5 Amenaces de seguretat per defecte a WordPress i com solucionar-les

WordPress Security

WordPress és una peça de programari molt popular i completament oberta. La gran cosa que té sobre seguretat, és que hi ha una gran comunitat que treballa amb ella, que és capaç de descobrir els errors i els riscos de seguretat més ràpidament que un amb una solució CMS interna. (És difícil esbrinar els punts febles quan una manera de descobrir és explotar la debilitat i tenir una base d’usuaris enorme fa que sigui molt més probable descobrir.)


L’inconvenient és que els hackers amb males intencions saben exactament com es construeix el vostre lloc web. Ja tenen el “model” del vostre lloc. I si hi ha debilitats en el nucli, els temes o els complements que utilitzeu, això serà capaç de saber sense haver accedit mai al backend del vostre lloc..

Així que en aquesta publicació us mostraré com arreglar 5 amenaces de seguretat presents en qualsevol instal·lació completament predeterminada de WordPress. (Si ja heu pres algunes precaucions, potser podríeu trobar que ja n’heu arreglat una o dues, però és important solucionar-les per minimitzar el vostre risc de ser piratejat.)

El vostre lloc mostra que utilitzeu WordPress, més la versió

Versió de WordPress

La versió per defecte de WordPress tindrà línies de codi que permeten que el vostre lloc es crei mitjançant WordPress, fins i tot a la versió per a persones que sàpiguen on mirar. Segons el tema, fins i tot es pot mostrar visualment a cada pàgina del vostre lloc web.

La raó per la qual això podria suposar un risc per a la seguretat és que les persones podrien orientar-se al vostre lloc sense cap altra raó que no estigui construït a WordPress. Si algú troba una debilitat de seguretat en el nucli de WordPress, un tema o un complement, pot trobar el seu camí al vostre lloc per explotar-ho. Si bé, si haguéssiu amagat amb èxit que el vostre lloc es creés amb WordPress, a les persones que busquen llocs de WordPress amb bots o rastrejadors, se’ls enganyaria a pensar que el vostre lloc no era un objectiu viable..

Com solucionar-ho:
Per solucionar-ho, podeu utilitzar el connector Oculta el meu WP. Amb aquest petit complement útil, podeu evitar el trànsit innecessari al vostre servidor i, al mateix temps, romandre fora de perill dels atacs específicament dirigits a llocs de WordPress..

Tothom sap on està ubicada la vostra pàgina d’entrada / àrea d’administració

Inici de sessió de WordPress

Si encara mostreu que utilitzeu WordPress (alias, no amagar-ho activament, per exemple, utilitzant un complement com Amagar el meu WP), les persones amb males intencions ja sabran on intentar un atac de força bruta al vostre lloc..

Com solucionar-ho:
Per solucionar aquesta amenaça i reduir dràsticament les possibilitats de ser piratejat, i per reduir l’estrès del servidor, hem de deixar que les persones malicioses i els robots no arribin a la nostra pàgina d’inici de sessió..

Hi ha dues maneres principals per fer-ho. Podeu canviar la ubicació física de la pàgina d’inici de sessió a una altra cosa mitjançant un complement (o algunes línies de codi), o bé podeu limitar l’accés a la vostra pàgina d’inici de sessió i àrea d’administració per adreces IP. Podeu fer-ho amb un complement dedicat a això o amb un complement de seguretat com Sucuri, Wordfence, iThemes Security Pro o Seguretat i tallafocs en un sol WP.

WordPress té un prefix de taula predeterminat que tothom fa servir

Prefix de taula WordPress

Un prefix de taula és el que arriba abans dels noms de taules de la base de dades. En lloc dels usuaris, amb el prefix estàndard de WordPress, es tractaria de wp_users. Si utilitzeu el prefix de la taula predeterminada, facilita l’accés al vostre lloc mitjançant l’explotació de possibles debilitats d’injecció sql. Perquè saben exactament on injectar informació a la base de dades per obtenir accés al vostre lloc.

En realitat tenia un dels meus llocs web piratejats per culpa de la injecció de sql, per la qual cosa és una amenaça real que haureu de prendre contramissions.

Com solucionar-ho:
Per sort, és molt fàcil eliminar aquesta amenaça. Si ja heu instal·lat WordPress mitjançant el prefix wp_ per defecte, podeu canviar-lo fàcilment mitjançant un complement com Sucuri. Primer, cal fer una còpia de seguretat de la base de dades abans d’utilitzar aquesta opció, ja que hi ha una possibilitat menor de que alguna cosa vagi malament. Podeu fer-ho amb el clic d’un botó. Aleshores, podeu triar un prefix nou, o simplement deixar que Sucuri generi el nou prefix a l’atzar.

