Fortalecer Seguridad WordPress
La seguridad en WordPress se toma muy en serio, pero como con cualquier otro sistema hay problemas de seguridad potenciales que pueden surgir si no se toman algunas precauciones básicas de seguridad. En este artículo se va a ir a través de algunas formas comunes de vulnerabilidades, y las cosas que usted puede hacer para ayudar a mantener tu instalación de WordPress segura.
Este artículo no es la última solución rápida a sus problemas de seguridad. Si tiene inquietudes o dudas específicas de seguridad, debe hablar con la gente de su confianza para tener un conocimiento suficiente de la seguridad informática y WordPress.
Fundamentalmente, la seguridad no se trata de sistemas perfectamente seguros. Tal cosa podría ser poco práctico o imposible de encontrar y / o mantener. Un servidor seguro protege la privacidad, integridad y disponibilidad de los recursos bajo el control del administrador del servidor.
Cualidades de un proveedor de alojamiento web de confianza pueden incluir:
- Fácilmente discute sus problemas de seguridad y que las funciones y procesos de seguridad que ofrecen en su alojamiento.
- Proporciona las últimas versiones estables de todo el software de servidor.
- Proporciona métodos fiables para la copia de seguridad y recuperación.
Decida qué seguridad que necesita en el servidor determinando el software y los datos que necesita ser protegido. El resto de esta guía le ayudará con esto.
Tenga en cuenta algunas ideas generales, mientras que teniendo en cuenta la seguridad de cada aspecto de su sistema:
Limitar el acceso
Tomar decisiones inteligentes que reduzcan los posibles puntos de entrada disponibles para una persona con malas intenciones.
Contención
El sistema debe ser configurado para minimizar la cantidad de daño que se puede hacer en el caso de que se vea comprometida.
Preparación y conocimiento
Mantener copias de seguridad y conocer el estado de tu instalación de WordPress a intervalos regulares. Tener un plan de copia de seguridad y recuperación de su instalación en el caso de una catástrofe puede ayudarle a volver en línea más rápida en el caso de un problema.
Las vulnerabilidades en el equipo
Asegúrese de que los equipos que utiliza están libres de spyware, malware y las infecciones virales. Ninguna cantidad de seguridad en WordPress o en el servidor web se hace la más mínima diferencia si hay un keylogger en su computadora.
Siempre mantenga el sistema operativo y el software en ella, especialmente su navegador web, al día para protegerse de las vulnerabilidades de seguridad.
Las vulnerabilidades en WordPress
Al igual que muchos paquetes de software modernas, WordPress se actualiza periódicamente para abordar los nuevos problemas de seguridad que pueden surgir. Mejora de la seguridad del software es siempre una preocupación constante, y para ello siempre debe estar al día con la última versión de WordPress. Las versiones anteriores de WordPress no se mantienen con las actualizaciones de seguridad.
Artículo principal: Actualización de WordPress .
La última versión de WordPress está siempre disponible en la página web principal de WordPress en http://wordpress.org . Versiones oficiales no están disponibles en otros lugares - no descargar ni instalar WordPress desde cualquier sitio web que no sea http://wordpress.org .
Desde la versión 2.7, WordPress ha ofrecido actualizaciones automáticas. Utilice esta función para facilitar el proceso de mantener al día. También puede usar el panel de WordPress para mantener informado sobre las actualizaciones. Lea la entrada en el tablero de instrumentos o en el blog del desarrollador de WordPress para determinar qué pasos debe seguir para actualizar y permanecer seguro.
Si se descubre una vulnerabilidad en WordPress y una nueva versión es liberada para abordar el tema, la información necesaria para aprovechar esta vulnerabilidad es casi seguro que en el dominio público. Esto hace que las versiones antiguas más abierto a los ataques, y es una de las razones principales que siempre debe tener WordPress actualizado.
Si usted es un administrador a cargo de más de una instalación de WordPress, considere el uso de Subversion para que la gestión sea más fácil.
Comunicar problemas de seguridad
Si usted cree que ha encontrado una falla de seguridad en WordPress, usted puede ayudar informar del problema. Ver el FAQ Seguridad para obtener información sobre cómo reportar problemas de seguridad.
Si usted cree que ha encontrado un error, repórtelo. Véase el envío de errores para saber cómo hacerlo. Es posible que haya descubierto una vulnerabilidad o un error que podría conducir a una.
Las vulnerabilidades del servidor Web
El servidor web corriendo WordPress y el software en él, puede tener vulnerabilidades. Por lo tanto, asegúrese de que está ejecutando versiones seguras y estables de su servidor web y el software en él o asegúrese de que está utilizando un host de confianza que se encarga de estas cosas por usted.
Si usted está en un servidor compartido (que alberga otras webs, además de su propio sitio) y un sitio web en el mismo servidor está comprometido, su sitio web puede ser potencialmente comprometido, incluso si sigue todo en esta guía. Asegúrese de preguntar a su proveedor de alojamiento web que las medidas de seguridad que toman.
La red en ambos extremos - el servidor de WordPress y el lado de red del cliente - debe ser de confianza. Eso significa que la actualización de las reglas del cortafuegos en el router de su casa y tener cuidado con lo que las redes desde donde trabaja. Un café Internet donde va a enviar contraseñas a través de una conexión no cifrada, inalámbrica no es una red de confianza.
Su proveedor de alojamiento web debe asegurarse de que su red no se vea comprometida por los atacantes, y usted debe hacer lo mismo. Vulnerabilidades de red pueden permitir contraseñas y otra información sensible a ser interceptados.
