La seguridad siempre es la principal preocupación cuando se ejecuta un sitio web.
Pero… a veces todo el alboroto sobre la piratería parece un poco exagerado. Todas las historias aterradoras sobre grandes empresas como eBay, Target, Adobe, Steam y otras que han sufrido grandes filtraciones de datos pueden parecer alarmantes. ¿Seguramente los piratas informáticos no irán tras su sitio web cuando tienen un pez tan grande que freír?
Los datos, por desgracia, nos dicen lo contrario. Los sitios web más pequeños son pirateados con la misma frecuencia que los grandes, y casi la mitad de las pequeñas empresas informan haber sido pirateadas, con costos resultantes que promedian los $ 8,700.
Y esas son solo las empresas que están dispuestas a informar que han sido pirateadas. Es probable que otros mantengan su vulnerabilidad en secreto, no queriendo que sus usuarios pierdan la confianza en su capacidad para mantener los datos privados seguros y protegidos.
Incluso si solo tiene en cuenta los casos informados, decenas de miles de sitios web son pirateados todos los días, y muchos de ellos ni siquiera saben que han sido pirateados y que sus sitios web se utilizan para propagar código malicioso.
Como usuario de WordPress, está utilizando uno de los sistemas de administración de contenido más seguros disponibles. Pero ningún CMS es 100% invulnerable, y los piratas informáticos están desarrollando sus métodos tan rápido como los desarrolladores pueden parchear las vulnerabilidades.
Es posible que haya escuchado que ocultar WordPress es la mejor manera de mantener su sitio seguro contra piratas informáticos y bots.
En realidad, existe bastante debate entre los desarrolladores y los expertos en seguridad acerca de esta práctica.
Repasaré los pros y los contras de ambos lados y el razonamiento detrás de ellos, y dejaré que usted decida si ocultar su CMS es adecuado para su sitio web.
Luego hablaremos sobre cómo puede oscurecer su implementación de WordPress.
¡Empecemos!
WordPress es conocido por ser un sistema de gestión de contenido (CMS) muy seguro. Los problemas de seguridad son una de las principales preocupaciones de los desarrolladores principales de WordPress, y el software se parchea y actualiza regularmente para abordar cualquier vulnerabilidad que surja.
La seguridad de WordPress es una de las razones de su popularidad. WordPress es ahora uno de los sistemas de administración de contenido más populares en la web, utilizado por decenas de millones de sitios web en todo el mundo. Incluso grandes sitios web como CNN, The New York Times, eBay y Mashable usan WordPress para sus blogs.
Pero el solo hecho de que esté usando WordPress para su sitio web no hace que su sitio web sea invulnerable a los piratas informáticos.
De hecho, su popularidad es lo que lo convierte en un objetivo popular.
Los piratas informáticos saben que millones de sitios web que utilizan WordPress no utilizan las mejores medidas de seguridad para mantener sus sitios seguros. Muchos de esos sitios usan contraseñas débiles, versiones obsoletas de WordPress con vulnerabilidades conocidas o complementos y temas antiguos e inseguros. Los piratas informáticos saben que tendrán muchos objetivos una vez que descubran esas vulnerabilidades y creen una forma de explotarlas.
Las formas más comunes en que los piratas informáticos atacan los sitios de WordPress son con ataques de fuerza bruta o solicitudes HTTP.
Los piratas informáticos de fuerza bruta usan software para tratar de obtener acceso a su sitio web adivinando su contraseña hasta que tienen suerte e ingresan. A menudo, las contramedidas simples como requerir CAPTCHA o la verificación de dos pasos al iniciar sesión pueden detener fácilmente los intentos de inicio de sesión de fuerza bruta en su pistas
Otra categoría común de ataques de piratas informáticos son las solicitudes HTTP especialmente diseñadas que se envían a su servidor. Estas solicitudes están diseñadas para explotar vulnerabilidades específicas que a menudo son causadas por software, temas o complementos obsoletos o inseguros. Todo lo que esté contenido en su directorio wp-content , ya sea activo o inactivo, puede presentar vulnerabilidades de seguridad en su sitio web que los piratas informáticos expertos pueden explotar para deshabilitar u obtener acceso a su blog.
¿Por qué ocultar WordPress?
Aquí es donde entra el debate.
Pero primero, aclaremos nuestra terminología: a veces las personas quieren decir cosas diferentes cuando dicen que están ocultando WordPress.
Lo que generalmente se entiende por «ocultar WordPress» es que está intentando ocultar el hecho de que su sitio se ejecuta en WordPress de cualquier persona o bot que intente identificar el CMS.
Pero ocultar WordPress también podría significar simplemente intentar ocultar el número de versión de WordPress que está utilizando, o cambiar los enlaces permanentes , nombres de archivos, subdirectorios, etc. para ocultarlos de los bots.
¿Vale la pena esconder WordPress? Depende de a quién le preguntes.
El hecho es que no hay forma de ocultar por completo el hecho de que su sitio web se ejecuta en WordPress. Una persona experta en tecnología que sabe lo suficiente sobre WordPress podrá detectar su CMS utilizando cualquier número de medios.
Incluso si solo está tratando de ocultar su número de versión de WordPress, hay muchas maneras de descubrir qué versión de WordPress está usando simplemente familiarizándose con las diferencias entre las versiones.
