Seguridad en WordPress

TEMAS

¿Qué es la seguridad?

Temas de seguridad

Vulnerabilidades en su computadora

Vulnerabilidades en WordPress

Actualización de WordPress

Informar problemas de seguridad

Vulnerabilidades del servidor web

Vulnerabilidades de la red

Contraseñas

FTP

Permisos de archivos

Cambiar los permisos de archivo

Respecto a las actualizaciones automáticas

Seguridad de la base de datos

Restricción de los privilegios del usuario de la base de datos

Asegurar wp-admin

Asegurar wp-includes

Asegurando wp-config.php

Deshabilitar la edición de archivos

Complementos

Cortafuegos

Complementos que necesitan acceso de escritura

Complementos de ejecución de código

Seguridad a través de la oscuridad

Copias de seguridad de datos

Inicio sesión

Vigilancia

Supervisión de sus registros

Supervisión de cambios en sus archivos

Metas

Enfoques generales

Herramientas especificas

Consideraciones

Supervisión de su servidor web de forma externa

 

La seguridad en WordPress se toma muy en serio , pero al igual que con cualquier otro sistema, existen problemas de seguridad potenciales que pueden surgir si no se toman algunas precauciones básicas de seguridad. Este artículo analizará algunas formas comunes de vulnerabilidades y las cosas que puede hacer para ayudar a mantener segura la instalación de WordPress.

 

Este artículo no es la solución rápida definitiva a sus problemas de seguridad. Si tiene inquietudes o dudas específicas sobre seguridad, debe discutirlas con personas en las que confíe para tener suficiente conocimiento de seguridad informática y WordPress.

 

¿Qué es la seguridad? #¿Qué es la seguridad?

Básicamente, la seguridad no se trata de sistemas perfectamente seguros. Tal cosa bien podría ser poco práctica o imposible de encontrar y / o mantener. Sin embargo, la seguridad es la reducción de riesgos, no la eliminación de riesgos. Se trata de emplear todos los controles apropiados disponibles para usted, dentro de lo razonable, que le permitan mejorar su postura general reduciendo las probabilidades de convertirse en un objetivo y, posteriormente, ser pirateado.

 

Host de sitios web

A menudo, un buen lugar para comenzar cuando se trata de seguridad de sitios web es su entorno de alojamiento. Hoy en día, aserverhost esta disponibles como una de las mejores opciones, si bien los hosts ofrecen seguridad hasta cierto nivel, es importante comprender dónde termina su responsabilidad y dónde comienza la suya. Aquí hay un buen artículo que explica la complicada dinámica entre los servidores web y la seguridad de su sitio web . Un servidor seguro protege la privacidad, integridad y disponibilidad de los recursos bajo el control del administrador del servidor.

 

Las cualidades de nosotros como proveedor de alojamiento web de confianza son:

 

Ofrecemos manuales actualizados de seguridad o generamos a su solicitud para mantener procesos de seguridad en su alojamiento.

Proporcionamos las versiones estables más recientes de todo el software de servidor.

Proporcionamos métodos fiables de copia de seguridad y recuperación.

Puede seleccionar la version de php que se adapte mas a sus necesidades

 

Aplicaciones del sitio web

 

Es fácil mirar los servidores web y pasarles la responsabilidad de la seguridad, pero también hay una enorme cantidad de seguridad que recae en el propietario del sitio web. Los servidores web a menudo son responsables de la infraestructura en la que se encuentra su sitio web, no son responsables de la aplicación que elija instalar.

 

Para comprender dónde y por qué esto es importante, debe comprender cómo se piratean los sitios web . Rara vez se atribuye a la infraestructura y, con mayor frecuencia, a la aplicación en sí (es decir, el entorno del que es responsable).

 

Temas de seguridad #Temas de seguridad

Tenga en cuenta algunas ideas generales al considerar la seguridad para cada aspecto de su sistema:

 

Limitando el acceso
Tomar decisiones inteligentes que reduzcan los posibles puntos de entrada disponibles para una persona malintencionada.
Contención
-Su sistema debe configurarse para minimizar la cantidad de daño que se puede hacer en caso de que se vea comprometido.
Preparación y conocimiento
-Mantener copias de seguridad y conocer el estado de su instalación de WordPress a intervalos regulares. Tener un plan para respaldar y recuperar su instalación en caso de catástrofe puede ayudarlo a volver a conectarse más rápido en caso de un problema.
Fuentes confiables
-No obtenga complementos / temas de fuentes que no sean de confianza. Limítese al repositorio de WordPress.org o empresas conocidas. Intentar obtener complementos / temas del exterior puede generar problemas .

