Mejorando la seguridad en WordPress: Consejos y recomendaciones

cybergibson · 11 Jun 2014

Hola a todos, como algunos de los compañeros estamos recibiendo múltiples ataques (robots) a nuestro wordpress, de hecho estoy recibiendo al correo bloqueos por el FireWire minuto a minuto. Parece que no han conseguido grandes destrozos pero si que han conseguido múltiples accesos a la base de datos con la consiguiente lentitud y fallos de recarga de la web, circunstancia que he podido solucionar a través de mi hosting.

Quería preguntaros que medidas de seguridad tenéis en vuestros sites y como mejorar nuestra seguridad (ej. Renombrar el wp-content, funcions.php, etc... Y como hacerlo de forma fiable

saludos

teury · 11 Jun 2014

4:

4: yo estoi con wp 3.8.1 y no e tenido ataques ¿es peligroso estar con esta vercion?

:devilish:

JhonnyAlvarez · 11 Jun 2014

teury dijo:
4:4: yo estoi con wp 3.8.1 y no e tenido ataques ¿es peligroso estar con esta vercion? :devilish:

Sino hay fallos publicados no, pero el tema es que esa versión deja de tener soporte, si aparecen fallos, serás vulnerable siempre. En cambio actualizando, te evitas estos posibles problemas.

Nota: Nunca actualices apenas veas que hay una nueva versión, siempre espera y navega en busca de artículos donde reporten problemas, a veces lanzan versiones defectuosas y con bugs que posibilitan ataques, negaciones de servicio (DDos), escalada de privilegios, etc, etc. Como es el caso del famoso foro SMF...

Para mejorar la seguridad, puedes cambiar por ejemplo el nombre de usuario por defecto "admin" por otro, el password que no sean letras y números, sino combinaciones como: hydFGBU24!@ por ejemplo.
También es bueno actualizar los plugins, ya que a veces se actualizan por nuevas mejoras y otras porque han encontrado fallos, como el reciente caso del plugin SEO que permitia ataques, defaces, y demás.

Pero lo mejor es, hacer copias de seguridad siempre, ya que si sufres problemas o un posible acceso mal intencionado, podrás siempre restablecer todo.

Un plugin nuevo y recomendado: Wordfence Security

estudiseno · 11 Jun 2014

en tu hosting pon una contraseña a la carpeta wp-admin es casi imposible que entren de esta manera...

ramonjosegn · 11 Jun 2014

Recomendable el plugin (como ya te han dicho)
https://wordpress.org/plugins/wordfence/

Por supuesto NO usar "admin", ojalá algo que no tenga nada que ver, no usar contraseñas que tengan que ver con cosas comunes (y menos con colores)

Puedes añadir este plugin que permite hacer un pequeño dibujo sobre una imagen para tener acesso al administrador (muy efectivo con Wordfence, aunque la versión lite sólo permite unas 4 casillas), ayer precisamente estaba teniendo accesos indebidos (Wordfence por defecto permite 20 fallos), lo instalé y los intentos cesaron
https://wordpress.org/plugins/wp-admin-graphic-password/

---------- Post agregado el 11-jun-2014 hora: 09:10 ----------

estudiseno dijo:
en tu hosting pon una contraseña a la carpeta wp-admin es casi imposible que entren de esta manera...

¿Podrías explicar paso a paso cómo se hace? Ya que no es la primera vez que lo comentas pero no entiendo muy bien cómo sería el proceso.

Adicionalmente, si tengo fotos vinculadas directamente a la zona de subidas (wp-content), ¿esa protección por contraseña no genera problemas?

Gracias por tu ayuda

estudiseno · 11 Jun 2014

ramonjosegn dijo:
Recomendable el plugin (como ya te han dicho)
https://wordpress.org/plugins/wordfence/

Por supuesto NO usar "admin", ojalá algo que no tenga nada que ver, no usar contraseñas que tengan que ver con cosas comunes (y menos con colores)

Puedes añadir este plugin que permite hacer un pequeño dibujo sobre una imagen para tener acesso al administrador (muy efectivo con Wordfence, aunque la versión lite sólo permite unas 4 casillas), ayer precisamente estaba teniendo accesos indebidos (Wordfence por defecto permite 20 fallos), lo instalé y los intentos cesaron
https://wordpress.org/plugins/wp-admin-graphic-password/

---------- Post agregado el 11-jun-2014 hora: 09:10 ----------

¿Podrías explicar paso a paso cómo se hace? Ya que no es la primera vez que lo comentas pero no entiendo muy bien cómo sería el proceso.

Adicionalmente, si tengo fotos vinculadas directamente a la zona de subidas (wp-content), ¿esa protección por contraseña no genera problemas?

Gracias por tu ayuda

Por ejemplo en cpanel busca Password Protected Directoriesc o similar ahi pones el directorio en este caso "wp-admin" un usuario y contraseña.
En ISPConfig te dirijes a Sitios > Web Access > Protected Folders y añades un usuario con su carpeta y contraseña

Un usuario diferente a los usuarios de tu WP y una contraseña que ni recuerdes

Ten en cuanta que despues en tu navegador puedes guardar la pass

no afecta en nada y es mas, es lo primero que hay que hacer en ved de estar instalando tantos plugins que no hacen mas que hacer el agujero de seguridad mas grande.

