Etiqueta: seguridad web

Ciberseguridad para Administradores Web: Consejos y Estrategias

Asegurar su sitio web es crucial para proteger los datos de los usuarios y mantener su confianza. Considere su sitio web como una bóveda digital que requiere protección continua contra posibles amenazas. Al entender e implementar prácticas de seguridad fundamentales, puede disminuir considerablemente el riesgo de ataques y ofrecer una experiencia segura a sus usuarios. Veamos algunos consejos y estrategias esenciales para fortalecer la seguridad de su sitio web.

Conceptos básicos de seguridad en sitios web

Manteniendo Seguro su Sitio Web

Internet es como una ciudad digital muy concurrida y llena de peligros, al igual que una tienda física en una ciudad real. Para proteger tu tienda física, cierras las puertas y tienes sistemas de seguridad. De la misma manera, tu sitio web necesita una protección fuerte para estar seguro.

Muchos sitios web, especialmente los que usan plataformas populares como WordPress, son blancos fáciles para los atacantes porque son muy comunes. Es muy importante proteger datos privados como información personal y pagos para evitar que te roben la identidad o pierdas dinero. Además, tener un sitio web seguro ayuda a que los usuarios confíen en ti y protege tu reputación. Así, los visitantes se sentirán seguros cuando entren a tu sitio web.

Desarrolla un Enfoque de Seguridad por Capas

Imagina la seguridad de un sitio web como una cebolla: debe contar con múltiples capas. Una única medida de protección no es suficiente para enfrentar la variedad de amenazas que pueden surgir. Al adoptar un enfoque de múltiples capas, se establecen varios obstáculos que los atacantes deben atravesar, lo que disminuye considerablemente la posibilidad de que logren vulnerar la seguridad. Este método se conoce comúnmente como “defensa en profundidad”, donde cada capa contribuye a fortalecer la seguridad general.

Motivos detrás de los ataques a sitios web

Entender las motivaciones detrás de los ataques a sitios web nos permite preparar defensas más efectivas. Aunque el principal incentivo suele ser obtener ganancias económicas, existen otras razones por las que los hackers atacan, como:

  • El motivo más común es generar ingresos ilegales.
  • Robo de información personal para vender en el mercado negro o usar en fraudes.
  • Inserción de anuncios maliciosos para generar ingresos por clics.
  • Algunos ataques son realizados por jóvenes o principiantes que buscan mejorar sus habilidades o ganar reputación entre otros hackers.
  • Ciertos ataques, como denegación de servicio (DDoS), son usados por grupos activistas para protestar o presionar a organizaciones.
  • Aprovechamiento de los recursos del servidor para la minería de criptomonedas.
La Incidencia de los Ataques Automatizados

Esto puede resultar sorprendente, pero la mayoría de los ataques a sitios web no son realizados por personas sentadas frente a una computadora, escribiendo de manera frenética, como se suele ver en las películas. En realidad, son ataques automatizados. Estos ataques emplean bots que escanean en busca de vulnerabilidades y las explotan sin necesidad de intervención humana, lo que les permite operar a gran escala. Los bots automatizados pueden llevar a cabo diversas actividades maliciosas, que van desde la extracción de contenido web hasta el robo de cuentas y ataques de denegación de servicio. Gracias a esta automatización, los cibercriminales pueden atacar múltiples sitios web al mismo tiempo, lo que hace que estos ataques sean tanto eficientes como extensos.

Conceptos Esenciales en Seguridad de la Información

Cuando hablamos de seguridad de la información, siempre se destacan tres principios esenciales: confidencialidad, integridad y disponibilidad. Estos forman la tríada CIA, por sus siglas en inglés.

Confidencialidad

La confidencialidad se refiere a preservar la privacidad de los datos. Asegura que la información solo esté disponible para las personas autorizadas. Esto incluye el uso de cifrado, controles de acceso y canales de comunicación seguros. Por ejemplo, la implementación de certificados SSL garantiza que los datos transmitidos entre los usuarios y el sitio web estén encriptados.

Preservando la Integridad de los Datos

La integridad se enfoca en mantener la exactitud y consistencia de los datos a lo largo de su ciclo de vida. Se trata de garantizar que los datos no hayan sido manipulados ni alterados por personas no autorizadas. Técnicas como las sumas de comprobación y el hash de datos se usan comúnmente para verificar la integridad de la información.

Preservando la Disponibilidad

La disponibilidad implica asegurar que los datos y recursos estén accesibles para los usuarios autorizados cuando los necesiten. Este principio suele ser el objetivo de los ataques de denegación de servicio (DoS), los cuales discutiremos más adelante. Utilizar redundancia y balanceo de carga puede ayudar a mantener la disponibilidad incluso frente a este tipo de ataques.

Descubrir y Corregir Fallos de Seguridad en su Sitio Web

Ahora, pasemos a la acción y analicemos algunas vulnerabilidades concretas y las formas de defendernos de ellas.

Seguridad Frente a Inyecciones SQL

De acuerdo con la OWASP, la inyección SQL continúa siendo uno de los 10 principales riesgos de seguridad para las aplicaciones web. La inyección SQL ha estado presente desde hace mucho tiempo y sigue causando preocupación entre los administradores. Estos ataques ocurren cuando se insertan comandos SQL maliciosos en las consultas de la aplicación, lo que permite manipular la base de datos.

Para evitar la inyección SQL:

  • Uso de Consultas Parametrizadas.
  • Verificar y limpiar cuidadosamente todas las entradas de usuario antes de usarlas en consultas SQL.
  • Otorgar a la aplicación web los permisos mínimos necesarios en la base de datos.
Prevenir los Ataques de secuencia de comandos en sitios cruzados (XSS)

La OWASP considera que los ataques de secuencias de comandos entre sitios (XSS) son una vulnerabilidad significativa que afecta a muchas aplicaciones web en todo el mundo. El XSS es un tipo de ataque en el que los hackers inyectan scripts maliciosos en sitios web que normalmente son seguros y de confianza. Esto significa que, aunque el sitio web en sí es legítimo, el código malicioso puede ejecutarse en el navegador de los usuarios que lo visitan, lo que puede llevar al robo de información personal o a otras acciones no deseadas.

Para evitar Ataques de XSS:

  • Asegúrate de que cualquier dato que los usuarios ingresen en tu sitio sea revisado y validado. Esto incluye formularios, comentarios y cualquier otro lugar donde se puedan introducir datos.
  • Antes de mostrar datos en el navegador, elimina o codifica cualquier carácter que pueda ser interpretado como código. Esto ayuda a evitar que scripts maliciosos se ejecuten.
  • Implementa cabeceras HTTP como Content Security Policy (CSP), que ayuda a controlar qué recursos pueden ser cargados y ejecutados en tu sitio.
  • Limita el uso de JavaScript y otros scripts en tu sitio a solo aquellos que son necesarios. Esto reduce las oportunidades para que un atacante inyecte código malicioso.
Cómo Prevenir el Robo de Credenciales por Fuerza Bruta

Los ataques de fuerza bruta son similares a intentar abrir una cerradura probando todas las llaves de un llavero hasta encontrar la correcta. En este tipo de ataques, los hackers intentan adivinar contraseñas utilizando un método de prueba y error. Esto significa que prueban diferentes combinaciones de caracteres hasta que logran acceder a una cuenta o sistema.

