Una guia pràctica sobre seguretat de WordPress

Amb l’augment d’incompliments en la seguretat web, és primordial fer mesures preventives per protegir el vostre lloc web dels intrusos. Per tant, si teniu un lloc de WordPress, continueu llegint. Us oferirem diversos consells i eines que podeu utilitzar per fer que el vostre lloc web de WordPress sigui segur i segur.


“No pot passar amb el meu lloc!” Aquest és el pensament general que tenim la majoria de nosaltres quan sentim que un pirata informàtic incomplia la seguretat d’un lloc.

Potser, la persona amb el lloc web piratejat creu que ha d’haver fet alguna cosa terriblement errònia per filtrar informació vital. Potser la persona va cometre el terrible error de tenir garantida la seguretat del seu lloc web.

Pot ser que us sentiu segur mitjançant una CMS i una plataforma de blocs molt popular com WordPress per al vostre lloc. Tanmateix, anireu bé en assenyalar que la immensa popularitat global de WordPress és una de les principals raons per les quals els hackers apunten els llocs basats en aquesta plataforma..

WordPress és una plataforma molt fàcil d’utilitzar i això fa que sigui encara més vulnerable als atacs de pirates informàtics i spammers. Des del principi, haureu de convertir la seguretat en una de les màximes prioritats del vostre lloc web juntament amb el hosting i el disseny web.

Aquí es fa un estudi detallat sobre les diverses mesures que cal adoptar per millorar la seguretat del vostre lloc de WordPress. També veurem els millors consells per protegir un lloc de WordPress, els principals complements de seguretat de WordPress i les eines de prova.

Heu d’adonar-vos que cap lloc web pot estar al 100% segur i, fins i tot, la informació que es comparteix aquí no farà que el vostre lloc sigui totalment segur. L’objectiu final és ajudar-vos a prendre totes les precaucions necessàries per mantenir el vostre lloc web de WordPress segur de la majoria d’atacs.

Fonaments bàsics de seguretat web

Pot pensar que és molt poc probable que el vostre lloc es pirat en el futur perquè mai no s’ha enfrontat a problemes de seguretat en el passat pel que fa a programari maliciós, codi maliciós o fins i tot comentaris de correu brossa..

Però, una de les coses més bàsiques a recordar sobre la seguretat web és que cal mantenir-se actiu i no ser reactiu. Això vol dir que heu de prendre algunes mesures de precaució des del principi, en comptes de creure que algú no pot piratejar el vostre lloc i treballar per millorar la seva seguretat.

A més, abans de saltar als passos per a la seguretat de WordPress, cal adonar-se de la importància de tenir aquesta seguretat al seu lloc.

Molta gent visita el vostre lloc web. Alguns poden subscriure’s als butlletins de notícies del vostre lloc i altres es podran registrar com a membres dels fòrums del vostre lloc. Les dades compartides pels vostres visitants també són vulnerables als atacs si el vostre lloc és piratejat. Per tant, és la vostra responsabilitat assegurar la seguretat de les dades del vostre lloc web, que, al seu torn, protegirà les dades dels vostres visitants.

Si el vostre lloc de WordPress atrau poc trànsit, potser heu d’afirmar que no hi ha cap raó per què un pirata informàtic ataqui al vostre lloc quan hi ha milers de llocs web més populars disponibles en línia. Si és així, probablement sigui el moment perquè entengueu les raons per les quals un pirata informàtic pot intentar incomplir el vostre lloc web.

Els pirates informàtics no estan preocupats de si el vostre lloc atrau només uns quants visitants perquè, un cop accedeixin al vostre lloc, poden utilitzar el vostre servidor per enviar correus electrònics de correu brossa. Ho fan per ajudar-los a comercialitzar els seus serveis, productes o llocs.
Amb un augment d’aquest tipus d’activitat de correu brossa del servidor piratejat, les probabilitats que la vostra adreça IP es posi en llista negra augmentin immensament. De forma alternativa, els pirates informàtics poden preferir utilitzar el servidor per a les seves pròpies activitats del lloc web, ja que les seves adreces IP ja estan llistades a la llista negra.

