía se promueve activamente, pero debido a las dificultades involucradas, los usuarios de sitios web a menudo la ignoran. Antes de entrar en la mecánica de obtener una buena reputación, respondamos algunas preguntas comunes que la gente tiene sobre ellos.

¿Cómo se puede robar una contraseña?

La respuesta puede ser una sorpresa: el hacker está tratando de adivinar la contraseña. Con eso quiero decir que prueban diferentes contraseñas manualmente, pero para eso están los bots. Esto también se conoce como ataque de fuerza bruta o, si el bot adivina las palabras, ataque de diccionario.

Estos ataques funcionan muy bien por varias razones.:

• Contraseñas fáciles de adivinar: palabras comunes, palabras cortas, la palabra "contraseña" en varias combinaciones.
• Datos de hacks anteriores: Hay una razón por la cual las personas recomiendan usar diferentes contraseñas para diferentes servicios y sitios.

Cómo protegerse del robo de contraseña

1. Use una contraseña segura: las contraseñas seguras usan una combinación aleatoria de letras, números y símbolos porque son difíciles de descifrar. Los bots de los piratas informáticos pueden tardar años en encontrar la contraseña correcta. Puede intentar crear una contraseña segura usted mismo o usar un generador de contraseñas.

2. Limite el número de intentos de inicio de sesión: una buena manera de evitar un ataque de fuerza bruta es bloquear a los intrusos después de varios intentos fallidos de inicio de sesión. Este es un mecanismo efectivo, ya que este tipo de ataque consiste en que los bots de hackers intentan repetidamente diferentes contraseñas.

3. Implemente la autenticación de dos factores: algunos servicios utilizan la autenticación de dos factores durante el proceso de inicio de sesión, lo que esencialmente significa que necesita tener dos (idealmente) tokens separados para acceder a su cuenta. Por lo general, es una combinación de contraseñas y un token de caducidad, como un PIN o un código QR, que se envía a su correo electrónico o dispositivo.

4. Implemente la protección CAPTCHA: los CAPTCHA solo pueden ser resueltos por humanos. Están diseñados para evitar que los robots piratas informáticos accedan a una cuenta. Puede usarlo para asegurar su sitio.

5. Use un firewall: algunos firewalls de seguridad de sitios web también monitorean las direcciones IP maliciosas a nivel mundial. El firewall aprende en todos los sitios con el complemento instalado. Luego bloquea automáticamente las direcciones IP incorrectas antes de que intenten descifrar su contraseña. Esto, combinado con la capacidad de restringir los inicios de sesión, puede proteger su sitio de los piratas informáticos que intentan ingresar al área de administración de su sitio.

3. Elige un buen proveedor de hosting

Hay una tendencia a culpar al proveedor de alojamiento web por todo lo que sale mal en un sitio web. Si bien los servidores web suelen ser responsables de muchos aspectos de un sitio web, rara vez tienen la culpa cuando un sitio web es pirateado. De hecho, lo contrario suele ser cierto: los servidores web mejoran la seguridad de los sitios web.

Por supuesto, hay algunos servidores web que juegan un papel en comprometer los sitios web alojados en su servidor. Esto rara vez sucede, pero cuando sucede, es un incidente importante que pone en riesgo a miles de sitios web.

4. Instala un certificado SSL

Secure Sockets Layer, más conocido como SSL, es un protocolo de seguridad que encripta todas las conexiones a un sitio web. Una vez instalado, aparece como un candado al principio de la URL de su sitio.

Los beneficios de usar un certificado SSL son los siguientes:

• Todos los datos transmitidos hacia y desde su sitio están encriptados.
• Esta es una señal de confianza en su sitio. De hecho, la mayoría de los navegadores marcarán los sitios sin SSL como "No seguros" en la barra de direcciones.
• Google ama los sitios web con un certificado SSL e incluso los recompensa con clasificaciones más altas.