Para protegerse contra ataques de fuerza bruta, considere las siguientes medidas:

  • Implemente un sistema que bloquee o suspenda temporalmente la cuenta después de un número determinado de intentos incorrectos. Esto dificulta que los atacantes continúen probando contraseñas sin restricciones.
  • Integre mecanismos CAPTCHA en los formularios de inicio de sesión para distinguir entre usuarios humanos y bots automatizados, haciendo más difícil para los atacantes realizar intentos de acceso masivos.
  • Requiera que los usuarios creen contraseñas robustas que incluyan una combinación de letras, números y caracteres especiales. Además, anime a no reutilizar contraseñas en diferentes sitios o servicios.
  • Implemente una capa adicional de seguridad mediante la autenticación multifactor. Esto requiere que los usuarios verifiquen su identidad con un segundo método, como un código enviado a su teléfono móvil o una aplicación de autenticación, además de su contraseña.
Prevenir las amenazas de malware en sitios web

El malware puede infectar sitios web de varias maneras, a menudo permaneciendo inactivo hasta que se activa. En una investigación reciente muestra que el spam y los redireccionamientos maliciosos siguen siendo uno de los tipos más comunes de malware encontrados en los sitios web.

Para combatir el malware:

  • Escanee su sitio web regularmente en busca de malware.
  • Emplee el uso de monitoreo de integridad de archivos.
  • Mantenga todo el software y los complementos actualizados.
  • Use un complemento de seguridad para su plataforma CMS.
  • Use un firewall de aplicaciones web (WAF).
Protección contra ataques DoS/DDoS

Los ataques de Denegación de Servicio (DoS) y de Denegación de Servicio Distribuido (DDoS) tienen como objetivo saturar los recursos de un sitio web, impidiendo su acceso a usuarios legítimos.

Para reducir los riesgos de DoS/DDoS, considere las siguientes estrategias:

  • Utilice una red de entrega de contenido (CDN).
  • Implemente límites de tasa para controlar el tráfico.
  • Asegúrese de contar con una infraestructura escalable.
Asegurando plataformas de comercio electrónico y cumpliendo con los estándares PCI

Si está manejando información de tarjetas de crédito, necesita estar familiarizado con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Este conjunto de estándares de seguridad garantiza que las empresas mantengan un entorno seguro para procesar, almacenar y transmitir información de tarjetas de crédito. El incumplimiento del PCI DSS puede resultar en multas cuantiosas y daños a la reputación de su negocio. Los aspectos clave del cumplimiento de PCI incluyen:

  • Mantener una red segura
  • Proteger los datos del titular de la tarjeta
  • Implementar medidas de control de acceso sólidas
  • Monitorear y probar redes regularmente
  • Mantener una política de seguridad de la información

Un marco integral para la seguridad de sitios web

Analicemos un enfoque integral para la seguridad de sitios web en cinco pasos clave:

1. Identificación de riesgos potenciales

Comience realizando una evaluación de riesgos exhaustiva. Esto implica identificar sus activos, las amenazas potenciales y las vulnerabilidades existentes. Un riesgo común que a menudo se pasa por alto son los complementos desactualizados, que pueden convertirse en puntos de entrada para los atacantes.

2. Establecimiento de controles de seguridad

Con base en su evaluación de riesgos, implemente controles de seguridad para protegerse contra las amenazas identificadas. Esto puede incluir el uso de firewalls, cifrado, controles de acceso, entre otros.

3. Detección de brechas de seguridad

Establezca sistemas para detectar cuando algo sale mal. Esto podría incluir sistemas de detección de intrusiones, monitoreo de registros y escaneos de seguridad regulares. Herramientas como SiteCheck pueden ayudar a identificar vulnerabilidades y posibles brechas.

4. Respuesta a incidentes de seguridad

Tenga un plan preparado para actuar cuando (no si) ocurra un incidente de seguridad. Este plan debe incluir pasos para contener la brecha, investigar su causa y notificar a las partes afectadas. El Marco de Respuesta a Incidentes del NIST describe cuatro fases: Preparación, Detección y Análisis, Contención, Erradicación y Recuperación, y Actividades Post-Incidente.

5. Recuperación de ataques

Por último, desarrolle una estrategia para volver a las operaciones normales después de un ataque. Esto incluye restaurar desde copias de seguridad, corregir vulnerabilidades y aprender del incidente para prevenir futuras ocurrencias.Este texto ha sido reescrito para proteger los derechos de autor del contenido original, manteniendo los conceptos y pasos esenciales sobre cómo implementar medidas de seguridad en un entorno digital.

Mejores prácticas para mantener la seguridad de un sitio web

A continuación, exploraremos las mejores prácticas recomendadas que todo administrador web debería seguir:

1. Mantener el software y los sistemas actualizados

Una de las medidas de seguridad más simples pero efectivas es asegurarse de que todo esté actualizado. Esto incluye el sistema operativo, el software del servidor web, el sistema de gestión de contenido y cualquier complemento o extensión que estés utilizando. En un Informe de Amenazas de Malware y Sitios Web Hackeados de 2023, se descubrió que el 39.1% de las aplicaciones de CMS estaban desactualizadas en el momento de la infección. Esto resalta lo crucial que es mantener tu sitio web siempre al día.

2. Utilizar contraseñas fuertes

Todos hemos escuchado esto antes, pero vale la pena repetirlo: usa contraseñas fuertes y únicas para todo. Según NordPass, las contraseñas más comunes en 2023 fueron ‘123456’ y ‘admin’. Considera implementar un gestor de contraseñas para ayudar a generar y almacenar contraseñas complejas.

3. Aislar sitios web en contenedores separados

Si estás alojando múltiples sitios web, considera utilizar tecnologías de contenedorización como Docker o php-fpm para aislarlos entre sí. De esta manera, si un sitio se ve comprometido, no significa necesariamente que todos tus sitios estén en riesgo. La contaminación cruzada es un problema común en servidores compartidos, y el aislamiento puede mitigar significativamente este riesgo.

4. Gestionar el acceso y los permisos de los usuarios

Aplica el principio de menor privilegio. Solo otorga a los usuarios el nivel mínimo de acceso que necesitan para realizar su trabajo. Revisa y actualiza regularmente estos permisos. Esto ayuda a minimizar el impacto de cuentas comprometidas y reduce la superficie de ataque.

5. Modificar la configuración predeterminada del sistema de gestión de contenido

Las configuraciones predeterminadas de los sistemas de gestión de contenido a menudo priorizan la usabilidad sobre la seguridad. Tómate el tiempo para revisar y ajustar estas configuraciones. Por ejemplo, cambiar las URL de administrador predeterminadas y deshabilitar la edición de archivos puede mejorar la seguridad.

6. Elegir extensiones seguras y confiables

Al agregar funcionalidad a tu sitio a través de complementos o extensiones, investiga adecuadamente. Adhiérete a fuentes confiables y revisa las opiniones y el historial de actualizaciones antes de instalar. Las extensiones que no se actualizan con frecuencia pueden introducir vulnerabilidades.

7. Realizar copias de seguridad de tu sitio web regularmente

Las copias de seguridad son tu red de seguridad. Si algo sale mal, siempre puedes volver a una versión limpia de tu sitio. Asegúrate de almacenar las copias de seguridad de forma segura y prueba tu proceso de restauración regularmente. Se recomienda tener copias de seguridad tanto locales como en la nube para garantizar la recuperación de datos en diferentes escenarios.

8. Configurar archivos del servidor de manera segura

Configura correctamente tu archivo .htaccess (para servidores Apache) o el archivo web.config (para servidores IIS) para prevenir la navegación por directorios y proteger archivos sensibles. Los archivos del servidor mal configurados pueden exponer información crítica a los atacantes.

9. Instalar certificados SSL

HTTPS ya no es opcional. Instala certificados SSL en todos tus sitios web para cifrar los datos en tránsito. Esto ayudará a proteger la información sensible de ser interceptada por atacantes y mejora la seguridad y confiabilidad de tu sitio.

10. Utilizar herramientas de escaneo y monitoreo

Escanea regularmente tu sitio web en busca de vulnerabilidades y monitorea actividades sospechosas. Hay muchas herramientas disponibles para esto, tanto gratuitas como de pago. Escáneres de seguridad como SiteCheck pueden ayudar a identificar malware y software desactualizado. Tambien puede pedir al Soporte Tecnico de Sitios Hispanos para que realice un analisis de malware.

En conclusión, la seguridad de un sitio web es un proceso continuo que requiere atención y adaptación constante. Al adoptar un enfoque proactivo y estar al tanto de las últimas amenazas y tecnologías, los administradores pueden proteger eficazmente sus activos digitales y ofrecer una experiencia segura a sus visitantes.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube  para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en  X (Twitter)Facebook e Instagram, además de LinkedIn.

Fuente: https://blog.sucuri.net/2024/08/security-tips-for-modern-web-administrators.html

Domina los permisos de archivos en WordPress: Guía para todos

Los permisos de archivos pueden parecer un aspecto menor en la administración de un sitio de WordPress, pero son esenciales para garantizar tanto la seguridad como el correcto funcionamiento de tu página web. Si los permisos no están configurados adecuadamente, tu sitio puede quedar expuesto a ataques, mientras que una configuración excesivamente restrictiva puede obstaculizar su operatividad.

Esta guía está diseñada para ofrecerte una comprensión clara de los permisos de archivos en WordPress, abarcando desde los fundamentos para principiantes hasta configuraciones más avanzadas para usuarios con experiencia técnica. Al finalizar esta lectura, estarás capacitado para establecer, gestionar y resolver problemas relacionados con los permisos de archivos de manera profesional.

Permisos de Archivos

Los permisos de archivos son directrices que el servidor emplea para determinar quién tiene la capacidad de leer, escribir y ejecutar archivos en un sitio web. Estas reglas, comúnmente utilizadas en servidores que operan con Linux, son fundamentales para salvaguardar los archivos y directorios del sitio contra accesos y modificaciones no autorizadas.

Linux, un sistema operativo de código abierto, es ampliamente preferido en el ámbito del hosting debido a su estabilidad y seguridad. Esta guía se centrará en los permisos de archivos en entornos Linux, ya que las normativas y procedimientos pueden variar significativamente en los servidores que utilizan Windows.

Impacto de los Permisos en la Seguridad de WordPress

Los permisos de archivo adecuados son esenciales para proteger tu sitio en WordPress, ya que restringen las interacciones con los archivos del sistema.

Por ejemplo, si se configuran incorrectamente los permisos en un archivo crítico como wp-config.php, se corre el riesgo de que usuarios no autorizados puedan acceder a información sensible o incluso modificarla. Esto puede llevar a serias violaciones de seguridad y comprometer la integridad de tu sitio. Por lo tanto, es vital establecer permisos específicos que minimicen las posibilidades de acceso no autorizado y fortalezcan la seguridad general de tu plataforma.

Configuración básica de permisos

Los principales son:

  • Leer (4): Permite leer o visualizar el contenido.
  • Escribir (2): Permite modificar o eliminar contenido.
  • Ejecutar (1): permite ejecutar el archivo como un programa o script.

Ahora veremos en detalle que representan estos números, también es común que Leer se represente como una R, la inicial de su traducción en inglés “READ”, W para Escribir y X para Ejecutar (rwx).

BinarioNúmeroPermiso del archivo
0000Sin permisos (—)
0011Solo Ejecución (–x)
0102Solo Escritura (-w-)
0113Escritura y Ejecución (-wx)
1004Solo Lectura (r–)
1015Lectura y ejecución (r-x)
1106Lectura y escritura (rw-)
1117Todos los permisos (rwx)
Tabla: Representación de permisos en binario y octal.

Estos permisos se pueden configurar individualmente o combinados para diferentes tipos de usuarios:

  • Propietario: El usuario que posee el archivo.
  • Grupo: Usuarios que forman parte de un grupo definido.
  • Público: Todos los demás.

Si quisiéramos representar todos los permisos para el propietario, el grupo y todos los usuarios, podríamos escribirlo de la siguiente manera: 777
🤯 ¿De dónde sale este número? Revisando la anterior Tabla, podemos observar que el 7, representan todos los permisos. El 777 es como le asignamos todos los permisos, al propietario, luego todos al grupo y por último al público. Otro ejemplo común es 755, donde le asignamos todos los permisos al propietario, y solo lectura y ejecución al grupo y los demás, sin poder modificar el archivo.

Entender estos conceptos básicos es el primer paso para asegurar y optimizar tu sitio de WordPress. A medida que continuemos, exploraremos cómo puedes aplicar estos principios de manera efectiva en toda la estructura de tu sitio.

Un malware puede alterar los permisos de archivos en un sitio web

Se ha observado que ciertas infecciones de malware cambian los permisos de los archivos index.php y .htaccess a 444, lo que efectivamente bloquea dichos archivos e intenta prevenir la eliminación automática del código malicioso por parte de herramientas de seguridad. Esto demuestra que el malware puede manipular los permisos de archivos como parte de sus estrategias para persistir en el sistema y evitar ser detectado o removido.

Herramientas y acceso necesarios para configurar los permisos de sus archivos

Para gestionar los permisos de archivos en WordPress, necesitarás utilizar herramientas como clientes FTP, cPanel o terminales SSH, dependiendo de cómo esté configurado tu servicio de hosting. Asegúrate de contar con las credenciales adecuadas para acceder a estas herramientas, ya que las necesitarás para visualizar y cambiar los permisos de los archivos.