Muchas vulnerabilidades potenciales se pueden evitar con buenos hábitos de seguridad. Una contraseña segura es un aspecto importante de esta.
El objetivo de la contraseña es hacer que sea difícil para la gente de adivinar y difícil para un ataque de fuerza bruta para tener éxito. Muchos generadores de contraseña automáticos están disponibles que se puede utilizar para crear contraseñas seguras.
WordPress también cuenta con un medidor de intensidad de la contraseña que se muestra cuando se cambia la contraseña en WordPress. Utilice esto al cambiar la contraseña para garantizar su resistencia es la adecuada.
Cosas a evitar al elegir una contraseña:
- Cualquier permutación de su nombre real, nombre de usuario, nombre de la empresa, o el nombre de su sitio web.
- Una palabra de un diccionario, en cualquier idioma.
- Una contraseña corta.
- Cualquier contraseña sólo numérico o alfabético de sólo (una mezcla de ambos es lo mejor).
Una contraseña segura es necesaria no sólo para proteger el contenido de su blog. Un hacker que tenga acceso a su cuenta de administrador es capaz de instalar scripts maliciosos que pueden potencialmente poner en peligro todo el servidor.
Cuando se conecta a su servidor que debe utilizar el cifrado SFTP si su proveedor de alojamiento web proporciona. Si no está seguro si su proveedor de alojamiento web ofrece SFTP o no, sólo hay que preguntar.
Usando SFTP es lo mismo que FTP, excepto la contraseña y otros datos son encriptados, ya que se transmite entre el ordenador y el sitio web. Esto significa que su contraseña no se envía en el claro y no puede ser interceptada por un atacante.
Algunas interesantes características de WordPress vienen permitiendo a varios archivos para ser escribible por el servidor web. Sin embargo, lo que permite el acceso de escritura a los archivos potencialmente peligrosos, especialmente en un entorno de alojamiento compartido.
Lo mejor es bloquear los permisos de ficheros tanto como sea posible y para aflojar las restricciones a las ocasiones en que usted necesita para permitir el acceso de escritura, o crear carpetas específicas con menos restricciones para el propósito de hacer las cosas como la carga de archivos.
He aquí un esquema de permisos posible.
Todos los archivos deben ser de propiedad de su cuenta de usuario, y deben tener permisos de escritura por ti. Cualquier archivo que necesita acceso de escritura de WordPress debe tener permisos de escritura por el servidor web, si su conjunto con capacidad requiere, eso puede significar esos archivos tienen que estar en grupo propiedad de la cuenta de usuario que utiliza el proceso del servidor web.
/
El directorio raíz de WordPress: todos los archivos deben tener permisos de escritura solamente por su cuenta de usuario, excepto .htaccess si quieres WordPress para generar automáticamente reglas de reescritura para usted.
/wp-admin/
El área de administración de WordPress: todos los archivos deben tener permisos de escritura solamente por su cuenta de usuario.
/wp-includes/
El grueso de la lógica de la aplicación WordPress: todos los archivos deben tener permisos de escritura solamente por su cuenta de usuario.
/wp-content/
Suministrado por el usuario contenido: la intención de poder escribir en su cuenta de usuario y el proceso del servidor web.
Dentro de /wp-content/ se encuentran:
/wp-content/themes/
Los archivos de temas. Si desea utilizar el editor de temas incorporados, todos los archivos deben tener permisos de escritura por el proceso del servidor web. Si no desea utilizar el editor de temas incorporados, todos los archivos pueden tener permisos de escritura solamente por su cuenta de usuario.
/wp-content/plugins/
Archivos del plugin: todos los archivos deben tener permisos de escritura solamente por su cuenta de usuario.
Otros directorios que pueden estar presentes en /wp-content/ debe documentar cualquier plugin o tema que requiere. Permisos pueden variar.
Si usted tiene acceso shell a su servidor, puede cambiar los permisos de archivos de forma recursiva con el siguiente comando:
Para Directorios:
find /ruta/a/su/wordpress/install/ -type d -exec chmod 755 {} \;
Para archivos:
find /ruta/a/su/wordpress/install/ -type f -exec chmod 644 {} \;
Si no tiene shell, use un programa FTP o el administrador de archivos dentro de Cpanel.
En cuanto a las actualizaciones automáticas
Cuando le dices a WordPress para realizar una actualización automática, todas las operaciones de archivo se llevan a cabo como el usuario que posee los archivos, no como usuario del servidor web. Todos los archivos se encuentran en 0644 y todos los directorios se establecen para 0755, y escritura para que sólo el usuario y legible por todos los demás, incluido el servidor de web.
Si ejecuta varios blogs en el mismo servidor, es conveniente tener en cuenta los mantiene en bases de datos separadas, cada una gestionada por un usuario diferente. Esto se logra mejor cuando se realiza la primera instalación de WordPress . Se trata de una estrategia de contención: si un intruso entra con éxito una instalación de WordPress, esto hace que sea mucho más difícil de modificar sus otros blogs.
Si se va a administrar MySQL mismo, asegúrese de comprender su configuración de MySQL y funciones que no sean necesarios (por ejemplo, aceptando conexiones TCP remotas) se desactivan. Ver Secure MySQL Database Design para una buena introducción.
Adición de la protección de contraseña de servidor (como BasicAuth ) a /wp-admin/ añade una segunda capa de protección alrededor de la zona de su blog admin, la pantalla de inicio de sesión y los archivos. Esto obliga a un atacante o bot para atacar esta segunda capa de protección en lugar de los archivos de administración actuales. Muchos ataques de WordPress se llevan a cabo de manera autónoma por los robots de software malicioso.
