Agost 7, 2019

12 de les vulnerabilitats de seguretat de WordPress més perilloses aquest 2019

Executar WordPress o qualsevol CMS (sistema de gestió de contingut) sense la seguretat suficient és com ser propietari d’un magatzem i deixar la clau sota la catifa per als lladres. Però fins i tot amb seguretat, el pirateig es converteix en el nou fet de la vida de molts propietaris d’empreses en línia, editors de contingut i venedors digitals.

Els atacants poden accedir fàcilment a les vostres dades confidencials i informació privada un cop pirategen les vostres propietats digitals. Podeu perdre una quota de mercat significativa immediatament després de comprovar que els llocs web i les aplicacions s'han vist compromesos. Per exemple, això Informe Fortune 2018 diu que Facebook va perdre més de 13 milions de dòlars en valor de les accions quan es van produir notícies sobre una violació de dades que va afectar més de 29 milions d'usuaris a tot el món. Mentrestant, El Manifest afirma que el seu investigació l'any passat indica que al voltant del 44% de tots els usuaris de Facebook van començar a freqüentar molt menys aquesta plataforma de xarxes socials després de conèixer aquest problema de seguretat.

El problema és que, en general, desconeixem els riscos potencials i el fàcil que és millorar la seguretat de les nostres propietats digitals. Per tant, avui examinarem 12 dels problemes de seguretat més grans de molts operadors de WordPress d’aquest any. També estudiarem maneres de millorar la seguretat del vostre lloc. Finalment, revisarem 6 dels connectors de seguretat de WordPress més populars disponibles ara mateix.

Però abans d’explorar diferents problemes de seguretat, hem d’entendre quines parts de WordPress ofereixen més vulnerabilitat.

seguretat WordPressFont: woobro.com

Aquest informe indica que el 37% dels hacks van ser causats per problemes del nucli de WordPress. Mentrestant, el 63% restant provenia de milers de temes de WordPress i de connectors manipulats.

Els 12 principals problemes de seguretat de l'any de WordPress

Els pirates informàtics estan trobant més maneres d’incomplir la seguretat que tenim establerta. I aquí teniu alguns dels problemes de seguretat més habituals de WordPress que estem afrontant aquest any:

1. No mantenir WordPress actualitzat

Alguns pensen que, un cop un lloc de WordPress està en funcionament, és autogestionable. Això no podria estar més lluny de la veritat. Si no esteu contínuament a la part superior del vostre lloc, els pirates informàtics hi entraran. I no importa si teniu una empresa en línia petita o gran.

Actualitzeu WordPressA més, molts grups de ciberdelinqüents i pirates informàtics independents prefereixen les empreses més petites. Això es deu al fet que, en general, molts d’ells són més fàcils de piratejar.

WordPress actualitza automàticament moltes de les seves funcions. Però cal que us assegureu que el vostre lloc es manté actualitzat. Si WordPress no s’actualitza, serà vulnerable al programari maliciós.

El programari maliciós no s’atura necessàriament a incorporar enllaços maliciosos al contingut de les vostres propietats digitals per infectar els dispositius dels vostres espectadors. També pot utilitzar en secret els vostres servidors web com a part de la xarxa de bot de l'autor per realitzar altres activitats il·legítimes a Internet.

Els programes maliciosos també poden accedir a les bases de dades dels vostres llocs web, blocs, llistes de correu i servidors CRM (gestió de la relació amb els clients). Recordeu que aquí s’emmagatzema la informació privada i les dades confidencials de clients i espectadors. Els atacants també poden configurar campanyes de correu massiu automatitzades per distribuir programes més maliciosos als dispositius dels vostres subscriptors i clients.

La versió més actualitzada de WordPress és la 5.1.1, que es va publicar el març d’aquest any. Comprovar actualitzacions regularment us ajudarà a afegir una capa de seguretat addicional al vostre lloc. És una feina fàcil i ràpida. No necessiteu ser capritxós d’ordinador i això us pot estalviar molts problemes.

2. Instal·lació de temes i connectors de WordPress de baixa qualitat

Un tema de WordPress és el que us permet canviar l’aspecte del vostre lloc. Amb els temes, podeu canviar el disseny o el disseny, com es navega pel lloc o, fins i tot, només és l’esquema de colors. D'altra banda, els connectors són petits programes que podeu instal·lar al vostre lloc de WordPress per ampliar les seves funcions.

L’elecció de connectors o temes de baixa qualitat pot obrir el vostre lloc web a diversos problemes de seguretat. És com proporcionar un accés fàcil als pirates informàtics, sobretot tenint en compte que el 63% dels problemes de seguretat es produeixen a través de connectors i temes. Ara, aquest és un detall important que heu de tenir en compte seriosament.

Desenvolupadors i empreses independents creen i distribueixen aquests temes i connectors de WordPress. Com que molts d’aquests són contingut de codi obert, sovint no sempre queda clar quants d’aquests s’integren amb les actualitzacions de seguretat. A més, recordeu que els delinqüents cibernètics distribueixen temes falsos i connectors manipulats per a WordPress. Aquestes es disfressen de versions legítimes o d'aplicacions premium trencades per enganyar als administradors web que no sospitin a instal·lar aquest contingut maliciós als seus llocs i blocs de WordPress.

