La seguridad de nuestros sitios web
Estamos hablando siempre de Marketing online, posicionamiento, SEO, pero quizás estemos dejando un apartado importante algo desplazado y es la seguridad de nuestras Webs. Tanto si intentan entrar para dañarlo, como para sacar información es algo que nos perjudicará. O el hecho de utilizar el Hacking para posicionar utilizando nuestros recursos, cosa que puede ser penalizada por los buscadores en repercusión nuestra. El software de código abierto de los blogs, es un objetivo principal de muchos ataques maliciosos.
Por ello he pensado en crear esta nueva sección que le llamaré simplemente “seguridad” y donde iré dejando post y nociones sobre la misma, para que estemos un poco más atentos a la misma.
Y este primer artículo lo dedicaremos a wordpress
Por suerte, por el mismo hecho de ser software libre, wordpress tiene muchos plugins de protección, y técnicas. Cuando se utilizan estas herramientas nos podemos defender de la actividad de, hacks, spam y otras amenazas. Vamos a echar un vistazo a algunas de estas técnicas en la actualidad.
Siempre actualizado:
Siempre actualizar su versión de WordPress, el tema y el plugin a la última versión. La actualización puede corregir cualquier fallo de seguridad de la versión anterior, lo que es aconsejable que se actualizará.
Un ejemplo claro lo constituye la versión 3.2, que ya tuvo que liberar su primer parche (3.2.1) apenas cuatro días después de su lanzamiento. Por otro lado, no todos los servidores ISP están preparados para esta nueva versión, ya que necesita que la versión de PHP del sistema sea al menos la 5.2.1 y los alojamientos tipo Plesk de uso más común en España, por ejemplo, usan como última versión estable de PHP la 5.1.6. De todos modos, el propio actualizador de Wordpress informa de dicha incompatibilidad, con lo cual, no existe el peligro de actalizar en falso y desbaratar nuestro Wordpress.
Ocultar su número de versión de WordPress:
Por alguna razón, si no se puede actualizar a la última versión de WordPress, no deje que los hackers sepan la versión actual. Los errores de versiones anteriores son conocidas por todos a través de wordpress.org, y será más fácil para ellos para atacar a su sitio web. Puede ocultar su número de versión de WordPress, siguiendo las siguientes instrucciones:
§ Si está usando una plantilla vieja, elimine la siguiente línea del archivo header.php de tu tema php bloginfo('version'); ?>" />
§ Si está usando una plantilla nueva, sólo tiene que añadir lo siguiente en el archivo functions.php de su plantilla <?php remove_action('wp_head', 'wp_generator'); ?>
Tenga cuidado con de los plugins:
Tenga cuidado al instalar plugins. Algunos plugins pueden tener códigos con errores a través de los cuales otros códigos o SQL puede ser inyectados o algunas de las actividades dañinas que puede hacerse bajar su sitio posicionamiento o ranking.
Compruebe las especificaciones del plugin y su popularidad antes de instalarlo. Y por cierto, lee los comentarios o pedir ayuda a sus amigos blogger sobre el plugin que se va a utilizar.
Al actualizar los plugins a la última versión, asegúrese de actualizar el plugin para wordpress en forma correcta .
Al actualizar los plugins también hay que tener mucha precaución, ya que algunos incorporan nuevos requerimientos (como este mismo de la versión de PHP) y el proceso de actualización de un plugin sí es irreversible. Tanto es así que realmente, la actualización consiste en borrar los archivos de la versión anterior y copiar en su lugar los nuevos. Si después el sistema no permite su activación o produce problemas en el Wordpress, una vez ya actualizado el plugin, no hay manera alguna de recuperarlo salvo desactivar, borrar y volver a instalar la versión anterior. Por eso, antes de actualizar plugins, es conveniente hacerse una copia de seguridad de la versión anterior por si acaso, amén de leer, como siempre, la información que sobre la actualización en sí ofrece el creador de dicho plugin.
Al actualizar los plugins también hay que tener mucha precaución, ya que algunos incorporan nuevos requerimientos (como este mismo de la versión de PHP) y el proceso de actualización de un plugin sí es irreversible. Tanto es así que realmente, la actualización consiste en borrar los archivos de la versión anterior y copiar en su lugar los nuevos. Si después el sistema no permite su activación o produce problemas en el Wordpress, una vez ya actualizado el plugin, no hay manera alguna de recuperarlo salvo desactivar, borrar y volver a instalar la versión anterior. Por eso, antes de actualizar plugins, es conveniente hacerse una copia de seguridad de la versión anterior por si acaso, amén de leer, como siempre, la información que sobre la actualización en sí ofrece el creador de dicho plugin.