 

Vulnerabilidades en su computadora #Vulnerabilidades en su computadora
Asegúrese de que las computadoras que usa estén libres de software espía, malware e infecciones de virus. Ninguna cantidad de seguridad en WordPress o en su servidor web hará la más mínima diferencia si hay un keylogger en su computadora.
Mantenga siempre actualizado su sistema operativo y el software, especialmente su navegador web, para protegerse de las vulnerabilidades de seguridad. Si está navegando por sitios que no son de confianza, también le recomendamos que utilice herramientas como no-script (o deshabilitar javascript / flash / java) en su navegador.

 

Vulnerabilidades en WordPress #Vulnerabilidades en WordPress

Como muchos paquetes de software modernos, WordPress se actualiza regularmente para abordar los nuevos problemas de seguridad que puedan surgir. La mejora de la seguridad del software es siempre una preocupación constante y, con ese fin , siempre debe mantenerse actualizado con la última versión de WordPress . Las versiones anteriores de WordPress no se mantienen con actualizaciones de seguridad.

 

Actualizando WordPress #Actualización de WordPress

Artículo principal: Actualización de WordPress .

 

La última versión de WordPress siempre está disponible en el sitio web principal de WordPress en https://wordpress.org. Los lanzamientos oficiales no están disponibles en otros sitios; nunca descargue ni instale WordPress desde ningún sitio web que no sea https://wordpress.org.

Desde la versión 3.7, WordPress ha presentado actualizaciones automáticas. Utilice esta funcionalidad para facilitar el proceso de actualización. También puede utilizar el panel de WordPress para mantenerse informado sobre las actualizaciones. Lea la entrada en el Panel de control o en el Blog para desarrolladores de WordPress para determinar qué pasos debe seguir para actualizar y permanecer seguro.

Si se descubre una vulnerabilidad en WordPress y se lanza una nueva versión para abordar el problema, es casi seguro que la información necesaria para explotar la vulnerabilidad sea de dominio público. Esto hace que las versiones antiguas estén más abiertas a los ataques y es una de las principales razones por las que siempre debe mantener WordPress actualizado.

Si es un administrador a cargo de más de una instalación de WordPress, considere usar Subversion para facilitar la administración.

 

Informar problemas de seguridad #Informar problemas de seguridad

Si cree que ha encontrado una falla de seguridad en WordPress, puede ayudar informando el problema. Consulte las Preguntas frecuentes sobre seguridad para obtener información sobre cómo informar problemas de seguridad.

Si cree que ha encontrado un error, infórmelo. Consulte Envío de errores para saber cómo hacer esto. Es posible que haya descubierto una vulnerabilidad o un error que podría provocar una.

Vulnerabilidades del servidor web #Vulnerabilidades del servidor web

El servidor web que ejecuta WordPress y el software que contiene pueden tener vulnerabilidades. Por lo tanto, asegúrese de estar ejecutando versiones estables y seguras de su servidor web y el software que contiene, o asegúrese de estar utilizando un host confiable que se encargue de estas cosas por usted.

Si estás en un servidor compartido (uno que aloja otros sitios web además del tuyo) y un sitio web en el mismo servidor está comprometido, tu sitio web también puede verse comprometido incluso si sigues todo en esta guía. Asegúrese de preguntarle a su proveedor de alojamiento web qué precauciones de seguridad toma.

 

Vulnerabilidades de la red #Vulnerabilidades de la red

La red en ambos extremos, el lado del servidor de WordPress y el lado de la red del cliente, debe ser confiable. Eso significa actualizar las reglas del firewall en el enrutador de su hogar y tener cuidado con las redes desde las que trabaja. Un cibercafé en el que envía contraseñas a través de una conexión no cifrada, inalámbrica o de otro tipo, no es una red confiable.

Su proveedor de alojamiento web debe asegurarse de que los atacantes no pongan en peligro su red, y usted debe hacer lo mismo. Las vulnerabilidades de la red pueden permitir la interceptación de contraseñas y otra información confidencial.

 

Contraseñas #Contraseñas

Se pueden evitar muchas vulnerabilidades potenciales con buenos hábitos de seguridad. Una contraseña segura es un aspecto importante de esto.

