Archivo de la etiqueta: protección sitios web

Como proteger tu sitio wordpress de ciberataques

¡Hola webmasters! Sí, este articulo está dirigido a todos aquellos que tengáis un sitio web y que además este desarrollado sobre el CMS de wodpress. Si aún no tienes web, y quieres conocer cómo desarrollar una página web en wordpress, puedes seguir este enlace.

A lo que íbamos, hoy queremos dar unos tips para proteger nuestros wordpress. Unos sencillos consejos que te ahorraran muchos problemas.

Lo primero que he de comentar, es que todos hemos pensado alguna vez algo así como… “¿Quién va querer hackear mi sitio web? No necesito ninguna protección, mi web es insignificante para un hacker…”. Todos hemos pensado de esta manera, pero somos muchos los que hemos cambiado de opinión una vez hackean nuestro sitio, le inyectan código malicioso y corrompen nuestra base de datos MySQL.  Los motivos de los hackers son los siguientes: Quieren entrar en nuestra web para incorporar enlaces a terceros sitios web para hacer linkbuilding, incorporar anuncios y redirigir tráfico a sitios web (acostumbran a ser pornográficos o ilegales) o simplemente algún competidor online con algún que otro conocimiento de programación, a decidido ir a por ti.

Yo he sido víctima más de una vez de un ataque informático. He tenido que restaurar archivos, he tenido que recuperar copias de seguridad antiguas, y he tenido de modificar más de una vez las contraseñas. Cada vez, mis webs sufren menos ataques porque he aplicado ciertas medidas de seguridad en mis worpdress.

Antes de empezar a enumerar los diferentes tips de protección antivirus para vuestros sitios wordpress, recordar lo siguiente: “Cuantas más visitas tengas y más crezcas, más atractivo serás para los ciberataques”.

TIPS PARA PROTEGER TU WORDPRESS

1. El hosting

Antes de entrar de lleno en las configuraciones y optimizaciones de seguridad de tu página web, hemos de preguntarnos si nuestra página web se encuentra alojada en un buen hosting. Existen hostings de un nivel de seguridad pesimos como 1and1, y existen hostings con un gran soporte técnico y con grandes medidas de seguridad como por ejemplo webempresa. Tomar la decisión de alojar tu wordpress en un proveedor como webempresa y no en servidores como por ejemplo 1and1 o CDMON te ahorra muchos problemas.

alojamiento wordpress

Además, tenéis que tener clara una cosa: Alojar una única web por hosting. He visto casos donde en un hosting de 1and1 se han alojado 25 webs. Solo con que una web se infecte, al ser un hosting compartido, todas las webs se van literalmente a la mierda. Yo aconsejo no tener nunca más de 3 o 4 webs por hosting. Primero, porque será mucho más fácil restaurar los archivos, segundo, porque una infección será un problema menor, si hay solo 3 o 4 webs, y por último, porque tendremos más controlados los archivos que se alojan en determinado servidor. Es mejor tener contratados 5 hosting webs con 2 o 3 webs en cada uno, que tener 15 webs en un hosting de gran capacidad, simplemente por este hecho, y no ha de resultar más caro tener 5 hostings “pequeños” a uno “grande”. Y recordar, Webempresa dispone de una herramienta de migración web, que te migra la web/s de un hosting a otro en un abrir y cerrar de ojos, y muchos de los problemas serán resueltos simplemente con esta acción.

2. El archivo readme.html

Elimina el archivo .readme.html: Eliminar este archivo te protegerá sin duda. Todos los wordpress disponen de este archivo por defecto. Es un archivo que se encuentra en el directorio raíz de wordpress y que es público al ser un html. Si vas a cualquier wordpress que aún no haya eliminado este archivo, simplemente con introducir la ruta dominio.com/readme.html accederás a una página donde estas ofreciendo información muy valiosa a los cibercriminales.

 

Fijaros en la anterior fotografía. Tiene delito porque es una web que pertenece a una agencia de diseño de wordpress. Esta empresa llamada expandimos aún no ha eliminado su archivo .readme.html y además, mediante este archivo vemos que lleva meses o casi un año o casi 2 ahora que lo pienso sin actualizar su worpdress…. ¿¡What the fuck!?

Pues eso, entrar en el directorio principal del wordpress y eliminar este archivo html que no aporta nada a nuestro sitio web, sino más bien todo lo contrario. El hacker sabrá la versión php, la versión de worpdress… Sin duda demasiada información como para mostrarla gratuitamente. Es más, muchos robots, antes de atacar un wordpress, acceden a este archivo y una vez obtienen la información deciden si atacar o no la web dependiendo de la versión de wordpress… es decir… que van por faena.

3. Actualiza pluggins y el cms wordpress

En el punto anterior ya habíamos comentado la necesidad de no mostrar nuestras debilidades a los hackers, y decíamos que una de esas debilidades era no tener actualizado wordpress. Actualizar todos los pluggins y la versión de wordpress tal y como esté disponible es vital para mantener nuestra web segura. Antes de actualizar nada, es aconsejable realizar siempre un respaldo de la página web (backup).

Tan importante es tener actualizados los pluggins de la página web, como eliminar todo aquel pluggin que tengamos desactivado o en desuso. ¿Por qué? Porque muchos pluggins tienen puertas traseras, realentizan nuestras webs y cargan nuestro directorio de carpetas donde ocultarse los virus.

4. Copias de seguridad regulares

¿No tienes aun una copia de seguridad de tu página web? ¡A qué esperas! Después de un ataque informático puedes estar super tranquilo si tienes copias de seguridad almacenadas, o se te puede quedar la cara de tonto si no la tienes. Es importante tener en cuenta dos aspectos, el primero, que las copias de seguridad de una web se almacenan en un disco duro externo al hosting, porque si infectan el hosting, te pueden infectar las copias de seguridad. El segundo aspecto a tener en cuenta, es que las copias de seguridad se han de realizar a nivel de archivos y a nivel de base de datos.

Puedes instalar unos “super pluggins” de wordpress que a mí me han salvado de más de un follón. Son estos dos: BackUpWordPress y UpdraftPlus WordPress Backup Plugin.

Cualquiera de los dos va de fábula para realizar copias de seguridad programadas, hacerlas manual, descargar las copias de seguridad tanto de la base de datos MySQL como d elos archivos en formato ZIP o recibirlas en tu pc. Además, puedes programar copias de seguridad cada X tiempo. Además, los dos pluggins ofrecen versiones gratuitas.

5. Instala un antivirus gratuito en tu wordpress

Existe un pluggin que te cambiara la vida. El pluggin se llama wordfence, tiene versión gratuita y versión de pago. Es uno de mis pluggins antivirus preferidos. Tiene múltiples funciones:

  • Bloquea el acceso a todo aquel usuario que intente acceder a nuestro backoffice en el momento en el que haya probado 3 contraseñas diferentes (así lo tengo yo configurado).
  • Puedes bloquear IP extranjeras al tráfico web
  • Escanea los archivos de la página web y si encuentra algo extraño te avisa y te ofrece la posibilidad de restaurarlo.
  • Te avisa por correo electrónico siempre que alguien acceda al backoffice de tu página web en wordpress.
  • Sin duda estarás seguro con estas funciones de este poderoso antivirus gratuito, pero con la versión de pago puedes estar aún más relajado ya que ofrece funcionalidades Premium que lo convierten en uno de los pluggins de wordpress favoritos de la comunidad.

 

6. Modifica la ruta de acceso a tu wordpress

¿Aun accedes a tu wordpress desde /wp-admin? Maaaaal! Muy mal amigooo! Descárgate este pluggin llamado  Lockdown WP Admin y modifica el acceso de /wp-admin como por otra. Ejemplo: “/acceso-893J” o “/backoffice98789”

 

7. Contraseñas seguras de wordpress y FTP

No hace falta recordar, que es aconsejable modificar de vez en cuando las contraseñas de acceso a tu worpdress y del acceso FTP.

 

Creo que con estos 7 consejos, evitarás más de un ataque a tu wordpress, y si no es molestia, me gustaría que le dieras al like de google + solo si el articulo te gusto.

Inauguramos blog de ciberseguridad

¡Hola amigos! Hoy inauguramos este espacio online con el objetivo de ofrecer buenos consejos sobre la ciberseguridad de tu ordenador, ya sea un equipo informático profesional o doméstico.

Hace mucho tiempo que nos dedicamos a restaurar ordenadores afectados por virus, desinfectando malware y spyware, aplicando configuraciones y protocolos de seguridad para minimizar los riesgos que comporta tener que navegar asiduamente por internet, una actividad que comporta la descarga de programas, archivos y emails, elementos en los que se oculta software malicioso queriendo infectar tu terminal.

Toda nuestra experiencia quedará plasmada en este blog, comparando diferentes antivirus en el mercado, antivirus gratuitos y antivirus de pago, aportando soluciones en la detección y posterior desinfección de software malicioso y explicando buenas conductas en la navegación online para evitar males mayores.

Hay quien dice que todos estamos expuestos a sufrir ataques informáticos, sin embargo, los hay que nunca los han sufrido. Esto se debe a que conocen bien como atacan los diferentes virus informáticos, y saben por las “urls” que se puede navegar y por cuales no, saben detectar sitios sospechosos de proveer malware y saben que correos electrónicos abrir y cuáles no.  Estos usuarios, nunca han instalado un programa antivirus en su vida.

Nuestra recomendación es, que instalar un antivirus decente, es sumamente importante para curarnos en salud, pero que incluso disponiendo de un programa antivirus si nuestras pautas de conducta con el ordenador no son las correctas, caeremos infectados una y otra vez. En este artículo, podéis conocer algunas buenas pautas a la hora de navegar por internet para evitar ser víctimas de un cibercriminal.

Lo que también queremos explicar en este blog de ciberseguridad, aparte de consejos y comparativas de antivirus, es explicar que está pasando en todo el mundo hoy en día. La ciberseguridad mundial está expuesta, y son muchos los países que desarrollan la guerra sucia en la red, atacando instituciones y empresas de algunos países. De estos ciberataques, recientemente destaca el wannacry, un ataque masivo que afecto a múltiples países de Europa y América.

Otro tema que nos apasiona es la protección virus en sitios webs y aplicaciones como wordpress. Cada vez son más las páginas web desarrolladas con wordpress y por eso cada día se producen ataques automatizados a estas páginas web, bombardeando a spam a los artículos de nuestro blog, inyectando código malicioso, insertando publicidad nociva para nuestro sitio web…

Estas son nuestras intenciones, y esperamos de todo corazón que aportéis vuestro grano de arena comentando nuestros artículos, aportando críticas constructivas y ayudándonos a mejorar día a día. ¡Hasta otra amigos!

Fuente imagen