Esta cita es lo suficientemente buena como para darle una idea de los problemas de seguridad que se están produciendo en todo el mundo. De hecho, la seguridad del sitio web es un tema que ha estado dando noches de insomnio a los propietarios del sitio durante mucho tiempo. Nadie ha podido lograr el 100% de seguridad para su sitio comercial.

Según una encuesta realizada por Juniper Research, el delito cibernético costará a las empresas más de $ 2 billones para 2019. Esta es una estadística alarmante y muestra que día a día proteger un sitio web se está volviendo muy difícil. Al mismo tiempo, debe encontrar formas de proteger su sitio, ya que contiene sus datos más importantes, así como información confidencial.

Como todos saben, WordPress impulsa el 31% de Internet y, por lo tanto, está muy claro que la plataforma de WordPress enfrentará la mayor cantidad de problemas de seguridad web. La mayoría de los usuarios confían en esta maravillosa plataforma y es por eso que han construido sus sitios de negocios en ella.

Sin embargo, según una investigación realizada por Sucuri, WordPress es la plataforma web más infectada del año 2018.

Por lo tanto, es importante que todos ustedes estén al tanto de las diversas vulnerabilidades de seguridad de WordPress y las formas de solucionarlas. Entonces, comencemos y analicemos cada vulnerabilidad una por una.

Hay dos tipos de empresas: las que han sido pirateadas y las que aún no saben que han sido pirateadas.

– Juan Cámaras

Las 10 principales vulnerabilidades de seguridad de WordPress

Alojamiento web inseguro
Usar una contraseña débil
No actualizar WordPress
Inyección SQL
Olvidarse de asegurar el archivo de configuración de WordPress
No actualizar complementos o temas
Uso de FTP simple
No cambiar el prefijo de la tabla de WordPress
Malware
Permisos de archivo incorrectos

1 Alojamiento web inseguro

Esta es quizás una de las principales razones por las que los sitios web de WordPress se infectan fácilmente. Como todos los demás sitios web, el sitio web de WordPress también está alojado en el servidor. A veces lo que pasa es que las empresas proveedoras de hosting no aseguran su plataforma. En ese tipo de escenario, hay muchas posibilidades de que su sitio web de WordPress sea atacado por un extraño.

Forma de solucionar este problema

La mejor manera de solucionar este problema es alojar su sitio web de WordPress en algunas de las mejores plataformas de alojamiento. Aquí hay una lista de los mejores proveedores de alojamiento de WordPress que puede utilizar para el sitio web de su empresa.

Los mejores proveedores de alojamiento de WordPress

host azul
HostGator
Terreno del sitio
DreamHost
Alojamiento en movimiento

2 Usando una contraseña débil

Las contraseñas son una parte clave de la seguridad de su sitio web de WordPress. Siempre debe asegurarse de que está utilizando una contraseña segura para su cuenta de WordPress. Según una investigación realizada por WPTemplate, el 8% de los sitios web de WordPress en todo el mundo son pirateados debido a la contraseña de la semana. Una contraseña de una semana puede proporcionar un fácil acceso a las siguientes cosas:

Cuenta de administrador de WP
Cuenta de panel C
Cuenta FTP
Su base de datos de WordPress

Es por eso que se vuelve extremadamente vital tener una contraseña segura para su sitio web de WordPress.

Forma de solucionar este problema

Forme una contraseña compleja

Una de las formas en que puede solucionar este problema es creando una contraseña compleja para su sitio. Siempre trate de usar la combinación de Alfabeto, Números, Caracteres Especiales, etc. para crear una contraseña. Le ayudará a crear una contraseña segura que no se pueda adivinar fácilmente.
Utilice un administrador de contraseñas

La otra forma de solucionar este problema es utilizando los administradores de contraseñas. Un administrador de contraseñas es una aplicación que le permite almacenar todas sus contraseñas en un solo lugar y luego administrarlas a través de una contraseña maestra. La USP de cualquier administrador de contraseñas es que tienen una funcionalidad de autocompletar.

Aquí hay una lista de algunos de los mejores administradores de contraseñas:
- Ultimo pase
- 1 Contraseña
- Dashlane
Autenticación de dos factores

Esta es una de las mejores maneras de proteger su sitio web de WordPress del robo de contraseñas. En un escenario de autenticación de dos factores, si algún atacante puede adivinar la contraseña de su sitio web de WordPress, entonces no podrá iniciar sesión en su sitio. Él / ella requerirá un código de seguridad que se envía a su teléfono móvil. De esta manera, podrá proteger su sitio web.