A més de comprendre els motius del pirateig, també heu d’entendre les diferents formes en què un pirata informàtic o un spammer pot atacar el vostre lloc web. Això us ajudarà a planificar les activitats del vostre lloc de manera que el vostre lloc sigui menor vulnerable a amenaces de seguretat.

Poden atacar-los a través de qualsevol complement o tema de WordPress. De fet, hi ha casos en què problemes amb un complement de seguretat han permès als pirates informàtics atacar un lloc web que utilitzava el connector. A més, els pirates informàtics poden aprofitar qualsevol vulnerabilitat de seguretat de la vostra plataforma d’allotjament i utilitzar qualsevol paràmetre d’URL per accedir a la base de dades.

D’aquesta manera, poden modificar les vostres dades, canviar la vostra contrasenya o fins i tot eliminar dades. És sorprenent saber que molts atacs fins i tot es produeixen a causa d’una contrasenya feble per accedir al tauler d’administració de WordPress o fins i tot per accedir al tauler de control de l’allotjament.

Després d’haver desenvolupat una comprensió bàsica de la necessitat d’assegurar el vostre lloc de WordPress, ara podeu llegir més informació sobre les maneres d’augmentar la seguretat del vostre lloc web..

9 consells de seguretat per protegir el vostre lloc de WordPress dels pirates informàtics

Mantingueu el lloc WordPress actualitzat

Si retardeu l’actualització del vostre lloc de WordPress perquè temeu que perdreu dades a causa d’una actualització incorrecta, haureu de començar immediatament a fer còpies de seguretat. Un cop feu una còpia de seguretat del vostre lloc, podeu avançar-lo fàcilment i actualitzar la versió de WordPress a la més recent. Heu de fer-ho perquè WP solucioni els errors de seguretat de la versió anterior amb cada nova versió que estigui disponible.

A més, informació WordPress informa al públic sobre aquestes solucions, cosa que fa que el vostre lloc obsolet sigui encara més vulnerable. Per tant, cal que sigui habitual l’ús de l’opció “Actualitzar disponibles” regularment un cop que inicieu la sessió al vostre tauler d’administració de WordPress.

Actualitzeu els temes i complements que feu servir i suprimiu els que no utilitzeu

Cal mantenir la seva Plugins de WordPress i els temes actualitzats pels mateixos motius que necessiteu per actualitzar la versió global de WordPress. Un pirata informàtic pot manipular fàcilment un complement o un tema obsolet (mitjançant forats de seguretat) per accedir a l’administrador del vostre lloc web..

Per tant, no us preocupeu per la compatibilitat del vostre complement amb el vostre tema actual, però us heu d’assegurar que utilitzeu sempre les versions més recents de tots dos.

En una línia similar, assegureu-vos que la vostra secció de complements del tauler d’administració de WordPress només conté els complements que feu servir. Elimineu els que no utilitzeu perquè és menys probable que actualitzeu aquests complements i això torna a augmentar la seva vulnerabilitat als atacs de seguretat.

Tingueu en compte que és important “suprimir” els vostres complements que no s’utilitzen i no només “desactivar-los”.

Eviteu descarregar temes o complements de fonts desconegudes

És possible que tingueu la temptació de descarregar de manera gratuïta alguns plugins premium o temes, encara que no provenen de fonts desconegudes.

Tot i que us sentiu emocionats per obtenir funcions avançades sense cap cost, podeu oblidar prestar atenció a l’amenaça de seguretat que aquestes funcions poden comportar. Un complement des d’una font desconeguda pot introduir programari maliciós o inserir codi maliciós al vostre lloc. En lloc de tenir un risc tan gran, sempre és recomanable descarregar només temes i complements de fonts conegudes.

Podeu utilitzar la comprovació de plugins o la verificació de temes per comprovar el codi dels vostres complements i temes, respectivament. Un codi mal escrit pot facilitar als hackers accedir al vostre lloc web.

Si no esteu del tot segurs sobre l’origen i no sabeu com comprovar la qualitat del codi, podeu simplement optar pels dissenys gratuïts de WordPress de la plataforma WordPress.org.

