4 formas de proteger su inicio de sesión de WordPress

Los piratas informáticos no necesitan ser astutos o sofisticados para obtener lo que quieren. A menudo, simplemente entran por la puerta principal. El uso de las herramientas adecuadas puede ayudar, pero hay más que puede hacer para proteger su sitio web y el inicio de sesión seguro de WordPress .

En este informe de Nathan Finch de Aussie Hosting , revisaron y compararon diferentes empresas de alojamiento en función de su desempeño. Descubrieron que las empresas con más tiempo de inactividad también tenían servidores con un mantenimiento deficiente que aumentaba el riesgo de problemas de seguridad.

Se ha informado que Google incluye en listas negras alrededor de 70,000 sitios web por semana por problemas de seguridad de inicio de sesión de WordPress, como malware y phishing. Su primera línea de defensa contra la infiltración es proteger su inicio de sesión de WordPress. Esta forma de control de acceso parece una obviedad, pero se sorprendería de la frecuencia con la que se pasan por alto las medidas de seguridad más simples o se dejan en un segundo plano.

Independientemente de las características de seguridad ofrecidas por su servicio de alojamiento en el back-end, como propietario de un sitio web, la responsabilidad es suya.

- Fuente: Wordfence

¿Qué hace que los inicios de sesión de WordPress sean vulnerables?

La popularidad de WordPress es lo que lo convierte en un objetivo fácil y atractivo. Pero, ¿qué hace que la plataforma sea vulnerable a ataques y exploits?

Por un lado, los piratas informáticos hacen mucho reconocimiento antes de descifrar un sistema. Saben que ciertas versiones de WP tienen más vulnerabilidades que otras, y la plataforma ha existido el tiempo suficiente para que los profesionales sepan cuáles son. El número de versión se encuentra en sus páginas web y en su URL a menos que lo elimine.

Ver su directorio también proporciona mucha información útil, como el tipo de complementos y temas que ha instalado. Debido a que funciona con codificación de código abierto, dejar complementos no utilizados o no compatibles en su directorio, incluso si están deshabilitados, es una forma sencilla para que los piratas informáticos obtengan acceso a su código. Una vez dentro, pueden lanzar exploits, cambiar la codificación, secuestrar sesiones o bloquearlo en su propio sitio web.

Los piratas informáticos pueden verificar la indexación de su directorio examinando las ubicaciones de las carpetas y buscando una respuesta de "Índice de" como esta:

/ wp-content /

/ wp-content / plugins /

/ wp-content / themes /

/ uploads /

/ images /

Pueden buscar complementos vulnerables en su directorio a través de una búsqueda activa utilizando herramientas de secuencias de comandos o una búsqueda pasiva con solicitudes HTML normales. Esto se logra revisando el código fuente HTML y buscando complementos instalados a través de hojas de estilo CSS, comentarios y enlaces JS.

Otra forma en que los piratas informáticos acceden a los sitios web de WordPress es a través de la enumeración de usuarios . Este es un simple preludio de un ataque de fuerza bruta que implica descubrir nombres de usuario y adivinar sus contraseñas a través de un ataque de diccionario o intentar ingresar a través de mecanismos predeterminados. Por ejemplo, los usuarios pueden ser descubiertos iterando sus ID y agregándolos a la URL de esta manera:

wordpressexample.com/?author=1

wordpressexample.com/?author=2

wordpressexample.com/?author=3

Si funciona, la identificación de inicio de sesión se revelará a través de una redirección 303.

Una herramienta llamada WPScan que se utiliza para pruebas de vulnerabilidad puede examinar cientos de posibles contraseñas en menos de un minuto. Pudo devolver la siguiente salida de un tema barato en segundos:

 ruby wpscan.rb -u 192.241.xx.x68 --threads 20 --wordlist 500worst.txt --username testadmin

********* SNIP ******************

[+] Iniciando la contraseña por fuerza bruta

Usuario de fuerza bruta 'testadmin' con 500 contraseñas ... 100% completo.
[+] Finalizado el jueves 18 de julio a las 03:39:02 de 2013
[+] Tiempo transcurrido: 00:01:16

4 formas de proteger su inicio de sesión de WordPress

Afortunadamente, el desarrollador de WP y la comunidad de usuarios son diligentes cuando se trata de brindar soporte. Debido a esto, existen herramientas que están disponibles gratuitamente y las mejores prácticas que puede aprender e implementar para mantener su sitio web seguro.

