Cómo proteger wordpress de la intrusión: su lista de comprobación de lectura obligatoria
Las redes de bots de todo el mundo han centrado su atención desde el envío de correos electrónicos no deseados a la piratería sistemáticamente en WordPress installs- es un negocio lucrativo dado que los poderes de WordPress 40% de todos los blogs. Sobre todo teniendo en cuenta que incluso nos fueron víctimas de esta, ya es hora de que hicimos un post completo sobre exactamente cómo proteger su WordPress alojado en sí mismo instalar.
Nota: este consejo sólo se aplica a auto alojado instalaciones de WordPress. Si usa WordPress.com, por lo general, no es necesario preocuparse por la seguridad, ya que manejan todo para usted. ¿Cuál es la diferencia entre WordPress.com y WordPress.org?Cuál es la diferencia entre ejecutar su blog en Wordpress.com & Wordpress.org?Cuál es la diferencia entre ejecutar su blog en Wordpress.com & Wordpress.org?Con Wordpress ahora la alimentación de 1 de cada 6 sitios web, que deben estar haciendo algo bien. Tanto para los desarrolladores experimentados y los novatos completa, Wordpress tiene algo que ofrecer. Pero así como se inicia en ...Lee mas
Instalar Google autenticador de dos pasos
Si ya tiene habilitada la autenticación de dos pasos para tu cuenta de Gmail u otros servicios, puede utilizar la misma aplicación autenticador con este plugin para WordPress.
Afortunadamente, puede restringir la autenticación de dos pasos para ser utilizado sólo en las cuentas de nivel superior, de manera que no es necesario molestar a todos sus usuarios.
Login Lockdown
Un plugin antiguo, pero sigue trabajando como cheques intended- Login Lockdown la IP de intentos de conexión y bloques de un rango de IP durante una hora si falla 3 veces en 5 minutos. Simple, eficaz.
Realice copias de seguridad regulares
Los piratas informáticos no sólo va a cambiar un archivo, pero pondrán su propio panel de control oculto en algún lugar y otras puertas traseras ocultas - de modo que incluso si se fija el hack original, que vienen a la derecha de nuevo y hacerlo todo de nuevo. Tome diarias o semanales copias de seguridad para que pueda restaurar fácilmente de nuevo a un punto donde no había ni rastro del hacker - y asegúrese de arreglar lo que fuera que hicieron para llegar en lo personal, me acaba de invertir en una licencia de desarrollador $ 150 Copia de seguridad de contactos. - es la solución de copia de seguridad más fácil y más completa que he encontrado todavía.
Evitar la indexación de carpetas
Compruebe la raíz de la instalación de WordPress para el archivo .htaccess (nótese el período al principio - puede que tenga que mostrar los archivos invisibles para ver esto), y asegurarse de que tiene la siguiente línea. Si no fuera así, - pero hacer una copia de seguridad en primer lugar como este archivo es bastante crucial.
Todas las opciones -Indexes
Mantente actualizado
No cometas el mismo error que hicimos: siempre, Deluxe WordPress tan pronto como hay una actualización disponible. A veces los cambios contener correcciones de errores menores y no parches de seguridad, pero entrar en el hábito y usted no tendrá un problema. Si usted tiene más de una instalación de WordPress y no puede realizar un seguimiento de todos ellos, echa un vistazo a ManageWp.com, un tablero de instrumentos de alta calidad para todos sus blogs, que incluye el análisis de seguridad.
No sólo los archivos de WordPress núcleo, sino también los plugins: uno de los mayores cortes de WordPress del pasado implicó una vulnerabilidad en un script generador de miniatura común que se llama timthumb.php, y todavía hay temas por ahí que utilizan la versión antigua. A pesar de que los plugins se actualizan rápidamente, manteniendo temas hasta la fecha es más difícil, por supuesto - WordPress no le dirá si su tema es vulnerable, y para eso se va a algún tipo de plug-in de análisis de seguridad - Se desplaza hacia abajo a la Los plugins de seguridad sección de abajo para algunas sugerencias.
Nunca descargar temas al azar
A menos que sepa lo que está haciendo con el código PHP, es muy fácil caer en la trampa de descargar un tema al azar preciosa desde algún lugar, sólo para encontrar que tiene un cierto código desagradable allí - más comúnmente backlinks que no se puede eliminar, pero peor se puede encontrar. Se adhieren a la prima y los diseñadores de temas conocidos (Como la revista Smashing o WPShower), o para temas libres sólo se utilice el directorio de temas de WordPress.
Eliminar plugins no utilizadas y Temas
El código ejecutable a menos que tenga en su servidor, el mejor - eliminar la posibilidad de tener antiguo código, vulnerables mediante la supresión de temas y plugins que no está usando más. Desactivación de ellos simplemente dejará su carga funcionalidad con WordPress, pero el código en sí todavía puede ser ejecutable por un hacker.