Té un nom d’usuari i una contrasenya forts d’Administrador de WordPress

Per crear el vostre lloc mitjançant la plataforma WordPress, podeu accedir al tauler de control de fons. De manera predeterminada, WP genera un nom d’usuari (administrador) i una contrasenya forta per iniciar la sessió en aquest tauler d’administració durant la instal·lació de WordPress. Però, després de la instal·lació, heu de canviar el vostre nom d’usuari d’administrador de WordPress per quelcom que us sigui únic.

Juntament amb això, heu de recordar que heu de canviar la contrasenya per una cosa desconeguda per la gent que us envolta o pels visitants del vostre lloc web. Per exemple, si el vostre lloc revela la vostra data de naixement o el nom del cònjuge, assegureu-vos que la vostra contrasenya tampoc no la conté. Això fa que qualsevol hacker endevini la vostra contrasenya. També haureu de guardar una contrasenya segura per al vostre compte del tauler de control.

A més, podeu intentar afegir una CAPTCHA a la pàgina d’inici de sessió de WordPress per augmentar la seguretat del vostre lloc. Això garantirà que un bot o script no pugui accedir al vostre lloc web mitjançant un atac de força bruta.

Afegiu una autenticació de seguretat de dos passos de WordPress

Quantes contrasenyes conservaré i mantindré l’actualització regularment? Pot ser que tingueu aquesta pregunta sobre com mantenir contrasenyes fortes per a diversos punts d’entrada al vostre tauler de WordPress o al vostre tauler de control.

Doncs podeu gaudir d’una contrasenya d’inici de sessió gratuïta al vostre tauler de WordPress mitjançant alguna cosa com aquesta Complement d’autenticació de dos factors claf. Amb aquest complement, podeu utilitzar el vostre telèfon mòbil per autenticar la vostra sessió de seguretat segura al tauler d’administració de WordPress juntament amb un PIN o una empremta digital. De manera que, fins i tot si el telèfon es perd, les dades del vostre compte Clef romanen segures.

També podeu utilitzar el format Google Authenticator per garantir una autenticació en dos passos. Amb això, haureu d’utilitzar la vostra contrasenya i introduir un codi d’inici de sessió generat exclusivament que ve com a SMS al vostre telèfon.

Cerqueu una empresa d’allotjament segur

Si teniu la versió més recent del lloc de WordPress, no serà important si el pirata informàtic pot trencar l’antiga versió PHP de la plataforma que acull el vostre lloc. Per tant, heu d’utilitzar els serveis d’allotjament d’un proveïdor d’allotjament web extremadament fiable.

El vostre amfitrió hauria de tenir la possibilitat d’ampliar el suport per a les versions més recents de MySQL i les versions PHP. També hauria de disposar d’un sistema de detecció d’intrusions eficient per identificar qualsevol atac a temps i hauria d’oferir al vostre lloc un tallafoc d’aplicació web per millorar la seguretat.

Restringiu el nombre d’intents d’entrada

Els pirates informàtics utilitzen atacs de força bruta per trencar la contrasenya que utilitzeu per iniciar la sessió al tauler de WordPress. Contínuament intenten accedir aleatòriament fins que ho aconsegueixen.

Tot i que la vostra contrasenya és forta, ajuda a identificar quantitats no raonables d’intents d’inici de sessió i a restringir les adreces IP que fan aquests intents. Podeu prohibir aquestes adreces IP durant un període definit. Podeu fer-ho fent servir plugins com Bloqueig de sessió o Solució de seguretat d’inici de sessió.

Programar còpies de seguretat freqüents del lloc web

Aquest és un pas important, ja que fins i tot t’ajuda quan algú fa malbé o compromet el teu lloc. Si algú té el vostre lloc, podeu tornar a la versió anterior del lloc web que no estava compromesa. També podeu utilitzar qualsevol de les solucions automatitzades per a còpies de seguretat, com ara VaultPress o BackUpBuddy.

Manteniu el vostre espai d’administració de WordPress ben protegit

Només cal seleccionar un nombre selecte de persones al tauler d’administració. A més, sempre que sigui possible, intenteu limitar el permís als que accedeixen al tauler. Això us ajudarà a reduir l’amenaça d’atacs de fonts desconegudes.
També heu d’assegurar-vos que d’altres tenen un accés limitat o no al fitxer WordPress / wp-admin / o al fitxer wp-login.php. Podeu permetre l’accés a la vostra pròpia adreça IP afegint el següent fragment de codi al fitxer .htaccess:

ordenar negar, permetre
Negar de tots
Permet de zz.zz.zz.zz

Al codi anterior, només cal que substituïu “zz.zz.zz.zz” pel vostre propi conjunt d’adreces IP per a diferents ubicacions o dispositius..

