- -
FAQS GREGAL

Accesos directos de espacio

Árbol de páginas

Versiones comparadas

Versión anterior 8

changes.mady.by.user Benito Gimenez Marza

Guardado el

comparado con

Nueva versión Actual

changes.mady.by.user Benito Gimenez Marza

Guardado el

Clave

  • Se ha añadido esta línea.
  • Se ha eliminado esta línea.
  • El formato se ha cambiado.

Tabla de contenidos
Introducción


La securización de Wordpress nos permite mantener nuestro sitio al día, de manera que no se puedan producir incidentes de seguridad que dejen nuestro sitio fuera de línea o nos hagan perder sus datos por acción de atacantes. Estas opciones nos permiten securizar mejor nuestro sitio, añadiendo una capa más de seguridad al que proporciona el Servicio de Webs Avanzadas.

NOTA: Estas recomendaciones no son aplicables a PoliBlogs.

...

  1. Mantener Wordpress actualizado.
  2. Mantener los plugins y temas actualizados, verificando también si el desarrollador del plugin continúa manteniéndolomanteniéndolos. Se pueden activar las actualizaciones automáticas.
  3. Utilizar la versión de PHP más actualizada y, por tanto, más segura. Esta opción se puede modificar desde el panel de control de Plesk.
  4. En el entorno Plesk, realizar un testeo de seguridad de Wordpress y aplicar las medidas sugeridas.
  5. Utilizar certificados SSL para asegurar la comunicación con nuestro sitio.
  6. Utilización de contraseñas complejas de usuario, tanto de usuarios administradores como editores y colaboradores, dado que los atacantes pueden lanzar la publicación de publicaciones entradas no deseadas.
  7. También es recomendable no utilizar el nombre de usuario «admin», para evitar los ataques más simples.
  8. Limitar el número de conexiones de usuario fallidas para evitar ataques de fuerza bruta.
  9. Proteger la página web de acceso al escritorio de Wordpress. Se puede asegurar utilizando varias prácticas que se pueden implantar juntas para lograr una mayor seguridad.
  10. Realizar copias periódicas de seguridad del sitio y almacenarlas en lugar seguro.
  11. Bloquear las publicaciones desde aplicaciones de dispositivos móviles, prefiriendo la publicación desde el panel Wordpress del sitio.
  12. Uso de cortafuegos para limitar el número de interacciones del usuario sobre nuestro sitio. Un atacante puede lanzar un ataque DoS que imposibilitaría el acceso a nuestro sitio.

Implantación de las medidas de securización

1 y 2. Tanto la actualización de Mantener Wordpress, como de los plugins y temas, vienen indicadas mediante globos en el menú del escritorio de Wordpress, de manera que nada más debemos acceder pinchando sobre esa opción de menú, apareciendo la siguiente pantalla:plugins y temas actualizados.  En el menú "Wordpress" en las pestañas "Installations" "Plugins" y "Themes" podemos actualizar todos los componentes de WordPress:


Image AddedImage Removed


NOTA: Se pueden activar las actualizaciones automáticas de los plugins de Wordpress, pero teniendo en cuenta que podría no ser compatible con nuestra configuración.


23. Para utilizar la última versión de PHP debemos disponer de acceso acceder al panel de gestión de nuestro servicio de hosting. En el caso de la UPV, debemos acceder a nuestro panel de gestión Plesk y seleccionamos seleccionar la siguiente opción:

Una vez seleccionada, se nos muestra la siguiente pantalla, donde podemos seleccionar la opción deseada yguardamos y guardar los cambios (si es posible, la versión más actualizada):


4. Para realizar un testeo de seguridad de nuestro sitio Wordpress, debemos acceder al panel de Plesk y seleccionar la opción marcada:WordPress incluye algunas medidas de seguridad que no están activas por defecto. Para activarlas vamos al menú "WordPress" > "Security":

Image AddedImage Removed

Nos aparecerá la siguiente ventana. Una vez seleccionadas las opciones que queramos activar, pinchamos sobre el botón «Secure».

...

5. Para evitar la captura de datos de nuestro sitio web, debemos utilizar un certificado SSL válido. El panel de Plesk nos permite obtener un certificado Let's Encrypt. Podemos acceder a la siguiente dirección:

Certificado SSLInstalación de certificado SSL en el panel de control de Plesk


8. Para limitar el número de intentos fallidos de acceso de acceso al escritorio de Wordpress se pueden utilizar diversos plugins, de manera que un hacker no podrá realizar un ataque de fuerza bruta. Nuestra recomendación son las siguienteses el uso de uno de los siguientes plugins, pero se puede utilizar cualquier plugin de seguridad que lo limite:

  • Limit Login Attempts Reloaded.
  • WPS Limity Login.


9. Podemos proteger la página de acceso al escritorio de Wordpress utilizando plugins que implanten Google Authenticator o preguntas de usuario.

...

11. El bloqueo de aplicaciones de dispositivos móviles se realiza habitualmente mediante la utilización de plugins que bloqueen XML-RPC. Destacamos el siguiente plugin:

  • Disable XML-RPC
  • Security Ninja - Security Scanner
  • Ninja Scanner


12. Como cortafuegos destacamos los siguientes:

  • Wordfence
  • Security Ninja – Secure Firewall & Secure Malware Scanner

Tabla de contenidos

Introducción

La securización de Wordpress nos permite mantener nuestro sitio al día, de manera que no se puedan producir incidentes de seguridad que dejen nuestro sitio fuera de línea o nos hagan perder sus datos por acción de atacantes.

