Cómo proteger su sitio web de alto perfil de WordPress de los ataques

La necesidad de seguridad de WordPress está creciendo a un ritmo acelerado. Los informes dicen que los sitios de WordPress experimentan 90,978 ataques por minuto. Desde su lanzamiento, WordPress ha parcheado más de 2.450 vulnerabilidades. Además de las medidas de seguridad básicas que ya está tomando para proteger su sitio, aquí hay algunas medidas de seguridad avanzadas de WordPress, que incluyen cómo prevenir WordPress DDoS (Denegación de servicio distribuida) en su sitio web.

1. Desactive la función de seguimiento HTTP

Los ataques como Cross Site Scripting (XSS) y Cross Site Tracing (XST) están dirigidos a sistemas con la funcionalidad HTTP Trace habilitada. La mayoría de los servidores web están configurados de forma predeterminada para funcionar con HTTP Trace, que utiliza para actividades como la depuración. Al utilizar solicitudes de encabezado, los piratas informáticos robarían información confidencial, como cookies, ejecutando un ataque de rastreo de sitios cruzados. El proyecto OWASP Top Ten ofrece listas completas de vulnerabilidades y ataques en sitios web de WordPress.

De todos los tipos de vulnerabilidad, Cross Site Scripting ocupa el primer lugar. De hecho, el 46,9% de todos los sitios web son vulnerables a este tipo de ataque. Para desactivar la función de rastreo HTTP, agregue el siguiente código a su archivo .htaccess.

2. Eliminar las salidas del encabezado de instalación de WordPress

Los servicios específicos para diferentes partes de su sitio web de WordPress necesitan agregar muchos resultados en el encabezado. Puede eliminar estas salidas agregando el código siguiente al archivo “functions.php” de su tema.

3. Modifique el prefijo de base de datos predeterminado para WordPress

El valor de prefijo predeterminado para las tablas de la base de datos de WordPress es “wp_”. Los piratas informáticos y los bots dañinos pueden usar este valor de prefijo para adivinar correctamente los nombres de las tablas de su base de datos. Dado que el archivo wp-config.php es donde se establece el valor del prefijo de la base de datos de WordPress, es más fácil cambiar este valor de prefijo al instalar WordPress. Puede utilizar el complemento Cambiar prefijo de tabla o, si prefiere hacerlo manualmente, siga los pasos a continuación:

1. Realice una copia de seguridad completa de su base de datos y asegúrese de guardar la copia de seguridad en un lugar seguro. Estos son algunos de los complementos de respaldo que puede usar.

2. Utilice “phpmyadmin” en el panel de control de su servidor web para volcar completamente su base de datos de WordPress en un archivo de texto. También haga una copia de seguridad de este archivo de texto.

3. A continuación, utilice un editor de código para reemplazar todos los valores de prefijo “wp_” con su propio prefijo.

4. Desactive todos los complementos en su panel de administración.

5. Ahora, utilizando el archivo que ha editado en el tercer paso anterior, importe la nueva base de datos después de haber eliminado la antigua a través de phpMyAdmin.

6. Usando el nuevo valor de prefijo de la base de datos, edite el archivo “wp-config.php”.

7. Ahora, reactive sus complementos de WordPress.

8. Para guardar la configuración de los enlaces permanentes, vaya a Configuración y luego a Enlaces permanentes; esto actualiza la estructura de enlaces permanentes de su sitio web. Tenga en cuenta que cambiar el prefijo de la base de datos no debería cambiar la configuración de su nombre de dominio, URL y enlace permanente.

4. Bloquear cadenas de consulta que sean potencialmente peligrosas

Para evitar ataques de Cross Site Scripting (XSS), agregue el siguiente código a su archivo .htaccess. Primero, antes de agregar el código, identifique las cadenas de consulta que son potencialmente peligrosas. Las solicitudes de URL están despojadas de muchas inyecciones maliciosas mediante este conjunto de reglas. Hay dos cosas importantes a tener en cuenta aquí:

  • Ciertos complementos o temas rompen funcionalidades si no excluye las cadenas que ya usan.
  • Aunque las cadenas a continuación son las más comunes, puede optar por agregar más cadenas.

5. Utilice Deflect para prevenir ataques DDoS

Los sitios web incipientes, los grupos de medios independientes y los sitios de la mayoría de los activistas / grupos de derechos humanos generalmente no tienen los recursos técnicos y financieros para resistir un ataque distribuido de denegación de servicio (DDoS). Ahí es donde entra en juego Deflect . Deflect se posiciona como una solución MEJOR que las opciones comerciales de mitigación de DDoS.

Las opciones comerciales de mitigación de DDoS cuestan mucho dinero y podrían cambiar sus términos de servicio si un sitio web bajo su protección atrae ataques DDoS con regularidad. Deflect detiene proactivamente los ataques DDoS manteniendo los sitios web bajo protección constante.

Un beneficio adicional de usar Deflect en su sitio web es que le ahorra dinero al reducir la tensión en el servidor de su cliente y los recursos del administrador del sistema. Deflect pone todos sus códigos fuente y documentación en el dominio público bajo una licencia Creative Commons; esto permite que cualquiera pueda mitigar los ataques DDoS configurando su propia red Deflect. Puede registrarse en su sitio web GRATIS y comenzar a usar el servicio de inmediato.

6. Utilice Secure Sockets Layer (SSL) y protección de firewall

Los servicios de seguridad como Sucuri ofrecen opciones de seguridad como instalar un certificado de Capa de sockets seguros (SSL) y protección de firewall que cumpla con PCI. Esta es una opción de fácil acceso para todos, incluidas las personas sin conocimientos técnicos.

Puede configurar fácilmente soluciones de seguridad como esta y dejar que funcione en segundo plano y, en algunos casos, actualizarse según sea necesario (como Sucuri). Esta es una opción de seguridad altamente efectiva y de bajo mantenimiento.

Se pueden usar varios complementos de WordPress para agregar certificados de capa de sockets seguros (SSL) a su sitio. Algunos de los complementos SSL de WordPress más recomendados incluyen CM HTTPS Pro , Really Simple SSL , WP Force SSL , SSL Insecure Content Fixer y Easy HTTPS Redirection .

Para concluir

Experimentarías notables mejoras en la seguridad del sitio si utilizas los puntos descritos anteriormente. Es útil tener en cuenta que la seguridad de WordPress siempre está evolucionando. El objetivo es mitigar los riesgos, no eliminarlos, ya que es casi imposible hacerlo. La seguridad de WordPress es dinámica y funciona en capas , por lo que no hay un solo complemento para todos o una sola táctica para todos.

Crédito de la imagen: DDoS (http://www.epictop10.com/)

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario