Pagina principal Wordpress y desarrollo web Por qué actualizar su blog Vulnerabilidades de WordPress que debe conocer

Por qué actualizar su blog Vulnerabilidades de WordPress que debe conocer

  • Lesley Fowler
  • 0
  • 3086
  • 683
Anuncio

Tengo muchas cosas buenas que decir sobre WordPress. Es una pieza de software de código abierto internacionalmente popular que permite a cualquier persona iniciar su propio blog o sitio web. Es lo suficientemente potente como para ser extensible por codificadores experimentados, pero lo suficientemente simple como para que las personas analfabetas tecnológicas puedan beneficiarse de él. Incluso tenemos una mini-guía para comenzar su propio sitio de WordPress 10 Primeros pasos esenciales al iniciar un blog de Wordpress 10 Primeros pasos esenciales al iniciar un blog de Wordpress Habiendo creado bastantes blogs, me gustaría pensar que tengo un buen sistema abajo para esos primeros pasos esenciales, y espero que también te sea útil. Siguendolo… .

Sin embargo, al igual que con todo el software relacionado con Internet, siempre habrá agujeros de seguridad que necesitarán parches. Incluso cuando se corrigen los agujeros anteriores, las nuevas características inevitablemente introducirán nuevos agujeros, y luego esos agujeros deben repararse. Es un proceso que nunca termina, por eso es tan importante para ti actualiza tu WordPress regularmente.

Actualizar WordPress es la mejor manera de parchear las últimas vulnerabilidades de seguridad de WordPress. ¿Qué tipo de vulnerabilidades de seguridad? Aquí hay una descripción general de los más comunes que encontrará.

1. Cuenta de administrador predeterminada

Cuando instales WordPress por primera vez, se llamará a tu cuenta básica de administrador “administración” con una contraseña igualmente simple. Mantener las credenciales de seguridad en su configuración predeterminada puede ser una gran vulnerabilidad porque los piratas informáticos y los crackers sabrán cuáles son esas configuraciones predeterminadas y, por lo tanto, las explotarán con facilidad.

En realidad, este no es un problema exclusivo de WordPress. Todo lo que viene con credenciales de acceso predeterminadas para todo el producto 3 Contraseñas predeterminadas que debe cambiar y por qué 3 Contraseñas predeterminadas que debe cambiar y por qué Las contraseñas son inconvenientes, pero necesarias. Muchas personas tienden a evitar contraseñas siempre que sea posible y están felices de usar la configuración predeterminada o la misma contraseña para todas sus cuentas. Este comportamiento puede hacer que sus datos y ... (como los inicios de sesión del enrutador o los códigos de desbloqueo del teléfono) tengan inherentemente esta vulnerabilidad de WordPress. Pero aunque los enrutadores y los teléfonos generalmente requieren su presencia física para ser perjudiciales, cualquier persona puede piratear su sitio de WordPress siempre que tenga la URL.

Entonces que puedes hacer? La solución más fácil es crear una nueva cuenta de administrador en su sitio de WordPress y eliminar el predeterminado “administración” cuenta. Esto no deja previsibilidad en términos de acceso de administrador.

2. Prefijos de base de datos predeterminados

Cuando WordPress se instala por primera vez, las tablas de la base de datos se nombran con un prefijo predeterminado de wp_. Esto se hace para que todas las tablas permanezcan organizadas en su base de datos en caso de que esté trabajando con otros paquetes de software en la misma base de datos. los wp_ significa que esas tablas específicas están relacionadas con WordPress.

Pero aquí está el truco: si un pirata informático está tratando de meterse con su sitio de WordPress, entonces este poco de previsibilidad automáticamente lo acerca un paso más a la manipulación de las tablas de su base de datos. Al conocer los nombres de las tablas de su base de datos, un pirata informático puede manipularla manualmente hasta que obtenga acceso.

Piénsalo de esta manera. Supongamos que un ladrón quiere robar algo de su hogar pero su hogar está equipado con puertas especiales que tienen cerraduras ocultas hasta que llame a la derecha “nombre” por esa puerta Si el ladrón sabe que el nombre de tu puerta es “Arenoso”, entonces todo lo que necesita hacer es abrir la cerradura, pero si el ladrón no sabe el nombre de su puerta, primero debe descubrirlo de alguna manera antes de que pueda comenzar a abrirla.