Buenas prácticas de seguridad del sitio web

Como dije al principio, la seguridad del sitio web es una práctica constante. En esta sección, enumeraré técnicas que son útiles para incorporar en la estrategia general de seguridad de su sitio web. Una vez que adquiera el hábito de hacer esto, la pequeña inversión de su tiempo y esfuerzo valdrá la pena con creces con un sitio web seguro.

1. Cambia tu contraseña a menudo — Entiendo que establecer contraseñas difíciles de adivinar es complicado, especialmente porque a menudo son sinónimo de contraseñas difíciles de recordar. También podemos imaginar la ansiedad que causa que nos pidan que cambiemos regularmente nuestra excelente contraseña.

La razón es que las contraseñas son el eslabón más débil de la seguridad, especialmente si usa las mismas contraseñas para varias cuentas. Incluso si un sitio es pirateado, puede asumir con seguridad que todas sus cuentas están potencialmente comprometidas. Regular también puede significar diferentes cosas para diferentes personas. Algunas instituciones financieras, como los bancos, exigen que se cambien las contraseñas cada 90 días.

2. Verifique los usuarios del sitio web, realice un seguimiento de los nuevos usuarios administradores — los piratas informáticos a menudo dejan a los usuarios administradores para que puedan recuperar el acceso al sitio. Por lo tanto, verificar regularmente a los usuarios administradores puede aumentar la seguridad de un sitio web.

En segundo lugar, los coautores del sitio pueden cambiar. Si un usuario ya no necesita acceso, es mejor eliminar su acceso al sitio. La razón es doble:

1. no desea que el usuario realice ningún cambio en su sitio;
2. sus cuentas inactivas pueden verse comprometidas por piratas informáticos.

Con el tiempo, a medida que construimos nuestro sitio con nuevos contenidos y diseños, continuamos agregando nuevos usuarios a nuestro sitio. Debe comprobar estos usuarios periódicamente. Puede seguir las reglas de seguridad usted mismo, pero otro usuario comprometido afectará su sitio. Cuando agregue usuarios, siempre que sea posible, déles solo los niveles de acceso requeridos. Por ejemplo, si alguien solo escribe artículos, no le otorgues derechos de administrador.

3. Configure un registro de actividad en su sitio Los piratas informáticos no utilizan las API principales de WordPress para modificar el sitio web, por lo que muchos de los cambios que realizan no se reflejarán en el registro de actividad. Sin embargo, pueden dejar rastros, como crear cuentas de administrador para ellos mismos para acceder al sitio. Estas actividades inesperadas pueden ayudar a detectar una infracción. Por el contrario, si un colaborador está realizando cambios, los registros de actividad pueden ayudar a evitar un pánico innecesario cuando vea cambios realizados en su sitio.

4. Bloquea PHP en tu carpeta de Descargas - Toda una clase de vulnerabilidades (para ser precisos, la ejecución remota de código) permite a los piratas informáticos cargar archivos PHP maliciosos en la carpeta Cargas. El pirata informático puede usarlo para ejecutar cualquier código en su sitio. En otras palabras, tienen control total sobre su sitio.

El ataque se puede mitigar de manera efectiva si bloquea la ejecución de los archivos PHP en la carpeta Cargas. No te preocupes. Bloquear archivos PHP en la carpeta Descargas es seguro porque no deberían estar allí. La carpeta Cargas es donde almacena sus archivos multimedia, no los scripts.

¿Qué debes evitar al proteger tu sitio web?

Una búsqueda rápida en Google le dará muchos consejos y estrategias para proteger su sitio. Varios complementos de seguridad también proporcionarán varias opciones para proteger su sitio de los crackers de contraseñas. Proteger su sitio web es algo que debe hacer, sin embargo, hay algunas cosas que debe evitar.

Las razones varían para cada uno de los puntos que analizo a continuación, pero en esencia, sus medidas deben brindar beneficios de seguridad medibles, especialmente si les pide a sus usuarios que superen barreras de seguridad adicionales. Por ejemplo, si usa captcha y autenticación de dos factores, llegar a su sitio se vuelve difícil, con pocos beneficios adicionales.

