¿Qué tan seguro es WordPress?

8 minutos de lectura

avatar de usuario
steven

¿Alguien sabe qué tan seguro es WordPress? No tengo idea de cómo definir “qué tan seguro”. Pero en comparación con otros sistemas CMS, ¿qué tan seguro es?

Actualizar:

Para elaborar un poco sobre mi proyecto. Voy a tener muchos usuarios registrándose. Una vez que hayan iniciado sesión, tendrán acceso a los complementos que estoy desarrollando. En unos 6 meses también ofreceré servicios pagos, estoy pensando en PayPal. Todos los detalles confidenciales se manejarán en https de PayPal.

Actualización2:

(15.07.2013)
Encontré este artículo en MOZ: La guía definitiva para la seguridad de WordPress

Realmente no sé cómo definir qué tan seguro es, pero puedo decirle algunas cosas al respecto que deberían ayudarlo a tomar una decisión.

Por defecto WordPress hace no inicios de sesión seguros, por lo que los nombres de usuario y las contraseñas se transmiten en texto no cifrado. Y la mayoría de la gente usa WordPress así.

Dicho esto, desde la versión 2.6, puede forzar que los inicios de sesión estén bajo SSL agregando esto a su wp-config.php:

define('FORCE_SSL_LOGIN', true);

También puede optar por forzar SSL para todas las tareas administrativas utilizando:

define('FORCE_SSL_ADMIN', true);

Eso debería hacerlo bastante bien. E independientemente de la versión que esté utilizando, siempre puede forzar SSL para el administrador con mod_rewrite:

RewriteRule ^/wp-admin/(.*) https://myblog.com/wp-admin/$1 [C]

Y, si necesita una carpeta diferente para la parte SSL:

RewriteRule !^/wp-admin/(.*) - [C]
RewriteRule ^/(.*) http://myblog.com/$1 [QSA,L]

Eso obligaría a que todo en wp-admin funcione bajo SSL y todo lo demás se vería obligado a HTTP “normal”.

Otras cosas a considerar es MySQL. Si su blog se comunica con MySQL a través de Internet, tiene una cosa más de qué preocuparse. Sin embargo, la mayoría de las configuraciones tienen MySQL dentro de una red segura. Aún mejor si MySQL se ejecuta en la misma máquina que el servidor web, para que pueda comunicarse sin depender en absoluto de TCP/IP.

  • Hmm… He leído que usar https demanda mucho del servidor. Y uno solo debe usarlo para las partes del sitio que exigen seguridad adicional. Entonces, no creo que usarlo en toda la sección de administración sea una buena idea.

    – Esteban

    29 de junio de 2009 a las 19:13

  • Claro, es por eso que WordPress tiene la opción FORCE_SSL_LOGIN, para que solo se fuerce el inicio de sesión a través de SSL. Por otro lado, la parte de administración de WordPress tiene una gran cantidad de cookies que van y vienen, por lo que SSL tampoco es una mala idea.

    usuario76430

    30 de junio de 2009 a las 14:35

  • hmm…. y creo que el sistema necesita unos cientos de usuarios simultáneos que realicen simultáneamente servicios exigentes de carga para ralentizar el servidor.

    – Esteban

    6 de julio de 2009 a las 13:52

avatar de usuario
syamamakwana.me

Revisa tu sitio en sucuri.net para obtener más información sobre malware, spam, etc…

1. Usa el complemento de seguridad

recomiendo usar Wordfence. Que tiene muchas características y es capaz de hacer

  • Escanea más de 44k+ definiciones de malware
  • Detecta intentos de phishing
  • Elimina Sh3lls
  • puertas traseras
  • troyanos
  • monitores
  • Seguridad DNS y mucho más…

Mejor seguridad de WP (también conocida como iThemes Security) también es un buen complemento para asegurar su WP. Que también tiene grandes características.

(ambos complementos funcionan juntos, sin duda)

Comparación de Mejor seguridad de WP y WordFence

2. Asegure su .htaccess

seguro wp-config.php

<Files wp-config.php>
    order allow,deny
    deny from all
    </Files>

Deshabilitar la exploración de directorios

# directory browsing
Options All -Indexes

Proteger .htaccess mismo

<files .htaccess="">
order allow,deny
deny from all
</files>

Deshabilitar enlaces activos

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?YourDomain [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]

(muchos otros se pueden encontrar en Internet)

3. Protégete

4. Actualícese.

  • Use la versión actualizada de WordPress, complementos, temas.

avatar de usuario
Gaurav

Instale estos cuatro complementos de seguridad:

Límite de intentos de inicio de sesión: Limite la tasa de intentos de inicio de sesión, incluso a través de cookies, para cada IP.

Bloqueo-wp-admin: Proteger la interfaz de administración de WordPress ocultando el panel de administración y cambiando la URL de la página de inicio de sesión.

Wp-math-captcha: Math Captcha es un CAPTCHA 100% efectivo para WordPress que se integra en el inicio de sesión, registro, comentarios, Formulario de contacto 7 y bbPress.

Mejor-wp-seguridad: Elimina las conjeturas sobre la seguridad de WordPress. iThemes Security ofrece más de 30 formas de bloquear WordPress en un complemento de seguridad de WordPress fácil de usar.