Si no teniu cap adreça IP estàtica, pot ser que aquest mètode no us funcioni. En aquests casos, podeu utilitzar els complements comentats anteriorment per limitar els intents d’inici de sessió.

Plugins de seguretat de WordPress per detectar codi maliciós al vostre lloc

Si un pirata informàtic ataca el vostre lloc, us ajudarà a limitar el dany o a emprendre accions oportunes si us n’assabenteu immediatament. Per tant, mirem alguns dels principals plugins de seguretat de WordPress que poden detectar codi maliciós inserit al vostre lloc web.

WP AntiVirus Site Protection

Aquest popular complement, que ofereix SiteGuarding.com, ajuda a detectar i eliminar qualsevol virus o codi maliciós que es troba al vostre lloc de WordPress. Analitza elements com els fitxers de complements, fitxers de temes i totes les càrregues per detectar ràpidament amenaces de seguretat, incloses les portes posteriors, adware, programari espia, rootkits, cucs, cavalls de Troia i eines de frau..

Si continueu baixant temes i plugins de llocs de torrent (en lloc de comprar les còpies originals dels desenvolupadors), haureu de tenir aquest tipus de complements per a una millor seguretat.

Wordfence Security

Aquest complement ofereix seguretat de classe empresarial gratuïta protegint el vostre lloc contra programari maliciós i possibles possibles embuts. Comprova si el vostre lloc ja té una infecció i fa una exploració profunda del codi font del vostre lloc.
Compara el codi amb el Repositori oficial de WordPress per a plugins, nuclis i temes. No només protegeix el vostre lloc web contra la majoria d’amenaces, sinó que també fa que el vostre lloc web sigui 50 vegades més ràpid que abans.

Wordfence també permet bloquejar en temps real atacants coneguts. Això significa que si un hacker ataca aquest complement en un altre lloc, aquest pirata també es bloqueja automàticament del vostre lloc.

Pot bloquejar tota una xarxa d’adreces IP malicioses quan hi ha una amenaça de codis maliciosos inserits al vostre lloc. També ajuda a bloquejar les amenaces en forma de rascadors, rastrejadors i bots identificats durant les exploracions de seguretat. També busca els troians, el codi sospitós, els espais posteriors, els URL de pesca, el malware, la vulnerabilitat HeartBleed, etc..

Si sou un usuari premium, també podeu bloquejar els països i podeu programar la cerca amb freqüència per a períodes concrets.

Explotar l’escàner

Exploit Scanner sempre està a l’abast de qualsevol cosa sospitosa als fitxers i a la base de dades del vostre lloc de WordPress, incloses les publicacions i taules de comentaris.

També escaneja els plugins que utilitzeu per a noms de fitxers enganyosos o inusuals. Si troba algun codi o fitxer maliciós, aquest complement proporciona un informe detallat a l’administrador del lloc i li correspon a ell per eliminar el codi maliciós..

Sucuri Security

Es tracta d’un conjunt d’eines de seguretat complet que s’utilitza per a la detecció de programari maliciós, l’enduriment de la seguretat i el seguiment de la integritat de la seguretat. És un gran suport per a les funcions de seguretat del vostre lloc existent.

Algunes funcions clau d’aquest complement inclouen el seguiment de la integritat de fitxers, la supervisió de la llista negra, l’auditoria d’activitats de seguretat, l’escaneig remot de programari maliciós, l’enduriment de seguretat i les accions de seguretat realitzades després de hacks, notificacions de seguretat i tallafoc del lloc web..

Com escanejar el vostre lloc de WordPress per evitar programes ocults?