3. Atacs d'inici de sessió de força bruta

Si intenteu accedir al correu electrònic o a la vostra plataforma de banca en línia, normalment teniu tres intents abans de bloquejar-vos a causa de massa intents fallits. Però sovint no hi ha cap límit en el nombre d'intents perquè algú provi d'iniciar sessió en un lloc de WordPress. Aquest és un dels principals motius pels quals la pàgina d'inici de sessió de WordPress està piratejada més que qualsevol altra pàgina predeterminada d'un lloc de WordPress.

Força BrutaTot i que un altre problema és que molts administradors web no fan servir contrasenyes segures. Temps publicat això Informe 2017 sobre la llista anual de les pitjors contrasenyes de SplashData. Increïblement, al capdavant d’aquesta llista hi havia “123456.”I en segon lloc hi havia la“ contrasenya ”.

A més, hi ha moltes eines de programari que es poden utilitzar per introduir ràpidament milions de combinacions de noms d’usuari i contrasenyes automàticament. Sovint es dissenyen per explotar els llocs de WordPress sense limitacions d’intents d’inici de sessió i aquells amb contrasenyes d’administrador predeterminades o febles. Això es coneix com un atac de força bruta.

Però també tingueu en compte que l’ús del dispositiu local per mantenir-vos connectats al vostre lloc de WordPress durant diverses hores amb llargs períodes d’inactivitat també és la principal causa de penetracions de programari maliciós, instal·lacions de portes posteriors i atacs de pirates informàtics. Això es deu al fet que molts programes maliciosos estan dissenyats per penetrar i dormir secretament en màquines locals, com ara ordinadors Microsoft Windows, equips Mac OS X, sistemes UNIX, iOS i dispositius mòbils Android.

Només en accedir als vostres llocs de WordPress i a altres propietats digitals, aquests components de programari maliciós estan assenyalats per activar i infiltrar-vos als recursos remots. Recordeu, un error a la funció "Veure com" de Facebook va ser la causa de la violació massiva de dades esmentada anteriorment, que va afectar més de 29 milions d'usuaris a tot el món l'any passat.

4. No utilitzeu cap complement de seguretat de WordPress

Podeu sentir que sou més que capaç de gestionar la seguretat del vostre lloc de WordPress. Tot i això, hi ha diversos connectors de seguretat que podeu utilitzar com a solució més formidable. Sabem que WordPress ofereix algunes funcions de seguretat. Però tenint en compte que és el CMS més objectiu actual, val la pena afegir més capes de defensa contra les principals amenaces i riscos de privadesa d’aquest any.

Connector de seguretat de WordPressSense un bon connector de seguretat, el vostre lloc continua obert a atacs de força bruta i programari maliciós. Tindreu opcions predeterminades limitades per controlar, escanejar, detectar i bloquejar automàticament l’activitat potencialment maliciosa als vostres llocs i servidors de dades de WordPress. Això és com comprar una casa i no contractar cap assegurança.

Un dels aspectes clau d’un complement de seguretat és que molts d’aquests programes proporcionen notificacions instantànies. Dirigir una empresa requereix molt de temps. De vegades, ens oblidem d’actualitzar i comprovar els nostres llocs de WordPress, blocs i altres propietats digitals.

Aquí és on es poden produir problemes sense el nostre coneixement. Però quan rebeu alertes instantànies al vostre dispositiu mòbil o notificacions per correu electrònic en temps real d'un connector sobre activitats potencialment malicioses al vostre lloc de WordPress, és molt més probable que pugueu solucionar el problema immediatament abans que empitjori.

5. Manca d'aplicacions de tallafocs formidables

Un ordinador típic que sovint fan servir molts administradors web no sol tenir formidables aplicacions de tallafoc per defecte. Normalment són programes de programari que ofereixen el mínim necessari pel que fa a funcions de seguretat.

Aplicacions de tallafocsSi esteu treballant des de l’ordinador Mac OSX o l’ordinador Microsoft Windows, el vostre sistema sol tenir un tallafoc integrat. Alguns routers de banda ampla també tenen tallafocs incrustats. Tot i que potser no n’hi ha prou, hi ha qui opta per utilitzar un tallafoc addicional d’una empresa creïble de desenvolupament de programari de seguretat de tercers.

Però una bona aplicació de tallafoc examinarà els paquets de dades enviats a través d'Internet i també cap a i des de la vostra Intranet (la vostra xarxa local). Aquests programes de tallafocs de tercers sovint funcionen tant a nivell de maquinari com de programari. Recordeu, doncs, que quan sol·liciteu accés a un lloc web, es genera un testimoni i es transmet un missatge per comprovar si teniu permís vàlid per entrar. Si no teniu els testimonis d’autenticació adequats, no podreu accedir al lloc.

