El problema con todos los sistemas editoriales es que los usuarios instalan complementos y complementos de terceros. Prácticamente es muy difícil garantizar la seguridad de todo el código y proteger al CMS en su conjunto de ataques externos.
Anteriormente, hemos mostrado algunos consejos para ayudar a que el sitio sea más resistente a los ataques. Ahora le mostraremos cómo instalar una solución de seguridad que no debe faltar en ningún sitio de WordPress.
Consejos de seguridad web que no se deben ignorar:
Obtenga más información sobre Cómo proteger WordPress sin complementos, solo mediante el archivo .htaccess y cómo aumentar la seguridad cambiando la URL de la pantalla de la página de inicio de sesión.
1. Búsqueda de antivirus, cortafuegos y malware gratuitos: Wordfence protege los sitios de WordPress de forma gratuita
Wordfence Security es uno de los complementos más recomendados en WordPress. La extensión de seguridad recuerda al antivirus para computadoras y puede proteger la web de piratas informáticos, ataques de fuerza bruta y complementos que tienen un agujero de seguridad descubierto. Todo esto en tiempo real y con controles regulares que constantemente le informan sobre los posibles riesgos y oportunidades para defender su sitio web.
Este plugin está disponible tanto de forma gratuita como en versión de pago. Centrémonos en la versión gratuita que ofrece muchas funciones para mejorar la seguridad del sitio web.
- En la columna izquierda de la administración de WordPress, haga clic en "Plugins"> "Instalación de plugins".
- Introduzca "Wordfence Security" en la búsqueda.
- Haga clic en "Instalar".
- Active el complemento haciendo clic en "Activar".
En la columna izquierda de la administración del sitio, se agregará el marcador "Wordfence". Una vez que se abre, se visualizará una ventana. Se requerirá que introduzca un e-mail con todas las advertencias de seguridad. A continuación, puede omitir la entrada de la clave de licencia: esta opción solo está disponible para la versión Premium.
Después de estos pasos, Wordfence es funcional y activo.
¿Son seguros los complementos y las plantillas? Los controles automáticos revelan amenazas.
Wordfence tiene una gran característica en los controles automáticos. Verifican el estado de los complementos actuales y notifican al webmaster sobre posibles amenazas. Se verifica la actualización de complementos actualizados y las plantillas, y si está instalada la versión más reciente. Al mismo tiempo, es posible verificar la consistencia de los complementos, si algunos de sus componentes ha sido cambiado y no hay malware oculto en ellos.
- Vaya a la administración de WordPress, haga clic en Wordfence en la columna de la izquierda y seleccione "Escanear".
- Puede ejecutar la nueva prueba manualmente haciendo clic en el botón "Iniciar nuevo análisis" o puede ir directamente a los resultados.
- Se realizará una revisión y la propuesta de solución aparecerá debajo en la página.
Si alguna vez se ha encontrado con una situación en la que su sitio de WordPress ha invadido y eliminado el contenido repetidamente o redirigido a los visitantes a una página diferente, Wordfence es una prevención eficaz para tales situaciones.
Las comprobaciones rápidas de la versión gratuita se realizan cada 24 horas, se detallan luego cada 72 horas y la protección funciona continuamente. El plan de control detallado también ofrece una versión de pago.
Protección de inicio de sesión y el bloqueo de direcciones IP sospechosas
Wordfence detecta y bloquea automáticamente las direcciones IP que fracasan en repetidas ocasiones al intentar iniciar sesión en el sitio dentro de un breve lapso de tiempo. Tal comportamiento corresponde a los llamados ataques de diccionario frecuentemente usados. Las direcciones sospechosas, según las estadísticas más frecuentes de Rusia y los países asiáticos, pueden bloquear el sistema e impedir que accedan más al servidor.
Si bloquea accidentalmente a alguien con acceso de administración, puede desbloquearlo manualmente. Con el enlace que llega al correo electrónico del administrador, no puede ocurrir que se produzca un bloqueo completo del acceso a la web.
Monitorear tráfico en tiempo real al servidor
Otra característica interesante es el tráfico en tiempo real, donde puede ver no solo los usuarios en tiempo real, como en Google Analytics, sino que también puede ver todos los enfoques de su sitio web. Incluye variedad de rastreadores, robots de motores de búsqueda y servicios.
Para rastrear el tráfico en tiempo real, siga estos pasos:
- Haga clic en Wordfence en la columna izquierda de la administración de WordPress y seleccione "Tools".
- Haga clic en el marcador "Live Traffic".
- Se muestra el registro en vivo con los registros de la dirección IP y la información sobre el tipo de visita. La tabla muestra cuando se trata de personas "human" y cuando se trata de robots "Bot".
- Para ver los detalles, haga clic en el registro y obtenga más información sobre la dirección IP, y bloquéela si es necesario.
Si es necesario, cambie la configuración del complemento y edítelo en dos lugares. Uno de ellos se llama "Opciones globales de Wordfence", donde se pueden encontrar diferentes configuraciones de reglas – por ejemplo, cuando se enviará al administrador la notificación por correo electrónico.
La segunda opción es el elemento "Todas las opciones", donde se pueden realizar ajustes detallados. Aquí se puede configurar la forma y la frecuencia de los informes de correo electrónico regulares, o las configuraciones para la protección contra ataques de fuerza bruta. Seleccione, después de cuántos intentos fallidos se prohibirá o bloqueará al usuario. Cambiar esta configuración solo se puede recomendar a usuarios experimentados y bajo su propio riesgo.