Cargando



Seguridad en WordPress proteger una web de atacantes

Tutorial donde describo como proteger WordPress de atacantes, muy practico y útil, ten tu web siempre protegida.


oct 15 2013 18:17
oct 15 2013 18:18
Actualmente las web preferidas por los ataques de Hackers y Spammers a sitios web basados en WordPress que no manejan configuraciones de seguridad en wordpress adecuados, dejando al desarrollador la responsabilidad de prever posibles problemas para evitar ataques que causan en problemas como los siguientes:
  • Emisión masiva de comentarios con spam
  • Acceso a la administración del sitio web para hacer defacement (desfiguraciones) y cambios a sus contenidos y bases de datos
  • Registro de múltiples usuarios para intentar manipular la web
  • Inyección de archivos maliciosos a directorios con permisos 777 para ejecutar shells de comandos que intentan violar su espacio web
  • Ataques de denegación de servicios bloqueando el acceso a su sitio web
Estos problemas también generan sobrecarga en los servidores, pudiendo llegar a causar que un servidor se cuelgue afectando así no solo al sitio vulnerable sino a las demás web en caso de ser un servidor compartido. En alguno caso inclusive pueden derivar en la suspensión del servicio de hosting para el sitio web vulnerable y así proteger a los demás.

wordpress.jpg


Acciones que podemos realizar para evitar estos problemas
  • Instalar filtros anti spam como los plugins Antispam y Akismet se trata de filtrar el spam enlace de comentarios del blog y pings trackBack de spam y el plugin luego usa esas reglas de spam para bloquear otras combinaciones de spam.
  • Instalación y configuración de Plugins para evitar a los hackers y para aumentar la seguridad en wordpress
  • Refuerzo de las políticas de manejo de contraseñas con reCaptcha y Captcha on Login
  • Seguridad con un Firewall como OSE Firewall™ Security y Wordfence Security, que controlan malware, boquean ips, escanean y protegen los archivos principales impidiendo cambios. Informan por mail cualquier acceso o evento que suponga un ataque y bloquea esa ip.
  • Protección contra la seguridad del sitio web: XSS, RFI, CRLF, CSRF, Base64, Code Injection y SQL Injection para ello existe el plugin BulletProof
Es importante tener una cuenta Google Webmaster Tools para gestionar ahí nuestras webs y poder tener avisos de seguridad e incluso instrucciones de como solucionar intrusiones. Google revisa las web en WordPress y avisa incluso de cuando tienes que actualizar WordPress.

Además debemos optimizar el archivo .htaccess como primera linea de defensa tanto para wordpress como para cualquier otra plataforma en que desarrollemos. Mediante este archivo podremos bloquear direcciones IP específicas, redirigir las visitas a la página de mantenimiento cuando se está rediseñando una página web, restringir direcciones IP para que nadie pueda acceder al panel de administración de tu WordPress.


Ejemplos de permisos y bloqueos con htaccess

Permitir unicamente que una ip acceda al panel de control, en este caso podria ser la ip del servidor o tu ip de conexión:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Wordpress Admin Access Control"
AuthType Basic
<LIMIT GET>
***** deny,allow
deny from all
allow from 190.0.0.2
</LIMIT>

Muchos ataques intentan modificar archivos javascript, añadiendo este código al htaccess evitaremos que archivos con la extensión especificadas puedan ser accedidos.

<Files ~ "\.(js|css)$">
***** allow,deny
allow from all
</Files>

¿Te ayudó este Tutorial?


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

X