Penseu en augmentar la vostra seguretat global a la vostra organització invertint en solucions com ara SIEM, que pot ajudar a mitigar les amenaces a les vostres xarxes. 

6. Complement de WordPress i acaparament de temes

Amb tants connectors i temes disponibles a WordPress, és bastant normal que vulgueu instal·lar i provar aquests programes per millorar les funcions i canviar l’aspecte visual del vostre lloc de tant en tant. Però de vegades podeu oblidar-vos de desinstal·lar els vostres complements i temes més antics, que es deixen sense utilitzar a la vostra plataforma d’administrador de WordPress.

A més, aquests connectors i temes antics solen ser versions obsoletes. Això es deu al fet que si heu oblidat eliminar-los de la vostra plataforma de WordPress, és probable que no els actualitzeu a les seves versions més recents. Així, es converteixen en vulnerabilitats als vostres llocs de WordPress que els atacants poden aprofitar.

I a part d’aquests riscos de seguretat, haver utilitzat connectors i temes sovint pot frenar el vostre lloc. Si un bloc tarda a carregar-se, és possible que un client potencial només en trobi un de diferent. Per tant, també podeu perdre molts ingressos quan feu això.

7. No controlar els usuaris d'administrador

Molts administradors web contracten treballadors remots per realitzar campanyes de publicitat digital, màrqueting multimèdia i publicació de contingut per als seus llocs de WordPress. Sovint proporcionen al seu personal comptes d’usuari que tenen privilegis d’administrador. Molts d’ells ho fan inconscientment o conscientment.

Aquí és on poden passar problemes. El Verge va afirmar en això Informe d’octubre de 2018 que l'identitat dels sospitosos de la violació massiva de dades de Facebook de l'any passat estava sent retinguda per l'FBI. Van afirmar que l'FBI no descarta la possibilitat que el personal de Facebook també tingui l'oportunitat de jugar un paper en aquest escàndol de seguretat de dades.

Recordeu, doncs, que podeu assignar al vostre personal diverses funcions amb privilegis d'administrador limitats. Aquests són:

  • Editor de SEO
  • SEO Gerent
  • Subscriptor
  • Contribuent
  • autor
  • Editor
  • Administrador

L’elecció dels rols correctes per a cadascun del vostre personal us pot proporcionar més control sobre la seguretat dels vostres llocs i bases de dades de WordPress. Més endavant parlarem de cadascun d’aquests rols.

8. Allotjament compartit en lloc d'allotjament gestionat per WordPress

Com el seu nom indica, l’allotjament compartit és on, juntament amb centenars d’administradors web, utilitzeu el mateix servidor web per allotjar els vostres llocs, blocs i diverses propietats digitals. Però això també significa que els vostres propis recursos allotjats es poden veure afectats significativament per incompliments de dades i infeccions de programari maliciós que es produeixen als llocs i eines d'altres administradors web que utilitzen el mateix servidor i viceversa.

Serveis d’allotjament, servidors dedicats d’allotjament VPS - HostGatorD’altra banda, l’allotjament gestionat per WordPress és un conjunt diferent de paquets que moltes empreses d’allotjament web ofereixen als administradors de webs que vulguin utilitzar WordPress per a les seves propietats digitals. Això us pot proporcionar un control molt millor sobre la instal·lació de WordPress i els recursos del servidor.

El principal avantatge de l’allotjament gestionat de WordPress és la selecció de modificacions de seguretat dissenyades específicament per al CMS, els temes i els connectors de WordPress. Aquests inclouen complements beneficiosos com tallafocs i exploracions de programari maliciós. També ofereix protocols de seguretat d’inici de sessió per evitar atacs de força bruta.

Alguns administradors web solen triar allotjament compartit, ja que requereixen opcions més econòmiques. Però no us beneficiarà de seguretat addicional ni de funcions addicionals que podeu obtenir d’un pla d’allotjament gestionat de WordPress, com ara actualitzacions automàtiques i còpies de seguretat. A més, no teniu cap tipus de control sobre la gravetat amb què altres administradors web fan front a la seguretat dels seus llocs i de les propietats digitals allotjades al mateix servidor web.

9. No fer còpia de seguretat dels vostres llocs i bases de dades de WordPress

Suposem que teniu centenars de publicacions i pàgines, materials de contingut descarregables, vídeos allotjats per si mateixos, llistes de correu i dades CRM emmagatzemades a la vostra plataforma i bases de dades de WordPress. A més, suposem que heu seguit detingudament totes les formes comentades anteriorment protegir el vostre lloc de WordPress contra amenaces de programari maliciós, riscos de privadesa i incompliments de dades.

Però, què passa si el vostre lloc i el vostre servidor es pirategen de cop? Què passa si els atacants han instal·lat programari maliciós al servidor que copia tots els recursos abans que l’elimini completament? És cert: ara no us queda cap manera possible de restaurar el contingut, les dades CRM, les llistes de correu, etc.