Guía paso a paso para comprobar los permisos de archivos

A continuación, revisemos los pasos que puede seguir para verificar los permisos de archivos usando cPanel, FTP y SSH.

cPanel

  1. Inicie sesión en su cuenta cPanel: navegue al sitio web e inicie sesión en su cPanel.
  2. Abra el Administrador de archivos: en el panel de cPanel, busque y abra el Administrador de archivos en la sección Archivos.
  3. Vaya a su directorio de WordPress: busque y haga clic en el directorio donde está instalado WordPress, generalmente se localiza en public_html o directamente como el nombre de su sitio web.
  4. Verifique sus permisos: haga clic derecho en cualquier archivo o carpeta y seleccione Cambiar Permisos. Aparecerá un cuadro de diálogo que muestra la configuración de permisos actual en formato numérico (por ejemplo, 0644).
Cambiar Permisos de un archivo en cPanel

FTP

  1. Conéctese a su servidor: abra su cliente FTP (como FileZilla) y conéctese a su servidor utilizando las credenciales FTP proporcionadas por su servicio de alojamiento.
  2. Acceda a sus archivos de WordPress: navegue al directorio donde está instalado su WordPress.
  3. Ver sus permisos: haga clic derecho en cualquier archivo o carpeta y elija Permisos de archivo. Aparecerá una ventana que mostrará el valor numérico del permiso y las casillas de verificación para los permisos de lectura, escritura y ejecución.

SSH

  1. Acceda a su servidor: abra su terminal o cliente SSH y conéctese a su servidor usando el comando SSH: ssh nombredeusuario@suservidor.com
  2. Navega hasta tu directorio de WordPress: Una vez conectado, cambia el directorio a donde se encuentra tu WordPress: cd ruta/a/tu/wordpress
  3. Listar archivos con permisos: ejecute el comando ls -l para listar los archivos junto con sus permisos y detalles de propiedad en la terminal.
  4. Revisar la salida: La salida mostrará los permisos en un formato de cadena (por ejemplo, -rw-r–r– ), donde el primer carácter indica el tipo de elemento (  para archivo y d para directorio), seguido de tres conjuntos de caracteres que representan permisos de lectura, escritura y ejecución para el usuario, grupo y otros.

Cómo cambiar los permisos de tus archivos

Ahora, veamos los pasos que puede seguir para modificar y cambiar sus permisos de archivos usando cPanel, FTP y SSH.

cPanel

  1. Acceda al Administrador de archivos: inicie sesión en su cPanel y abra el Administrador de archivos en la sección Archivos.
  2. Localice el archivo o directorio: navegue hasta el directorio de WordPress y localice el archivo o la carpeta cuyos permisos desea cambiar.
  3. Cambiar los permisos: haz clic derecho en el archivo o carpeta y selecciona Cambiar permisos. Aparecerá una nueva ventana en la que puedes marcar o desmarcar las casillas de permisos de Lectura, Escritura y Ejecución para Usuario, Grupo y Mundo.
  4. Guarde los cambios: haga clic en el botón Cambiar permisos en el cuadro de diálogo para aplicar la nueva configuración.

FTP

  1. Conéctese a su servidor: abra su cliente FTP y conéctese usando sus credenciales FTP.
  2. Busque el archivo o directorio: navegue hasta el directorio de WordPress y busque el archivo o carpeta que desea modificar.
  3. Modificar los permisos: haga clic con el botón derecho en el archivo o la carpeta seleccionados y elija Permisos de archivo o Propiedades. Ahora, puede ajustar el valor numérico o marcar las casillas de permisos correspondientes.
  4. Aplicar los cambios y cerrar: haga clic en Aceptar para aplicar los cambios. Los nuevos permisos surtirán efecto inmediatamente.

SSH

  1. Acceda por SSH a su servidor: utilice el comando ssh nombredeusuario@suservidor.com para iniciar sesión en su servidor.
  2. Navegar hasta el archivo o directorio: Cambie al directorio que contiene el archivo o carpeta con cd ruta/a/tu/wordpress.
  3. Cambie sus permisos: utilice el comando chmod para configurar los permisos deseados. Por ejemplo, chmod 644 NombreDeArchivo para configurar permisos de lectura y escritura para el usuario, y de solo lectura para el grupo y otros.
  4. Verifique los cambios de permisos: ejecute ls -l para ver los permisos actualizados que se muestran junto a los archivos.

Estas herramientas y pasos pueden ayudarle a garantizar que sus archivos y directorios de WordPress tengan los permisos adecuados.

Permisos recomendados para archivos y directorios de WordPress

En general, la mejor práctica para los permisos de archivos de WordPress es la siguiente:

  • Archivos: Establezca los permisos en 644. Esta configuración permite que el propietario del archivo lea y escriba el archivo, mientras que todos los demás solo pueden leer.
  • Directorios: utilice 755. Esto permite al propietario del archivo leer, escribir y ejecutar (navegar) el directorio, mientras que otros solo pueden leer y ejecutar.

Permisos para wp-config.php, .htaccess y wp-content

  • wp-config.php: el archivo w-config.php contiene información confidencial y debe configurarse en 600 para restringir el acceso solo al propietario del archivo, mejorando la seguridad.
  • .htaccess: su archivo .htaccess debe configurarse en 644 para evitar modificaciones no autorizadas pero permitir el acceso necesario.
  • wp-content: este directorio puede permanecer en 755 para permitir el correcto funcionamiento de temas, complementos y cargas.

Configuración de propiedad y grupo

La propiedad y los grupos desempeñan un papel importante en la seguridad de los archivos de WordPress. Los propietarios tienen el control total, mientras que a los grupos se les pueden asignar permisos específicos que se adapten a su función en la administración del sitio web.

A continuación te indicamos cómo garantizar una configuración adecuada para tu sitio web de WordPress:

  • Utilice el comando chown (en SSH) para cambiar la propiedad de archivos y directorios, por ejemplo: chown usuario:grupo nombre_archivo
  • Revisar y ajustar periódicamente la propiedad en función de los cambios en la administración o los entornos de alojamiento.

Esto es especialmente importante para los usuarios que administran su propio Cloud.

Configuración de permisos estrictos para archivos confidenciales de sitios web

Para datos altamente sensibles, considere restringir los permisos más allá de las recomendaciones generales:

  • Establezca los archivos principales de WordPress en 640 para evitar el acceso grupal y público.
  • Configure sus archivos .htaccess y wp-config.php con los permisos más estrictos posibles, teniendo en cuenta los requisitos y limitaciones de su configuración de alojamiento.

Este enfoque proactivo hacia los permisos de archivos de WordPress puede ayudar a mitigar posibles vulnerabilidades y fortalecer la defensa de su sitio contra ataques.

Mejores prácticas para mantener los permisos de sus archivos

Las auditorías periódicas de permisos son muy importantes para la seguridad a largo plazo de un sitio web. Dedicar tiempo a las auditorías puede ayudar a garantizar que los permisos sigan siendo apropiados a medida que el sitio evoluciona, en particular después de las actualizaciones o la instalación de nuevos complementos o temas. Los complementos de seguridad que le avisan sobre cambios de permisos no autorizados también pueden ser una parte esencial de su estrategia de seguridad, lo que le permitirá responder rápidamente a cualquier posible violación de la seguridad.

Ya se ha cubierto todo lo que necesitas saber sobre cómo configurar y mantener permisos seguros de WordPress. La aplicación de estos conocimientos fortalecerá las defensas de tu sitio contra el acceso no autorizado.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube  para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en  X (Twitter)Facebook e Instagram.

Fuente: Sucuri

Nueva variación de Malware que elude Wordfence

Este artículo describe un nuevo tipo de malware llamado WordFence Evasion Malware que puede infectar sitios web de WordPress.

Se ha descubierto una nueva variante de malware que elude el plugin de seguridad WordFence en sitios WordPress. Este malware se disfraza como un plugin llamado “wp-engine-fast-action” y desactiva WordFence renombrando su directorio. Además, crea un usuario administrador malicioso y usa archivos adicionales para engañar a los administradores, haciéndoles creer que WordFence sigue funcionando correctamente. Para proteger tu sitio, es crucial utilizar múltiples capas de seguridad, mantener el software actualizado y revisar regularmente los plugins instalados.

¿Qué es Wordfence?

Wordfence es un plugin de seguridad para sitios web de WordPress que ofrece protección integral contra amenazas cibernéticas. Proporciona un firewall de aplicaciones web (WAF) que filtra el tráfico malicioso, un escáner de malware que revisa archivos y bases de datos en busca de infecciones, estas últimas funciones puede ser pagas. Se puede afirmar que WordFence es uno de los complementos de seguridad más populares en uso en la comunidad de WordPress

¿Cómo funciona este malware?

El malware utiliza técnicas avanzadas para evitar ser detectado por Wordfence. Algunas de las estrategias que emplea incluyen:

  1. Dividir el código malicioso en múltiples archivos para dificultar su detección. Incluye archivos como main.js y style.css.
  2. Usa ofuscación y codificación para ocultar el código dañino. Se ha detectado codificación base 64, concatenación y cadenas invertidas.
  3. Insertar el código malicioso en archivos legítimos de WordPress para pasar desapercibido.
  4. Crea un usuario administrador malicioso como por ejemplo license_admin2.

Cuando un usuario visita una página infectada, el malware se activa y puede realizar diversas actividades maliciosas, como robar datos, instalar puertas traseras o redirigir a los visitantes a sitios web maliciosos. Este mecanismo de ataque nos hace recordar el ataque de Anonymous Fox que aún hoy en día sigue trayendo secuelas.

¿Cómo puedo proteger mi sitio web de WordPress?

Tenemos que aclarar que no existe una solución definitiva para proteger tu sitio web de esta amenaza, pero es importante tomar las siguientes medidas:

¿Qué hacer si tu sitio web está infectado con malware de evasión de Wordfence?

Si sospechas que tu sitio web ha sido infectado, debes tomar medidas inmediatas para eliminarlo. Es aconsejable revisar los archivos de los complementos ubicados en ./wp-content/plugins.

Es recomendable que lo analices con un escáner de malware desde Sitios Hispanos, lo puede solicitar al Soporte técnico. También, puedes intentar eliminar el malware manualmente, pero esto puede ser un proceso difícil y complejo.

Le sugerimos leer nuestra guía: Desinfecta tu WordPress: Eliminación de malware

En resumen, esta nueva variación de malware evasivo de Wordfence representa una amenaza significativa para los sitios web de WordPress. Es crucial que los propietarios de sitios web tomen medidas proactivas para proteger sus sitios y estén atentos a posibles signos de infección.

El equipo de investigadores de Sucuri han realizado un análisis más profundo de esta nueva amenaza para el plugin Wordfence.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube  para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en  X (Twitter)Facebook e Instagram, además de LinkedIn.

Recomendaciones para mejorar la seguridad de WordPress

El CMS (sistema de gestión de contenidos) más prevalente en la actualidad es WordPress, liderando con un 43,2% de presencia en la totalidad de sitios web. Sin embargo, su extensa popularidad también lo convierte en un objetivo para diversos actores malintencionados que buscan explotar las vulnerabilidades de seguridad presentes en esta plataforma.

Esto no sugiere que WordPress carezca de un sistema de seguridad eficaz; más bien, las posibles vulnerabilidades pueden surgir debido a la falta de atención de los usuarios hacia la seguridad. Por ende, es recomendable adoptar medidas preventivas antes de que alguien intente comprometer la seguridad de tu sitio web.

La importancia de la seguridad de WordPress

Existe la posibilidad de perder datos cruciales, activos y credibilidad si tu sitio web es objeto de un ataque informático. Además, un incidente de este tipo podría comprometer la seguridad de los datos personales de tus clientes y la información de facturación.

A continuación, se presentan algunos de los tipos de vulnerabilidades de seguridad más frecuentes en WordPress, según la base de datos de vulnerabilidades de WPScan:

  • La falsificación de solicitudes en sitios cruzados (CSRF): obliga al usuario a realizar acciones no deseadas en una aplicación web confiable.
  • El ataque de denegación de servicio distribuido (DDoS): incapacita los servicios en línea llenándolos de conexiones no deseadas, lo que hace que un sitio sea inaccesible.
  • El bypass de autenticación: permite a los piratas informáticos acceder a los recursos de tu sitio web sin tener que verificar que es un usuario real.
  • La inyección SQL (SQLi): obliga al sistema a ejecutar consultas SQL maliciosas y manipula los datos de la base de datos.
  • El Cross-site scripting (XSS): inyecta código malicioso que convierte un sitio en un transportador de malware.
  • La inclusión de archivos locales (LFI): requiere que el sitio procese archivos maliciosos en el servidor.

Consejos para aumentar la seguridad de WordPress

Actualizar con frecuencia la versión de WordPress

WordPress regularmente publica actualizaciones de software destinadas a mejorar tanto el rendimiento como la seguridad del sistema. Estas actualizaciones desempeñan un papel crucial en la protección de tu sitio web contra posibles ataques cibernéticos.

Una de las formas más sencillas de fortalecer la seguridad de tu instalación de WordPress es mantenerla actualizada. Sin embargo, sorprendentemente, cerca del 50% de los sitios que utilizan WordPress aún operan con versiones antiguas, lo que aumenta su vulnerabilidad.

Para verificar si tienes la versión más reciente de WordPress, accede a tu panel de administración y dirígete a “Escritorio” => “Actualizaciones” en el menú de la izquierda. Si observas que tu versión no está actualizada, se recomienda encarecidamente que realices la actualización lo antes posible.

Es esencial estar atento a las fechas de lanzamiento de las futuras actualizaciones para asegurarse de que tu sitio web no esté utilizando una versión obsoleta de WordPress.

Además, se recomienda encarecidamente actualizar tanto los temas como los plugins instalados. Aquellos que no estén actualizados pueden generar interferencias con el software central recién actualizado de WordPress, ocasionando errores y representando una potencial amenaza para la seguridad del sitio. Mantener todos los componentes actualizados contribuye significativamente a la robustez y seguridad general de tu plataforma.

Para eliminar los temas y plugins obsoletos, sigue estos pasos:

1 – Debes acceder al panel de administración de WordPress y buscar la sección Escritorio => Actualizaciones.
2 – Desplázate hacia abajo hasta las secciones de Plugins y Temas y revisa la lista de los plugins que deben actualizarse. Ten en cuenta que se pueden actualizar todos de una vez.
3 – Pulsa en el botón «Actualizar plugins».

Te podría interesar leer nuestro artículo: ¿Debería actualizar WordPress o los complementos primero? (Orden de actualización adecuado)

Utiliza credenciales de inicio de sesión seguras de Wp-admin

Un error común es emplear nombres de usuario fácilmente comprensibles, como “administrador”, “admin” o “test”, lo cual incrementa el riesgo de ataques de fuerza bruta. Además, los atacantes también se dirigen a sitios de WordPress que cuentan con contraseñas débiles.

