Puerto Vallarta, Jalisco, México.

Como proteger WordPress de Hackers

Les tengo malas noticias:
Los Hackers no descansan, trabajan los 365 días del año, y las 24 horas del día.

Algunos ajustes básicos pueden ayudarte a proteger tu sitio web. Echa un vistazo a los siguientes consejos para evitar hackeos de wordpress.

Como proteger WordPress de Hackers

Como proteger WordPress de Hackers

1. COPIAS DE SEGURIDAD

Este es el primer paso y el más importante. Antes de planear en hacer cualquier cambio, asegúrate de contar con copias de seguridad de toda su base de datos. Puede hacerlo manualmente o utilizar un plugin disponible.

2. ACTUALIZACIÓN DE LA VERSIÓN DE WORDPRESS

Segundo paso crucial antes de actualizarlo a la última versión. Siempre debes asegurarte de que la versión de tu blog esta al día. el equipo de WordPress crea parches para ayudar a solucionar a los agujeros de seguridad. Visita wordpress para obtener información sobre las últimas actualizaciones.

3. CAMBIA TU USUARIO / CONTRASEÑA

La entrada por defecto de WordPress es “admin” y la mayoría de los hackers lo saben. Debemos cambiar esto a algo más que sería difícil de adivinar. Algo así como “carlos12” o “staff” es un buen ejemplo. Lo mejor que puede hacer es borrar el administrador por defecto y crear un nuevo inicio de sesión personalizado.

Le sugiero que utilice contraseñas seguras, que incluyen superior e inferior claves, números y símbolos /. Algo así como “rockSTAR19!@” O “Anabel2@!” Es un gran ejemplo de una contraseña segura.

La mayoría de los hackers tratan de extraer con fuerza bruta la contraseña por lo que si su contraseña es realmente fuerte como he mencionado antes, no deberías preocuparte.

No utilice días de nacimiento, nombres, nombres de mascotas o pasatiempos como contraseñas. Las personas que están cerca de usted sabe un poco más sobre usted; no desea ninguna aproximación salvajes 🙂

4. CLAVES EN WP-CONFIG.PHP

Otra medida de seguridad importante. Estas claves funcionan como identificadores para las cookies de WordPress por lo tanto, garantizar una mejor encriptación de los datos del usuario.

Utilice el generador de la llave de WordPress para generar estas claves. Ahora abra su wp-config.php, encontrar las líneas que se parecen a continuación y simplemente reemplazan con los generados:

define ( 'auth_key', 'poner su única frase aquí ");
 define (' SECURE_AUTH_KEY ',' poner su única frase aquí");
 define ( 'LOGGED_IN_KEY', 'poner su única frase aquí ");
 define (' NONCE_KEY ' , 'poner su única frase aquí ");

Guardar y ya está!

5. INSTALAR Acunetix WP Security

Este plugin es en verdad imprescindible. Es muy sencillo y automatiza varias cosas. Explorará su blog de WordPress en busca de vulnerabilidades y le informará si encuentra algún código malicioso, etc. Si los textos son de color verde en el panel de administración, entonces debería ser buena. Sin embargo, no sólo será verde; a veces hay que hacer algunos ajustes.

6. CAMBIO DEL PREFIJO DE TABLA

El prefijo de tabla por defecto de WordPress es wp_. Sé que, usted lo sabe y estoy seguro de que el hacker también lo sabe. Inyecciónes SQL son más fáciles con el prefijo de tabla por defecto porque es más fácil de adivinar.Un buen prefijo sería “mashjg23_” o “sasdoe265_”. Cambiar su prefijo de la tabla de base de datos es muy recomendable y se puede hacer de dos maneras. La forma manual requiere algo de trabajo y no es adecuado para los recién iniciados; aquí es cuando WP Security Scan Plugin hace su trabajo mucho más fácil. Tiene una pestaña llamada “base de datos”. Una vez que esté en él, usted tiene la opción de cambiar el nombre de toda su prefijo de la tabla a algo que es difícil de adivinar. Haga esto y usted será un paso más hacia el fortalecimiento de la seguridad de su blog.

¿Qué tan fuerte es tu contraseña de base de datos? Tanto tu contraseña de acceso y la contraseña de la base de datos debe ser fuerte. Incluir mayúsculas, minúsculas, números y símbolos.

7. EVITAR HACK POR BLOQUEO DE MOTORES DE BÚSQUEDA DE LA INDEXACIÓN EN LA SECCIÓN DE ADMINISTRACIÓN

Las arañas de motores de búsqueda se arrastran sobre todo el blog y el índice de todos los contenidos, a menos que se les diga que no lo hagan. No queremos que indexe la sección de administración, ya que contiene toda la información sensible. La forma más fácil de evitar que los rastreadores de indexación del directorio de administración, es crear un archivo robots.txt en el directorio raíz. A continuación, coloca el código siguiente en el archivo:

#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*
El todopoderoso .htaccess

El todopoderoso .htaccess

8. EL TODOPODEROSO .HTACCESS

.htaccess es el nombre por defecto de los archivos de configuración a nivel de directorio que permiten la gestión descentralizada de configuración cuando se coloca en el interior del árbol web. Los archivos .htaccess a menudo se utilizan para especificar las restricciones de seguridad para un directorio particular.

9. PROTEGE TU .HTACCESS

Después de ajustar tu .htaccess para proteger tu blog de los piratas informáticos, no se puede simplemente dejar el .htaccess se exponga a los ataques. El truco a continuación impide el acceso externo a cualquier archivo con .htaccess. Basta con colocar el código en el archivo .htaccess de la raíz de su dominio.

# STRONG HTACCESS PROTECTION</code>
 <Files ~ "^.*\.([Hh][Tt][Aa])">
 order allow,deny
 deny from all
 satisfy all
 </Files>

10. NO PERMITIR EL EXAMEN DE DIRECTORIOS

No es una buena idea para permitir a los usuarios a navegar a través de toda su directorio. Esta es una manera fácil de averiguar acerca de las estructuras de directorios y esto hace que sea más fácil para los hackers busca de agujeros de seguridad.

Con el fin de detener esto, sólo tiene que añadir el trozo de 2 líneas en su .htaccess en el directorio raíz de tu blog de WordPress.

# Guía de deshabilitar la exploración
Options All -Indexes

11. PROTEGER WP-CONFIG.PHP

Wp-config.php es importante, ya que contiene todos los datos sensibles y la configuración de tu blog y, por tanto, hay que fijarlo a través .htaccess.Simplemente añadiendo el siguiente código al archivo .htaccess en el directorio raíz puedes hacer el truco:

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

El código deniega el acceso al archivo wp-config.php para todo el mundo.

12. LÍMITAR EL ACCESO AL DIRECTORIO WP-CONTENT

Wp-content contiene todo. Se trata de una carpeta muy importante y se debe asegurar. No quieres que los usuarios naveguen y obtengan acceso a los datos no deseados. Los usuarios deben ser sólo ser capaz de ver y acceder a ciertos tipos de archivos como imágenes (JPG, GIF, PNG), Javascript, CSS y XML.

Coloque el siguiente código en el archivo .htaccess en la carpeta wp-content (no la raíz).

Order deny,allow
Deny from all
<Files ~ “.(xml|css|jpeg|png|gif|js)$”>
Allow from all
</Files>

13. PROTEGER ARCHIVOS DE ADMINISTRACIÓN DE WORDPRESS

Wp-admin sólo debe ser utilizada por usted y sus colegas (si los hay).Es posible utilizar .htaccess para restringir el acceso y permitir sólo direcciones IP específicas a este directorio.

Copia y pega el código siguiente para el .htaccess en la carpeta wp-admin (no en carpeta raíz)

# deny access to wp admin
order deny,allow
allow from xx.xx.xx.xx # This is your static IP
deny from all

El código de seguridad evitará que el navegador acceda a cualquier archivo en estos directorios que no sean “xx.xx.xx.xx”, que debe ser su dirección IP estática.

Hay otra forma se podría restringir el acceso al directorio y que es mediante el uso de una contraseña en el .htaccess. Tengo la intención de escribir un hack detallado de Htacess donde voy a incluir todos estos.

14. EVITAR LA INYECCIÓN DE SCRIPTS

He encontrado este código en wprecipes y funciona como un encanto. Ahora usted puede proteger su blog de WordPress de inyección de scripts, y la modificación no deseada de _REQUEST y / o GLOBALES.

copia simple y pega el siguiente código a tu .htaccess en la raíz

# Protegerlo de inyección SQL
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Por último, pero no menos importante; puede instalar WordPress Firewall 2 que en realidad protege tu blog de los piratas informáticos maliciosos. Bloquea los intentos de los hackers y le notifica cuando se abusa. Sólo el punto negativo de este plug-in es, a veces incluso los bloques de nuestra acción. Esto realmente puede ser molesto y realmente no lo recomendaría este plug-in a menos que tenga SÚPER hackers y bots para atornillar su blog. Seguir con los cortes .htaccess ya que hacen el trabajo bastante bien y su blog debe estar muy bien.

Es mejor prevenir que curar. No puedo garantizar personalmente que su blog no quede cortado después de la aplicación de los métodos que he mencionado, pero, estoy seguro de las posibilidades de sufrir un ataque será muy inferior.

¿Qué tan seguro es su blog de WordPress? Apuesto después de leer este post, Sabrás cómo prevenir el hackeo de wordpress en alguna gran medida.