Protección mejorada contra las vulnerabilidades de WordPress con la preinstalación del plugin SiteGround Security

Recientemente, hemos lanzado nuestro propio plugin de seguridad de WordPress, SiteGround Security, que tiene como objetivo proteger a los usuarios de WordPress contra las vulnerabilidades más comunes que afectan a los sitios web. Está disponible para que cualquiera pueda descargarlo y usarlo de forma gratuita, independientemente de la plataforma de hosting que utilice. Sin embargo, para asegurarnos de que los sitios web WordPress alojados en nuestros servidores estén bien protegidos a nivel de aplicación, hemos comenzado a preinstalar SiteGround Security en todas las nuevas instalaciones hechas en nuestra plataforma con algunas de las funciones habilitadas de forma predeterminada.

Configuración predeterminada de SiteGround Security contra vulnerabilidades comunes de WordPress

Configurar tu sitio web teniendo en cuenta la seguridad desde el principio te permitirá protegerlo fácilmente contra algunas de las vulnerabilidades más populares que existen. Para ayudarte a lograr ese objetivo, al preinstalar el plugin SiteGround Security, habilitamos las siguientes configuraciones:

La versión de WordPress está oculta de forma predeterminada

Los hackers suelen rastrear sitios web para obtener información sobre las versiones de software utilizadas. De esa manera, cuando descubren una vulnerabilidad en cualquiera de esas versiones, pueden acceder y piratear rápidamente muchos sitios de forma masiva utilizando esa información. Para la aplicación de WordPress, estos datos están disponibles abiertamente en 2 lugares: en una etiqueta HTML y en el archivo readme.html.

De forma predeterminada, nuestro plugin elimina la etiqueta HTML que muestra la versión de WordPress y recomendamos fuertemente que también elimines el archivo readme.html a través de la opción del plugin SiteGround Security.

Protección avanzada contra vulnerabilidades XSS habilitada

La vulnerabilidad de secuencia de comandos entre sitios web, conocida como XSS, permite que diferentes aplicaciones y plugins accedan a información en tu WordPress a la cual no deberían. Estos ataques se utilizan a menudo, por ejemplo, para recopilar datos confidenciales de los usuarios. De forma predeterminada, el plugin SiteGround Security habilita la protección contra XSS al añadir encabezados que indican a los navegadores que no acepten JS u otras inyecciones de código.

Protocolo XML-RPC desactivado para evitar muchas vulnerabilidades y ataques

XML-RPC es un antiguo protocolo utilizado por WordPress para comunicarse con otros sistemas. Se utiliza cada vez menos desde la aparición de la REST API. Sin embargo, está disponible en la aplicación y muchos lo utilizan para explotar vulnerabilidades, iniciar ataques DDOS y otros problemas. Es por eso que nuestro plugin SiteGround Security deshabilita esta línea abierta de acceso a tu aplicación de WordPress de forma predeterminada.

NOTA:

El plugin Jetpack y las aplicaciones móviles usan el protocolo XML-RPC. Si descargas Jetpack en algún momento, habilitaremos automáticamente el protocolo nuevamente. También puedes habilitarlo a través de la interfaz del plugin.

Feeds RSS y ATOM deshabilitados

Al igual que XML-RPC, los feeds rara vez se utilizan hoy en día, pero a menudo los hackers y los robots maliciosos los utilizan para manipular el contenido de tu sitio web. Por lo tanto, el plugin SiteGround Security los deshabilita de forma predeterminada y, a menos que realmente los necesites, te recomendamos mantenerlos deshabilitados.

Bloquear y proteger carpetas del sistema de forma predeterminada

Por lo general, cuando ocurre un exploit, los hackers intentan insertar y ejecutar archivos PHP en carpetas públicas para añadir puertas traseras y comprometer aún más tu cuenta. Por diseño, esas carpetas de WordPress de acceso público se utilizan para cargar contenido multimedia (imágenes, por ejemplo). A través del plugin SiteGround Security no prohibimos la carga de archivos, pero impedimos que los archivos PHP y los scripts maliciosos se ejecuten y causen problemas en tus sitios web. Esta función protege esas carpetas del sistema y evita que se ejecuten desde ellas secuencias de comandos potencialmente maliciosas.

Nombre de usuario “Admin” inhabilitado

El nombre de usuario predeterminado y uno de los más utilizados en todas las aplicaciones por sus propietarios es “Admin”. Los hackers lo saben y cuando deseen aplicar la fuerza bruta a un formulario de inicio de sesión, definitivamente lo intentarán usar. Es por ello que deshabilitamos este nombre de usuario por defecto.

Editor de temas y plugins deshabilitado

La edición de código a través del editor de plugins y temas plantea riesgos de seguridad directos tanto por posibles ataques de elevación de privilegios como por errores cometidos por un administrador habitual del sitio. Si deseas editar tus archivos, te recomendamos que utilices la herramienta ‘Administrador de archivos’ en Site Tools, o tu editor preferido a través de FTP o SSH (idealmente en una copia provisional de tu web). Para ayudarte a evitar malas prácticas y ataques, deshabilitamos el editor de temas y plugins de forma predeterminada.

Configuración de protección contra vulnerabilidades recomendada

Hay algunas configuraciones que puedes controlar desde el plugin SiteGround Security que no hemos habilitado de manera predeterminada porque necesitan tu permiso o representan un riesgo en la forma en que usas tu aplicación. Sin embargo, queremos animarte a que los habilites conscientemente, ya que también son herramientas de protección bastante potentes.

La verificación en dos pasos es imprescindible

Ya sabes que la verificación en dos pasos protege tu inicio de sesión de ataques de fuerza bruta y el robo de tus datos de inicio de sesión. Puedes conocer más sobre ello aquí y puedes habilitarlo fácilmente usando el plugin SiteGround Security.

Limitar los intentos de inicio de sesión

Cuando alguien intenta iniciar sesión varias veces con credenciales incorrectas, lo más probable es que intente adivinar tus inicios de sesión. Es por eso que te recomendamos fuertemente bloquear dichos intentos después de los primeros 3 o 5. Puedes configurar esto en la interfaz del plugin SiteGround Security y después de esos intentos de inicio de sesión incorrectos, el usuario se bloquea durante 1 hora la primera vez, luego 24 horas en el segundo intento y finalmente durante 7 días la tercera vez. Nuevamente, dado que si no conoces esta funcionalidad puede bloquearse fuera del área de administración de WordPress, no la habilitamos de manera predeterminada, ¡pero puedes hacerlo tú mismo/a fácilmente con un clic!

Próximamente, más herramientas contra las vulnerabilidades de WordPress

Continuamos con el desarrollo del plugin y pronto agregaremos muchas funciones nuevas. Supervisa el registro de cambios para ver las nuevas funciones añadidas con las próximas actualizaciones. No existe una hoja de ruta estricta que podamos compartir en este momento, pero algunas de las características que se aproximan son las URL de inicio de sesión personalizadas, los encabezados de seguridad de transporte estricta (​HSTS) y las opciones de X Frame que evitarán el robo de páginas. Como de costumbre, queremos ofrecer para todos las tecnologías que suelen ser difíciles de implementar y con una interfaz de fácil acceso sin tener que pasar horas investigando la sintaxis exacta de los encabezados necesarios u otro código.

author avatar
Hristo Pandjarov

Desarrollo de producto - Técnico

Entusiasta de todas las aplicaciones Open Source que te puedas imaginar, pero en WordPress más que ninguna. Añade una pizca de amor por el diseño web, nuevas tecnologías, SEO ¡y ya lo tendrás!

WordPress

Comentarios ( 4 )

author avatar

Edgar

Jun 29, 2021

Actualmente estoy utilizando wordfence en si versión libre. Si quisiera usar SiteGround Security tendría que prescindir de wordfence? o puedo tener ambos en funcionamiento

Responder
author avatar

Wilkins Morales El Equipo de SiteGround

Jun 30, 2021

Hola, Edgar. Te recomendamos revisar las funciones que necesitas y de esta manera decidir cuál de los dos plugins te es más útil. Utilizar dos plugins de seguridad podría traer incidencias.

Responder
author avatar

Dolores

Jun 30, 2021

hola yo tengo hosteo con udes, hace falta q la instale o ya la instalaron udes de base?, eso no me quedo claro, mucha gracia Saludos

Responder
author avatar

Wilkins Morales El Equipo de SiteGround

Jul 06, 2021

Hola, Dolores. Si creas una nueva web con WordPress ya vendrá instalado pero si ya tienes una web activa sería necesario instalarlo desde el Panel de Administración > Plugins > Añadir Nuevo > Busca 'SiteGround Security'. Si tuvieras alguna duda sobre el proceso no dudes en contactarnos en https://stgrnd.co/contacta

Responder

Iniciar discusión

¿Listo para iniciar tu web?

¡Elige un plan de hosting, crea o migra tu web en unos clics y haz crecer tu presencia online!

Primeros pasos Chatea con un experto