WordPress segura en 5 pasos

Cómo asegurar WordPress

WordPress es actualmente el sistema de administración de contenido (CMS para Sistema de gestión de contenido en inglés) en el mundo.

solo esto La notoriedad es de doble filo porque también lo convierte en el objetivo privilegiado de piratas.

Aquí hay 5 pasos para asegurar WordPress y continuar blogs en condiciones de seguridad óptimas.

1. La protección básica para asegurar WordPress

Si tiene un servidor dedicado en el que está instalado su copia de WordPress, es mejor establecer algunos detalles para comenzar de forma sólida.

usted puede Instale la herramienta de monitoreo de la red Munin:

http://en.wikipedia.org/wiki/munin_%28log69

, así como Fail2ban para asegurar Su instalación:

http://www.commentcamarche.net/faq/18225- Uso-Fail2Ban-Pour-proteger-Your-Application-Web

También tenga en cuenta que WordPress le solicita Para usar una cuenta de usuario normal en lugar de la cuenta raíz de su servidor por razones de seguridad obvias.

Luego, tiene un servidor dedicado o no, es necesario. Compruebe la organización y el contenido de sus directorios.

De forma predeterminada Un usuario puede ver todos los contenidos de una de sus carpetas.

Por ejemplo, puedo ver directamente en mi navegador el contenido de www.site.fr/sossier/ «/ p>

Si esta carpeta contiene un archivo index.html o index.php, se mostrará automáticamente, lo que se mostrará automáticamente evitando el contenido de la carpeta.

Coloque los archivos de índice se está vinculando principalmente cuando la creación dinámica de carpetas, De ahí la segunda opción, el uso del archivo.htaccess:

Ponga un archivo.htaccess en la raíz de su sitio o edítalo para agregarlo:

 opciones -indexes erordocu 403 http://www.votresite.fr/403.html 

‘p>’ Options -Indexes »Indica que no indexan (mostrar) el contenido de las carpetas. Por lo tanto, genera un error prohibido 403 que puede personalizar a través de un archivo como 403.html indicado en la siguiente línea.

Finalmente, cambian el nombre de las carpetas como Admin o si acaba de instalar WordPress, cambie el nombre de los nombres de Carpetas habituales. Los complementos proponen estas características, lo veremos de inmediato.

2. Los complementos esenciales de WordPress

para iniciar, el famoso WP-Security :

http://wordpress.org/extend/plugins/better-wp- Security / permanece en la parte superior de los complementos de seguridad utilizados. Combina todas las técnicas de seguridad para WordPress en un solo plugin. Para asegurar la redpresión de manera efectiva, este plugin oculta las partes sensibles de su sitio cambiando las URL o deshabilitando la posibilidad de conectarse durante un período determinado. También le permite escanear su sitio, desterrar a los robots maliciosos, para detectar ataques de fuerza en bruto, desterrar a IPS… etc.

la excelente http://wordpress.org/extend/plugins / Bulletproof-Security / Es una alternativa interesante para probar. También es una solución de «click» que agrega seguridad a través del archivo.htaccess. También le permite activar un modo de mantenimiento que permita ciertas direcciones IP solo para conectar y acceder al sitio. Y, finalmente, ayuda a asegurar WordPress contra XSS, fallas RFI, CSRF, inyección de SQL, y otros.

y, finalmente, el escáner de explotación le permite escanear su sitio buscando problemas de seguridad. Este plugin escanea los archivos de su sitio, pero también las tablas en la base de datos (artículos y comentarios) en busca de algo sospechoso y luego lo alerta.

Instrucciones de instalación y uso para estos 3 complementos son todos provistos y detallados por sus creadores..

Tenga cuidado de no ser demasiado paranoico instalando muchos complementos como estos porque puede haber interferencia entre ellos..