Basta con fijar el wp-admin/ directorio también podría romper algunas funciones de WordPress, como el controlador de AJAX en wp-admin/admin-ajax.php . Ver sección de Recursos para obtener más documentación sobre cómo proteger con contraseña su wp-admin/ directorio correctamente.
Los ataques más comunes en contra de un blog de WordPress por lo general se dividen en dos categorías.
- Envío de peticiones HTTP especialmente diseñados para su servidor con capacidades de carga de exploits específicos para las vulnerabilidades específicas. Estos incluyen plugins y software viejos / anticuados.
- El intento de obtener acceso a su blog utilizando "fuerza bruta" adivinar la contraseña.
La ejecución final de esta "segunda capa" protección de contraseña es exigir una conexión cifrada SSL HTTPS para la administración, por lo que todas las comunicaciones y los datos confidenciales son encriptados. Véase Administración sobre SSL .
Una segunda capa de protección se puede añadir en donde no está generalmente destinada a ser visitada por cualquier usuario. Una forma de hacerlo consiste en bloquear los scripts usando mod_rewrite en el archivo htaccess Nota:.. Para asegurar el código de abajo no se sobrescribe con WordPress, lugar que fuera de los # Inicio # END WordPress y WordPress etiquetas en el archivo htaccess.. WordPress puede sobrescribir cualquier cosa entre estas etiquetas.
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress
Tenga en cuenta que esto no va a funcionar bien en varios sitios, como RewriteRule ^ wp-includes / [^ /] + \ php $ -. [F, L] impide el archivo ms-files.php de la generación de imágenes. La omisión de esta línea permitirá que el código funcione, pero ofrece menos seguridad.
Usted puede mover el archivo wp-config.php en el directorio por encima de su instalación de WordPress. Esto significa que para un sitio instalado en la raíz de su espacio web, puede almacenar wp-config.php fuera de la carpeta Web raíz.
Nota: Algunas personas afirman que mover wp-config.php tiene ventajas mínimas de seguridad y si no se hace con cuidado, en realidad pueden introducir vulnerabilidades graves. Otros están en desacuerdo .
Tenga en cuenta que wp-config.php se puede almacenar un nivel por encima del directorio de WordPress (wp-includes donde reside) instalación. Además, asegúrese de que sólo usted (y el servidor web) se puede leer el archivo (por lo general significa un 400 o 440 permiso).
. Si utiliza un servidor con htaccess, puede poner esto en el archivo (en la parte superior) para negar el acceso a cualquier persona que navegue por ella:
order allow,deny
deny from all
Desactivar la edición del archivo
El panel de WordPress de forma predeterminada, los administradores pueden editar archivos de PHP, como plugin y archivos de tema. Esto es a menudo la primera herramienta a un atacante usará si es capaz de conectarse, ya que permite la ejecución de código. Wordpress tiene una constante para desactivar la edición de Dashboard. La colocación de esta línea en wp-config.php es equivalente a la eliminación de los "edit_themes ',' edit_plugins 'y capacidades de todos los usuarios" edit_files':
define('DISALLOW_FILE_EDIT', true);
Esto no va a evitar que un atacante subir archivos maliciosos de su sitio, pero podría dejar algunos ataques.
En primer lugar, asegúrese de que sus plugins están siempre actualizados. Además, si usted no está usando un plugin específico, eliminarlo del sistema.
Hay algunos plugins que pretenden defender hacia fuera solicitudes de aspecto sospechoso basado en bases de datos de reglas y / o listas blancas. WPIDS Programas de BlogSecurity instala PHPIDS , una capa de seguridad genérica de las aplicaciones PHP, mientras que WordPress Firewall utiliza algunas reglas preconfiguradas WordPress afinado a lo largo de con una lista blanca para descartar a los ataques sin mucha configuración.
El Todo en Uno Firewall WordPress plugin puede aplicar un buen conjunto de reglas de firewall a su sitio.
Otra excelente plugin para usar para la protección de Firewall, así como muchas otras herramientas de gran utilidad, es la seguridad Wordfence . Ofrece registros de visitantes en tiempo real, le envía notificaciones configurables cuando se rompen las reglas, y, posiblemente, la mejor característica - que analiza el núcleo de su sitio, plugins y temas de todos los días y los compara con las versiones que se encuentran en los repositorios de WordPress. Si hay algo que se encuentra fuera del proceso de escaneado, el administrador tiene la capacidad de restaurar los archivos a la versión correcta. Tenga en cuenta que este plugin agrega tablas adicionales para la base de datos y se puede aumentar el tamaño, pero es una digna compensación en las circunstancias adecuadas.
Plugins que necesitan acceso de escritura
Si un plugin quiere el acceso de escritura a los archivos y directorios de WordPress, por favor lea el código para asegurarse de que es de fiar o consulte con alguien de confianza. Lugares posibles a comprobar son los Foros de ayuda y canales IRC .
Como hemos dicho, parte del objetivo de endurecer WordPress es contener el daño hecho si hay un ataque con éxito. Plugins que permiten PHP de su elección o de otro código a ejecutar a partir de entradas en una base de datos magnifican efectivamente la posibilidad de daños en el caso de un ataque con éxito.
Una forma de evitar el uso de un plugin como es el uso de plantillas de páginas personalizadas que llaman a la función. Parte de la seguridad brinda este se activa sólo cuando la edición de archivos no permitir dentro de WordPress .
