Actualmente las web preferidas por los ataques de Hackers y Spammers a sitios web basados en WordPress que no manejan configuraciones de seguridad en wordpress adecuados, dejando al desarrollador la responsabilidad de prever posibles problemas para evitar ataques que causan en problemas como los siguientes:
Acciones que podemos realizar para evitar estos problemas
Además debemos optimizar el archivo .htaccess como primera linea de defensa tanto para wordpress como para cualquier otra plataforma en que desarrollemos. Mediante este archivo podremos bloquear direcciones IP específicas, redirigir las visitas a la página de mantenimiento cuando se está rediseñando una página web, restringir direcciones IP para que nadie pueda acceder al panel de administración de tu WordPress.
Ejemplos de permisos y bloqueos con htaccess
Permitir unicamente que una ip acceda al panel de control, en este caso podria ser la ip del servidor o tu ip de conexión:
Muchos ataques intentan modificar archivos javascript, añadiendo este código al htaccess evitaremos que archivos con la extensión especificadas puedan ser accedidos.
- Emisión masiva de comentarios con spam
- Acceso a la administración del sitio web para hacer defacement (desfiguraciones) y cambios a sus contenidos y bases de datos
- Registro de múltiples usuarios para intentar manipular la web
- Inyección de archivos maliciosos a directorios con permisos 777 para ejecutar shells de comandos que intentan violar su espacio web
- Ataques de denegación de servicios bloqueando el acceso a su sitio web
Acciones que podemos realizar para evitar estos problemas
- Instalar filtros anti spam como los plugins Antispam y Akismet se trata de filtrar el spam enlace de comentarios del blog y pings trackBack de spam y el plugin luego usa esas reglas de spam para bloquear otras combinaciones de spam.
- Instalación y configuración de Plugins para evitar a los hackers y para aumentar la seguridad en wordpress
- Refuerzo de las políticas de manejo de contraseñas con reCaptcha y Captcha on Login
- Seguridad con un Firewall como OSE Firewall™ Security y Wordfence Security, que controlan malware, boquean ips, escanean y protegen los archivos principales impidiendo cambios. Informan por mail cualquier acceso o evento que suponga un ataque y bloquea esa ip.
- Protección contra la seguridad del sitio web: XSS, RFI, CRLF, CSRF, Base64, Code Injection y SQL Injection para ello existe el plugin BulletProof
Además debemos optimizar el archivo .htaccess como primera linea de defensa tanto para wordpress como para cualquier otra plataforma en que desarrollemos. Mediante este archivo podremos bloquear direcciones IP específicas, redirigir las visitas a la página de mantenimiento cuando se está rediseñando una página web, restringir direcciones IP para que nadie pueda acceder al panel de administración de tu WordPress.
Ejemplos de permisos y bloqueos con htaccess
Permitir unicamente que una ip acceda al panel de control, en este caso podria ser la ip del servidor o tu ip de conexión:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Wordpress Admin Access Control" AuthType Basic <LIMIT GET> ***** deny,allow deny from all allow from 190.0.0.2 </LIMIT>
Muchos ataques intentan modificar archivos javascript, añadiendo este código al htaccess evitaremos que archivos con la extensión especificadas puedan ser accedidos.
<Files ~ "\.(js|css)$"> ***** allow,deny allow from all </Files>