3. El factor humano

Para asegurar WordPress, el factor humano es mucho más importante de lo que pensamos. Y tiene un antivirus y toneladas de complementos de seguridad, si le da su contraseña (indirectamente), todo lo que había hecho se vuelve totalmente inútil.

para que tenga que ser consciente de las amenazas. Y diversas trampas de la web. También necesita saber cómo asegurar su sitio sin que necesariamente confía en los complementos.

y es precisamente el objetivo del blog del hacker. Un usuario advertido vale más de 100 complementos. Y desafortunadamente demasiados webmasters aún descuiden la seguridad, incluso en las escuelas informáticas, a menudo es una opción…

Tomo la última vez que obtengo varios correos electrónicos a la semana preguntando qué hacer cuando un sitio o conde ha sido hackeado: cuando se realiza el daño, ¡desafortunadamente es muy difícil repararlo!

4. La prevención es mejor que la cura

para ir directamente sobre lo que se ha dicho en el punto anterior, cuando hablamos de seguridad, este proverbio tiene sentido. Es mejor prepararse para un ataque que para recordar los datos perdidos más adelante. Por lo tanto, copias de seguridad regulares.

Una vez más, los complementos mencionados anteriormente le permitirán hacerlo en un solo clic, puede hacer una copia de seguridad de sus bases de datos regularmente.

También guarde sus listas de correo, su Los usuarios y otros documentos importantes para usted y su sitio. En el caso de Pépin, no tendrá muchos problemas rápidamente, volvió a poner a pie, y estará encantado de haber tomado 5 minutos para evitar lo peor. Esto se llama WordPress segura por anticipación.

Para eso, también tiene complementos como BackWPUP y WP-DBMANAGER.

5. ¿Y si mi blog ha sido hackeado?

¡Es demasiado tarde? ¿El mal se hace?

Hemos visto, WordPress es un CMS muy popular y, por lo tanto, es el tema de los ataques recurrentes y, a veces, enorme.

Si nota una verdadera intrusión o pérdida de Datos, puede pasar inmediatamente su sitio en modo fuera de línea. Edite el archivo.htaccess y coloque el siguiente código:

 Permitir de your_ip_publique denen de todos 

Será el único que tenga acceso a su sitio, la hora de realizar el restablecimiento Pasos.

Por lo general, un pirateo es el resultado de varias pruebas que pueden no ser exitosas y se pueden registrar.

Con un servidor Linux, puede tener acceso a un archivo de registro (CAT / Var / log / syslog en un terminal para mostrarlo) para encontrar posibles pistas en el hacker y cómo proceder.

El gato / comando / var / log / apache2 / error.log también permite Para mostrar el archivo de registro de errores de Apache.

El comando Buscar. -MIME -1 -Print | Más le permite ver los últimos archivos modificados (durante las últimas 48 horas).

No dude en usar otros programas de seguridad para su servidor.

Finalmente, los servicios para asegurar WordPress automáticamente Ver más y más el día, para escanear su sitio en busca de programas maliciosos, tales como: http://www.wordfence.com/

im> También puede echar un ojo en el sitio web de WordPress (en inglés, Esperando para que encuentre el enlace en francés) para obtener un recordatorio y otros trucos de seguridad más detallados.

E-Book PDF 6 mitos en la piratería que el 90% de las personas todavía creen…

Descubrir ¿Cómo todos los hackers actuarán los genios? ¿Están en su entorno? Etc…

Descargo mi guía gratuita ×

¿A qué dirección de correo electrónico le gustaría recibir la guía?

Artículos similares

Crear un sitio web seguro

Hay muchos artículos sobre la creación de sitios web, por lo que no lo haré uno más al respecto. Pero hoy me centraré en la creación de un sitio web seguro, y este tipo de tutorial no existe realmente. Tome el siguiente orden lógico: 1. Cree…

Secure su sitio de WordPress

WordPress es un sistema de administración de contenido (CMS) entre los más populares del mundo. Le permite crear fácilmente y rápidamente crear sitios web eficientes. Solo un sitio web también debe ser seguro. Sepa que las fallas de seguridad que hicieron que la compañía ayer a la víctima en caso de intrusión o…

Cómo asegurar su blog

Veremos en este artículo Cómo asegurar su blog Bajo WordPress, pero los principios siguen siendo aplicables para otros CMS. La protección de directorio se muestra su sitio web de acuerdo con la estructura de sus archivos y carpetas presentes de la raíz web llamada «Directorio de raíz web», generalmente es…

Deja un comentario

Tu dirección de correo electrónico no será publicada.