Nota: si només instal·leu WordPress per primera vegada, podeu canviar-lo a la interfície d’instal·lació.

Els fitxers de complements i temes de WordPress són editables a través del Tauler de control

Editor de complements de WordPress

El problema amb això és que si un pirata informàtic accedeix al vostre lloc web, pot fer molts danys. Poden fer que el vostre lloc web infesti altres persones amb programari maliciós (que podria acabar amb el vostre lloc posat a la llista negra de Google i desindexat dels motors de cerca), esborrar el vostre lloc web o obrir-se fàcilment a l’aire lliure.

Com solucionar-ho:
Podeu afegir aquesta línia de codi al fitxer wp-config.php:

define ("DISALLOW_FILE_EDIT", cert);

O bé, utilitzeu un complement de seguretat per fer-ho per vosaltres (que bàsicament només us inserirà aquesta línia de codi). L’únic problema és que hi ha complements que permeten a les persones activar i desactivar aquesta habilitat, per la qual cosa un hacker molt dedicat pot ser capaç d’instal·lar un complement, activar el complement i, després, accedir al codi d’edició sense accés FTP..

Si voleu ser extremadament minuciós i protegir-vos d’això, podeu desactivar totes les actualitzacions / instal·lacions de complements i temes afegint aquesta línia de codi a wp-config.php:

define ("DISALLOW_FILE_MODS", cert);

Però, òbviament, voldria dir que hauríeu de canviar el seu valor per fals cada vegada que vulgueu actualitzar o instal·lar un complement o tema (no us recomanem aquesta opció, ja que mantenir actualitzats temes i complements és una de les millors maneres per assegurar-vos que el vostre lloc sigui menys vulnerable).

WordPress té una configuració de tallafoc molt oberta que pot permetre que fins i tot els robots maliciosos coneguts intentin atacs

Serrings de tallafocs de WordPress

La configuració predeterminada del tallafoc de WordPress és realment del costat liberal. Això significa que alguns bots poc freqüents i altres visitants no desitjats obtenen llum verda.

Com solucionar-ho:
Podeu millorar-ho si instal·leu les regles bàsiques del tallafoc de la llista negra 5G, copiant-lo manualment al fitxer .htaccess (podeu trobar-lo aquí) o instal·lant-lo aquest complement, o utilitzeu un complement de seguretat per optimitzar millor les regles del vostre .htaccess.

Intents il·limitats d’inici de sessió de WordPress

Si bé la configuració predeterminada és realment intents d’inici de sessió il·limitats, potser heu escollit limitar els intents d’inici de sessió quan heu instal·lat WordPress al vostre lloc. Si no ho ha fet, però, és una solució molt fàcil.

Com solucionar-ho:
Simplement instal·leu el botó Limita el connector Intents de sessió. O si utilitzeu allotjament WPEngine, aquesta és una característica que ja han incorporat per a vosaltres. No cal cap plugin! Si ja protegeu la vostra zona d’inici de sessió només permetent que les vostres pròpies adreces IP accedeixin al tauler de taula, no haureu de fer-ho. Però si només heu amagat l’adreça de la vostra pàgina d’inici de sessió, és una bona protecció doble contra possibles atacs de força bruta.

Conclusió

La criminalitat cibernètica està creixent ràpidament i Internet està fent de casa seva més delinqüents que el món real. En alguns països això ja ha passat. I, tot i que bona part d’això és de frau bancari i de targeta de crèdit, hi ha un nombre creixent de pirates informàtics, i com a propietaris de llocs web hem de protegir-nos a nosaltres mateixos i als nostres llocs el millor que puguem.

Tot i que una instal·lació predeterminada de WordPress presenta algunes debilitats, la bellesa de WordPress és realment fàcil que podeu resoldre gairebé qualsevol problema del vostre lloc, incloses les amenaces de seguretat esmentades en aquesta publicació. Més enllà de tenir un nom d’usuari únic i una contrasenya contundent, mitjançant la instal·lació d’un complement de seguretat, l’edició d’alguna configuració i, potser, la inserció d’una línia de codi o dos, ja podeu reduir significativament el risc que el vostre lloc tingui pirat o infestat de programari maliciós..

Heu adoptat mesures per millorar la seguretat del vostre lloc de WordPress? Quin tipus? Ens encantaria escoltar alguns consells i trucs! Si us plau, aviseu-nos als comentaris.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map