Puede obtener una sensación adicional de seguridad aplicando todas las opciones disponibles, pero en términos de análisis de costo-beneficio, no cortan la línea.

1. Ocultar página de inicio de sesión de wp - Verá esto en muchos foros: cambie la página de inicio de sesión de wp a la propia URL de su sitio. La lógica es que si los piratas informáticos no pueden encontrar la página de inicio de sesión, no pueden usar ataques de fuerza bruta para obtener acceso a su sitio. Esto tiene varias desventajas:

• WordPress también le permite iniciar sesión usando XML-RPC.
• Esto hará que su sitio sea difícil de usar. Si olvida la URL especial que creó para usted en lugar de wp-login, la recuperación puede ser difícil.
• Si usa la URL genérica o la URL predeterminada que viene con el complemento de seguridad, aún es fácil para los piratas informáticos adivinar cuál frustrará por completo su propósito.
• Ocultar esta página requiere que se apliquen configuraciones complejas a su sitio, lo que puede tener otros efectos secundarios inesperados.

2. Geobloqueo Otra medida de seguridad comúnmente recomendada es el bloqueo geográfico. Es posible que no necesite ni espere tráfico legítimo de ciertos países y, por lo tanto, opte por restringir el acceso.

• Las direcciones IP de las regiones no son ideales y pueden tener errores.
• Si te bloqueas por error, será difícil deshacerlo.
• Puede terminar bloqueando buenos bots como Google que no pueden dañar su sitio.

Un buen firewall puede y protegerá su sitio de bots maliciosos y tráfico no deseado. Cubrí los beneficios de los firewalls en la sección anterior.

3. Proteger con contraseña el directorio wp-admin - La carpeta wp-admin es una de las carpetas más importantes de su sitio. Naturalmente, atrae mucha atención de los piratas informáticos. Por lo tanto, protegerlo con una contraseña puede parecer un movimiento brillante, pero contraproducente.

La contraseña que protege su directorio wp-admin rompe la funcionalidad AJAX en su sitio web de WordPress. AJAX es una técnica de codificación que descarga partes de su sitio web desde el servidor sin cambiar la página que se muestra actualmente.

Si eso suena como un galimatías, lo que significa esencialmente es que hace que su sitio sea dinámico sin recargar constantemente a los usuarios cada vez que algo cambia.

Piensa en desplazarte por tu feed de redes sociales. Las nuevas historias o tweets se cargan mientras todavía está leyendo los que ya están en su pantalla, y puede actualizar su fuente de noticias cuando quiera cargar contenido nuevo.

4. Ocultar versión de WordPress - La lógica detrás de ocultar la versión de su sitio de WordPress se debe a las actualizaciones de seguridad. Si su sitio web no ejecuta la última versión de WordPress, un pirata informático podría explotar una vulnerabilidad que existe en una versión anterior. Sin embargo, ocultar su versión de WordPress no sirve de nada. Hay varias formas de determinar la versión de WordPress de un sitio web: verificar el código externo del sitio, verificar el feed RSS, etc. Por cierto, todas son legales.

La forma de lidiar con las vulnerabilidades de WordPress en versiones anteriores es actualizar su versión a la última. Muchos administradores de sitios web temen que la actualización de un sitio en vivo pueda romperlo. Así que es mejor hacerlo primero en un sitio de prueba.

¿Qué hacer si su sitio es pirateado?

Si su sitio ha sido pirateado recientemente, es aún más importante que esté extremadamente atento a la seguridad de su sitio. Si no se hace correctamente, puede dar lugar a repetidos ataques al sitio y toda la situación se convierte en una completa pesadilla.