Algunos plugins de seguridad para Wordpress
WordPress File Monitor Plus: Detecta la aparición de nuevos archivos añadidos sin la intervención del Panel de Control.
WordPress Database Backup: La nueva versión es muy buena y, entre otras cosas, puredes programar una copia de seguridad de la base de datos y que se te envíe por email a donde digas.
Exploit Scanner: El ya conocido localizador de códigos susceptibles de contener un exploit.
WP Security Scan: Escanea la instalación WordPress en busca de vulnerabilidades y sugiere acciones correctivas. Escanea el blog y verifica contraseñas, permisos de archivos, seguridad de base de datos y ocultación de la versión de WP
Antivirus: Monitorea la instalación de WordPress en busca de archivos añadidos, editados y borrados. Cuando se detecta un cambio se envía un e-mail de alerta a la dirección que se especifique.
WP-dephorm: Protege a los usuarios de phorm (software de publicidad).
WordPress Database Backup: La nueva versión es muy buena y, entre otras cosas, puredes programar una copia de seguridad de la base de datos y que se te envíe por email a donde digas.
Exploit Scanner: El ya conocido localizador de códigos susceptibles de contener un exploit.
WP Security Scan: Escanea la instalación WordPress en busca de vulnerabilidades y sugiere acciones correctivas. Escanea el blog y verifica contraseñas, permisos de archivos, seguridad de base de datos y ocultación de la versión de WP
Antivirus: Monitorea la instalación de WordPress en busca de archivos añadidos, editados y borrados. Cuando se detecta un cambio se envía un e-mail de alerta a la dirección que se especifique.
WP-dephorm: Protege a los usuarios de phorm (software de publicidad).
Cuenta de administrador segura:
Antes de la versión 3.0 de WordPress , el valor predeterminado de instalación de wordpress solía venir con 'admin' una cuenta de administración como nombre de usuario. Como los hackers lo saben, siempre se intentaba antes que nada esto.
Asegúrese de que, su nombre de usuario administrador nos ea algo fácil de adivinar, como "admin", "yoursitename" o "tu nombre". Si ya lo hizo o si se había instalado una versión de wordpress mayores de 3,0, es necesario cambiarlo.
Consulte aquí la forma de cambiar nombre de usuario por defecto de WordPress de seguridad con PhpMyAdmin.
Desactivar la exploración de directorios:
La exploración de directorios en su sitio web es comparable a mantener su puerta siempre abierta, por lo que el ladrón pueda ver su riqueza dentro de la casa y puede hacer un plan para robar. Espero que entiendan la importancia de mantener la puerta cerrada.
Un truco sencillo para desactivar la exploración de directorios es subir un index.html en blanco o el archivo index.php en cada directorio y subdirectorio, excepto la raíz.
También asegúrese de que el truco que se utiliza para encontrar el plugin usado en su sitio web no se aplica en el mismo.
Monitorear cualquier intento de hacking con Wassup:
Wassup es un plugin para WordPress que registra los datos de los detalles de cada usuario. El uso de este plugin puedes controlar todas las actividades maliciosas como inyecciones code/sql
Plugin Url: http://wordpress.org/extend/plugins/wassup/
Si detecta cualquier intento de hack, tenga en cuenta su ip y bloqueala.
Es mejor prevenir que curar:
Por último, pero no menos importante;
§ Mantenga copias de seguridad (base de datos y archivos) siempre. O considere alguna alternativa vaultpress .
§ Mantener su puesto de trabajo libre de virus , y mantener software antivirus actualizado
§ Utilice contraseñas seguras y el cambielas con regularidad. No guardar las contraseñas de los clientes ftp o en las historias del navegador.
§ Si es posible, use temas premium
Estas son algunas técnicas básicas para mantener sus sitios wordpress seguros. Iré poniendo mas consejos de seguridad. Asegúrese de que se ha suscrito a vlcseo para obtener actualizaciones.
Sexador de webs. Marketing online Valencia
Ver el perfil de Jose Fco Cuñat Quiñones
0 comentarios:
Publicar un comentario
Los mensajes que no sean respetuosos, por ética serán eliminados