WordPress poderes de una asombrosa un tercio de todos los sitios web en estos días. Ha sido el CMS de la plataforma de elección para nuestra comunidad desde mediados de los aughts cuando muchos de WordPress SEO de características se llevaron a cabo. Es por lo tanto implacablemente atacados, en gran parte para el SEO spam razones, pero los ataques pueden escalar a mucho peor.
he Aquí un vistazo a algunos de WordPress fundamentos y maneras de asegurar que su sitio de WordPress mantiene a salvo.
Es WordPress seguro?
La última versión de WordPress es muy seguro fuera de la caja. Descuidar la actualización de la misma, sin embargo, entre otras cosas, puede hacer que sea peligroso. Esta es la razón por la que muchos profesionales de la seguridad y los desarrolladores no son los fans de WordPress. WordPress también se asemeja a la de PHP espaguetis código que es inherentemente inseguro, donde WordPress se advierte que las vulnerabilidades de \”madre de la plataforma extensible partes, específicamente plugins y temas.\”
actualizaciones de WordPress
no Hay ninguna tal cosa como un 100 por ciento segura del sistema. WordPress necesidades de las actualizaciones de seguridad para operar de manera segura, y las actualizaciones no debería afectar negativamente a usted. Activar las actualizaciones automáticas de seguridad. La actualización del núcleo de WordPress, sin embargo, requiere que asegurarse de que todo es compatible. Actualización de plugins y temas tan pronto como compatible con las versiones están disponibles.
Open source
WordPress es de código abierto, que conlleva riesgos como beneficios. El proyecto se beneficia de una comunidad de desarrolladores que contribuye código del núcleo, el núcleo del equipo de parches de seguridad de defectos encontrados por la comunidad, mientras que los hooligans a descubrir la manera de destrabar las cosas abiertas. Las vulnerabilidades son secuencias de comandos en escaneos por explotar las aplicaciones que se pueden detectar qué versiones de las cosas están funcionando para que coincida con conocidos defectos de sus versiones.
Protegerse primera
Hay cosas que usted puede hacer para protegerse a sí mismo, incluso cuando usted no tiene una función de administrador. Asegúrese de que usted está trabajando en una red segura con una regularidad escaneada de la estación de trabajo. Bloque de anuncios para evitar ataques sofisticados que disfrazan de imágenes. Utilizar VPN para de extremo a extremo de cifrado cada vez que usted está trabajando en hotspots WiFi públicos para evitar la secuestro de sesión y MITM los ataques.
contraseñas Seguras
de forma Segura la gestión de contraseñas es importante, no importa el papel que tienen. Asegúrese de que su contraseña es única y suficiente. Combinaciones de números y letras no son lo suficientemente seguro, incluso con signos de puntuación, cuando las contraseñas no son lo suficientemente largos. Usted necesita contraseñas largas. Utilizar frases de cuatro o cinco palabras enhebradas si necesita memorizar, pero es mejor utilizar un administrador de contraseñas que genera contraseñas para usted.
la longitud de la Contraseña
¿por Qué es la longitud de tan importante? Pongámoslo de esta manera, ocho caracteres de las contraseñas grieta en menos de 2,5 horas de uso de una fuente libre y abierto utilidad llamada HashCat. No importa cómo ininteligible de tu contraseña, sólo se tarda horas para crackear contraseñas cortas. Partir de 13 caracteres, grietas comienza a ser insuperable, al menos por ahora.
Si usted tiene un administrador de la función de usuario, crear un nuevo usuario por sí mismo que se limita a una función de editor. Comenzar a usar el nuevo perfil de administrador. De esa manera, amplia área neta de los ataques se centraron en atacar a su editor de credenciales de la función, y si la sesión se secuestrada usted tiene el admin de la capacidad para cambiar las contraseñas y arrebatar el control de distancia de los intrusos. Obligar a todo el mundo, tal vez mediante el uso de un plugin, para seguir con una fuerte política de contraseñas.
directiva de Seguridad
Si usted tiene experiencia en seguridad, realizar auditorías de código de los plugins y temas que (obviamente). Establecer la principio de mínimo privilegio para todos los usuarios. Luego están obligando a los hackers para realizar shell de estallar trucos y escalada de privilegios que implica atacar otros objetivos que el de WordPress credenciales.