Això és tret que tingueu una instantània de la versió més recent de tot el lloc i de les propietats digitals emmagatzemades en un lloc segur com a fitxer de còpia de seguretat. Ara tot el que heu de fer és netejar el servidor de tot codi maliciós, restaurar aquest fitxer de còpia de seguretat i el vostre negoci en línia torna a estar completament operatiu. Tot i que, per descomptat, totes les dades privades i la informació confidencial de les vostres bases de dades i servidors han estat compromeses, aquest és un altre problema.

En poques paraules, els serveis de còpia de seguretat de WordPress poden ajudar a recuperar part del lloc o fins i tot tot el lloc. Però no oblideu que sempre heu d’emmagatzemar els fitxers de còpia de seguretat en una ubicació segura o fins i tot en una altra màquina fora de línia.

Les empreses d’allotjament web sovint ofereixen la possibilitat de configurar còpies de seguretat automàtiques i manuals per als vostres llocs de WordPress, bases de dades i altres propietats digitals. Però si en teniu pla d'allotjament compartit, llavors és probable que aquestes funcions no incloguin el paquet.

10. No aprofitar al màxim les funcions de seguretat predeterminades de WordPress

La vostra base de dades de WordPress és com el cervell del vostre lloc web. És possible que us hàgiu adonat que totes les taules de la vostra base de dades de WordPress comencen amb el prefix "wp_". Ara, això facilita als pirates informàtics i als autors de programari maliciós endevinar els noms de les taules. Realment, si no personalitzeu aquesta configuració, cometreu un gran error.

Una manera senzilla de resoldre aquest problema és canviant aquest prefix "wp_", ja sigui en el moment d'instal·lar WordPress o quan el lloc estigui en funcionament amb l'ajut d'un connector de seguretat. També podeu optar per fer-ho manualment, en cas que tingueu experiència tècnica suficient.

Canviar el prefix no és una tasca per a principiants. Si no es realitza correctament, es corre el risc de trencar el lloc. Per tant, si teniu dubtes sobre la vostra capacitat de codificació, us recomanem que contracteu recursos professionals.

11. Escaneig insuficient

SiteLock Website Security Insider va analitzar 6 milions de llocs web i el va publicar Informe del quart trimestre de 2017. Les seves troballes indiquen que un lloc web de mitjana va ser atacat el 2017 unes 44 vegades al dia. Això suma 16,060 atacs a l'any.

Molts professionals del SEO també diuen que, un cop piratejat un lloc, s’han adonat que molts d’aquests llocs es desindexen dels resultats de la cerca de Google. Això vol dir que podeu perdre un nombre significatiu de nous espectadors i clients potencials un cop això passi.

Per tant, la freqüència amb què escanejar el vostre lloc en busca d’activitats potencialment malicioses és una qüestió a debatre. Però molts experts en seguretat cibernètica us recomanen que ho feu almenys un cop a la setmana.

Quan executeu un escaneig, heu de configurar-lo per comprovar totes les ubicacions, inclosos llocs com ara les vostres bases de dades, temes, connectors i fitxers .htaccess. Un escaneig també ha d'incloure paraules clau relacionades amb programari maliciós, com ara "base64".

Sovint s’oblida o normalment s’ignora l’escaneig regular. Molts administradors web no s’adonen que fer-ho pot proporcionar avantatges de seguretat, i també com escanejar pot prevenir problemes més greus a la llarga.

12. Portes posteriors

La majoria dels administradors de webs són conscients del dany que el programari maliciós pot causar a les seves propietats digitals, bases de dades, aplicacions de client i servidor. Però el grup de remediació Sucuri ho va publicar Informe 2017, cosa que indica que el 71% de 34,371 llocs web infectats tenen portes posteriors basades en PHP. Atès que WordPress és principalment un CMS basat en PHP, el mateix informe assenyala que el 81% d’aquests llocs web infectats funcionen en aquesta plataforma.

Això també significa que el codi maliciós que els pirates informàtics deixen enrere per desplegar portes posteriors sovint sembla un fitxer normal de WordPress. Això fa que els administradors web amb principiants experimentin una experiència remota de seguretat del sistema a distància per detectar i eliminar aquests components de malware de les seves instal·lacions de WordPress. Així doncs, per ajudar-vos, aquí teniu tres de les principals àrees per buscar portes posteriors al vostre lloc de WordPress:

  • A les carpetes bàsiques de Wordpress;
  • A les carpetes noves (encara que no semblin perjudicials); i
  • A connectors i temes.

8 maneres fàcils i ràpides de protegir WordPress

Molts dels problemes esmentats anteriorment es poden prevenir mitjançant algunes solucions de bricolatge (fes-ho tu mateix). Això pot millorar les mesures de seguretat i els protocols de protecció dels vostres llocs de WordPress. A més, no es requereix experiència tècnica en programació web i ciberseguretat tècnica per implementar aquestes formes senzilles i ràpides:

1. Prova de complements i temes de WordPress

Una de les millors maneres de comprovar la qualitat dels vostres connectors és executar un fitxer prova de connectors. Això comprova si el vostre connector té errors de codi o si és probable que faci que el vostre lloc funcioni més lent. Les proves poden comprovar blocs de codi per assegurar-se que fan el que se suposa que han de fer.