El objetivo de tu contraseña es hacer que sea difícil de adivinar para otras personas y difícil que un ataque de fuerza bruta tenga éxito. Hay muchos generadores de contraseñas automáticos disponibles que se pueden utilizar para crear contraseñas seguras.

WordPress también cuenta con un medidor de seguridad de la contraseña que se muestra al cambiar su contraseña en WordPress. Use esto cuando cambie su contraseña para asegurarse de que su fuerza sea adecuada.

 

Cosas que debe evitar al elegir una contraseña:

Cualquier permutación de su propio nombre real, nombre de usuario, nombre de la empresa o nombre de su sitio web.

Una palabra de un diccionario, en cualquier idioma.

Una contraseña corta.

Cualquier contraseña solo numérica o solo alfabética (una combinación de ambas es lo mejor).

Una contraseña segura es necesaria no solo para proteger el contenido de su blog. Un pirata informático que obtenga acceso a su cuenta de administrador puede instalar scripts maliciosos que potencialmente pueden comprometer todo su servidor.

 

Además de utilizar una contraseña segura, es una buena idea habilitar la autenticación de dos pasos como medida de seguridad adicional.

 

FTP #FTP

Cuando se conecte a su servidor, debe utilizar el cifrado SFTP si su proveedor de alojamiento web lo proporciona. 

Usar SFTP es lo mismo que FTP, excepto que su contraseña y otros datos están encriptados a medida que se transmiten entre su computadora y su sitio web. Esto significa que su contraseña nunca se envía de forma clara y no puede ser interceptada por un atacante.

 

Permisos de archivo #Permisos de archivos

Algunas características interesantes de WordPress provienen de permitir que el servidor web pueda escribir varios archivos. Sin embargo, permitir el acceso de escritura a sus archivos es potencialmente peligroso, particularmente en un entorno de alojamiento compartido.

Es mejor bloquear los permisos de sus archivos tanto como sea posible y aflojar esas restricciones en las ocasiones en que necesite permitir el acceso de escritura, o crear carpetas específicas con menos restricciones con el fin de hacer cosas como cargar archivos.

Aquí hay un posible esquema de permisos.

Todos los archivos deben ser propiedad de su cuenta de usuario y usted debe poder escribirlos. Cualquier archivo que necesite acceso de escritura desde WordPress debe poder escribirse en el servidor web, si su configuración de alojamiento lo requiere, eso puede significar que esos archivos deben ser propiedad del grupo de la cuenta de usuario utilizada por el proceso del servidor web.

/

El directorio raíz de WordPress: todos los archivos deben ser modificables solo por su cuenta de usuario, excepto .htaccesssi desea que WordPress genere automáticamente reglas de reescritura para usted.

/wp-admin/

El área de administración de WordPress: todos los archivos deben ser modificables solo por su cuenta de usuario.

/wp-includes/

La mayor parte de la lógica de la aplicación de WordPress: todos los archivos deben ser escribibles solo por su cuenta de usuario.

/wp-content/

Contenido proporcionado por el usuario: destinado a que su cuenta de usuario y el proceso del servidor web puedan escribirlo.

Dentro /wp-content/encontrarás:

/wp-content/themes/

Archivos temáticos. Si desea utilizar el editor de temas integrado, el proceso del servidor web debe poder escribir en todos los archivos. Si no desea utilizar el editor de temas integrado, solo su cuenta de usuario puede escribir en todos los archivos.

/wp-content/plugins/

Archivos de complementos: todos los archivos deben ser modificables solo por su cuenta de usuario.

Otros directorios que pueden estar presentes /wp-content/deben documentarse con cualquier complemento o tema que los requiera. Los permisos pueden variar.

 

Cambio de permisos de archivo #Cambiar los permisos de archivo

Si tiene acceso de shell a su servidor, puede cambiar los permisos de archivo de forma recursiva con el siguiente comando:

Para directorios:

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

Para archivos:

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Respecto a las actualizaciones automáticas #Respecto a las actualizaciones automáticas

Cuando le dice a WordPress que realice una actualización automática, todas las operaciones de archivo se realizan como el usuario que posee los archivos, no como el usuario del servidor web. Todos los archivos están configurados en 0644 y todos los directorios están configurados en 0755, y solo el usuario puede escribirlos y todos los demás, incluido el servidor web, pueden leerlos.