Seguridad por oscuridad es en general una estrategia primaria errónea. Sin embargo, hay áreas en WordPress donde ocultar información podría ayudar con la seguridad:
- Cambiar el nombre de la cuenta administrativa: En una nueva instalación sólo tiene que crear una nueva cuenta administrativa y eliminar el valor por defecto admin de cuenta. En una instalación de WordPress existente es posible cambiar el nombre de la cuenta existente en el cliente de línea de comandos de MySQL con un comando como UPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin'; o mediante el uso de una interfaz de MySQL como phpMyAdmin .
- Cambie el table_prefix: Muchos ataques de inyección SQL WordPress específicos publicados hacen la suposición de que la table_prefix es wp_ , el valor predeterminado. Cambiar esto puede bloquear por lo menos algunos ataques de inyección SQL.
Las copias de seguridad de datos
Realice una copia de seguridad de sus datos regularmente, incluyendo las bases de datos MySQL. Ver el artículo principal: Copia de seguridad de su base de datos .
La integridad de datos es fundamental para copias de seguridad de confianza. Cifrado de la copia de seguridad, manteniendo un registro independiente de hashes MD5 para cada archivo de copia de seguridad y / o la colocación de copias de seguridad en medios de sólo lectura aumenta su confianza en que sus datos no han sido manipulados.
Una estrategia de copia de seguridad de sonido podría incluir el mantenimiento de un conjunto de instantáneas regularmente programadas de tu instalación de WordPress completa (incluyendo archivos del núcleo de WordPress y su base de datos) en una ubicación de confianza. Imagine un sitio que hace instantáneas semanales. Esta estrategia significa que si un sitio está en peligro el 1 de mayo, pero el compromiso no se detecta hasta que el 12 de mayo, el propietario del sitio tendrá copias de seguridad pre-compromiso que pueden ayudar en la reconstrucción del sitio y, posiblemente, incluso copias de seguridad post-compromiso que ayudarán en determinar cómo se ha visto comprometida al sitio.
Cuando los registros forenses rendimiento son su mejor aliado. Contrariamente a la creencia popular, los registros le permiten ver lo que se hizo y por quién y cuándo. Desafortunadamente los registros no le dirán que, nombre de usuario, conectado, pero le permitirá identificar el IP y el tiempo. Además, usted será capaz de ver alguno de estos ataques a través de los registros - Cross Site Scripting (XSS), Remote File Inclusion (RFI), la inclusión de archivos locales (LFI) e intentos de ataques transversales al Directorio. También será capaz de ver los intentos de fuerza bruta.
Si usted se sienta más cómodo con los registros que usted será capaz de ver cosas como, cuando se utilizan las temáticas y Programas editores, cuando alguien actualiza sus widgets y cuando los mensajes y las páginas que se agregan. Todos los elementos clave cuando se hace el trabajo forense en su servidor web.
Hay dos soluciones de código abierto clave que usted desea en su servidor web desde una perspectiva de seguridad, este es un enfoque por capas a la seguridad.
ModSecurity - Este es un módulo Apache que funciona como un firewall de aplicación Web (WAF). WAF son la clave de hoy, es lo que ve la gente como Cloudflare y Incapsula emplea para filtrar el tráfico. Se filtra todo el tráfico que viene de su sitio y lo analiza antes de que llegue a su sitio. No voy a mentir, la configuración puede ser complicada con WordPress, pero es posible. El otro desafío es que no funciona en Nginx, se adapta para servidores web Apache. La buena noticia es Apache todavía tiene el 90% de los servidores web. Debo aclarar que no es una versión NGINX, pero es menos estable que el Apache y actualmente en un reacondicionamiento.
OSSEC puede funcionar en cualquier distribución NIX y se ejecutará en Windows. Cuando se configura correctamente es muy poderoso. La idea es correlacionar y agregar todos los registros. Tienes que estar seguro de que configurarlo para capturar todos access_logs y error_logs y si tiene varios sitios web en la cuenta del servidor para eso. Usted también querrá estar seguro de filtrar el ruido. Por defecto verá un montón de ruido y usted querrá configurarlo para que sea realmente eficaz.
A veces, la prevención no es suficiente y que todavía puede ser hackeado. Es por eso que es muy importante la detección / control de intrusión. Se le permitirá reaccionar con mayor rapidez, saber lo que pasó y recuperar su sitio.
La supervisión de los registros
Si usted está en un servidor privado dedicado o virtual, en la que usted tiene el lujo de acceso root, usted tiene la capacidad configurar fácilmente las cosas de modo que usted puede ver lo que está pasando. OSSEC facilita fácilmente esto y aquí está un poco de escribir que podrían ayudarle OSSEC para la Seguridad Web - Parte I .
La supervisión de los archivos de cambios
Cuando se produce un ataque, siempre dejan huellas. Ya sea en los registros o en el sistema de archivos (archivos nuevos, modificados, etc.) Si está utilizando OSSEC por ejemplo, se hará un seguimiento de sus archivos y que le avise cuando cambian.
La supervisión de su servidor web externo
Si el atacante intenta desfigurar su sitio o añadir malware, también se puede detectar estos cambios mediante el uso de una solución de monitor de integridad basada en web. Esto viene en muchas formas hoy en día, usar su motor de búsqueda favorito y buscar detección de malware Web y Remediación y probablemente obtendrá una larga lista de proveedores de servicios.
La seguridad en WordPress se toma muy en serio, pero como con cualquier otro sistema hay problemas de seguridad potenciales que pueden surgir si no se toman algunas precauciones básicas de seguridad. En este artículo se va a ir a través de algunas formas comunes de vulnerabilidades, y las cosas que usted puede hacer para ayudar a mantener tu instalación de WordPress segura.Este artículo no es la última solución rápida a sus problemas de seguridad. Si tiene inquietudes o dudas específicas de seguridad, debe hablar con la gente de su confianza para tener un conocimiento suficiente de la seguridad informática y WordPress.