PluginTests comPlugin Security Scanner és un plugin per provar connectors. Comprova tots els vostres connectors amb el registre de la base de dades de vulnerabilitats WPScan. L'exploració diària comprovarà els connectors i els temes per a possibles problemes de seguretat.

Una altra bona opció és comprovar les ressenyes que la gent ha deixat sobre un complement o tema en particular. Això necessita més que veure quantes estrelles té el connector o el tema. Proveu de llegir les bones i les males crítiques.

Seguiu els comentaris fets sobre la ressenya. De vegades, una persona publica una crítica errònia perquè no sabia utilitzar les funcions correctament o tenia un problema particular amb el lloc que desenvolupava. No vol dir que us passi el mateix. Sempre és un bon senyal si el creador del complement o del tema ha fet un comentari sobre la ressenya. Mostra que els importa el seu producte.

El fet que un connector sigui gratuït o econòmic, no vol dir que no sigui segur. Però val la pena comprovar-lo abans d’instal·lar-lo al vostre lloc de WordPress.

2. Neteja de primavera els connectors de WordPress

L’amagatzematge de connectors pot comportar més que problemes de seguretat. Pot alentir el vostre lloc de WordPress i també causar certs problemes de compatibilitat amb els vostres connectors i temes actius. Com que hi ha tantes opcions per afegir al vostre lloc de WordPress, és fàcil no fer res amb aquelles que ja no s’utilitzen.

Però desactivar els connectors no és suficient. En fer-ho, no se suprimirà de la base de dades. L’única manera d’eliminar un connector de la base de dades és eliminar-lo completament. Esborrar el desordre de la vostra base de dades és una forma d’alliberar més espai al lloc. I recordeu, els connectors inactius i obsolets són un somni dels pirates informàtics perquè poden explotar-los per accedir fàcilment al vostre lloc.

Per suprimir un connector que no s’utilitza, primer aneu als connectors instal·lats a la secció Connectors del tauler. Feu clic a "inactiu" per veure els connectors que no s'utilitzen. A partir d’aquí podeu seleccionar un connector i suprimir-lo.

Si no esteu segur de suprimir un connector perquè no sabeu si encara utilitzeu les seves funcions al vostre lloc, podeu actualitzar tots els connectors. Automatitzant aquest procés, podeu actualitzar connectors actius i inactius. Però tingueu en compte aquesta opció perquè no totes les actualitzacions de temes i connectors seran compatibles entre si.

3. Gestió de rols a WordPress

És important limitar els privilegis d’accés del vostre personal als vostres llocs de WordPress, bases de dades i servidors web. Es pot accedir a molts dels rols que els assigneu sense compartir la vostra contrasenya de superadministrador.

Comproveu els rols de l'usuariA més, és molt millor tenir menys usuaris amb comptes i diversos privilegis d’accés als vostres recursos. Per tant, aquí teniu més informació sobre els rols disponibles a WordPress per ajudar-vos a seleccionar el tipus de compte més adequat per a cadascun del vostre personal:

  • Administrador: l'administrador té el màxim control del vostre lloc. Poden afegir, editar i suprimir publicacions i instal·lar i suprimir connectors. En termes de seguretat, poden afegir nous usuaris i gestionar contrasenyes.
  • Editor: un editor pot canviar publicacions, afegir o eliminar publicacions existents. No tenen accés a connectors ni configuracions de funcions d'usuari.
  • Autor: un autor pot crear les seves pròpies publicacions i publicar, editar o eliminar les seves publicacions en funció de qualsevol categoria existent.
  • Col·laborador: poden afegir publicacions i editar-les. Però no poden publicar cap contingut.
  • Subscriptor: l'únic que realment pot fer un subscriptor és iniciar sessió al vostre lloc per actualitzar el seu perfil.
  • Editor de SEO o gestor de SEO: tots dos rols són per a l'optimització de motors de cerca. Però el gestor de SEO té accés a més configuracions.

Quan afegiu usuaris al vostre lloc de WordPress, assegureu-vos de proporcionar-los comptes sota les funcions més adequades als privilegis d’accés que necessiten per dur a terme les seves tasques.

4. Assegurar-se que WordPress s’actualitza

Segons això Informe 2018, aproximadament el 72% de totes les instal·lacions de WordPress a tot el món no s’actualitzen a la versió més recent a l’any passat. Això significa que aquests administradors web gairebé faciliten molt la feina d'un pirata informàtic.

Però sabíeu que fer-ho és ràpid i senzill? Fins i tot hi ha 2 maneres de mantenir WordPress actualitzat. Parlem, doncs, del més convenient, que és la forma automàtica. Per configurar les actualitzacions automàtiques, cal que hi hagi un sistema de còpia de seguretat al seu lloc, per si alguna cosa surt malament. A continuació, haureu de triar un connector que gestioni les actualitzacions automàtiques.

Gestor d'actualitzacions fàcils és un dels connectors més populars per a la feina. Un cop tingueu el connector, podeu configurar la configuració d’aquest complement perquè s’adapti millor a les vostres necessitats.