 

Seguridad de la base de datos #Seguridad de la base de datos

Si ejecuta varios blogs en el mismo servidor, es aconsejable considerar mantenerlos en bases de datos separadas, cada una administrada por un usuario diferente. Esto se logra mejor al realizar la instalación inicial de WordPress . Esta es una estrategia de contención: si un intruso descifra con éxito una instalación de WordPress, esto hace que sea mucho más difícil alterar sus otros blogs.

Si administra MySQL usted mismo, asegúrese de comprender su configuración de MySQL y de que las funciones innecesarias (como aceptar conexiones TCP remotas) estén desactivadas. Consulte Diseño seguro de bases de datos MySQL para obtener una buena introducción.

Restricción de privilegios de usuario de la base de datos #Restricción de los privilegios del usuario de la base de datos

Para las operaciones normales de WordPress, como publicar publicaciones en blogs, cargar archivos multimedia, publicar comentarios, crear nuevos usuarios de WordPress e instalar complementos de WordPress, el usuario de la base de datos MySQL solo necesita privilegios de lectura y escritura de datos en la base de datos MySQL; SELECT, INSERT, UPDATE and DELETE.

 

Por lo tanto, cualquier otra estructura de base de datos y privilegios de administración, como DROP, ALTER y GRANT, pueden ser revocados. Al revocar dichos privilegios, también está mejorando las políticas de contención.

 

Nota: Es posible que algunos complementos, temas y actualizaciones importantes de WordPress requieran realizar cambios estructurales en la base de datos, como agregar nuevas tablas o cambiar el esquema. En tal caso, antes de instalar el complemento o actualizar un software, deberá otorgar temporalmente al usuario de la base de datos los privilegios necesarios.

 

ADVERTENCIA: intentar actualizaciones sin tener estos privilegios puede causar problemas cuando se producen cambios en el esquema de la base de datos. Por lo tanto, NO se recomienda revocar estos privilegios. Si siente la necesidad de hacer esto por razones de seguridad, primero asegúrese de tener un plan de respaldo sólido, con respaldos regulares de toda la base de datos que ha probado son válidos y que se pueden restaurar fácilmente. Una actualización fallida de la base de datos generalmente se puede resolver restaurando la base de datos a una versión anterior, otorgando los permisos adecuados y luego dejando que WordPress intente la actualización de la base de datos nuevamente. La restauración de la base de datos la devolverá a esa versión anterior y las pantallas de administración de WordPress detectarán la versión anterior y le permitirán ejecutar los comandos SQL necesarios en ella. La mayoría de las actualizaciones de WordPress no cambian el esquema, pero algunas sí lo hacen. Solo las actualizaciones de puntos importantes (3.7 a 3.8, por ejemplo) alterarán el esquema. Las actualizaciones menores (3.8 a 3.8.1) generalmente no lo harán. Sin embargo,Mantenga una copia de seguridad periódica .

 

 

Asegurando wp-admin #Asegurar wp-admin

Agregar protección con contraseña del lado del servidor (como BasicAuth ) para /wp-admin/agregar una segunda capa de protección alrededor del área de administración de su blog, la pantalla de inicio de sesión y sus archivos. Esto obliga a un atacante o bot a atacar esta segunda capa de protección en lugar de sus archivos de administración reales. Muchos ataques de WordPress los llevan a cabo de forma autónoma bots de software maliciosos.

El simple hecho de proteger el wp-admin/directorio también podría romper algunas funciones de WordPress, como el controlador AJAX en wp-admin/admin-ajax.php. Consulte la sección Recursos para obtener más documentación sobre cómo proteger con contraseña su wp-admin/directorio correctamente.

Los ataques más comunes contra un blog de WordPress generalmente se dividen en dos categorías.

Envío de solicitudes HTTP especialmente diseñadas a su servidor con cargas útiles de explotación específicas para vulnerabilidades específicas. Estos incluyen complementos y software antiguos / desactualizados.

Intentar obtener acceso a su blog mediante adivinación de contraseñas mediante "fuerza bruta".

La implementación final de esta protección con contraseña de "segunda capa" es requerir una conexión encriptada HTTPS SSL para la administración, de modo que toda la comunicación y los datos confidenciales estén encriptados. Consulte Administración sobre SSL .