Existen formas importantes de configurar la autenticación de dos factores en WordPress:
1. Verificación SMS
2. Aplicación de autenticación de Google

3 No actualizar WordPress

Hay muchos usuarios que se sienten cómodos con una de las versiones de WordPress y, por lo tanto, no actualizan su versión de WordPress a intervalos regulares. La razón principal detrás de esto es que temen que rompa su sitio web. Sin embargo, cada nueva versión de WordPress viene con correcciones para errores de seguridad y es por eso que es importante que actualice su sitio web.

Forma de solucionar este problema

Siempre busque la última versión de WordPress y trate de mantener su sitio web actualizado. Esto minimizará las posibilidades de cualquier problema de seguridad. Para aquellos que temen que la actualización de WordPress cree un desglose del sitio, pueden hacer una copia de seguridad de su sitio web. Por lo tanto, si la nueva versión no funciona según sus requisitos, siempre puede volver atrás.

4 Inyección SQL

SQL Injection es uno de los métodos más antiguos para obtener acceso al sitio web. Como todos saben, SQL es un lenguaje que se usa para trabajar con la base de datos de WordPress y es por eso que en este tipo de ataques, los piratas informáticos inyectan comandos SQL en su sitio para recuperar la información. Los piratas informáticos se están volviendo inteligentes día a día y están creando una nueva inyección de SQL todos los días. Por lo tanto, como propietario de un sitio web, debe conocer las formas de deshacerse de este problema.

Forma de solucionar este problema

Buscar vulnerabilidad de inyección SQL

Debe verificar el problema de inyección SQL en su sitio web de WordPress de forma regular. Sin embargo, esta puede ser una tarea muy difícil de realizar manualmente y es por eso que debe utilizar algunas herramientas de escaneo de seguridad para ese propósito. Aquí hay una lista de las mejores herramientas de escaneo de seguridad:
- Análisis de seguridad de WordPress
- Jugos SiteCheck
- WPScan

Agregar un código a su archivo .htaccess

Otra forma de prevenir la inyección SQL es agregar un código particular en su archivo .htaccess. .htaccess es un archivo de configuración que se usa en los servidores web y, por lo tanto, al cambiar esa parte, podrá restringir el acceso de personas externas a su base de datos de WordPress.

Agregue el siguiente código en su archivo .htaccess:

RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
RewriteCond %{QUERY_STRING} http:  [NC,OR]
RewriteCond %{QUERY_STRING} https:  [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]

5 Olvidarse de proteger el archivo de configuración de WordPress

El archivo de configuración de WordPress (wp-config.php) se compone de las credenciales de inicio de sesión de la base de datos de WordPress. Por lo tanto, si algún extraño obtiene acceso a este archivo, puede robar su información y dañar su sitio web. Por lo tanto, se hace necesario que haga todo lo posible para proteger este archivo.

Forma de solucionar este problema

Una de las formas más sencillas de proteger el archivo wp-config.php es modificando el .htaccess y restringiendo el acceso. Para ese propósito, simplemente agregue el siguiente fragmento a su archivo .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

6 No actualizar complementos o temas

Al igual que el núcleo de WordPress, es importante usar la última versión de los complementos o temas en el sitio web de WordPress. El uso de una versión desactualizada de cualquier complemento o tema puede hacer que su sitio sea vulnerable a las amenazas de seguridad. Según una encuesta realizada por WPWhiteSecurity, el 54% de las vulnerabilidades globales de WordPress se deben a complementos.

Forma de solucionar este problema

Siempre verifique la actualización en cualquiera de sus complementos y temas. Asegúrese de estar utilizando la última versión disponible en WordPress. Siguiendo esta metodología, minimizará las posibilidades de amenazas de seguridad en su sitio web de WordPress.

7 Uso de FTP simple

Para aquellos que no saben, las cuentas FTP se utilizan para cargar un archivo en el servidor de su sitio web mediante un cliente FTP. La mayoría de los proveedores de alojamiento admiten la conexión FTP utilizando diferentes tipos de protocolos: FTP simple, SFTP o SSH.