Por ende, se recomienda encarecidamente que tanto el nombre de usuario como la contraseña sean más complejos y difíciles de prever.

Si necesitas crear una nueva cuenta de administrador en WordPress, sigue estos pasos:

Ve a Usuarios en el panel de control de WordPress y selecciona Añadir nuevo usuario.

Para crear un nuevo usuario con el rol de Administrador, sigue estos pasos:

  1. Inicia sesión en tu panel de administración de WordPress.
  2. Dirígete a “Usuarios” en el menú de la izquierda y selecciona “Añadir nuevo”.
  3. Completa los campos requeridos, como nombre de usuario y dirección de correo electrónico.
  4. Asigna el rol de “Administrador” en la sección “Rol del usuario”.
  5. Genera una contraseña robusta que incluya letras mayúsculas y minúsculas, números y símbolos. Se recomienda una longitud superior a 12 caracteres.
  6. Pulsa el botón “Añadir nuevo usuario” para completar el proceso.

Para crear contraseñas seguras, puedes utilizar herramientas en línea como LastPass y 1Password. Estas plataformas pueden generar y almacenar contraseñas de manera segura. Además, facilitan la gestión de contraseñas, eliminando la necesidad de memorizarlas y contribuyendo así a mantener la seguridad de tus credenciales.

Configura una lista de bloqueo y seguridad para la página de administración

La activación del bloqueo de la URL ayuda a proteger tu página de acceso contra direcciones IP no autorizadas y ataques de fuerza bruta. Para lograrlo, se requiere la implementación de un servicio de firewall de aplicaciones web (WAF) como Cloudflare o Sucuri.

En el caso de Cloudflare, es posible configurar una regla de bloqueo de zona especificando las URLs que deseas bloquear y el rango de IPs autorizadas para acceder a ellas. Esto garantiza que las direcciones fuera de este rango no tengan acceso.

Por otro lado, Sucuri ofrece la función de lista negra de rutas de URL. Inicialmente, se añade la URL de la página de inicio de sesión a la lista negra para que no sea visible. Luego, se crea una lista de direcciones IP autorizadas que pueden acceder de manera segura.

Adicionalmente, puedes limitar el acceso a la página configurando el archivo .htaccess en el directorio raíz de tu sitio web. Para ello, sigue estos pasos:

  1. Accede al directorio raíz de tu sitio web.
  2. Abre el archivo .htaccess.
  3. Agrega la siguiente regla para limitar el acceso a wp-login.php a una sola IP:
<Files wp-login.php>
    order deny,allow
    deny from all
    allow from tu_direccion_IP
</Files>

De esta manera, esta regla restringirá el acceso a la página de inicio de sesión (wp-login.php) a la dirección IP especificada, impidiendo que los atacantes accedan desde otras ubicaciones.

Esta regla debe agregarse después de «#End WordPress», para que pueda funcionar correctamente. Incluso si no tienes una IP estática, esta regla se aplica porque puedes restringir los inicios de sesión al rango normal de tu ISP.

Esta regla también se puede usar para restringir otras URLs autenticadas, como /wp-admin.

También puede ver nuestro artículo: Cómo aprovechar al máximo el archivo .htaccess y cómo usarlo en tu sitio web

Utilizar temas de WordPress confiables

Los temas de WordPress denominados “nulled” son reproducciones no autorizadas de los temas originales premium de WordPress. A menudo, se comercializan a precios más bajos para atraer a los usuarios, pero suelen estar plagados de problemas de seguridad.

Estos temas, proporcionados por vendedores de versiones nulled, son frecuentemente elaborados por piratas informáticos que modifican el tema premium original e insertan código malicioso, como malware y enlaces de spam. Además, pueden contener vulnerabilidades que facilitan otros tipos de ataques perjudiciales para tu sitio de WordPress.

Dado que los temas nulled se distribuyen de manera ilegal, los desarrolladores no ofrecen soporte a los usuarios. En caso de problemas, deberás solucionarlos y asegurar tu sitio de WordPress por tu cuenta.

Para evitar estos riesgos, es aconsejable seleccionar temas de WordPress únicamente desde su directorio oficial o de desarrolladores de confianza, garantizando así la integridad y seguridad de tu sitio.

Configurar el certificado de seguridad SSL

El protocolo de transferencia de datos Secure Sockets Layer (SSL) cifra la información compartida entre los usuarios y los sitios web, dificultando significativamente a los atacantes el robo de datos sensibles.

Además de fortalecer la seguridad, los certificados SSL contribuyen a mejorar la optimización para motores de búsqueda (SEO), lo que se traduce en un aumento de visitantes y tráfico en el sitio web. Los sitios web que cuentan con un certificado de seguridad mostrarán “HTTPS” en lugar de “HTTP”, lo que facilita su identificación.

Después de instalar un certificado SSL en tu cuenta de hosting, es crucial activarlo en tu sitio web de WordPress. Plugins como Really Simple SSL o SSL Insecure Content Fixer simplifican este proceso, manejando los aspectos técnicos y la activación en pocos clics. La versión premium de Really Simple SSL incluso ofrece la opción de habilitar encabezados HSTS (Seguridad de transporte HTTP rigurosa), que obligan a utilizar HTTPS al acceder al sitio.

La última acción es cambiar la URL de tu sitio web de HTTP a HTTPS. Para ello, ve a “Ajustes” => “Generales” y modifica el campo “Dirección del sitio”. Este paso finaliza la transición hacia una conexión segura y encriptada en tu sitio de WordPress.

Eliminar los temas y plugins de WordPress que no se utilicen

Es cierto que mantener plugins y temas no utilizados, especialmente si no se han actualizado, puede ser perjudicial para la seguridad de tu sitio web. Los plugins y temas desactualizados aumentan el riesgo de ciberataques, ya que los piratas informáticos pueden aprovechar posibles vulnerabilidades para acceder a tu sitio.

Para desinstalar un plugin de WordPress que no se está utilizando, sigue estos pasos:

  1. Ingresa a la sección “Plugins” y selecciona “Plugins instalados”.
  2. Verás una lista de todos los plugins instalados. Bajo el nombre del plugin que deseas eliminar, haz clic en “Borrar”.

Este procedimiento contribuirá a mantener la seguridad de tu sitio, eliminando software innecesario y reduciendo las posibles superficies de ataque. Además, se recomienda revisar y eliminar regularmente cualquier plugin o tema que no estés utilizando para garantizar la seguridad continua de tu sitio web.

Es importante destacar que el botón de eliminar estará disponible recién después de desactivar un plugin en WordPress.

En cuanto a la eliminación de un tema no utilizado, sigue estos pasos:

  1. Accede a “Apariencia” => “Temas” desde el panel de administración de WordPress.
  2. Selecciona el tema que deseas eliminar.
  3. Aparecerá una ventana emergente con información sobre el tema. En la esquina inferior derecha, haz clic en el botón “Eliminar”.