L’altra manera és el mètode manual. Per actualitzar WordPress manualment, podeu fer clic a "actualitzacions" al tauler o fer clic a les dues fletxes que formen un cercle. Però tingueu en compte que si escolliu fer-ho manualment, heu de recordar fer-ho de tant en tant. A més, no oblideu aquests indicadors a l’hora d’actualitzar el nucli de la vostra instal·lació de WordPress:

  • Feu una còpia de seguretat del vostre lloc;
  • Desactivar els connectors;
  • Recupera fitxers;
  • Actualitzeu la instal·lació de l'arrel;
  • Actualitzeu el contingut wp;
  • Actualitzeu tota la resta;
  • Comproveu la configuració de wp;
  • Actualitzeu la base de dades; i
  • Reactiveu els connectors.

5. Canvi a l'allotjament gestionat de WordPress

És possible que l’allotjament compartit estigui bé si només s’està posant en marxa. però això deixa el vostre lloc vulnerable als mateixos perills de seguretat que tothom que comparteix el mateix servidor. Així que tan aviat com pugueu, val la pena actualitzar-lo a l’allotjament gestionat de WordPress.

Bluehost: els millors serveis d’allotjament de llocs web: allotjament segur i fiableBluehost i SiteGround són proveïdors d'allotjament WordPress gestionats popularment. Bluehost costa aproximadament 2.95 USD al mes a partir d’aquest escrit. El temps mitjà de càrrega dels llocs de WordPress allotjats per Bluehost és de 2.87 segons. També obtindràs un gratuït nom de domini.

D'altra banda, SiteGround costa uns 3.95 USD al mes. Són adequats per a aproximadament 10,000 visites al mes. Tot i que no obteniu un nom de domini gratuït, el temps mitjà de càrrega d’una pàgina d’un lloc de WordPress allotjat és de només 0.74 segons. Tant Bluehost com SiteGround ofereixen plans d’allotjament WordPress gestionats que s’inclouen amb còpies de seguretat gratuïtes.

WordPress Hosting: màxima seguretat i velocitat gestionades per expertsI si preferiu un proveïdor d’allotjament gestionat per WordPress amb més avantatges, Kinsta o WP Engine són opcions molt recomanables. Aquestes empreses d’allotjament us permeten personalitzar el vostre tauler de control perquè sigui més fàcil i adequat al que necessiteu. Kinsta costa uns 30 dòlars al mes, mentre que WP Engine costa uns 31.50 dòlars al mes.

Els plans d'allotjament gestionats de WP Engine són una mica més cars, però aquests plans poden gestionar aproximadament 25,000 visites al mes. Això suposa 5000 més del que ofereix Kinsta a través dels seus paquets d’allotjament gestionats de WordPress. També teniu el doble d’espai en disc amb WP Engine a 10 Gb.

6. Enfortiment dels inicis de sessió de WordPress

Com es va descriure anteriorment, els pirates informàtics utilitzen eines automatitzades per introduir milers de possibles combinacions de noms d’usuari i contrasenya en qüestió de segons. Això s’anomena atacs de força bruta. WordPress per defecte, no bloqueja automàticament un usuari després d'un nombre determinat d'intents fallits.

Per tant, us recomanem que configureu una política de bloqueig del compte. Això bloquejarà els intents posteriors després d'un nombre determinat d'intents fallits. I per reduir els falsos positius, podeu configurar una política de bloqueig amb retard. Per tant, després de cada intenció de X, hi haurà uns quants minuts de retard abans que l'usuari pugui tornar a provar d'iniciar sessió al vostre lloc de WordPress. Cada intent fallit amplia el temps de retard.

A més, la casella "Jo no sóc un robot" i eines com reCAPTCHA són excel·lents maneres d'aturar els atacs de força bruta. A més, no només trieu una contrasenya fàcil d’endevinar, ja que és probable que també sigui fàcil de piratejar. Per tant, combineu lletres majúscules i minúscules, afegiu com a mínim un número, intenteu no utilitzar números consecutius i incloeu caràcters especials. Si teniu problemes per recordar les contrasenyes, podeu utilitzar un gestor de contrasenyes.

7. Còpia de seguretat dels vostres llocs i bases de dades de WordPress

Com es va esmentar anteriorment, WordPress té una funció per mantenir una còpia de seguretat de tot el vostre lloc i bases de dades, incloses les configuracions de temes i complements.

Però això no serà bo si WordPress té un problema tècnic que us impedeix utilitzar aquesta funció o accedir als fitxers de còpia de seguretat més recents. Per tant, sempre és una bona idea tenir una còpia de seguretat del vostre lloc web en diversos llocs.