¿Qué es la seguridad?
Fundamentalmente, la seguridad no se trata de sistemas perfectamente seguras. Tal cosa podría ser poco práctico o imposible de encontrar y / o mantener. Un servidor seguro protege la privacidad, integridad y disponibilidad de los recursos bajo el control del administrador del servidor.
Cualidades de un proveedor de alojamiento web de confianza pueden incluir:
- Fácilmente discute sus problemas de seguridad y que las funciones y procesos de seguridad que ofrecen en su alojamiento.
- Proporciona las últimas versiones estables de todo el software de servidor.
- Proporciona métodos fiables para la copia de seguridad y recuperación.
Decida qué seguridad que necesita en el servidor determinando el software y los datos que necesita ser protegido. El resto de esta guía le ayudará con esto.
Seguridad Temas
Tenga en cuenta algunas ideas generales, mientras que teniendo en cuenta la seguridad de cada aspecto de su sistema:
- Limitar el acceso
- Tomar decisiones inteligentes que reduzcan los posibles puntos de entrada disponibles para una persona con malas intenciones.
- Contención
- El sistema debe ser configurado para minimizar la cantidad de daño que se puede hacer en el caso de que se vea comprometida.
- Preparación y conocimiento
- Mantener copias de seguridad y conocer el estado de tu instalación de WordPress a intervalos regulares. Tener un plan de copia de seguridad y recuperación de su instalación en el caso de una catástrofe puede ayudarle a volver en línea más rápida en el caso de un problema.
Las vulnerabilidades en el equipo
Asegúrese de que los equipos que utiliza están libres de spyware, malware y las infecciones virales. Ninguna cantidad de seguridad en WordPress o en el servidor web se hace la más mínima diferencia si hay un keylogger en su computadora.
Siempre mantenga el sistema operativo y el software en ella, especialmente su navegador web, al día para protegerse de las vulnerabilidades de seguridad.
Las vulnerabilidades en WordPress
Al igual que muchos paquetes de software modernas, WordPress se actualiza periódicamente para abordar los nuevos problemas de seguridad que pueden surgir. Mejora de la seguridad del software es siempre una preocupación constante, y para ello siempre debe estar al día con la última versión de WordPress. Las versiones anteriores de WordPress no se mantienen con las actualizaciones de seguridad.
Actualizando WordPress
Artículo principal: Actualización de WordPress .
La última versión de WordPress está siempre disponible en la página web principal de WordPress en http://wordpress.org . Versiones oficiales no están disponibles en otros lugares - no descargar ni instalar WordPress desde cualquier sitio web que no sea http://wordpress.org .
Desde la versión 2.7, WordPress ha ofrecido actualizaciones automáticas. Utilice esta función para facilitar el proceso de mantener al día. También puede usar el panel de WordPress para mantener informado sobre las actualizaciones. Lea la entrada en el tablero de instrumentos o en el blog del desarrollador de WordPress para determinar qué pasos debe seguir para actualizar y permanecer seguro.
Si se descubre una vulnerabilidad en WordPress y una nueva versión es liberada para abordar el tema, la información necesaria para aprovechar esta vulnerabilidad es casi seguro que en el dominio público. Esto hace que las versiones antiguas más abierto a los ataques, y es una de las razones principales que siempre debe tener WordPress actualizado.
Si usted es un administrador a cargo de más de una instalación de WordPress, considere el uso de Subversion para que la gestión sea más fácil.
Comunicar problemas de seguridad
Si usted cree que ha encontrado una falla de seguridad en WordPress, usted puede ayudar informar del problema. Ver el FAQ Seguridad para obtener información sobre cómo reportar problemas de seguridad.
Si usted cree que ha encontrado un error, repórtelo. Véase el envío de errores para saber cómo hacerlo. Es posible que haya descubierto una vulnerabilidad o un error que podría conducir a una.
Las vulnerabilidades del servidor Web
El servidor web corriendo WordPress y el software en él, puede tener vulnerabilidades. Por lo tanto, asegúrese de que está ejecutando versiones seguras y estables de su servidor web y el software en él o asegúrese de que está utilizando un host de confianza que se encarga de estas cosas para usted.
Si usted está en un servidor compartido (que alberga otras webs, además de su propio) y un sitio web en el mismo servidor está comprometido, su sitio web puede ser potencialmente comprometido demasiado, incluso si sigue todo en esta guía. Asegúrese de preguntar a su proveedor de alojamiento web que las medidas de seguridad que toman.
Vulnerabilidades de la red
La red en ambos extremos - el servidor de WordPress y el lado de red del cliente - debe ser de confianza. Eso significa que la actualización de las reglas del cortafuegos en el router a casa y tener cuidado con lo que las redes se trabaja desde. Un café Internet donde va a enviar contraseñas a través de una conexión no cifrada, inalámbrica o no, no es una red de confianza.
Su proveedor de alojamiento web debe asegurarse de que su red no se vea comprometida por los atacantes, y usted debe hacer lo mismo. Vulnerabilidades de red pueden permitir contraseñas y otra información sensible a ser interceptados.
Contraseñas
Muchas vulnerabilidades potenciales se pueden evitar con buenos hábitos de seguridad. Una contraseña segura es un aspecto importante de esta.
El objetivo de la contraseña es hacer que sea difícil para la gente de adivinar y difícil para un ataque de fuerza bruta para tener éxito. Muchos generadores de contraseña automáticos están disponibles que se puede utilizar para crear contraseñas seguras.