Cambiar los permisos de archivos
Si usted controlar el host, proporcionar a ti mismo con un SFTP cuenta a través de la utilización del Panel de Control si usted tiene uno, o tratar de lo que el administrador de la interfaz de usuario tiene acceso. Puede tener el efecto secundario de la configuración de credenciales para abrir un shell seguro ventana de terminal (SSH). De esa manera se pueden llevar a cabo otras medidas de seguridad en el uso de las utilidades del sistema y más.
Bloqueo de archivos críticos
Hay algunos archivos que no deben ser accedidos excepto por el proceso de PHP funcionamiento de WordPress. Usted puede cambiar los permisos de archivos y editar el .archivo htaccess para bloquear aún más estos archivos hacia abajo. Para cambiar los permisos de archivos, puede usar su cliente de SFTP (si es que tiene la opción), o abrir un terminal ventana de shell y ejecutar el chmod comando de la utilidad.
$ chmod 400 .wp-config
$ ls-la
WordPress Archivo de configuración de Seguridad
Esto significa que sólo el PHP proceso de ejecución de WordPress será capaz de leer el archivo, y nada más. El archivo debe nunca tener el \”bit de ejecución\”, como con chmod 700. Usted siempre debe tener ceros en el segundo y tercer lugar — que es lo que realmente bloquea abajo. Comprobar los cambios que ejecuta el comando ls de la utilidad con -la opciones y echar un vistazo.
de Haber estricto archivo de configuración de permisos no significa nada se puede escribir en el archivo, incluso por WordPress. Usted desea conceder permisos de escritura de vuelta con $ chmod 600 .wp-config cuando hay una importante actualización de WordPress en el fichero de configuración tiene modificaciones. Que debería ocurrir muy raramente, si alguna vez.
inicio de sesión de WordPress archivo
me gusta para bloquear el wp-login.php archivo de usar .reglas htaccess. Limitando el acceso únicamente a mi las direcciones IP es ideal para cuando yo trabajo desde una IP asignadas estáticamente, o un pequeño puñado de direcciones para mí y para algunos usuarios. No es difícil cambiar la configuración si estás iniciando sesión desde otro lugar mientras que usted puede obtener una shell en el host. Simplemente comentar que el negar la directiva, el inicio de sesión con el navegador, y elimine después.
WordPress Htaccess Límite Por IP
XSS y SQL inyección
Por mucho, el más aterradores ataques que te vas a encontrar va a ser cross-site scripting (XSS) y la inyección de SQL. Hay .htaccess de la cadena de consulta de reglas de reescritura puede utilizar para detener a algunos de estos, y usted puede ser el mejor uso de un plugin que va a manejar esto para usted. Algunos plugins de seguridad escanear su instalación en busca de signos de compromiso. Si usted sabe cómo utilizar vuelve a escribir, dirigir o bloquear la cadena de consulta de firmas de ataques de leer o ver en sus registros.
Seguridad plugins
Algunos de los plugins de seguridad escanear su instalación en busca de signos de compromiso. Wordfense es un popular plugin de seguridad, y que se actualiza periódicamente. Sucuri Escáner tiene una opción de pago que va a escanear su instalación. Ninja Firewall se va a tratar y límite de solicitud en la base de los ataques, el bloqueo de ellos antes de llegar a WordPress núcleo. También puede escribir una aplicación mediante la utilización de Google de la nueva Web del Riesgo de la API para escanear las páginas de tu sitio.
Detlef Johnson, Editor at Large para la Tercera Puerta Medios de comunicación. Escribe una columna para el Motor de Búsqueda de la Tierra titulada \”Técnicas de SEO para Desarrolladores\”. Detlef es uno de los originales del grupo de pioneros de los webmasters que estableció el profesional SEO campo hace más de 20 años. Desde entonces ha trabajado para los principales motores de búsqueda con los proveedores de tecnología, programación administrado y comercialización de equipos para el Chicago Tribune, y consultado por numerosas entidades incluidas en la lista Fortune 500 de las empresas. Detlef tiene una sólida comprensión de las Técnicas de SEO y una pasión por la programación Web. Como señaló la tecnología de moderador en nuestro SMX serie de conferencias, Detlef continuará promoviendo el SEO excelencia combinada con el marketing-programador características del webmaster y consejos.
This content was originally published here.