Y los expertos en seguridad advierten que la seguridad a través de la oscuridad es una práctica desaconsejada, ya que puede fomentar la laxitud en el tratamiento de las vulnerabilidades si cree que nadie puede encontrarlas: “La seguridad de un sistema debe depender de su clave, no de que su diseño permanezca oscuro”. escribió el ingeniero de seguridad Ross Anderson.
¿Significa eso que es una pérdida de tiempo ocultar WordPress?
Tal vez tal vez no. No te ayudará a frustrar a un hacker dedicado que te está apuntando específicamente.
Pero la mayoría de los intentos de piratería son realizados por bots, y es posible que pueda frustrar los bots de piratas informáticos ocultando su instalación de WordPress. Con solo cambiar algunos enlaces permanentes predeterminados, es posible que pueda proteger su sitio web contra cosas como ataques de fuerza bruta, inyección de SQL y solicitudes a sus archivos PHP.
Otras medidas de seguridad de WordPress
Ocultar WordPress ocultando algunos enlaces permanentes y archivos puede ser una buena medida de seguridad, pero no es su única opción, y no debería ser la única acción que tome para proteger su sitio.
Hay algunos consejos básicos de seguridad de WordPress que puede seguir fácilmente para mantener su sitio más seguro de los piratas informáticos, sin ocultar WordPress:
- Utilice siempre contraseñas seguras.
- Mantenga siempre su núcleo de WordPress actualizado a la última versión.
- Mantenga todos sus temas y complementos actualizados, elimine temas y complementos inactivos y deje de usar los temas y complementos que ya no se actualizan.
- Considere proteger su página de inicio de sesión de ataques de fuerza bruta solicitando CAPTCHA y/o autenticación de 2 factores .
- Considere instalar un complemento de seguridad todo en uno como iThemes Security o Bullet Proof Security .
(Si su sitio web ya ha sido pirateado, consulte esta excelente guía de Nathan B. Weller aquí en ElegantThemes para averiguar cómo solucionarlo: «¡ Oh, mierda! Qué hacer cuando su sitio web de WordPress ha sido pirateado «.)
Cómo ocultar el hecho de que estás usando WordPress
Así que ha decidido que aún desea intentar ocultar el hecho de que está utilizando WordPress a sus visitantes, así como a posibles piratas informáticos y bots.
¿Cómo lo haces exactamente?
Existen muchos tutoriales para ocultar solo el número de versión de WordPress, pero no voy a repetirlos por varias razones:
- Si la seguridad es realmente su objetivo, siempre debe actualizar a la última versión de todos modos.
- El número de versión de WordPress aparece en una multitud de lugares en varios archivos, por lo que puede ser difícil y llevar mucho tiempo ocultarlos todos, y no vale la pena el esfuerzo, porque…
- Incluso si logra borrar cada mención de su número de versión de WordPress, todavía hay muchas maneras en que alguien puede averiguar qué versión de WordPress está usando.
- Ocultar su número de versión tampoco lo protegerá de los bots. Los bots generalmente no comprueban qué versión de WordPress está utilizando; simplemente van directamente a la vulnerabilidad a la que se dirigen. Si mantiene actualizado su núcleo de WordPress, no lo encontrarán. Y si está utilizando una versión anterior de WordPress, la encontrarán independientemente de qué tan bien intente ocultar su número de versión.
¿Aún estás decidido a ocultar el hecho de que usas WordPress? Puede ser que tenga un cliente que le exija ocultar WordPress, o tal vez piense que su negocio se ve poco profesional al usar un software de blogs para ejecutar su sitio web.
En ese caso, recomiendo un complemento premium llamado Hide My WP , disponible en Code Canyon. Funciona bien como un complemento de seguridad general y ocultará el hecho de que está utilizando WordPress cambiando sus enlaces permanentes sin realizar cambios en las ubicaciones reales de sus archivos.
Hide My WP tiene una serie de características que mejoran la seguridad de WordPress:
- Cambia los enlaces permanentes de los archivos (como wp-admin) para ocultarlos de los bots
- Elimina la metainformación (como el número de versión) de sus encabezados y fuentes
- Controla el acceso a sus archivos PHP
- Cambia los subdirectorios predeterminados de carpetas vulnerables como wp-content
- Cambia las URL de consulta para protegerlas de las inyecciones de SQL
- Oculta archivos que pueden brindar información a los piratas informáticos sobre su instalación de WordPress (como readme.html o license.txt)
- Le da la opción de deshabilitar archivos, categorías, etiquetas, páginas, publicaciones específicas
- Le notifica los riesgos de seguridad con el nuevo «Sistema de Detección de Intrusos»
Hide My WP también es compatible con muchos otros complementos de seguridad populares de WordPress . Tiene una calificación de 4.5 de 5 estrellas en Code Canyon, y el autor del complemento es muy oportuno para responder a las solicitudes de soporte.
¿Está ocultando su instalación de WordPress?
¡De nuevo a usted!
Después de leer los pros y los contras, ¿está decidido a ocultar el hecho de que su sitio web funciona con WordPress? ¿Qué pasos ha tomado para ocultar su CMS y qué tan bien le han funcionado? ¡Comparte en los comentarios a continuación !