WordPress es un marco de sistema de gestión de contenido (CMS) gratuito y de código abierto. Es el framework CMS más utilizado de los últimos tiempos. WordPress es un sistema de gestión de contenido (WCM), es decir, es una herramienta que organiza todo el proceso de creación, almacenamiento y exhibición de contenido web de forma óptima. WordPress comenzó su viaje como una herramienta de mejora para mejorar la tipografía habitual de la escritura del día a día.
La auditoría de seguridad para el sitio de WordPress es tan importante que si un usuario deja en algún lugar algo ligeramente importante, el atacante puede iniciar sesión fácilmente en su sitio. A veces, los complementos que ha utilizado durante tanto tiempo también pueden traicionarlo al abrir los problemas de seguridad. Para descuidar este tipo de problema, debe utilizar la auditoría de seguridad en un año como mínimo. Si su sitio web contiene información muy confidencial, como el PIN del cajero automático o información bancaria neta o algún tipo de datos que pueden causar una gran cantidad de daño, entonces debe hacerlo una vez al trimestre. La auditoría de seguridad de WordPress le permite prepararse para evitar ataques exitosos en su sitio. Después de eso, hay algunos problemas por los que no puede proteger su sitio de esos ataques, pero la auditoría de seguridad lo protege a usted y a su sitio de las amenazas comunes.
Compruebe que está protegido o no:
- Usuario administrador único: si usted es el único usuario administrador que usa el nombre de usuario administrador para iniciar sesión en su sitio, entonces eso es algo positivo. De lo contrario, debe eliminar al otro usuario administrador creando un nuevo usuario y asignando el contenido al nuevo usuario, puede eliminar ese segundo usuario administrador. Los inicios de sesión de múltiples usuarios a través del nombre de usuario del administrador significan que alguien intenta acceder a usted a través de un ataque de fuerza bruta, por ejemplo
- Contraseña segura requerida: informe a todos los administradores que usen una contraseña segura que será difícil de decodificar para cualquier pirata informático, pero no use la autenticación de 2 factores de WordPress. Este 2FA requería dos cosas para iniciar sesión como administrador en un sitio, el usuario simplemente no puede iniciar sesión poniendo la contraseña, recibirá un código al registrar el número de teléfono móvil o registrar el correo. Entonces, si un atacante decodifica la contraseña, aún no puede iniciar sesión, debido a que el código recibido en su correo o ph es desconocido para el atacante y también obtendrá las pistas de que alguien está tratando de iniciar sesión en su sitio.
- Eliminar complementos no utilizados: todos necesitamos un tipo diferente de complementos, temas para nuestro sitio o hacerlo más útil. A veces, algunos complementos expiraron y no notamos que el desarrollador de esos complementos dejó de trabajar en la seguridad, y ni siquiera estamos usando esos complementos ahora. Entonces esos complementos pueden ser dañinos para usted y los atacantes de su sitio pueden obtener información de esos complementos. Entonces, la mejor manera de evitar este problema siempre elimina los complementos que ya no son necesarios.
- Cambiar salts y claves de WordPress: todo WordPress utiliza información almacenada en sus navegadores locales como cookies, estos salts y claves de WordPress se agregaron a WordPress para cifrar y proteger mejor la información de los usuarios. Cuando esté pasando por la auditoría de seguridad de WordPress, verifique el archivo wp-config.php para asegurarse de que ha cambiado las sales y las claves. También puede configurar un recordatorio para eso.
- Eliminar usuario inactivo: este usuario inactivo es tan efectivo como los complementos no utilizados si alguna vez creó un usuario, ese usuario ya no está trabajando en su sitio, entonces debe eliminar ese usuario, los atacantes pueden piratear fácilmente a ese usuario en su sitio.
- Use software actualizado y original: El uso del software original y actualizado lo protege a usted y a su sitio. El software pirateado puede filtrar su información en cualquier lugar donde los piratas informáticos puedan piratear su sitio. El software retroactivo es tan peligroso como los complementos no utilizados, no tienen protección para los atacantes de los nuevos días, los piratas informáticos siempre están mejorando sus habilidades para piratear, por lo que también deben actualizarse para protegerse a sí mismos y a su sitio.
- Mantenga la solución de copia de seguridad de WordPress: mantener una copia de seguridad siempre lo hace sentir más seguro, los piratas informáticos siempre vienen a sus sitios si de alguna manera los piratas informáticos piratean su sitio y realizan cambios que no puede reconocer, entonces esta copia de seguridad jugará un papel muy importante.
Consejos para auditar un sitio web de WordPress:
- Paso 1: Léame Página “domain/readme.html” . En esta página, encontrará algunos enlaces interesantes y, si el administrador no lo ha deshabilitado, puede informarlo como una vulnerabilidad.
- Paso 2: Licencia con la versión de WordPress “domain/license.txt” . Aquí encontrará la licencia GNU por la cual puede encontrar la versión de WordPress.
- Paso 3: archivo de configuración de muestra de WordPress “domain/wp-config-sample.php” . Esto le dará el archivo de configuración de muestra de WordPress que contiene información diversa sobre el back-end.
- Paso 4: Página de instalación “domain/wp-admin/install.php” . Esto le proporcionará la página de instalación del sitio web.
- Paso 5: Actualice el archivo “domain/wp-admin/upgrade.php” . Esto le da la página para actualizar la base de datos.
- Paso 6: Rutas de la API de WordPress “domain/wp-json” , “domain/wp-json/wp/v2/users/” . Esto le dará los detalles de todos los puntos finales utilizados por el sitio web.
Estas son las pocas cosas que debe buscar cuando realiza una auditoría de un sitio web de WordPress. Esto puede darte una recompensa pequeña o grande dependiendo de la vulnerabilidad.
Publicación traducida automáticamente
Artículo escrito por gluttony777 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA