Breaking

Post Top Ad

Your Ad Spot

lunes, 4 de noviembre de 2019

Cómo los hackers pueden explotar su nombre de usuario "Admin" de WordPress

A menos que las cosas hayan cambiado desde la última vez que configuré un nuevo sitio de WordPress autohospedado, WordPress le presenta el nombre de usuario "admin" de forma predeterminada. E incluso si han dejado de hacer esto, era el estándar desde el inicio de WordPress en 2003. Eso es más de 16 años en los sitios de WordPress que usan "admin" como nombre de usuario.
Aquí hay un hecho interesante. De todos los sitios web existentes, WordPress representa poco más del 30% de ellos. Y abarcaba más del 60% de todos los sitios web que se basan en un sistema de gestión de contactos.
Los hackers adoran el gran volumen de sitios de WordPress. ¿Sabes qué más aman? Usuarios que no crean un nombre de usuario único para ellos.
Por qué el uso de "Admin" no es seguro
Tal vez pienses que no es gran cosa. No eres nadie ¿Quién va a intentar hackear tu sitio?
Bueno, si la mayoría de los intentos de pirateo en su sitio fueron realizados por una sola persona que busca un solo sitio para piratear, su falta de preocupación estaría, tal vez, justificada. Sin embargo, eso no es lo que está sucediendo. En su mayor parte, los intentos de piratería contra su sitio son realizados por bots que lanzan ataques de fuerza bruta. Estos bots usarán las mejores conjeturas para el nombre de usuario y la contraseña, como admin y 123456, o usarán algo así como un ataque de diccionario donde el bot literalmente pasa por un diccionario tratando de hacer coincidir las palabras con su nombre de usuario. Entonces sí, "admin" es una mala elección, pero también lo es cualquier otra palabra reconocible. Mezcla esas letras y números.
Si tiene un complemento de seguridad que le envía una notificación cuando bloquea a alguien, o algún bot, fuera de su sitio debido a demasiados intentos de inicio de sesión incorrectos, generalmente verá que todos esos intentos están utilizando admin como nombre de usuario.
Entonces, ahora que tenemos claro que no debemos usar admin como su nombre de usuario, ¿qué tipo de medidas puede tomar para asegurar su sitio?
Medidas de seguridad de WordPress
Como amo los factoids, aquí hay otro. Según un informe de ciberseguridad publicado hace 2 años, las organizaciones aumentaron sus presupuestos de seguridad en línea en un 50%.
¿Qué te dice eso? ¿Además de que mucha gente probablemente no recibió un aumento ese año? Es una indicación, un mensaje claro, que ninguno de nosotros puede permitirse el lujo de ser laxo en lo que respecta a la seguridad en línea. Incluso si eres ese pequeño tipo con un sitio de pasatiempos.
Usa una VPN
Mi primera recomendación es usar una VPN. Incluso puedes usar un servicio VPN gratuito. VPN significa Red Privada Virtual y usar una es un gran paso para asegurar su sitio. Siempre que acceda a su sitio a través del servicio, todos los datos que entran o salen están encriptados y su dirección IP local está oculta. Si está buscando una buena VPN para sus necesidades, consulte este artículo sobre la mejor VPN de VPNpro .
Complementos de seguridad
Instalar un complemento de seguridad. También puede elegir una opción gratuita aquí, y cualquier cantidad de complementos para elegir. Algunos complementos tienen más funciones que otros, algunos son más complejos y pueden requerir más configuración, así que elija uno que funcione para su situación específica.
No permitir la edición de archivos
Desactivar la función de edición de archivos. El códice de WordPress recomienda dar este paso, y puede hacerse editando manualmente algunas líneas de código en el archivo wp-config.php o instalando un complemento que lo haga por usted. Si está realizando el cambio manualmente, simplemente agregue lo siguiente a su archivo wp-config.php:
define ('DISALLOW_FILE_EDIT', verdadero);
Ocultar archivos confidenciales
Hablando de su archivo wp-config.php, también debe ocultarlo y sus archivos .htaccess. Tenga en cuenta que estos pasos, este y el anterior, no deben tomarse a la ligera. Si no sabe lo que está haciendo, no recomiendo editar manualmente ninguno de los archivos principales de WordPress. Si se siente seguro, haga una copia de seguridad de estos archivos antes de hacer algo y luego realice los cambios necesarios.
Después de hacer una copia de seguridad de sus archivos, agregue lo siguiente a su archivo wp-config.php:
<Archivos wp-config.php>
orden permitir, negar
Negar todo
</Files>
Una vez que hayas hecho eso, pasa a tu archivo .htaccess y agrega:
<Archivos .htaccess>
orden permitir, negar
Negar todo
</Files>
Limitar los intentos de inicio de sesión
A continuación, debe considerar limitar los intentos de inicio de sesión en su sitio. Supongamos que un usuario ha olvidado su contraseña. WordPress permitirá que ese usuario haga una cantidad infinita de intentos para ingresar al sitio. Pero ese usuario en realidad podría ser un pirata informático, por lo que no desea que tengan intentos ilimitados para iniciar sesión. Pero si limita los intentos, esto disuadirá a un pirata informático.
La implementación de esto generalmente se realiza con el uso de un complemento. Dependiendo de la configuración que use, puede bloquear a alguien temporalmente, y esto es lo que debe hacer en el caso de que tenga usuarios legítimos tratando de iniciar sesión, o podría bloquear permanentemente esa IP. Por supuesto, un pirata informático estará circulando a través de IP, por lo que es un poco como jugar whack-a-mole.
Tenga en cuenta que esto también se puede hacer sin un complemento, pero como es un poco complicado, le sugiero que se quede con el complemento.
Entonces ahí lo tienes. El primer paso, siempre cambia el nombre de usuario predeterminado cuando configuras un sitio de WordPress. Y si tiene sitios experimentados que tienen ese nombre predeterminado, cámbielos ahora. Y asegúrese de seguir los pasos anteriores sobre cómo asegurar su sitio.

No hay comentarios.:

Publicar un comentario

Dejanos tu comentario para seguir mejorando!

Post Top Ad

Your Ad Spot

Páginas