WordPress también cuenta con un medidor de intensidad de la contraseña que se muestra cuando se cambia la contraseña en WordPress. Utilice esto al cambiar la contraseña para garantizar su resistencia es la adecuada.
Cosas a evitar al elegir una contraseña:
- Cualquier permutación de su nombre real, nombre de usuario, nombre de la empresa, o el nombre de su sitio web.
- Una palabra de un diccionario, en cualquier idioma.
- Una contraseña corta.
- Cualquier contraseña sólo numérico o alfabético de sólo (una mezcla de ambos es lo mejor).
Una contraseña segura es necesaria no sólo para proteger el contenido de su blog. Un hacker que tenga acceso a su cuenta de administrador es capaz de instalar scripts maliciosos que pueden potencialmente poner en peligro todo el servidor.
FTP
Cuando se conecta a su servidor que debe utilizar el cifrado SFTP si su proveedor de alojamiento web proporciona. Si no está seguro si su proveedor de alojamiento web ofrece SFTP o no, sólo hay que preguntar.
Usando SFTP es lo mismo que FTP, excepto la contraseña y otros datos son encriptados, ya que se transmite entre el ordenador y el sitio web. Esto significa que su contraseña no se envía en el claro y no puede ser interceptada por un atacante.
Permisos de archivo
Algunas interesantes características de WordPress vienen permitiendo a varios archivos para ser escribible por el servidor web. Sin embargo, lo que permite el acceso de escritura a los archivos potencialmente peligrosos, especialmente en un entorno de alojamiento compartido.
Lo mejor es bloquear los permisos de ficheros tanto como sea posible y para aflojar las restricciones a las ocasiones en que usted necesita para permitir el acceso de escritura, o crear carpetas específicas con menos restricciones para el propósito de hacer las cosas como la carga de archivos.
He aquí un esquema de permisos posible.
Todos los archivos deben ser de propiedad de su cuenta de usuario, y deben tener permisos de escritura por ti. Cualquier archivo que necesita acceso de escritura de WordPress debe tener permisos de escritura por el servidor web, si su conjunto con capacidad requiere, eso puede significar esos archivos tienen que estar en grupo propiedad de la cuenta de usuario que utiliza el proceso del servidor web.
/- El directorio raíz de WordPress: todos los archivos deben tener permisos de escritura solamente por su cuenta de usuario, excepto
.htaccesssi quieres WordPress para generar automáticamente reglas de reescritura para usted. /wp-admin/- El área de administración de WordPress: todos los archivos deben tener permisos de escritura solamente por su cuenta de usuario.
/wp-includes/- El grueso de la lógica de la aplicación WordPress: todos los archivos deben tener permisos de escritura solamente por su cuenta de usuario.
/wp-content/- Suministrado por el usuario contenido: la intención de poder escribir en su cuenta de usuario y el proceso del servidor web.
Dentro de /wp-content/ se encuentran:
/wp-content/themes/- Los archivos de temas. Si desea utilizar el editor de temas incorporados, todos los archivos deben tener permisos de escritura por el proceso del servidor web. Si no desea utilizar el editor de temas incorporados, todos los archivos pueden tener permisos de escritura solamente por su cuenta de usuario.
/wp-content/plugins/- Archivos del plugin: todos los archivos deben tener permisos de escritura solamente por su cuenta de usuario.
Otros directorios que pueden estar presentes en /wp-content/ debe documentar cualquier plugin o tema que requiere. Permisos pueden variar.
Cambiar permisos de archivos
Si usted tiene acceso shell a su servidor, puede cambiar los permisos de archivos de forma recursiva con el siguiente comando:
Para Directorios:
find / ruta / a / su / wordpress / install /-type d-exec chmod 755 {} \;
Para archivos:
find / ruta / a / su / wordpress / install /-type f-exec chmod 644 {} \;
En cuanto a las actualizaciones automáticas
Cuando le dices a WordPress para realizar una actualización automática, todas las operaciones de archivo se llevan a cabo como el usuario que posee los archivos, no como usuario del servidor web. Todos los archivos se encuentran en 0644 y todos los directorios se establecen para 0755, y escritura para que sólo el usuario y legible por todos los demás, incluido el servidor de web.
Seguridad de Base de Datos
Si ejecuta varios blogs en el mismo servidor, es conveniente tener en cuenta los mantiene en bases de datos separadas, cada una gestionada por un usuario diferente. Esto se logra mejor cuando se realiza la primera instalación de WordPress . Se trata de una estrategia de contención: si un intruso entra con éxito una instalación de WordPress, esto hace que sea mucho más difícil de modificar sus otros blogs.
Si se va a administrar MySQL mismo, asegúrese de comprender su configuración de MySQL y funciones que no sean necesarios (por ejemplo, aceptando conexiones TCP remotas) se desactivan. Ver Secure MySQL Database Design para una buena introducción.
Asegurar wp-admin
Adición de la protección de contraseña de servidor (como BasicAuth ) a /wp-admin/ añade una segunda capa de protección alrededor de la zona de su blog admin, la pantalla de inicio de sesión y los archivos. Esto obliga a un atacante o bot para atacar esta segunda capa de protección en lugar de los archivos de administración actuales. Muchos ataques de WordPress se llevan a cabo de manera autónoma por los robots de software malicioso.
Basta con fijar el wp-admin/ directorio también podría romper algunas funciones de WordPress, como el controlador de AJAX en wp-admin/admin-ajax.php . Ver el Recursos sección para obtener más documentación sobre cómo proteger con contraseña su wp-admin/ directorio correctamente.