 

Asegurando wp-includes #Asegurar wp-includes

Se puede agregar una segunda capa de protección donde los scripts generalmente no están destinados a que ningún usuario acceda a ellos. Una forma de hacerlo es bloquear esos scripts usando mod_rewrite en el archivo .htaccess. Nota: para asegurarse de que WordPress no sobrescriba el código siguiente, colóquelo fuera de las etiquetas # BEGIN WordPressy # END WordPressen el archivo .htaccess. WordPress puede sobrescribir cualquier cosa entre estas etiquetas.

 

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>


# BEGIN WordPress

 

 

Tenga en cuenta que esto no funcionará bien en Multisite, ya RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]que evitaría que el archivo ms-files.php genere imágenes. Omitir esa línea permitirá que el código funcione, pero ofrece menos seguridad.

 

 

Asegurando wp-config.php #Asegurando wp-config.php

Puede mover el wp-config.php archivo al directorio arriba de su instalación de WordPress. Esto significa que para un sitio instalado en la raíz de su espacio web, puede almacenarlo wp-config.php fuera de la carpeta raíz web.

 

Nota: Algunas personas afirman que mover wp-config.php tiene beneficios de seguridad mínimos y, si no se hace con cuidado, en realidad puede introducir vulnerabilidades graves. Otros no están de acuerdo .

 

Tenga en cuenta que wp-config.phpse puede almacenar UN nivel de directorio por encima de la instalación de WordPress (donde reside wp-includes). Además, asegúrese de que solo usted (y el servidor web) puedan leer este archivo (generalmente significa un permiso 400 o 440).

 

Si usa un servidor con .htaccess, puede poner esto en ese archivo (en la parte superior) para denegar el acceso a cualquiera que lo busque:

 

<files wp-config.php>
order allow,deny
deny from all
</files>

 

Deshabilitar la edición de archivos #Deshabilitar la edición de archivos

El panel de WordPress de forma predeterminada permite a los administradores editar archivos PHP, como archivos de complementos y temas. Esta es a menudo la primera herramienta que utilizará un atacante si puede iniciar sesión, ya que permite la ejecución de código. WordPress tiene una constante para deshabilitar la edición desde Dashboard. Colocar esta línea en wp-config.php equivale a eliminar las capacidades 'edit_themes', 'edit_plugins' y 'edit_files' de todos los usuarios:

 

define('DISALLOW_FILE_EDIT', true);

Esto no evitará que un atacante cargue archivos maliciosos en su sitio, pero podría detener algunos ataques.

 

Complementos #Complementos

En primer lugar, asegúrese de que sus complementos estén siempre actualizados. Además, si no está utilizando un complemento específico, elimínelo del sistema.

 

Cortafuegos #Cortafuegos

Hay muchos complementos y servicios que pueden actuar como firewall para su sitio web. Algunos de ellos funcionan modificando su

archivo .htaccess y restringiendo algunos accesos a nivel de Apache, antes de que sea procesado por WordPress. Un buen ejemplo es iThemes Security o All in One WP Security . Algunos complementos de firewall actúan a nivel de WordPress, como WordFence y Shield , e intentan filtrar los ataques mientras WordPress se carga, pero antes de que se procese por completo.

Además de los complementos, también puede instalar un WAF (firewall web) en su servidor web para filtrar el contenido antes de que sea procesado por WordPress. El WAF de código abierto más popular es ModSecurity.

También se puede agregar un firewall de sitio web como intermediario entre el tráfico de Internet y su servidor de alojamiento. Todos estos servicios funcionan como proxies inversos, en los que aceptan las solicitudes iniciales y las redireccionan a su servidor, eliminándolo de todas las solicitudes maliciosas. Lo logran modificando sus registros DNS, a través de un registro A o un intercambio completo de DNS, lo que permite que todo el tráfico pase primero a través de la nueva red. Esto hace que todo el tráfico sea filtrado por el firewall antes de llegar a su sitio. Algunas empresas ofrecen este tipo de servicios, como CloudFlare , Sucuri e Incapsula .

Además, estos proveedores de servicios de terceros funcionan como redes de distribución de contenido (CDN) de forma predeterminada, lo que introduce la optimización del rendimiento y el alcance global.

 

Complementos que necesitan acceso de escritura #Complementos que necesitan acceso de escritura

Si un complemento desea acceso de escritura a sus archivos y directorios de WordPress, lea el código para asegurarse de que sea legítimo o consulte con alguien de su confianza. Los posibles lugares para verificar son los foros de soporte y el canal IRC .