Al seguir estos pasos, podrás desinstalar el tema seleccionado y así mantener tu sitio web más limpio y seguro. La eliminación de temas y plugins innecesarios reduce las posibles amenazas de seguridad y contribuye a un entorno más eficiente y protegido.

Cómo usar plugins de seguridad de WordPress

El uso de plugins representa otra estrategia efectiva para mejorar la seguridad de WordPress. Es un método sencillo y conveniente para proteger tu sitio web. No obstante, es crucial evitar la instalación de todos los plugins de seguridad al mismo tiempo, ya que esto puede ralentizar el rendimiento de tu sitio.

Para comenzar, es recomendable evaluar tus necesidades específicas y elegir plugins que se adapten a ellas de manera efectiva. Algunos de los plugins de seguridad comunes incluyen soluciones para firewall, escaneo de malware, protección contra ataques de fuerza bruta y monitoreo de actividad.

Recuerda que la calidad es más importante que la cantidad al seleccionar plugins. Opta por soluciones confiables y bien revisadas que cumplan con tus requerimientos de seguridad sin comprometer el rendimiento de tu sitio web. Además, mantén tus plugins actualizados para asegurar que estén equipados con las últimas funciones de seguridad y correcciones de vulnerabilidades.

1- Configurar la autenticación de dos factores para Wp-admin

Puedes activar la autenticación de dos factores (2FA) para facilitar el proceso de iniciar sesión en WordPress. Este método de autenticación requiere la introducción de un código único para completar el proceso, agregando una segunda capa de seguridad a la página de inicio de sesión de WordPress.

Siguiendo nuestra guía explicada aquí podrás activar 2FA en tu WordPress.

2 – Realizar copias de seguridad regulares de WordPress

Un componente fundamental en la gestión de riesgos es realizar periódicamente copias de seguridad del sitio, ya que esto facilita la recuperación después de eventos adversos, como ciberataques o daños físicos al centro de datos. Es esencial abarcar todos los archivos relacionados con la instalación de WordPress, englobando tanto la base de datos como los archivos fundamentales, dentro del archivo de copia de seguridad.

Para realizar esta tarea en WordPress es necesario contar con algún plugin que se encargue de esta función, como UpdraftPlus.

3- Limitar la cantidad de intentos de inicio de sesión

WordPress permite a los usuarios realizar un número ilimitado de intentos de inicio de sesión en tu sitio web. No obstante, esta característica crea una oportunidad propicia para que los piratas informáticos intenten acceder mediante diversas combinaciones de contraseñas hasta dar con la correcta.

Por consiguiente, resulta fundamental restringir los intentos de inicio de sesión fallidos para prevenir este tipo de ataques en la web. Además, limitar la cantidad de intentos no exitosos te permite supervisar cualquier actividad sospechosa que pueda ocurrir en tu sitio.

La mayoría de los usuarios normalmente necesitan solo uno o unos pocos intentos fallidos, por lo que debes permanecer alerta ante cualquier dirección IP sospechosa que alcance el límite de intentos.

Una estrategia eficaz para reducir el número de intentos de inicio de sesión y fortalecer la seguridad en WordPress es emplear un plugin. Existen numerosas opciones disponibles, tales como:

  • Limit Login Attempts Reloaded: limita la cantidad de intentos fallidos para direcciones IP específicas, agrega usuarios a la lista blanca o los bloquea por completo, e informa a los usuarios sobre el tiempo de bloqueo restante.
  • Loginizer: proporciona características de seguridad de inicio de sesión como la autenticación de dos factores, reCAPTCHA y preguntas de inicio de sesión con desafíos.
  • Limit Attempts de BestWebSoft: bloquea automáticamente las direcciones IP que superan el límite de intentos de inicio de sesión y las agrega a una lista de rechazos.

Un riesgo de implementar esta medida de seguridad es que un usuario fiable sea bloqueado en la administración de WordPress. Sin embargo, no debes preocuparte, ya que existen numerosas formas de recuperar cuentas de WordPress bloqueadas.

4 – Convertir la URL de la página de inicio de sesión de WordPress en una nueva

Considera modificar la URL de acceso para mejorar la defensa contra ataques de fuerza bruta.

La URL predeterminada para iniciar sesión en todos los sitios web de WordPress es misitioweb.com/wp-admin. Sin embargo, el uso de esta dirección facilita el acceso no autorizado de hackers a tu página.

La utilización de plugins como WPS Hide Login y Change WP Admin Login te brinda la posibilidad de personalizar esta URL.

Si optas por el plugin WPS Hide Login, sigue estos pasos para cambiar la URL de inicio de sesión de WordPress:

  1. Accede a “Ajustes” > “WPS Hide Login” en tu panel de control.
  2. Completa el campo de URL de acceso con tu elección personalizada.
  3. Para finalizar el proceso, haz clic en el botón “Guardar cambios”.

5 – Cerrar automáticamente la sesión de los usuarios inactivos

Numerosos usuarios tienden a dejar sus sesiones sin cerrar, lo que puede permitir que otras personas con el mismo dispositivo accedan a sus cuentas de usuario y utilicen información confidencial. Esta práctica es especialmente riesgosa para aquellos que emplean computadoras públicas en bibliotecas o cibercafés.

Por este motivo, es esencial configurar tu sitio web de WordPress para que los usuarios inactivos se desconecten automáticamente. Este enfoque es comúnmente adoptado por sitios web bancarios para prevenir accesos no autorizados y salvaguardar la información de sus clientes.

Una manera conveniente de cerrar automáticamente las cuentas de usuarios inactivos es mediante el uso de un plugin de seguridad de WordPress, como Inactive Logout. Este plugin tiene la capacidad de cerrar sesiones de usuarios inactivos y enviarles un mensaje personalizado para notificarles que su sesión está a punto de finalizar.

6 – Controlar las acciones de los usuarios

Para detectar cualquier actividad no autorizada o maliciosa que pueda comprometer la seguridad de tu sitio web, es crucial realizar un seguimiento de las acciones en tu área de administración.

Este enfoque se vuelve especialmente recomendable para aquellos que gestionan varios usuarios o autores que acceden al sitio web, ya que los usuarios podrían realizar ajustes no deseados, como cambiar temas o configurar plugins, que podrían afectar la integridad del sitio.

Al monitorear activamente estas actividades, podrás identificar responsables de cambios no autorizados y detectar si alguna persona no autorizada ha ingresado a tu sitio web de WordPress.

Una forma sencilla de llevar a cabo este monitoreo es mediante el uso de plugins específicos para WordPress, tales como:

  • WP Activity Log: Realiza un seguimiento de cambios en diversos aspectos del sitio web, incluyendo publicaciones, páginas, temas y plugins. También registra archivos que se añaden, eliminan o modifican.
  • Activity Log: Permite supervisar diversas actividades en el panel de administración de WordPress y establecer reglas para notificaciones por correo electrónico.
  • Simple History: Ofrece soporte para varios plugins de terceros como Jetpack, WP Crontrol y Beaver Builder, y registra toda la actividad relacionada con ellos.

7 – Examinar tu sitio en busca de malwares

Es esencial realizar exploraciones periódicas en tu sitio web, ya que los atacantes desarrollan constantemente nuevos métodos de ataque.