Los ataques más comunes en contra de un blog de WordPress por lo general se dividen en dos categorías.
- Envío de peticiones HTTP especialmente diseñados para su servidor con capacidades de carga de exploits específicos para las vulnerabilidades específicas. Estos incluyen plugins y software viejos / anticuados.
- El intento de obtener acceso a su blog utilizando "fuerza bruta" adivinar la contraseña.
La ejecución final de esta "segunda capa" protección de contraseña es exigir una conexión cifrada SSL HTTPS para la administración, por lo que todas las comunicaciones y los datos confidenciales son encriptados. Véase Administración sobre SSL .
Asegurar wp-includes
Una segunda capa de protección se puede añadir en donde no está generalmente destinados a ser visitada por cualquier usuario. Una forma de hacerlo consiste en bloquear los scripts usando mod_rewrite en el archivo htaccess Nota:.. Para asegurar el código de abajo no se sobrescribe con WordPress, lugar que fuera de los # Inicio # END WordPress y WordPress etiquetas en el archivo htaccess.. WordPress puede sobreescribir cualquier cosa entre estas etiquetas.
# Include Bloquear los archivos de sólo. En RewriteEngine RewriteBase / RewriteRule ^ wp-admin/includes / - [F, L] RewriteRule ^ wp-includes / - [S = 3] RewriteRule ^ wp-includes / [^ /] + \ php $ -. [F, L] RewriteRule ^ wp-includes/js/tinymce/langs / + \ php -.. [F, L] RewriteRule ^ wp-includes/theme-compat / - [F, L] # Inicio de WordPress
Tenga en cuenta que esto no va a funcionar bien en varios sitios, como RewriteRule ^ wp-includes / [^ /] + \ php $ -. [F, L] impida el archivo ms-files.php de la generación de imágenes. La omisión de esta línea permitirá que el código funcione, pero ofrece menos seguridad.
Asegurar wp-config.php
Usted puede mover el archivo wp-config.php en el directorio por encima de su instalación de WordPress. Esto significa que para un sitio instalado en la raíz de su espacio web, puede almacenar wp-config.php fuera de la carpeta Web raíz.
- Nota: Algunas personas afirman que mover wp-config.php tiene ventajas mínimas de seguridad y si no se hace con cuidado, en realidad pueden introducir vulnerabilidades graves. Otros están en desacuerdo .
Tenga en cuenta que wp-config.php se puede almacenar un nivel por encima del directorio de WordPress (wp-includes donde reside) instalación. Además, asegúrese de que sólo usted (y el servidor web) se puede leer el archivo (por lo general significa un 400 o 440 permiso).
. Si utiliza un servidor con htaccess, puede poner esto en el archivo (en la parte superior) para negar el acceso a cualquier persona que navegue por ella:
ordenar permitir, denegar deny from all
Desactivar la edición del archivo
El panel de WordPress de forma predeterminada, los administradores pueden editar archivos de PHP, como plugin y archivos de tema. Esto es a menudo la primera herramienta a un atacante usará si es capaz de conectarse, ya que permite la ejecución de código. Wordpress tiene una constante para desactivar la edición de Dashboard. La colocación de esta línea en wp-config.php es equivalente a la eliminación de los "edit_themes ',' edit_plugins 'y capacidades de todos los usuarios" edit_files':
define ('DISALLOW_FILE_EDIT', true);
Esto no va a evitar que un atacante subir archivos maliciosos de su sitio, pero podría dejar algunos ataques.
Plugins
En primer lugar, asegúrese de que sus plugins están siempre actualizados. Además, si usted no está usando un plugin específico, eliminarlo del sistema.
Plugins Firewall
Hay algunos plugins que pretenden defender hacia fuera solicitudes de aspecto sospechoso basado en bases de datos de reglas y / o listas blancas. WPIDS Programas de BlogSecurity instala PHPIDS , una capa de seguridad genérica de las aplicaciones PHP, mientras que WordPress Firewall utiliza algunas reglas preconfiguradas WordPress afinado a lo largo de con una lista blanca para descartar a los ataques sin mucha configuración.
El Todo en Uno Firewall WordPress plugin puede aplicar un buen conjunto de reglas de firewall a su sitio.
Otra excelente plugin para usar para la protección de Firewall, así como muchas otras herramientas de gran utilidad, es la seguridad Wordfence . Ofrece registros de visitantes en tiempo real, le envía notificaciones configurables cuando se rompen las reglas, y, posiblemente, la mejor característica - que analiza el núcleo de su sitio, plugins y temas de todos los días y los compara con las versiones que se encuentran en los repositorios de WordPress. Si hay algo que se encuentra fuera del proceso de escaneado, el administrador tiene la capacidad de restaurar los archivos a la versión correcta. Tenga en cuenta que este plugin agrega tablas adicionales para la base de datos y se puede aumentar el tamaño, pero es un digno compensación en las circunstancias adecuadas.
Plugins que necesitan acceso de escritura
Si un plugin quiere el acceso de escritura a los archivos y directorios de WordPress, por favor lea el código para asegurarse de que es de fiar o consulte con alguien de confianza. Lugares posibles a comprobar son los Foros de ayuda y canales IRC .
Plugins ejecución de código
Como hemos dicho, parte del objetivo de endurecer WordPress es contener el daño hecho si hay un ataque con éxito. Plugins que permiten PHP de su elección o de otro código a ejecutar a partir de entradas en una base de datos magnifican efectivamente la posibilidad de daños en el caso de un ataque con éxito.