Aquí hay cuatro técnicas que puede implementar para mejorar la seguridad de inicio de sesión de WordPress.

1. Elimina el número de versión de WP

Dado que los piratas informáticos generalmente buscan el número de versión primero cuando buscan vulnerabilidades, esto es lo primero que debe cambiar al configurar su sitio web. Esto debe hacerse de tal manera que se elimine de las páginas, URL y metaetiquetas sin eliminar el gancho de encabezado u otros métodos incorrectos que se promocionan en Internet.

La mejor manera de eliminar su número de versión de WP es agregar este bit de código al archivo functions.php :

Para eliminar del encabezado:

 remove_action ('wp_head', 'wp_generator');

Para eliminar de la fuente RSS:

 function remove_version_info () {
regreso '';
}
add_filter ('the_generator', 'remove_version_info');

Para eliminar el número de versión de los scripts y estilos:

 function remove_version_from_style_js ($ src) {
if (strpos ($ src, 'ver ='. get_bloginfo ('versión')))
$ src = remove_query_arg ('ver', $ src);
return $ src;
}
add_filter ('style_loader_src', 'remove_version_from_style_js', 9999);
add_filter ('script_loader_src', 'remove_version_from_style_js', 9999);

No importa cuándo instale WP, siempre debe mantener su WordPress actualizado a la última versión tan pronto como se publique. Lo mismo ocurre con los complementos y los temas.

Leer más: ¡Las actualizaciones son cruciales para la seguridad de WordPress !

2. Cambie su URL de inicio de sesión

La dirección de inicio de sesión predeterminada para los administradores de WP es yourwebsite.com/wp-admin y eso es algo que casi todo el mundo familiarizado con la plataforma sabe. Todo lo que se necesita es agregar /wp-login.php después del nombre de dominio y ya está. Una simple alteración de la URL es todo lo que se necesita para evitar que los piratas informáticos adivinen su página de inicio de sesión.

Puede usar un complemento como iThemes Security para lograr esto de manera efectiva.

3. Reducir el número de intentos de inicio de sesión

Otra característica predeterminada de WP defectuosa es permitir intentos de inicio de sesión ilimitados. Esto permite ataques de diccionario y otras técnicas de adivinación de contraseñas. El complemento iThemes Security tiene una función que bloquea su sitio web después de un número determinado de intentos fallidos de inicio de sesión y le envía una alerta.

Si solo desea la función de cierre de sesión de inicio de sesión, puede instalar un complemento llamado Limitar intentos de inicio de sesión recargados y acceder a su configuración para configurar el número de inicios de sesión permitidos.

4. Limite el acceso y utilice la autenticación de dos factores

A estas alturas, debería saber elegir una contraseña segura utilizando un complemento de autenticación de dos factores. El siguiente paso para limitar el acceso es limitar la cantidad de personas que tienen acceso al funcionamiento interno de su sitio web. En tercer lugar, utilice la autenticación de 2 factores que utiliza una combinación de contraseña y clave cifrada para iniciar sesión.

¡Pensamientos finales!

Si bien estas precauciones de seguridad y medidas preventivas explicadas en esta publicación no protegerán su sitio al 100%, brindarán una gran medida de seguridad.

Es importante recordar que los piratas informáticos y los terceros malintencionados buscan las puertas traseras más fáciles de acceder a su sitio web. La mayoría de las veces se utilizan soluciones automatizadas para encontrar estas puertas traseras.

Asegurar su inicio de sesión de WP mantiene esas puertas cerradas y asegura que la única persona que tenga acceso a su sitio sea usted mismo.

Descargo de responsabilidad: esta es una publicación de invitado aportada por Nathan Goldfinch de AussieHosting .