1. Limpie primero el malwareR: Use un buen complemento de seguridad para eliminar automáticamente el malware sin dejar rastro.
2. Actualizar todoR: Como dije, las actualizaciones de software son vitales. Asegúrese de tener instaladas las últimas versiones de WordPress, temas y complementos. Si no lo hace, es muy probable que esta sea la razón por la que su sitio fue pirateado en primer lugar.
3. Ver cada usuario administrador: Eche un vistazo de cerca a cada cuenta de administrador. Ya hemos hablado de esto en este artículo, pero los piratas informáticos crean cuentas de administrador para recuperar el acceso a un sitio web pirateado si se encuentra malware.
4. Cambiar todas las contraseñas. Supongamos que sus credenciales se han visto comprometidas, cambie sus contraseñas. Espero que no utilices la misma contraseña para diferentes productos y servicios, de lo contrario deberás cambiar también el resto de contraseñas.
5. Cambiar las credenciales de la base de datos (si es posible): El archivo wp-config.php contiene las credenciales que usa el sitio de WordPress para conectarse a la base de datos del sitio. En muchos casos, el acceso a la base de datos está restringido incluso si las credenciales de la base de datos están comprometidas. Sin embargo, en algunos hosts, los piratas informáticos pueden usar esta información para modificar directamente la base de datos. Esto puede conducir a la reinfección del sitio.
6. Cambiar claves de seguridadR: WordPress usa claves de seguridad para administrar las sesiones de los usuarios registrados.
7. Configura tu cortafuegos de WordPress: Ya he cubierto esto en detalle en este artículo. El cortafuegos de WordPress es su mejor defensa contra los bots maliciosos y el mal tráfico.

All In One WP Security & Firewall - Seguridad del sitio de WordPress

En resumen: la forma más fácil de proteger su sitio es instalar un complemento de seguridad del sitio como: All In One WP Security & Firewall es un complemento de seguridad de WordPress completo, fácil de usar, estable y bien mantenido.
All In One WP Security & Firewall tiene las siguientes características:

1. Seguridad de la cuenta de usuario

• Determine si existe una cuenta de usuario con el nombre de usuario predeterminado "admin" y cambie fácilmente el nombre de usuario a un valor de su elección.
• El complemento también detectará si tiene cuentas de usuario de WordPress con los mismos inicios de sesión y nombres para mostrar. Tener una cuenta que tiene el mismo nombre para mostrar que el inicio de sesión es una mala práctica de seguridad porque crea un inicio de sesión para piratas informáticos que ya está listo en el 50% porque ya conocen el inicio de sesión.
• Una herramienta de seguridad de contraseñas que le permite crear contraseñas muy seguras.
• Deja de listar usuarios. Por lo tanto, los usuarios/bots no pueden descubrir la información del usuario a través del enlace permanente del autor.

2. Seguridad de inicio de sesión para el usuario

• Defiéndase contra el "ataque de inicio de sesión de fuerza bruta" con la función de bloqueo de inicio de sesión. Los usuarios con una dirección o rango de IP específico serán excluidos del sistema por un período de tiempo predeterminado según los ajustes de configuración, y también puede recibir notificaciones.
  por correo electrónico cada vez que alguien está bloqueado debido a demasiados intentos de inicio de sesión.
• Como administrador, puede ver una lista de todos los usuarios bloqueados, que se muestra en una tabla fácil de leer y navegar que también le permite desbloquear direcciones IP individuales o grupales con solo hacer clic en un botón.
• Forzar el cierre de sesión de todos los usuarios después de un período de tiempo configurable.
• Realice un seguimiento/vea los intentos fallidos de inicio de sesión, que muestra la dirección IP del usuario, el ID/nombre de usuario y la fecha/hora del intento fallido de inicio de sesión.
• Rastree/vea la actividad de la cuenta de todas las cuentas de usuario en su sistema rastreando el nombre de usuario, la dirección IP, la fecha/hora de inicio de sesión y la fecha/hora de cierre de sesión.
• Capacidad para bloquear automáticamente rangos de direcciones IP que intentan iniciar sesión con un nombre de usuario no válido.
• Capacidad para ver una lista de todos los usuarios que actualmente están conectados a su sitio.
• Le permite especificar una o más direcciones IP en una lista blanca especial. Las IP incluidas en la lista blanca tendrán acceso a su página de inicio de sesión de WP.
• Agregue Google reCaptcha o un simple captcha matemático a su formulario de inicio de sesión de WordPress.
• Agregue Google reCaptcha o un simple captcha matemático al formulario de contraseña olvidada de su sistema de inicio de sesión de WP.