Alguns administradors web decideixen amb prudència mantenir els fitxers de còpia de seguretat en equips fora de línia que controlen completament. Altres opten per emmagatzemar-los a servidors de núvol de tercers com Dropbox i Google Drive. Mentrestant, alguns trien un dels molts connectors disponibles a WordPress. Aquí en teniu alguns exemples:

  • UpdraftPlus - Un servei gratuït utilitzat per més de 2 milions de llocs web;
  • VaultPress - Costa 3.50 USD al mes, però rep còpies de seguretat en núvol en temps real; i
  • Blogvault - Fa una còpia de seguretat del vostre lloc de WordPress i també permet una fàcil recuperació. Cal utilitzar 89 USD per any per utilitzar-lo.

8. Maximització de les funcions de seguretat de WordPress integrades

A part dels connectors de seguretat, WordPress té diverses maneres de millorar la seguretat del vostre lloc. Aquí teniu algunes idees que podeu implementar fàcilment:

  • Canvieu el nom d'usuari "administrador" predeterminat. Això farà que sigui més difícil que els atacs de força bruta puguin piratejar als vostres llocs i bases de dades;
  • Activeu l'autenticació de dos factors. Els usuaris han d’iniciar sessió amb un nom d’usuari i una contrasenya, i també han de fer un seguiment amb un codi d’autenticació únic. S’assembla al codi que s’obté al mòbil o per correu electrònic per confirmar un pagament en línia;
  • Afegiu una pregunta de seguretat. La pantalla d'inici de sessió de WordPress té l'opció d'afegir una pregunta de seguretat. Això millorarà la seguretat del vostre lloc de WordPress; i
  • Executeu programes maliciosos i escàners de seguretat, fins i tot si teniu un connector de seguretat. No estaria mal executar el vostre lloc web mitjançant un escàner en línia d’una empresa de ciberseguretat creïble.

Tot i que la llista sembla esgotadora, la majoria són feines puntuals. D’altres no trigaran gaire temps. Però tots són més fàcils i econòmics que piratejar.

Els 6 millors connectors de seguretat de WordPress aquest 2019

Hi ha molts connectors de seguretat disponibles per a WordPress. Però hem seleccionat 6 de les més populars actualment. Tot i que majoritàriament tenen característiques similars, algunes tenen funcions úniques per adaptar-se millor a les vostres necessitats que altres. A més, la majoria d’aquests connectors són gratuïts, mentre que alguns tenen versions gratuïtes i professionals:

1. Seguretat Sucuri

Sucuri - Seguretat completa del lloc web, control de proteccióSucuri Inc. és una empresa coneguda per la seva experiència en seguretat de llocs web, especialment en WordPress. Molts administradors de webs consideren això com un dels millors connectors de seguretat gratuïts actuals. La versió gratuïta optimitza la seguretat de WordPress i analitza les amenaces del vostre lloc web. D'altra banda, la versió de pagament té un tallafoc que bloqueja els atacs de força bruta i el malware. Aquí hi ha algunes de les seves principals característiques:

  • Opcions d’auditoria de l’activitat de seguretat
  • Supervisió de la integritat de fitxers
  • S'està cercant elements i components de programari maliciós remot
  • Supervisió dels llocs de la llista negra
  • Optimització de protocols de seguretat
  • Solucions de seguretat automàtiques després del pirateig
  • Alertes i notificacions de possibles problemes de seguretat crucials

També ofereixen un servei de neteja si el vostre lloc ha estat infectat. Ens agrada especialment la seva característica "inici de sessió fallit", que enviarà automàticament un correu electrònic a l'administrador del lloc després que un usuari faci un nombre determinat d'intents d'inici de sessió fallits.

La instal·lació del connector Sucuri també pot augmentar el rendiment i la velocitat del vostre lloc web. Segons molts administradors web de tot el món, el tallafoc disponible amb la versió de pagament és un dels millors del mercat.

2. Seguretat iThemes

iThemes porta WordPress més enllà des del 2008El connector de seguretat de iThemes WordPress ofereix moltes opcions per protegir el vostre lloc. Això inclou:

  • Comprovacions d’integritat de fitxers
  • Enduriment de seguretat
  • Limiteu els intents de registre
  • Aplicació forta de la contrasenya
  • 404 deteccions
  • Protecció contra la força bruta

Si voleu optar per la versió professional, també tindreu una programació d’autenticació de dos factors i de detecció de programari maliciós. La caducitat de la contrasenya, Google reCAPTCHA i un widget de tauler també estan disponibles a la versió professional, només per citar-ne alguns.

I gràcies a la seva última actualització, el tauler de configuracions d’aquest complement de seguretat de WordPress ara és molt més fàcil d’utilitzar. Però recordeu, si sou nou en la seguretat de WordPress, val la pena passar per les configuracions bàsiques abans de passar a configuracions avançades.

A més, iThemes proporciona opcions de còpia de seguretat de la vostra base de dades de WordPress. Però per fer una còpia de seguretat de tot el vostre lloc, és molt recomanable que hi hagi un connector BackupBuddy.