Com que WordPress és una plataforma de codi obert, és fàcilment susceptible d’infeccions o d’injeccions de programari maliciós per part de pirates informàtics. Algunes de les maneres habituals que els pirates informàtics poden injectar programari maliciós al vostre lloc inclouen les següents:

  • Pharma Hacks (injeccions de correu brossa a la base de dades o fitxers)
  • Phishing (obtenint informació confidencial, com ara adreces de correu electrònic, contrasenyes i noms d’usuari)
  • Redireccions malicioses (redirigir els visitants del vostre lloc a una altra pàgina del lloc on hi ha un fitxer infectat o un codi maliciós descarregat)
  • Injeccions de fitxers i bases de dades (addició de codi maliciós a la base de dades o fitxers del vostre lloc)
  • Vista posterior (accés a la vostra zona d’administració o compte FTP)
  • Tots els pirates informàtics volen assegurar-se que el propietari del lloc no s’assabenta que han piratat el seu lloc. Això permet als pirates informàtics infectar els visitants del lloc mitjançant la brossa continuada de correu brossa durant un període més llarg.

Per tant, el vostre objectiu és continuar buscant qualsevol programari maliciós ocult al vostre lloc que no coneixeu i desfer-vos dels fitxers o de les carpetes infectats.

Podeu fer-ho mitjançant els populars complements de WordPress d’escaneig de programari maliciós com els que es mostren a continuació:

Utilitzar el Sucuri SiteCheck Scanner per cercar possibles programes maliciosos. Simplement aneu al lloc aquí i introduïu l’URL del vostre lloc web. Aquest escàner gratuït realitzarà una exploració completa del vostre lloc en busca de programari maliciós, errors del lloc web, estat de llista negra i programari obsolet.

L’únic desavantatge és que heu de realitzar aquesta exploració manualment amb la versió gratuïta. Podeu actualitzar els plans premium i obtenir alertes a través de Twitter, correu electrònic o RSS, sempre que detecti programari maliciós.

Treure el lloc web de totes les llistes negres si un pirata informàtic ha utilitzat el servidor per a fer correu brossa durant molt de temps. Els serveis premium també ajuden a eliminar el malware. Fins i tot podeu provar el complement de seguretat Sucuri discutit anteriorment per protegir-vos de programari contra el malware.

Utilitzar el Escàner anti-malware per cercar programari maliciós, virus, jardins a l’aire lliure i amenaces conegudes i similars, i eliminar-los automàticament. Una característica primordial clau d’aquest complement és el de pegar la pàgina wp-login.php per aturar els atacs de força bruta.

A més, podeu utilitzar qualsevol dels complements de seguretat de WordPress comentats anteriorment per identificar codi maliciós.

Eines de prova de seguretat del lloc web

Per tal de protegir el vostre lloc web dels atacs, heu d’obtenir constantment el nivell de seguretat del vostre lloc provat mitjançant determinades eines de prova com ara:

Wapiti vulnerabilitat de taques (divulgació de fitxers, injecció de bases de dades, injecció de scripts de llocs web, configuracions febles de .htaccess i molt més) al lloc web. Aquesta eina utilitza el plantejament d’exploració de caixa negra.

Això vol dir que no estudia el codi font de l’aplicació, sinó que comprova si hi ha formularis i scripts que poden injectar dades a les pàgines web. Injecta càrregues útils per identificar els scripts vulnerables. Proporciona informes en diversos formats, com ara HTML, XML, Text i JSON.

Google Nogotofail prova el trànsit de xarxa d’un lloc per detectar i corregir connexions TLS o SSL febles i trànsit de text clar en diversos dispositius. També podeu configurar-lo com a servidor VPN o servidor intermediari o fins i tot un encaminador.

Podeu provar l’escaner i el testador de codi obert anomenats Vega. Aquesta plataforma basada en GUI es troba en Java i funciona amb plataformes OS X, Windows i Linux. Consisteix en un proxy interceptador per executar inspeccions tàctiques i un escàner automatitzat per realitzar proves ràpides.

Aquesta eina es pot utilitzar per identificar scripts entre llocs (XSS), injecció SQL i vulnerabilitats similars.
Esperem que aquests consells i informació sobre seguretat de WordPress us ajudaran a millorar en gran mesura la seguretat del vostre lloc.

Ja heu provat alguns complements o mètodes que milloren considerablement la seguretat del vostre lloc web de WordPress? Compartiu la vostra experiència i continueu difonent la importància de la seguretat del lloc web entre la vostra xarxa.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map