 

Complementos de ejecución de código #Complementos de ejecución de código

Como dijimos, parte del objetivo de fortalecer WordPress es contener el daño causado si hay un ataque exitoso. Los complementos que permiten que PHP u otro código arbitrario se ejecute a partir de entradas en una base de datos magnifican efectivamente la posibilidad de daños en caso de un ataque exitoso.

Una forma de evitar el uso de un complemento de este tipo es usar plantillas de página personalizadas que llamen a la función. Parte de la seguridad que esto brinda está activa solo cuando no permite la edición de archivos dentro de WordPress .

 

Seguridad a través de la oscuridad #Seguridad a través de la oscuridad

La seguridad a través de la oscuridad es generalmente una estrategia primaria poco sólida. Sin embargo, hay áreas en WordPress donde ocultar información puede ayudar con la seguridad:

Cambiar el nombre de la cuenta administrativa: al crear una cuenta administrativa, evite términos fáciles de adivinar, como admino webmastercomo nombres de usuario, ya que suelen estar sujetos a ataques primero. En una instalación de WordPress existente, puede cambiar el nombre de la cuenta existente en el cliente de línea de comandos de MySQL con un comando como UPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';, o usando una interfaz de MySQL como phpMyAdmin .

Cambie el prefijo_de_tabla: muchos ataques de inyección SQL específicos de WordPress publicados suponen que el prefijo_de_tabla es wp_el predeterminado. Cambiar esto puede bloquear al menos algunos ataques de inyección SQL.

Copias de seguridad de datos #Copias de seguridad de datos

Realice copias de seguridad de sus datos con regularidad, incluidas sus bases de datos MySQL. Consulte el artículo principal: Copia de seguridad de su base de datos .

La integridad de los datos es fundamental para las copias de seguridad confiables. Cifrar la copia de seguridad, mantener un registro independiente de hash MD5 para cada archivo de copia de seguridad y / o colocar copias de seguridad en medios de solo lectura aumenta su confianza en que sus datos no han sido manipulados.

Una estrategia de copia de seguridad sólida podría incluir mantener un conjunto de instantáneas programadas regularmente de toda su instalación de WordPress (incluidos los archivos centrales de WordPress y su base de datos) en una ubicación confiable. Imagínese un sitio que hace instantáneas semanales. Dicha estrategia significa que si un sitio se ve comprometido el 1 de mayo, pero el compromiso no se detecta hasta el 12 de mayo, el propietario del sitio tendrá copias de seguridad previas al compromiso que pueden ayudar a reconstruir el sitio y posiblemente incluso copias de seguridad posteriores al compromiso que ayudarán en determinar cómo se vio comprometido el sitio.

 

Registro #Inicio sesión

Los registros son su mejor amigo cuando se trata de comprender lo que está sucediendo con su sitio web, especialmente si está tratando de realizar análisis forenses. Contrariamente a las creencias populares, los registros le permiten ver qué se hizo, quién lo hizo y cuándo. Desafortunadamente, los registros no le dirán quién, nombre de usuario, inició sesión, pero le permitirá identificar la IP y la hora y, lo que es más importante, las acciones que el atacante podría haber tomado. Podrá ver cualquiera de estos ataques a través de los registros: Cross Site Scripting (XSS), Remote File Inclusion (RFI), Local File Inclusion (LFI) e Intentos de Directory Traversal. También podrá ver los intentos de fuerza bruta. Hay varios ejemplos y tutoriales disponibles para ayudarlo a guiarlo a través del proceso de analizar y analizar sus registros sin procesar.

Si se siente más cómodo con sus registros, podrá ver cosas como cuándo se utilizan los editores de temas y complementos, cuándo alguien actualiza sus widgets y cuándo se agregan publicaciones y páginas. Todos los elementos clave a la hora de realizar trabajos forenses en su servidor web. Hay algunos complementos de seguridad de WordPress que también lo ayudan con esto, como la herramienta Sucuri Auditing o el complemento Audit Trail .

Hay dos soluciones clave de código abierto que querrá en su servidor web desde una perspectiva de seguridad, este es un enfoque de seguridad en capas.

OSSEC puede ejecutarse en cualquier distribución NIX y también se ejecutará en Windows. Cuando está configurado correctamente es muy poderoso. La idea es correlacionar y agregar todos los registros. Debe asegurarse de configurarlo para capturar todos los registros de acceso y registros de error y si tiene varios sitios web en la cuenta del servidor para eso. También querrá asegurarse de filtrar el ruido. De forma predeterminada, verá mucho ruido y querrá configurarlo para que sea realmente efectivo.