Retire Meta del testigo en el encabezado
Por defecto, WordPress transmitido en su versión para el mundo en el código de su archivo de cabecera - una manera fácil para los piratas informáticos para identificar las instalaciones más antiguas. Añadir las siguientes líneas a su tema de functions.php presentar para eliminar la versión de WordPress, información de Windows Live Writer y una línea que ayuda a los clientes remotos a encontrar el archivo XML-RPC.
remove_action ( `wp_head`, `wp_generator`) -remove_action ( `wp_head`, `wlwmanifest_link`) -remove_action ( `wp_head`, `rsd_link`) -
Eliminar la cuenta “admin”
Más ataques de fuerza bruta en WordPress implicar varias veces tratando el administración cuenta - el valor por defecto para todos WordPress instala - y un diccionario de contraseñas comunes. Si bien sesión con admin o tener la cuenta de administrador que aparece en su tabla de usuario, usted es vulnerable a este.
Dos maneras de solucionarlo: o bien el uso plugin WP-Optimize - un gran plugin que, entre otras cosas, le permite desactivar las revisiones de correos y llevar a cabo la optimización de bases de datos - para cambiar el nombre de cuenta de administrador. O simplemente crear otra cuenta con privilegios de administrador, inicie la sesión como el nuevo usuario, a continuación, elimine la cuenta “admin” asignar todos los mensajes a su nuevo usuario.
Las contraseñas seguras
Incluso si ha deshabilitado la cuenta de administrador, puede ser posible identificar el nombre de usuario de la cuenta de administrador - momento en el que es vulnerable a un ataque de fuerza bruta de nuevo. Hacer cumplir una fuerte política de contraseñas de 16 o más caracteres al azar que consiste en mayúsculas y minúsculas, números y puntuacion.
O simplemente utilizar el reallyLongSentenceThatsEasyToRememberMethod.
Desactivar la edición de archivos dentro de WordPress
Para aquellos que no les gusta hacer login a través de FTP, WordPress incluye un editor fácil en el tablero de instrumentos de administración de archivos de temas y el plugin de PHP - pero eso hace que su instalación vulnerable si alguien obtiene acceso. De hecho, esta es la forma en que alguien logró inyectar una redirección de software malicioso en nuestra cabecera. Agregue la línea siguiente a la parte inferior de su wp-config.php (En la carpeta raíz) para desactivar todas las funciones de edición de archivos - y el uso SFTP para acceder a su servidor en lugar.Es lo SSH & ¿Cómo es diferente de FTP [Tecnología Explicación]Es lo SSH & ¿Cómo es diferente de FTP [Tecnología Explicación]Lee mas
define ( `DISALLOW_FILE_EDIT`, true) -
Ocultar Iniciar sesión errores
Una contraseña incorrecta o nombre de usuario incorrecto pueden ser identificados por los errores dados al iniciar la sesión, que podrían ser utilizados para identificar las cuentas de fuerza bruta. Esto no es bueno, obviamente, por lo que matar a los errores con esta adición a su tema de functions.php archivo
no_errors_please función () {return `No.` -} add_filter ( `login_errors`, `no_errors_please`) -
activar Cloudflare
Así como la aceleración de su sitio, CloudFlare mitiga muchos botnets y escáneres conocidos incluso de llegar a su blog en el primer lugar. Leer todo sobre CloudFlare aquí. La instalación es un clic si está alojado en MediaTemple, de lo contrario necesitarás acceso al panel de control de dominio para cambiar los servidores de nombres.Proteger & Acelerar su sitio web gratis con CloudFlareProteger & Acelerar su sitio web gratis con CloudFlareCloudFlare es un intrigante puesta en marcha de los creadores de proyecto Honey Pot que pretende proteger su sitio web de los spammers, bots y otros monstruos del mal web -, así como acelerar su sitio un poco ...Lee mas
Los plugins de seguridad
- Mejor WP Seguridad implementa muchas de estas correcciones para usted y es la solución gratuita más completa que existe.
- WordFence es un paquete premium que explora activamente sus archivos para los enlaces de malware, redirecciones, las vulnerabilidades conocidas, etc. - y se las arregla. El precio comienza en $ 18 / año por 1 sitio.
- solución de seguridad de inicio de sesión de ambos límites de intentos de conexión y hace cumplir las contraseñas seguras.
- de seguridad a prueba de balas es un plugin exhaustivos pero complejos que se ocupa de algunos de los aspectos más técnicos como la inyección XSS y problemas .htaccess. Un verison Pro del plugin está también disponible que automatiza gran parte del proceso.
Creo que estará de acuerdo que esto es bastante una lista exhaustiva de medidas para endurecer WordPress, pero no estoy sugiriendo que implemente todas de ellos. Si tuviera que hacer todo esto a todos los sitios que he configurado, todavía estaría ahora la que fueron creados. La ejecución de cualquier tipo de sistema presenta un riesgo, y es en última instancia, depende de usted para encontrar el equilibrio entre el nivel de seguridad que desea y el esfuerzo que desea poner en asegurar que - nada se va a 100% seguro. La fruta que cuelga baja aquí son:
- Mantener WordPress al día
- Desactivación de la cuenta de administrador
- Adición de autenticación de dos pasos
- La instalación de un plugin de seguridad
Haciendo los solos se debe poner por encima del 99% de todos los otros blogs por ahí, que es suficiente para hacer posibles piratas pasar a objetivos más fáciles.
Cree usted que me perdí algo? Dime en los comentarios.