Afortunadamente, existe una amplia gama de plugins diseñados para escanear malware y fortalecer la seguridad en WordPress.

Nuestros expertos recomiendan la instalación y uso de los siguientes plugins de seguridad:

  • Wordfence: Este popular plugin de seguridad para WordPress proporciona actualizaciones en tiempo real de firmas de malware y alertas notificativas, informándote si tu sitio ha sido bloqueado por otra página debido a actividades sospechosas.
  • BulletProof Security: Ofrece herramientas de copia de seguridad y restauración de la base de datos, una función de cierre de sesión inactiva, y carpetas de plugins ocultas que refuerzan la protección de tu sitio web de WordPress.
  • Sucuri Security: Considerado uno de los mejores plugins de seguridad disponibles, Sucuri Security ofrece diversos certificados SSL, escaneos remotos de malware y funciones de acción de seguridad post-hack.

Conclusiones

La inyección de malware y los ataques de denegación de servicio distribuido (DDoS) representan solo algunas de las diversas manifestaciones que pueden adoptar los ciberataques. Dada la amplia adopción del sistema de gestión de contenidos (CMS), los hackers suelen dirigir sus ataques con frecuencia hacia los sitios web de WordPress.

En consecuencia, es imperativo que los propietarios de sitios web estén conscientes de cómo salvaguardar sus páginas contra estas amenazas.

Si te ha gustado este artículo, suscríbete a nuestro canal de YouTube  para ver videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en  TwitterFacebook e Instagram.

WordPress Toolkit Versión 5.9: Que trae de nuevo esta actualización.

La gran mayoría de las actualizaciones de esta herramienta están apuntadas a mejorar la seguridad, algo sumamente importante en estos días.

A continuación, describimos cuales son dichas actualizaciones en WordPress Toolkit:

Site Vulnerability Scan (Scanner de vulnerabilidades del sitio)

Introducido en la version 5.8; el “scan automático de vulnerabilidades” chequea cada hora las posibles vulnerabilidades de la base de datos; para controlar si se ha reportado alguna nueva inseguridad o flaqueza; y entonces controla cada sitio administrado por WordPress, incluyendo cada theme y cada plugin.
Si alguna es descubierta, WordPress Toolkit marca el sitio en la interface para que el admin de la web sepa que debe tomar acción al respecto.

Site Vulnerability Policies (Políticas de vulnerabilidad del sitio)

Introducido en la version 5.9; y en conjunto con el Site Vulnerability Scan mencionado anteriormente; son políticas avanzadas de auto actualización. Estas políticas (Que deben ser activadas de manera manual), aseguran que cada vulnerabilidad detectada, que se pueden corregir instalando actualizaciones, se realicen de manera automatica.

Dicho de otra manera, si alguna actualizacion existente puede corregir alguna vulnerabilidad detectada, WordPress Toolkit se hará cargo del proceso por si mismo.

En el caso que se trate de un plugin vulnerable, el admin tendrá la posibilidad de simplemente deshabilitar dicho plugin, en lugar de actualizarlo.

Las actualizaciones de seguridad son instaladas inmediatamente despues que se encuentran las vulnerabilidades.

Tambien hay que destacar que no hay políticas de auto actualizaciones especiales para WordPress en su totalidad, ya que estas auto actualizaciones menores ya se encargan de esto.

Site Vulnerability Email Notifications (Notificaciones por Email de las vulnerabilidades del sitio)

La última característica relacionada con la seguridad, es la notificación vía correo electronico asociada con los resultados dados por el Site Vulnerability Scan.

Los admin no deberán loguearse más a WordPress Toolkit para controlar estos temas de seguridad.

Y estas notificaciones difieren de las normales notificaciones de WordPress Toolkit; ya que las mismas son enviadas inmediatamente después que alguna vulnerabilidad fue detectada.

Es importante destacar que estas norificaciones son enviadas solo cuando ocurre algun evento de vulnerabilidad; para evitar que dichos correos sean considerados SPAM.

Actualizaciones adicionales en WordPress Toolkit.

  • La blocklist ahora trabaja en conjunto con CLI operations, y no busca actualizaciones de plugins bloqueados.
  • El proceso de escaneo ya no re-escanea sitios que ya son parte del listado en WordPress Toolkit, asi que trabaja de manera mas veloz.
  • El proceso de actualizaciones inteligentes (Smart Updates) ya no deja carpetas vacias después de finalizar.
  • El rendimiento en la tarea de instalar y eliminar sitios WordPress en servidores con gran cantidad de conexiones a base de datos ha sido mejorado de manera significativa.
  • El rendimiento de Action Log tambien ha sido mejorado cuando se trabaja con registros de gran tamaño.
  • El doble de bugs han sido corregidos en esta versión, si la comparamos con la anterior.

Fuente: https://blog.cpanel.com/wordpress-toolkit-version-5-9-update/

¿Qué versión de PHP debo utilizar en mis desarrollos web?

WordPress, Joomla, Drupal y muchos otros CMS y desarrollos propios de sitios web populares están escritos en un lenguaje de programación llamado PHP y ciertas versiones de PHP están a punto de llegar al final de su vida útil.

Desde el 28 de Noviembre de 2021, la versión 7.4 se encuentran sin soporte general y se volverán explotables a cualquier nuevo fallo de seguridad a partir del 28 de Noviembre de este año (2022).

La política del equipo de desarrollo de PHP con respecto al final de la vida útil es la siguiente: cada versión de PHP es totalmente compatible durante dos años a partir de la fecha de publicación. Luego, es compatible durante un año adicional solo para problemas críticos de seguridad. Una vez transcurridos tres años desde la fecha de lanzamiento, la versión de PHP ya no es compatible.

Eso significa que incluso si se descubre una vulnerabilidad, no se solucionará, dejando su sitio web vulnerable.

¿A qué versión específica de PHP debo actualizar?

VersiónPublicadaFin soporteFin seguridad
7.428 Nov 201928 Nov 202128 Nov 2022
8.026 Nov 202026 Nov 202226 Nov 2023
8.125 Nov 202125 Nov 202325 Nov 2024
Tabla de versiones de PHP

La versión posterior de esta rama es la versión 8, la cual tiene compatibilidad hasta el 26 de Noviembre de 2022 y recibirá actualizaciones de seguridad durante un año más después de eso.

La última versión del lenguaje PHP, PHP 8.1, se lanzó el 25 de Noviembre de 2021. El desarrollo de la versión 8.1 de PHP se ha centrado en crear nuevas funcionalidades. Algunas de las características nuevas más importantes son los argumentos con nombre, los atributos, las propiedades del constructor y la compilación JIT.

¿Mi desarrollo es compatible con nuevas versiones de PHP?

Usar software sin mantenimiento es una mala idea porque significa que las vulnerabilidades de seguridad no se están solucionando. Es importante consultar con su técnico o desarrollador web de confianza antes de actualizar la versión de PHP y revisar la documentación de su CMS.

Los planes de alojamiento web de SitiosHispanos.Com son compatible con las últimas version disponibles y puede seleccionarlas fácilmente desde nuestro panel.

Fuente: Wordfence | PHP.net | Adaptada por SitiosHispanos.Com