Seguridad en WordPress

Como medidas adicionales hemos implementado un certificado SSL proporcionado por dynahosting y tenemos un servidor propio dedicado con un firewall instalado.

Además de ello hemos restringido el acceso al backend para las direcciones IP del administrador no pudiendo acceder a las direcciones no autorizadas. También tenemos un blacklist completo de todo por geolocalización.

En la etapa de producción como medida de seguridad adicional deshabilitaremos puestos FTP y SSH.

Lista negras de IPs en el servidor Linux CentOS. Uno de los sistemas operativos mas seguros existentes.

Imposiblitamos “admin” como nombre de usuario.

También detectamos en el registro de usuarios si se crea una cuenta de usuario de WordPress con nombres de usuario y visualización idénticos.

El objetivo es por ejemplo que si un usuario hace un comentario con su nombre, este sea distinto de su nombre de usuario de inicio de sesión.

Tenemos implementado una herramienta de seguridad de la contraseña que nos permite crear contraseñas muy fuertes. Alfanuméricas con símbolos, mayúsculas y minúsculas de más de 8 dígitos para prevenir la entrada de diccionarios en técnicas de SQL Inyection.

Detener la enumeración de usuario. Así, los usuarios / los robots no pueden descubrir la información del usuario a través de los enlaces permantens de autores que tiene WordPress por defecto.

Proteger de la “fuerza bruta Ataque de sesión” con la función de Acceder Lockdown. Los usuarios con una dirección IP determinada gama o quedarán fuera del sistema durante un período predeterminado de tiempo basado en los valores de configuración y también se puede optar por recibir una notificación por correo electrónico cada vez que alguien se bloquea debido a demasiados intentos de conexión.

Con permisos de administrador podemos ver una lista de todos los usuarios que acceden al sitios en el que podemos bloquear o desbloquear direcciones IP individuales o a granel ( del tipo 0.0.0.X) con un clic de botón.

Tehemos hablitado el cierra de sesión de todos los usuarios después de un período de tiempo de no mas de 30 minutos.

Monitorizamos en tu web todos los intentos fallidos de autenticación registrando los siguientes campos

• dirección IP, ID de usuario
• nombre de usuario y la fecha
• hora del intento fallido de inicio de sesión
• Monitoreo por geolocalización

Tambíen podemos la actividad de todas las cuentas de usuario en el sistema mediante el seguimiento de los nombres de usuario

• dirección IP
• fecha de inicio de sesión / hora,
• cierre de sesión de fecha / hora.

Tenemos la capacidad de Bloqueo de Rangos de direcciones IP automático para los intentos de inicio de sesión con un nombre de usuario inválido.

Capacidad para ver una lista completa de todos los usuarios que han iniciado sesión actualmente en su sitio.

Ponemols las direcciones IP de los administradores en una lista blanca especial.

Las direcciones IP de la lista blanca tienen acceso único a la página de administración de WP.

Colocamos un código de imagen Captcha al formulario de WordPress “Inicio de sesión”.

Añadimos un código de imagen al formulario de su contraseña Olvidó su sistema WP Login.

Seguridad de Registro de Usuario

Habilitamos la aprobación manual de cuentas de usuario de WordPress.

Colocamos el código de imagen Captcha para la página de registro de usuario de WordPress para protegernos de registros de usuarios spammers.

Seguridad de base de datos

Programamos las copias de seguridad automáticas con notificaciones por correo electrónico.
Hacemos una copia de seguridad instantánea en la Base de Datos antes de cualquier actualización de código.

Además de las medidas anteriormente descritas de búsqueda de cadenas, etc.

Identificamos los archivos o carpetas que tienen configuraciones de permisos que no son seguros y establezca los permisos a los valores seguros recomendar con sólo pulsar un botón.

Protegemos su código PHP mediante la desactivación de la edición de archivos desde el área de administración de WordPress.

En nuestro sistema es fácil de ver y controlar todos los registros del sistema host desde una sola página de menú y mantenerse informado de cualquier problema o problemas que ocurren en el servidor para que pueda hacer frente a ellos rápidamente.

Evitamos que las personas accedan a la readme.html, license.txt y los archivos wp-config-sample.php de su sitio de WordPress que puedan comprometer la segudidad.

Tenemos una especial atención a .htaccess y wp-config.php del que hacemos copias de seguridad y restauración de archivos.

Fácilmente copias de seguridad de sus archivos .htaccess y wp-config.php originales en caso de que se necesitan para utilizarlos para restaurar la funcionalidad roto.

Modificar el contenido de los archivos .htaccess o wp-config.php actualmente activas del tablero de instrumentos de administración con sólo unos pocos clics

Este plugin te permite agregar fácilmente una gran cantidad de protección de firewall a su sitio a través de .htaccess.

Un archivo .htaccess es procesado por el servidor web antes que cualquier otro código en nuestro sitio.

Con esta técnica, podemos escribir reglas de firewall vía web.

Evitando código malicioso antes de que los intrusos pudiesen tener la oportunidad de alcanzar el código de WordPress en tu web

Instalaciones de control de acceso.

activar al instante una selección de configuraciones de firewall que van desde el básico, intermedio y avanzado.

También tenemos firewall vía WordPress para el área de login Habilitamos listas negras de sitios de IPS maliciosa

Prohibición vía proxy en publicación de comentarios para usuarios sospechosos.