3. Còpia de seguretat de WP

BackUpWordPressWP Back up és un potent complement de seguretat per a WordPress. Pot prevenir atacs de força bruta, té integritat de fitxers i control de comptes d'usuari. Es buscarà patrons sospitosos a la vostra base de dades. Algunes de les altres funcions d’aquest connector inclouen:

  • Funciona perfectament fins i tot en entorns amb poca memòria i “host compartit”;
  • Gestiona diversos horaris;
  • Una opció per enviar-vos per correu electrònic cada fitxer de còpia de seguretat;
  • Utilitza zip i MySQL per fer còpies de seguretat més ràpides, en cas que estiguin disponibles;
  • Funciona amb Linux i Windows Server; i
  • Permet excloure fitxers i carpetes específics de les còpies de seguretat.

És un connector de seguretat fàcil d'utilitzar. No necessiteu configurar res prèviament. També tenen un equip de suport realment bo per ajudar-vos.

A més, WP Backup es tradueix a 12 idiomes més. Però ja no podeu fer còpies de seguretat del vostre lloc web a Dropbox ni a Google Drive segons la seva última actualització. Per tant, WP Backup suggereix utilitzar Updraft Plus si voleu fer una còpia de seguretat de tot el vostre lloc.

4. WP tot en un de seguretat i tallafocs

Complement de seguretat i tallafocs de tot en un de WordPressEl millor del complement de seguretat i tallafocs tot en un és que és gratuït. No hi ha versions premium, de manera que el que veieu és el que obteniu. Està ple de gràfics i comptadors que faciliten la lectura de la configuració de seguretat.

Cadascuna de les opcions d’aquest connector es divideix en configuracions bàsiques, intermèdies i avançades. D'aquesta manera, podeu canviar convenientment la configuració de seguretat sense preocupar-vos de fer una configuració incorrecta que pugui trencar el vostre lloc. Algunes de les funcions més destacades d’aquest complement són les següents:

  • Eina de llista negra, per si cal bloquejar els usuaris;
  • Còpia de seguretat de fitxers .htaccess i wp-config;
  • Protecció contra atacs de força bruta i visualització dels intents d'inici de sessió fallits;
  • Afegiu Google reCAPTCHA; i
  • Tallafocs per evitar que el programari maliciós arribi al vostre lloc.

Aquest connector té un total de més de 800,000 instal·lacions en aquest moment. Podeu descarregar-lo en anglès o en un dels altres 9 idiomes. En general, és un complement de seguretat excel·lent per a principiants.

5. Wordfence

Plugin de seguretat de WordPress WordfenceWordfence és un complement de seguretat molt popular, amb més de 3 milions d’instal·lacions. La versió gratuïta inclou un potent escàner de programari maliciós i un conjunt de funcions d'avaluació d'amenaces per a la detecció d'explotacions. Aquest connector també us avisarà i us proporcionarà instruccions sobre com solucionar-les a l'instant en cas que s'hagi detectat activitat maliciosa al vostre lloc de WordPress.

La versió premium de Wordfence funciona a 99 USD, però si teniu previst executar diversos llocs, podeu accedir a preus amb descompte. Però tingueu en compte que la versió gratuïta és prou potent per a llocs de WordPress més petits. La versió gratuïta inclou:

  • Tallafocs d'aplicacions web;
  • Comproveu si hi ha vulnerabilitats conegudes al vostre lloc i us avisa de possibles problemes de seguretat;
  • Analitza si hi ha URL perillosos;
  • Autenticació de dos factors;
  • Pàgina d'inici de sessió CAPTCHA; i
  • Supervisa els connectors per fer-vos saber si ja no estan disponibles.

Si ho preferiu, les vostres alertes de seguretat es poden enviar per correu electrònic, SMS o fins i tot Slack. A més, Wordfence està disponible en anglès i en castellà.

6. A prova de bales

BulletProof SecurityBulletproof ofereix una increïble gamma de funcions, tant a través del seu complement gratuït com de la versió de pagament. El primer té una guàrdia antiexplotació i el descodificador en línia Base64, que molts desenvolupadors troben atractiu. Per a aquells que no siguin del tot experts, podeu fer servir l'assistent de configuració per facilitar el procés. Altres avantatges són:

  • Seguiment, seguiment i millores de seguretat de l’inici de sessió;
  • Restauracions i còpies de seguretat de bases de dades;
  • Eines anti-hacking i filtratge de correu brossa;
  • Escàner de programari maliciós MScan;
  • Creació automàtica de registres de seguretat;
  • Carpetes de connectors ocults; i
  • Mode de manteniment.

Si voleu actualitzar a la versió professional, hi haurà un pagament únic de 69.95 USD. Bulletproof també ofereix una garantia de devolució de 30 dies. La llista de funcions premium és enorme i algunes d’elles inclouen:

  • Monitor de bases de dades, còpia de seguretat i estat i informació;
  • Tancament de sessió inactiva;
  • Manteniment de frontend i backend; i
  • Registre d'errors HTTP i PHP.

A prova de bales cobreix més possibles problemes de seguretat que altres connectors de seguretat. Això es pot dir tant per a versions gratuïtes com de pagament.

Sobre l'autor 

Imran Uddin


{"email": "Adreça de correu electrònic no vàlida", "url": "Adreça del lloc web no vàlida", "obligatòria": "Falta el camp obligatori"}