La mayoría de los propietarios de sitios web de WordPress cometen el error de usar FTP simple. Ahora, lo que sucede en un FTP simple es que su contraseña se envía al servidor sin cifrar. Por lo tanto, cualquier persona que pueda piratear el servidor puede acceder fácilmente a su sitio web de WordPress.

Forma de solucionar este problema

En lugar de usar FTP, puede optar por la opción SFTP o SSH. No necesita cambiar el cliente FTP para ese propósito. Simplemente cambie el protocolo a ‘SFTP-SSH' mientras se conecta a su sitio web. Al utilizar este protocolo, podrá enviar la contraseña al servidor de forma cifrada, lo que minimiza el riesgo de problemas de seguridad.

8 No cambiar el prefijo de la tabla de WordPress

Como todos saben, por defecto, todas las tablas de WordPress creadas en su base de datos comienzan con un prefijo llamado ks29so_. A la mayoría de los desarrolladores de WordPress no les importa cambiar este prefijo, ya que sienten que no afectará el rendimiento del sitio.

En constante a eso, este prefijo hace que su sitio web de WordPress sea vulnerable a los problemas de seguridad. La razón detrás de esto es que un atacante puede adivinar fácilmente el nombre de las tablas de la base de datos de WordPress. Por lo tanto, debe intentar resucitar este problema lo antes posible.

Forma de solucionar este problema

En lugar de usar el prefijo predeterminado para las tablas de la base de datos de WordPress, debe definir su propio prefijo que sea complicado por naturaleza para que nadie pueda adivinarlo. Puede cambiar el prefijo de las tablas de su base de datos de WordPress en el momento de la instalación. Así que, recuerda siempre ese punto. Después de eso, no tendrás la oportunidad de cambiar el prefijo.

Así es como puede cambiar el prefijo de la base de datos de WordPress para mejorar la seguridad:

9 programas maliciosos

Malware es una abreviatura de software malicioso. En otras palabras, puede decir que es un código que se utiliza para obtener acceso a un sitio web de manera no autorizada. Un sitio web pirateado indica claramente que se ha inyectado un malware. Ahora, si desea reconocer el malware en el sitio, intente buscar en los archivos modificados recientemente.

Puede haber muchos tipos de infecciones de malware en la web, pero para WordPress, las cuatro principales infecciones de malware se enumeran a continuación:

puertas traseras
Descargas no autorizadas
Trucos farmacéuticos
Redirecciones maliciosas

Forma de solucionar este problema

Cualquier problema de malware se puede identificar fácilmente buscando el archivo modificado recientemente y luego eliminando ese archivo de su sitio web de WordPress. La otra forma de lidiar con este problema es instalar una versión nueva de WordPress o restaurar el sitio web de WordPress desde su copia de seguridad reciente. Ambos métodos lo ayudarán a minimizar las vulnerabilidades de seguridad.

10 permisos de archivo incorrectos

Los permisos de archivo son el conjunto de reglas que utiliza el servidor web. Ayuda a su servidor a controlar el acceso a su archivo en su sitio web de WordPress. Ahora, a veces lo que sucede es que el usuario establece permisos de archivo incorrectos que permiten a los atacantes acceder al archivo y modificarlo de acuerdo con sus requisitos, lo que puede causar un daño importante a su sitio web de WordPress.

Forma de solucionar este problema

La mejor manera de solucionar este problema es establecer el permiso de archivo correcto para su sitio web de WordPress. El permiso de archivo en cualquier sitio web de WordPress debe ser como se indica a continuación:

755 o 750 para todos los directorios
644 o 640 para archivos
600 para wp-config.php

Al configurar estos permisos, podrá restringir el acceso a su sitio web de WordPress, lo que lo ayudará a protegerlo de los atacantes.

Pensamientos finales

La seguridad ha sido una preocupación principal para los propietarios de sitios web a lo largo de los años. Incluso después de tanta investigación realizada en esta área, nadie ha afirmado que es 100% seguro. Esto muestra el nivel de complejidad con el que uno tiene que lidiar al trabajar con este problema.

Teniendo esto en cuenta, hemos tratado de brindarle las 10 principales vulnerabilidades de seguridad de WordPress y las formas de solucionarlas, lo que seguramente lo ayudará en un futuro cercano.

¿Que piensas de este tema? Menciónalos en nuestra sección de comentarios. ¡Gracias!

Fuente de grabación: instantshift.com