3. Seguridad en el registro de usuarios

• Habilite la verificación manual de las cuentas de usuario de WordPress. Si su sitio permite que las personas creen sus propias cuentas a través del formulario de registro de WordPress, puede minimizar el SPAM o los registros falsos confirmando manualmente cada registro.
• Posibilidad de agregar Google reCaptcha o captcha matemático simple a su página de registro de usuario de WordPress para protegerlo del registro de usuarios no deseados.
• La capacidad de agregar un Honeypot al formulario de registro de usuario de WordPress para reducir la cantidad de intentos de registro de los bots.

4. Proteger la base de datos de WordPress

• Establezca fácilmente el prefijo WP predeterminado en un valor de su elección con solo hacer clic en un botón.
• Programe copias de seguridad automáticas y notificaciones por correo electrónico, o realice copias de seguridad instantáneas de la base de datos en cualquier momento con un solo clic.

5. Seguridad del sistema de archivos de un sitio de WordPress

• Identifique archivos o carpetas con configuraciones de permisos inseguras y establezca permisos en valores seguros recomendados con solo hacer clic en un botón.
• Proteja su código PHP deshabilitando la edición de archivos en el área de administración de WordPress.
• Vea y controle fácilmente todos los registros del sistema host desde una sola página de menú y manténgase actualizado sobre cualquier problema o problema que ocurra en su servidor para que pueda resolverlo rápidamente.
• Evite que las personas accedan a los archivos readme.html, license.txt y wp-config-sample.php de su sitio de WordPress.

6. Copia de seguridad y restauración de archivos htaccess y wp-config.php

• Realice fácilmente una copia de seguridad de sus archivos originales .htaccess y wp-config.php en caso de que los necesite para restaurar la funcionalidad rota.
• Cambie el contenido de los archivos .htaccess o wp-config.php actualmente activos desde el panel de administración con solo unos pocos clics.

7. Funcionalidad de lista negra

• Bloquee a los usuarios especificando direcciones IP o use un comodín para especificar rangos de direcciones IP.
• Denegar usuarios especificando agentes de usuario.

8. Funcionalidad de cortafuegos

Este complemento le permite agregar fácilmente muchos elementos de protección de firewall a su sitio web a través del archivo htaccess. Su servidor web procesa el archivo htaccess antes que cualquier otro código en su sitio.
Por lo tanto, estas reglas de firewall detendrán los scripts maliciosos antes de que tengan la oportunidad de acceder al código de WordPress en su sitio.

• Objeto de control de acceso.
• Active instantáneamente un conjunto de configuraciones de firewall que van desde básico, intermedio y avanzado.
• Habilite las famosas reglas de firewall "6G Blacklist" cortesía de Perishable Press.
• Deshabilite la publicación de comentarios a través de un proxy.
• Bloquee el acceso al archivo de registro de depuración.
• Deshabilite el rastreo y el seguimiento.
• Denegar cadenas de consulta no válidas o maliciosas.
• Protéjase de las secuencias de comandos entre sitios (XSS) activando un filtro de cadena de caracteres completo y avanzado.
  o bots maliciosos que no tienen una cookie especial en su navegador. Usted (el administrador del sitio) sabrá cómo configurar esta cookie especial y podrá iniciar sesión en su sitio.
• Característica de protección de vulnerabilidad de WordPress PingBack. Esta función de firewall permite al usuario denegar el acceso al archivo xmlrpc.php para protegerse contra ciertas vulnerabilidades en la función de ping. Esto también es útil para evitar que los bots accedan constantemente al archivo xmlrpc.php y desperdicien los recursos de su servidor.
• La capacidad de bloquear los robots de Google falsos para que no rastreen su sitio.
• Capacidad para evitar el hotlinking de imágenes. Use esto para evitar que otros enlacen sus imágenes.
• Capacidad para registrar todos los eventos 404 en su sitio. También puede bloquear automáticamente las direcciones IP que reciben demasiados errores 404.
• La capacidad de agregar sus propias reglas para bloquear el acceso a varios recursos en su sitio.