Una forma de evitar el uso de un plugin como es el uso de plantillas de páginas personalizadas que llaman a la función. Parte de la seguridad brinda este se activa sólo cuando la edición de archivos no permitir dentro de WordPress .
Seguridad por oscuridad
Seguridad por oscuridad es en general una estrategia primaria erróneo. Sin embargo, hay áreas en WordPress donde ocultar información podría ayudar con la seguridad:
- Cambiar el nombre de la cuenta administrativa: En una nueva instalación sólo tiene que crear una nueva cuenta administrativa y eliminar el valor por defecto
adminde cuenta. En una instalación de WordPress existente es posible cambiar el nombre de la cuenta existente en el cliente de línea de comandos de MySQL con un comando comoUPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';o mediante el uso de una interfaz de MySQL como phpMyAdmin . - Cambie el table_prefix: Muchos ataques de inyección SQL WordPress específicos publicados hacen la suposición de que la table_prefix es
wp_, el valor predeterminado. Cambiar esto puede bloquear por lo menos algunos ataques de inyección SQL.
Las copias de seguridad de datos
Realice una copia de seguridad de sus datos regularmente, incluyendo las bases de datos MySQL. Ver el artículo principal: Copia de seguridad de su base de datos .
La integridad de datos es fundamental para copias de seguridad de confianza. Cifrado de la copia de seguridad, manteniendo un registro independiente de hashes MD5 para cada archivo de copia de seguridad y / o la colocación de copias de seguridad en medios de sólo lectura aumenta su confianza en que sus datos no han sido manipulados.
Una estrategia de copia de seguridad de sonido podría incluir el mantenimiento de un conjunto de instantáneas regularmente programadas de tu instalación de WordPress completa (incluyendo archivos del núcleo de WordPress y su base de datos) en una ubicación de confianza. Imagine un sitio que hace instantáneas semanales. Esta estrategia significa que si un sitio está en peligro el 1 de mayo, pero el compromiso no se detecta hasta que el 12 de mayo, el propietario del sitio tendrá copias de seguridad pre-compromiso que pueden ayudar en la reconstrucción del sitio y, posiblemente, incluso copias de seguridad post-compromiso que ayudarán en determinar cómo se ha visto comprometida al sitio.
Inicio de sesión
Cuando los registros forenses rendimiento son su mejor aliado. Contrariamente a la creencia popular, los registros le permiten ver lo que se hizo y por quién y cuándo. Desafortunadamente los registros no le dirán que, nombre de usuario, conectado, pero le permitirá identificar el IP y el tiempo. Además, usted será capaz de ver alguno de estos ataques a través de los registros - Cross Site Scripting (XSS), Remote File Inclusion (RFI), la inclusión de archivos locales (LFI) y Directory Traversal intentos. También será capaz de ver los intentos de fuerza bruta.
Si usted se sienta más cómodo con los registros que usted será capaz de ver cosas como, cuando se utilizan las temáticas y Programas editores, cuando alguien actualiza sus widgets y cuando los mensajes y las páginas que se agregan. Todos los elementos clave cuando se hace el trabajo forense en su servidor web.
Hay dos soluciones de código abierto clave que usted desea en su servidor web desde una perspectiva de seguridad, este es un enfoque por capas a la seguridad.
ModSecurity - Este es un módulo Apache que funciona como un firewall de aplicación Web (WAF). WAF son la clave de hoy, es lo que ve la gente como Cloudflare y Incapsula emplea para filtrar el tráfico. Se filtra todo el tráfico que viene de su sitio y lo analiza antes de que llegue a su sitio. No voy a mentir, la configuración puede ser complicado con WordPress, pero es posible. El otro desafío es que no funciona en Nginx, se adapta para servidores web Apache. La buena noticia es Apache todavía tiene el 90% de los servidores web. Debo aclarar que no es una versión NGINX, pero es menos estable que el Apache y actualmente en un rehaul.
OSSEC puede funcionar en cualquier distribución NIX y se ejecutará en Windows. Cuando se configura correctamente es muy poderoso. La idea es correlacionar y agregar todos los registros. Tienes que estar seguro de que configurarlo para capturar todos access_logs y error_logs y si tiene varios sitios web en la cuenta del servidor para eso. Usted también querrá estar seguro de filtrar el ruido. Por defecto verá un montón de ruido y usted querrá configurarlo para que sea realmente eficaz.
Monitoreo
A veces, la prevención no es suficiente y que todavía puede ser hackeado. Es por eso que es muy importante la detección / control de intrusión. Se le permitirá reaccionar con mayor rapidez, saber lo que pasó y recuperar su sitio.
La supervisión de los registros
Si usted está en un servidor privado dedicado o virtual, en la que usted tiene el lujo de acceso root, usted tiene la capacidad configurar fácilmente las cosas de modo que usted puede ver lo que está pasando. OSSEC facilita fácilmente esto y aquí está un poco de escribir que podrían ayudarle OSSEC para la Seguridad Web - Parte I .
La supervisión de los archivos de cambios
Cuando se produce un ataque, siempre dejan huellas. Ya sea en los registros o en el sistema de archivos (archivos nuevos, modificados, etc.) Si está utilizando OSSEC por ejemplo, se hará un seguimiento de sus archivos y que le avise cuando cambian.
La supervisión de su servidor web externo
Si el atacante intenta desfigurar su sitio o añadir malware, también se puede detectar estos cambios mediante el uso de una solución de monitor de integridad basada en web. Esto viene en muchas formas hoy en día, usar su motor de búsqueda favorito y buscar detección de malware Web y Remediación y probablemente obtendrá una larga lista de proveedores de servicios.