Si es tuyo el VPS o server lo puedes hacer mediante .htaccess o pasando los valores a nginx segun convenga

---------- Post agregado el 11-jun-2014 hora: 15:23 ----------

por ejemplo https://www.estudiseno.com/wp-admin este es el resultado

si creen que esto es spam que [MENTION=3486]iNeedYou[/MENTION] o quien toque que lo elimine

reBye

ramonjosegn · 11 Jun 2014

estudiseno dijo:
Por ejemplo en cpanel busca Password Protected Directoriesc o similar ahi pones el directorio en este caso "wp-admin" un usuario y contraseña.
En ISPConfig te dirijes a Sitios > Web Access > Protected Folders y añades un usuario con su carpeta y contraseña
e

Ok, gracias por la recomendación, voy a revisarlo con calma

No haces spam cuando estás publicando un link para ayudar

Igual yo sí prefiero tener mis plugins de seguridad, sobretodo en Wordpress

estudiseno · 11 Jun 2014

si no te digo que no haya buenos plugins, pero lo primero es esto y ya despues todo lo demas

JhonnyAlvarez · 11 Jun 2014

estudiseno dijo:
si no te digo que no haya buenos plugins, pero lo primero es esto y ya despues todo lo demas

y despues abres "Internet Explorer 11" y te llevan todas las pass del navegador ^^

estudiseno · 11 Jun 2014

JhonnyAlvarez dijo:
y despues abres "Internet Explorer 11" y te llevan todas las pass del navegador ^^

Desde hace ya muchos años se recomienda opera, firefox y chrome... quien use ese ya sabe a lo que está expuesto....

La seguridad es un estado mental....

ramonjosegn · 11 Jun 2014

estudiseno dijo:
si no te digo que no haya buenos plugins, pero lo primero es esto y ya despues todo lo demas

estoy revisando en cpanel pero es un poco confuso, dice que Nombra el directorio protegido: pese a que uno ya está en la ruta... me dejó perdido (cpanel a veces es una chapuza la traducción la verdad)

estudiseno · 11 Jun 2014

ramonjosegn dijo:
estoy revisando en cpanel pero es un poco confuso, dice que Nombra el directorio protegido: pese a que uno ya está en la ruta... me dejó perdido (cpanel a veces es una chapuza la traducción la verdad)

es que no uso cpanel lo he mirado en google

pero tiene que ser algo así

en la primera casilla pones el directorio
en la segunda el user
y en las dos siguientes las contraseñas

pero no me hagas mucho caso... ya que es lo que googleo

ramonjosegn · 11 Jun 2014

estudiseno dijo:
es que no uso cpanel lo he mirado en google pero tiene que ser algo así

en la primera casilla pones el directorio
en la segunda el user
y en las dos siguientes las contraseñas

pero no me hagas mucho caso... ya que es lo que googleo

Pero en la descripción dice que puedes llamar al directorio como quieras... o sea doblemente confuso, a ver si encuentro algún video tutorial en Youtube, porque quedé más que perdido, jajajaa...

estudiseno · 11 Jun 2014

ramonjosegn dijo:
Pero en la descripción dice que puedes llamar al directorio como quieras... o sea doblemente confuso, a ver si encuentro algún video tutorial en Youtube, porque quedé más que perdido, jajajaa...

has podido o que?

ramonjosegn · 11 Jun 2014

estudiseno dijo:
has podido o que?

Me puse con otras cosas, es que estoy encerrado en casa y estoy viendo si consigo un cerrajero, acá la gente es informal pero con ganas a veces, se suponía que llamaban antes de las 9 y ya van a ser la 10... por mi parte que ya no me llamen... más tarde busco el tuto o pruebo en algún sitio web de prueba

(acabo de llamar a otro y que ya llamarían... ay en fin...)

propa · 11 Jun 2014

ramonjosegn dijo:
estoy revisando en cpanel pero es un poco confuso, dice que Nombra el directorio protegido: pese a que uno ya está en la ruta... me dejó perdido (cpanel a veces es una chapuza la traducción la verdad)

Donde dice "Nombra el directorio protegido" es para que le coloques algun mensaje como el que aparece en el ejemplo que dejo estudiseno que dice "Members Only" puedes colocar lo que quieras, despues agregas un usuario con su clave y listo.

ramonjosegn · 11 Jun 2014

propa dijo:
Donde dice "Nombra el directorio protegido" es para que le coloques algun mensaje como el que aparece en el ejemplo que dejo estudiseno que dice "Members Only" puedes colocar lo que quieras, despues agregas un usuario con su clave y listo.

Lo que yo digo, la gente que traduce CPANEL a veces parece que no saben ni para qué sirven las cosas, jajaa... muchísimas gracias por la aclaración