Depende parcialmente de su modelo de amenaza. Si desea ejecutar su propio blog, está bien, solo manténgase al tanto de las actualizaciones. Si está asegurando datos de pacientes, no, no es seguro. Mucha gente lo critica, pero no ha habido grandes agujeros de seguridad en WP por un tiempo, que yo sepa. Son complementos y configuraciones incorrectas.

Va a ser un objetivo para las personas que realizan piratería informática, utilizando un exploit en miles de sitios que intentan enviar correo no deseado. Por eso es importante estar al tanto de las actualizaciones. Pero en general, está bien para uso personal o incluso corporativo. Lo recomendaría antes que tratar de rodar el tuyo, seguro.

Hay formas de aumentar su seguridad:

  • bloquear partes que no necesita/usar como xml-rpc
  • estar al tanto de las actualizaciones
  • no use complementos

WordPress tal como está no es tan seguro. Lo sé personalmente, administro más de 10 sitios y constantemente son atacados por servidores maliciosos de todo el mundo. (como esta encantadora persona de Corea http://www.ip-adress.com/ip_tracer/1.234.83.77)

Yo recomendaría ALTAMENTE http://wordpress.org/plugins/mejor-wp-seguridad/ . No necesita implementar su propia seguridad, use lo que proporcionan, y oye, si te gusta, ¡hazte profesional! No estoy relacionado en absoluto con la empresa, pero he tenido MUCHO éxito con sus complementos.

Siga todos los pasos, bloquee todo, corrija los permisos de sus archivos y cruce los dedos. Si alguien quiere entrar, encontrará la manera. Solo puede intentar mitigar todos los riesgos.

Además, si está en su propio host virtual de Linux (rackspace/amazon/etc), le recomendaría linux ufw.

sudo aptitude install ufw
sudo ufw permitir 80
sudo ufw permitir 22
sudo ufw permitir 443
habilitar sudo ufw
sudo ufw estado

Una sugerencia final: fail2ban es un recurso excelente, no para wordpress directo, sino para cualquier inicio de sesión en su servidor. Bloqueará a las personas como Better WP Security.

¡Mucha suerte, cuéntanos qué decides!

  • “Wordpress tal como está no es tan seguro. Lo sé personalmente, administro más de 10 sitios y constantemente son atacados por servidores maliciosos de todo el mundo”. Esto no tiene ningún sentido. TODOS los sitios web son atacados, las 24 horas del día, los 7 días de la semana, por bots y piratas informáticos; mire cualquier archivo de acceso al servidor sin procesar. ¿Así que sus propios sitios de WP son golpeados? Y qué. Eso no hace que WordPress sea inseguro por defecto. en.wikipedia.org/wiki/Correlation_does_not_imly_causation

    – BlueDogRanch

    22 de agosto de 2016 a las 4:56

avatar de usuario
jamescampbell

Tengo una lista de recomendaciones y complementos en wordpress seguro. Una lista rápida de complementos recomendados como mínimo después de la instalación:

ithemes security: configura /wp-login.php para que sea una ruta inventada diferente y bloquea los vectores de ataque xml-rpc
seguridad de wordfence: bloqueo automático de rastreadores falsos, pingers, atacantes; no olvide incluir su dirección IP en la lista blanca
captcha matemático: agregar a la página de inicio de sesión
wp slimstat – seguimiento de visitantes
bóveda de medios – bloquear archivos adjuntos de todo tipo
gestor de descargas – realizar un seguimiento de las descargas
Desactivar Comentarios – deshabilitar completamente los comentarios
Actualización automática de complementos y temas de WP – mantener todo actualizado automáticamente por arte de magia

  • “Wordpress tal como está no es tan seguro. Lo sé personalmente, administro más de 10 sitios y constantemente son atacados por servidores maliciosos de todo el mundo”. Esto no tiene ningún sentido. TODOS los sitios web son atacados, las 24 horas del día, los 7 días de la semana, por bots y piratas informáticos; mire cualquier archivo de acceso al servidor sin formato. ¿Así que sus propios sitios de WP son golpeados? Y qué. Eso no hace que WordPress sea inseguro por defecto. en.wikipedia.org/wiki/Correlation_does_not_imly_causation

    – BlueDogRanch

    22 de agosto de 2016 a las 4:56

avatar de usuario
Comunidad

  1. Debe usar complementos de seguridad para proteger su sitio WP. Hay muchos complementos disponibles. He mencionado los 5 mejores complementos gratuitos en mi artículo aquí:

    http://www.technolizers.com/5-best-wordpress-security-plugins/

  2. Los atacantes primero verifican la URL de wp-login.php. Debe ocultar la URL de inicio de sesión regular a algo diferente. Puedes usar wps ocultar inicio de sesión complemento para eso.

  3. Nunca use un nombre de usuario como administración, manifestación, admin123, demo123, a b c. Estos son los nombres de usuario más utilizados.

  4. Utilice una contraseña segura. Puede generar una contraseña segura en este sitio absolutamente gratis. https://generadordecontraseñas.net/

  5. Nunca utilices temas gratuitos o. Los temas gratuitos contienen scripts vulnerables para ingresar al administrador de WP sin conocerlo.

  6. Actualice siempre todos los complementos y temas actualizados, ya que actualizan continuamente los parches de seguridad.

¿Ha sido útil esta solución?

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Configurar y más información
Privacidad