9. Prevenir el ataque de fuerza bruta de inicio de sesión

• Bloquee los ataques de fuerza bruta al instante con nuestra función personalizada de prevención de fuerza bruta de inicio de sesión basada en cookies. Esta función de firewall bloquea todos los intentos de inicio de sesión de humanos y bots.
• Posibilidad de agregar captcha matemático simple al formulario de inicio de sesión de WordPress para protegerse contra ataques de fuerza bruta.
• Posibilidad de ocultar la página de inicio de sesión del administrador. Cambie el nombre de la URL de su página de inicio de sesión de WordPress para evitar que los bots y los piratas informáticos accedan a su URL de inicio de sesión real de WordPress. Esta característica le permite cambiar la página de inicio de sesión predeterminada (wp-login.php) a algo que usted personalice.
• La capacidad de usar el Honeypot de inicio de sesión, que ayudará a reducir la cantidad de intentos de inicio de sesión a través de la fuerza bruta de los robots.

10. Escáner de seguridad de archivos de sitios web

• El Escáner de detección de cambios de archivos puede avisarle si se ha modificado algún archivo en su sistema de WordPress. Luego puede investigar y ver si fue un cambio legítimo o si se introdujo algún código incorrecto.

11. Protección contra spam de comentarios

• Realice un seguimiento de las direcciones IP más activas que producen constantemente la mayor cantidad de comentarios de spam y bloquéelos instantáneamente con solo hacer clic en un botón.
• Evite que se envíen comentarios si no son de su dominio (esto debería reducir la cantidad de comentarios publicados por los robots de spam en su sitio).
• Agregue un captcha a su formulario de comentarios de WordPress para mejorar su protección contra el spam de comentarios.
• Bloquea de forma automática y permanente las direcciones IP que superen un determinado número de comentarios marcados como SPAM.

12. Texto de protección de copia frontal

• Posibilidad de deshabilitar el clic derecho, la selección de texto y la opción de copia para su interfaz.

13. Características adicionales del complemento

• Capacidad para eliminar la metainformación del generador de WordPress del código fuente HTML de su sitio.
• Capacidad para eliminar la información de la versión de WordPress de los archivos JS y CSS de su sitio.
• Capacidad para evitar que las personas accedan a los archivos readme.html, license.txt y wp-config-sample.php.
• La capacidad de bloquear temporalmente el frente de su sitio de los visitantes regulares mientras realiza varias tareas internas (investigación de ataques de seguridad del sitio, actualizaciones del sitio, mantenimiento, etc.)
• Posibilidad de exportar/importar configuraciones de seguridad.
• Evite que otros sitios muestren su contenido a través de un marco o iframe.

Es ideal para aquellos que simplemente no tienen tiempo para ocuparse de la seguridad del sitio web. Simplemente instale y olvide el complemento. Pero si puede permitirse el tiempo extra para reforzar su seguridad, le recomiendo que implemente todas las medidas anteriores.

Producción

Comencé este artículo sobre cómo asegurar un sitio web con un puntero claro: el primer paso es tener la seguridad de su sitio correcta. Este es un proceso en marcha. Es una buena práctica estándar en cualquier organización realizar auditorías periódicas para permitir el máximo control sobre la seguridad del sitio. El panorama de las amenazas cambia constantemente y los piratas informáticos encontrarán formas más creativas de romper la seguridad. Los expertos en seguridad se mantienen en constante vigilancia, y esta es la principal conclusión de todo: no te relajes.

Leyendo este artículo:

• ¿Cuál es la diferencia entre malware y virus? (explicación)
• 10 pasos esenciales para mejorar la seguridad de su sitio web

Gracias por leer: AYUDANTE DE SEO | NICOLA.TOP