Entonces que puedes hacer? Sencillo. WordPress le permite instalar usando un prefijo de tabla que es diferente del prefijo predeterminado.

3. Archivos y directorios accesibles

Con cualquier sitio web, la cantidad de archivos a los que realmente desea que accedan los usuarios es mucho menor que la cantidad de archivos necesarios para alimentar ese sitio web. Es posible que tenga muchos archivos de funciones, archivos de clase, archivos de plantilla, archivos de configuración y más, ninguno de los cuales debe estar disponible públicamente. Lo mismo es cierto para los directorios..

Con CHMOD, puede establecer permisos en varios archivos y directorios para evitar que usuarios no deseados accedan a materiales confidenciales. Si un usuario tuviera acceso a su archivo de configuración, por ejemplo, podría alterar la configuración de WordPress y romper su sitio web. WordPress es vulnerable cuando los archivos y directorios de su sitio web no están protegidos con la configuración de permisos adecuada.

Entonces que puedes hacer? De hecho, tuve que lidiar con este problema recientemente, y la solución no es demasiado difícil. Asegúrese de que su instalación de WordPress esté de acuerdo con el esquema de permisos de WordPress.

4. Inyecciones SQL y secuestro

Las inyecciones de SQL no son exclusivas de WordPress; de hecho, son una de las formas más comunes (y destructivas) de ataques a servidores web en el mundo. ¿No estás familiarizado con el término? Dé mi introducción al artículo sobre inyecciones SQL ¿Qué es una inyección SQL? [MakeUseOf explica] ¿Qué es una inyección SQL? [MakeUseOf explica] El mundo de la seguridad en Internet está plagado de puertos abiertos, puertas traseras, agujeros de seguridad, troyanos, gusanos, vulnerabilidades de firewall y una serie de otros problemas que nos mantienen alerta todos los días. Para usuarios privados, ... un vistazo rápido para darse una idea básica del problema.

En esencia, WordPress ha tenido algunos agujeros de seguridad de inyección SQL en su código a lo largo de los años. Algunos han sido reparados mientras que otros permanecen descubiertos o sin ser detectados. Si un pirata informático obtiene acceso a uno de estos agujeros, puede inyectar código SQL malicioso en su base de datos, que puede usarse para robar datos o simplemente eliminarlos por completo.

Entonces que puedes hacer? Bueno, aquí está la trampa: si no está lo suficientemente equipado como para saber cómo vencer las inyecciones SQL, entonces probablemente no tenga los conocimientos técnicos para construir una protección en primer lugar. Probablemente pueda buscar complementos de WordPress que puedan abordar posibles agujeros de inyección, pero la mayoría de los usuarios simplemente tendrán que esperar al próximo parche de seguridad de WordPress.

Complementos recomendados

  • WP Security Scan - Este complemento escaneará la configuración de su sitio web y buscará posibles vulnerabilidades de seguridad. Cubre todo tipo de áreas, desde permisos de archivos hasta agujeros de bases de datos, gestión de contraseñas y más.
  • WordPress File Monitor Plus: en caso de que alguien haya obtenido acceso a la estructura de archivos de su sitio, este complemento se lo informará. Monitorea regularmente los archivos y directorios de su sistema y toma nota de cualquier discrepancia..
  • Firewall 2 de WordPress: este complemento configura un muro metafórico alrededor de su sitio, escaneando todos los datos ingresados ​​y el tráfico en busca de intenciones maliciosas. Es bastante bueno para prevenir ataques como inyecciones SQL y otros ataques a bases de datos..
  • Wordfence: Wordfence es una especie de complemento de suite de seguridad todo en uno que incluye protección contra ataques maliciosos, escaneo antivirus, firewall y más. Definitivamente vale la pena intentarlo.

Conclusión

Si bien WordPress puede ser tanto de código abierto como ampliamente popular, eso no significa que no esté exento de defectos. Las vulnerabilidades de WordPress aparecen de vez en cuando y cuando una se arregla, otra suele estar a la vuelta de la esquina. Con un monitoreo cuidadoso y pasos preventivos, puede minimizar el riesgo que enfrenta su sitio de WordPress.




Nadie ha comentado sobre este artículo todavía.

6 cursos gratuitos de seguridad cibernética que lo mantendrán seguro en línea
Seguridad
¿Estás cometiendo estos 6 errores de seguridad de Password Manager?
Seguridad
¿Te has dado el gusto de Pokémon Go Malware?
Seguridad
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.