Las prácticas básicas para lograr una protección suficiente se implantan mediante los siguientes pasos, que desarrollamos posteriormente:

  1. Mantener Wordpress actualizado.
  2. Mantener los plugins y temas actualizados, verificando también si el desarrollador del plugin continúa manteniéndolo. Se pueden activar las actualizaciones automáticas.
  3. Utilizar la versión de PHP más actualizada y, por tanto, más segura.
  4. En el entorno Plesk, realizar un testeo de seguridad de Wordpress y aplicar las medidas sugeridas.
  5. Utilizar certificados SSL para asegurar la comunicación con nuestro sitio.
  6. Utilización de contraseñas complejas de usuario, tanto de usuarios administradores como editores y colaboradores, dado que los atacantes pueden lanzar la publicación de publicaciones no deseadas.
  7. También es recomendable no utilizar el nombre de usuario «admin», para evitar los ataques más simples.
  8. Limitar el número de conexiones de usuario fallidas para evitar ataques de fuerza bruta.
  9. Proteger la página web de acceso al escritorio de Wordpress. Se puede asegurar utilizando varias prácticas que se pueden implantar juntas para lograr una mayor seguridad.
  10. Realizar copias periódicas de seguridad del sitio y almacenarlas en lugar seguro.
  11. Bloquear las publicaciones desde aplicaciones de dispositivos móviles, prefiriendo la publicación desde el panel Wordpress del sitio.
  12. Uso de cortafuegos para limitar el número de interacciones del usuario sobre nuestro sitio. Un atacante puede lanzar un ataque DoS que imposibilitaría el acceso a nuestro sitio.

Implantación de las medidas de securización

1 y 2. Tanto la actualización de Wordpress, como de los plugins y temas, vienen indicadas mediante globos en el menú del escritorio de Wordpress, de manera que nada más debemos acceder pinchando sobre esa opción de menú, apareciendo la siguiente pantalla:

Image Removed

2. Para utilizar la última versión de PHP debemos disponer de acceso al panel de gestión de nuestro servicio de hosting. En el caso de la UPV, debemos acceder a nuestro panel de gestión Plesk y seleccionamos la siguiente opción:

Image Removed

Una vez seleccionada, se nos muestra la siguiente pantalla, donde podemos seleccionar la opción deseada yguardamos los cambios (si es posible, la versión más actualizada):

Image Removed

4. Para realizar un testeo de seguridad de nuestro sitio Wordpress, debemos acceder al panel de Plesk y seleccionar la opción marcada:

Image Removed

Nos aparecerá la siguiente ventana. Una vez seleccionadas las opciones que queramos activar, pinchamos sobre el botón «Secure».

Image Removed

5. Para evitar la captura de datos de nuestro sitio web, debemos utilizar un certificado SSL válido. El panel de Plesk nos permite obtener un certificado Let's Encrypt. Podemos acceder a la siguiente dirección:

Certificado SSL

8. Para limitar el número de intentos fallidos de acceso se pueden utilizar diversos plugins. Nuestra recomendación son las siguientes, pero se puede utilizar cualquier plugin de seguridad:

  • Limit Login Attempts.
  • WPS Limity Login.

9. Podemos proteger la página de acceso utilizando plugins que implanten Google Authenticator o preguntas de usuario.

10. Las copias de seguridad se pueden implantar con el uso de plugins que implementen dicha funcionalidad, siendo destacables:

  • All-in-One Wp Migration.
  • UpdraftPlus WordPress Backup Plugin

NOTA: En en panel de Plesk también disponemos de una opción de copia de seguridad que comentamos en la siguiente página Backups de Plesk

11. El bloqueo de aplicaciones de dispositivos móviles se realiza habitualmente mediante la utilización de plugins que bloqueen XML-RPC. Destacamos el siguiente plugin:

  • Disable XML-RPC

12. Como cortafuegos destacamos los siguientes:

...

, con otras opciones atractivas en materia de seguridad:

  • Ninja Firewall
  • Wordfence Firewall (de pago).

Otras opciones de seguridad

Podemos establecer una serie de medidas adicionales de seguridad para proteger nuestro sitio web.

  1. Securizar el panel de control de Plesk mediante Google Authenticator: esta opción nos permite securizar, con autenticación de doble factor, nuestro panel. El acceso se realiza a través del menú indicado:

Image Added


2. Podemos securizar la página de acceso al escritorio de Wordpress mediante el uso del plugin WPS Hide Login o similar. De esta forma, un hacker no podrá lanzar un ataque sobre nuestra página de acceso. Podemos modificar el nombre de la página a nuestro gusto, como se puede ver en la imagen.

Image Added

NOTA: Recuerda que el acceso se realiza con nombre_del_sitio.webs.upv.es/?acceso_personal (por ejemplo). RECUERDA PONER EL ? ANTES DEL NOMBRE DE LA PÁGINA DE ACCESO.


3. Si tenemos habilitada la posibilidad de recepción de correos y comentarios, podemos utilizar el plugin Akismet Antispam. La configuración de este plugin incluye el acceso a Akismet para obtener una clave gratuita que active el servicio.


4. Opciones de pago para securizar nuestro sitio: podemos utilizar plugins de seguridad de pago, que permiten evitar la enumeración de usuarios, disponen de firewall, la inclusión de un doble factor de autenticación de acceso a la página de acceso al escritorio de Wordpress, etc. El plugin más completo es Wordfence Firewall.


5. Detección de malware y modificaciones en los ficheros de nuestro sitio: Se puede proteger mediante el uso de Ninja Scanner, Sucuri Firewall o Wordfence Firewall (de pago).


6. Comprobación de vulnerabilidades: también hay a nuestra disposición plugins como Security Ninja Malware & Scanner para que nos informe de posibles agujeros de seguridad en nuestro sitio web.


Si tu sitio ha sido hackeado...

Puedes consultar las medidas habituales en el siguiente enlace:

https://wordpress.org/documentation/article/faq-my-site-was-hacked/

...