 

Monitoreo #Vigilancia

A veces, la prevención no es suficiente y es posible que aún te pirateen. Es por eso que la detección / monitoreo de intrusiones es muy importante. Le permitirá reaccionar más rápido, averiguar qué sucedió y recuperar su sitio.

 

Monitoreo de sus registros #Supervisión de sus registros

Si está en un servidor privado dedicado o virtual, en el que tiene el lujo de acceso de root, tiene la capacidad de configurar fácilmente las cosas para que pueda ver lo que está sucediendo. OSSEC fácilmente facilita esto y aquí es un poco de escritura hasta que podría ayudarle a cabo OSSEC de Seguridad del sitio web - Parte I .

Supervisión de sus archivos para detectar cambios #Supervisión de cambios en sus archivos

Cuando ocurre un ataque, siempre deja rastros. Ya sea en los registros o en el sistema de archivos (archivos nuevos, archivos modificados, etc.). Si está utilizando OSSEC, por ejemplo, supervisará sus archivos y le avisará cuando cambien.

 

# Objetivos del seguimiento

Los objetivos del seguimiento del sistema de archivos incluyen:

Monitorear archivos cambiados y agregados

Registrar cambios y adiciones

Capacidad para revertir cambios granulares

Alertas automatizadas

 

Enfoques generales #Enfoques generales

Los administradores pueden monitorear el sistema de archivos a través de tecnologías generales como:

 

Utilidades del sistema

Control de revisión

Monitoreo de nivel de SO / kernel

 

Herramientas específicas #Herramientas especificas

Las opciones para la supervisión del sistema de archivos incluyen:

 

diff : cree una copia de prueba limpia de su sitio y compárela con la producción

Git - gestión de código fuente

inotify e incron : servicio de monitoreo de archivos a nivel del kernel del sistema operativo que puede ejecutar comandos en eventos del sistema de archivos

Watcher - biblioteca inotify de Python

OSSEC : sistema de detección de intrusiones de código abierto basado en host que realiza análisis de registros, verificación de integridad de archivos, monitoreo de políticas, detección de rootkits, alertas en tiempo real y respuesta activa.

 

Consideraciones #Consideraciones

Al configurar una estrategia de supervisión basada en archivos, hay muchas consideraciones, incluidas las siguientes.

EJECUTE EL SCRIPT / SERVICIO DE MONITOREO COMO ROOT

Esto dificultaría que los atacantes deshabiliten o modifiquen la solución de monitoreo de su sistema de archivos.

DESHABILITAR EL MONITOREO DURANTE EL MANTENIMIENTO / ACTUALIZACIONES PROGRAMADOS

Esto evitaría notificaciones innecesarias cuando esté realizando un mantenimiento regular en el sitio.

SUPERVISAR SOLO TIPOS DE ARCHIVOS EJECUTABLES

Puede ser razonablemente seguro monitorear solo los tipos de archivos ejecutables, como archivos .php, etc. El filtrado de archivos no ejecutables puede reducir las alertas y las entradas de registro innecesarias.

 

UTILICE PERMISOS ESTRICTOS DEL SISTEMA DE ARCHIVOS

Obtenga más información sobre cómo proteger los permisos y la propiedad de los archivos. En general, evite permitir permisos de ejecución y escritura en la medida de lo posible.

 

Monitoreando su servidor web externamente #Supervisión de su servidor web de forma externa

Si el atacante intenta desfigurar su sitio o agregar malware, también puede detectar estos cambios utilizando una solución de monitoreo de integridad basada en la web. Hoy en día, esto se presenta en muchas formas, use su motor de búsqueda favorito y busque Detección y corrección de malware web y es probable que obtenga una larga lista de proveedores de servicios.

 

 

 

Documento técnico de seguridad de WordPress

FUENTE: https://wordpress.org/

  • 30 Kunder som kunne bruge dette svar
Hjalp dette svar dig?

Relaterede artikler

Registro SPF

https://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/default.aspx

Como agregar productos a Woocomerce

Agrega productos a tu tienda web y comienza a vender desde internet. Paso 1. Ingresa a tu panel...

Como modificar o eliminar productos en Woocomerce

Modifica las características de tu producto o elimínalos. Paso 1. Ingresa a tu panel de acceso....

Powered by WHMCompleteSolution