Hemos Bloqueado el acceso a los archivos de logs (archivo de registro de depuración).

Tenemos la posibilidad de desactivar el seguimiento y rastreo de los bots, aunque en esta característica concreta no la hemos habilitado por cuestiones de SEO.

Denegamos las consultas de cadenas de texto maliciosas.

Tenemos habilitada la protección contra el Cross Site Scripting (XSS) mediante la activación del filtro de cadena de caracteres completa y avanzada. También de los robots maliciosos, mediante una cookie especial en el navegador.

Funciones de protección contra vulnerabilidades WordPress Pingback

Esta característica permite al usuario firewall prohibir el acceso al archivo xmlrpc.php con el fin de protegernos contra ciertas vulnerabilidades en la funcionalidad de pingback. Esto también es útil para bloquear los robots accedan constantemente el archivo xmlrpc.php y nos desgaste recursos del servidor.

Tenemos la capacidad de bloquear “Googlebots” de rastreo falsos en nuestro sitio.

Nos hemos prevenido de imágenes “hotlinking”. Usamos esto para evitar que otros enlacen a nuestras imágenes, disminuyendo así la sobrecarga de peticiones a nuestro servidor no autorizadas.

También registramos todos los eventos 404 de tu futura web. Bloqueamos automáticamente las direcciones IP que están accediendo a demasiados errores 404s.

Cabe decir que esta medida es muy ocasional, ya que los 404 los solemos redirigidir a la página de incio mediante RedirectMatch en el archivo .htaccess.

Damos la posibilidad de añadir reglas personalizadas para bloquear el acceso a varios recursos de nuestro sitio.

Bloqueamos de forma instantánea la fuerza bruta en ataques de “Iniciar sesión” ataques a través de nuestra característica especial fuerza bruta de sesión Prevención cookie-base. Esta funcionalidad “Firewall“ bloqueará todos los intentos de conexión de las personas y los robots.

Añadimos un código simple de imagen matemática al formulario de acceso de WordPress para luchar contra los ataques de fuerza bruta en el inicio de sesión.

Tenemos la capacidad de ocultar la página de inicio de sesión de administrador.

Además, hemos cambiado el nombre de la URL de la página de inicio de sesión de WordPress para que los robots y los piratas informáticos no puedan acceder a la misma.

Tenemos la capacidad para utilizar y entrar en el servicio Honeypot. Lo que nos ayuda a reducir los intentos de inicio de sesión de fuerza bruta por robots.

Realizamos una búsquedas “Whois” de direcciones de host o IPs sospechosas para obtener mas detalles, con el geolocalizador, fundamentalmente bloqueamos las de países fuera de nuestro ámbito de actuación que no han tenido una acitividad en el sitio comprobada, tal como contratación de planes, etc..

Instalamos un potete scanner de detección de cambio de archivos, el cuál nos avisa si alguno de los mismos ha cambiado en nuestro sistema.

Así mismo abrimos un procedimiento de verificación para comprobar si fue un cambio legítimo o se inyectó código sin autorización.

También tenemos un software de escanéo en la base de datos para auditar código malicioso, con el objetivo de buscar las cadenas (textos) de aspecto sospechoso mas comunes, descargando las mismas de algunos sitios dedicados a la detección de vulnerabilidades de WordPress.

Supervisamos las direcciones IP más activas que producen repetidamente los comentarios SPAM y al instante se bloquean con un solo clic de botón.

Prevenimos los comentarios que se presentan directamente en la página y no proceden de otras partes de nuestro dominio (esto debería reducir a los robots de spam de publicación de comentarios en nuestro sitio).

Añadimos un código de imagen tipo captcha en el formulario de comentarios de WordPress para aumentar la seguridad contra los comentarios no deseados.

Bloqueamos direcciones IP que han superado un cierto número de comentarios marcados como SPAM en nuestro sitio.

Tenemos deshabilitiado el botón derecho del ratón, la selección de texto y la opción de copia para el front-end, esta medida nos permite protegernos de los algunos “scrappers” que cacen los contenidos de nuestros usuarios.

Tenemos todos los procesos de actualización del sistema automatizados y somos sensibles a actualizar nuestros desarrollos propios, así como los desarrollos de terceros como el propio sistema WordPress.

Hemos eliminado la información de etiquetas “meta” que por defecto coloca WordPress de la fuente HTML en nuestro sitio.

Hemos deshabilitado la visualización de la versión de la JS y CSS de WordPress para ocultar pistas potenciales sobre posibles vulnerabilidades en las versiones de WordPress.

También evitamos que las personas accedan a los archivos readme.html, LICENSE.TXT y wp-config-sample.php y otros archivos sensibles de WordPress donde pudieran sacar algun tipo de información o inyectar algún tipo de código malicioso.

Tenemos la Capacidad de bloquear temporalmente el frontend del sitio, en el caso que detectemos alguna de las incidencias anteriormente descritas, procedemos a cerrar todas las sesiones abiertas hasta que se resuelva la incidencia o actualización favorablemente. (investigar los ataques de seguridad, llevar a cabo actualizaciones del sitio, hacer trabajos de mantenimiento, etc.).

Inhabilitado la posibilidad que otros sitios muestren nuestro contenido a través de un marco o iframe para prevenir en la medida de los posible el “phising” o la suplantación de nuestra identidad en la red.