Asegure y proteja WordPress con HideMyWP

Category: Seguridad 9 0

Después de los últimos ataques masivos contra sitios de WordPress donde vimos no menos de 90.000 sitios atacados en abril de 2013, es impensable hoy en día dejar su WP sin un mínimo de protección….

No hablaré en este post sobre las precauciones esenciales de uso como renombrar el admin, proteger sus archivos, etc., por esta parte te aconsejo que leas el artículo 11 consejos de seguridad para WordPress.

Entre algunas soluciones y varios plugins de “seguridad”, había optado por el Login Ninja para endurecer/controlar el login de mi WordPress y prohibir automáticamente las IPs persistentes;)

Es una buena solución, pero desafortunadamente, los robots y los programas son cada vez más numerosos y consumen mucho ancho de banda.

Esta solución ya no me convenía, así que busqué y encontré un plugin que ofrece un ángulo diferente… En lugar de bloquear, oculta el hecho de que usamos un WordPress y eso hace una gran diferencia!

OcultarMyWP el plugin

Hide My WP controla el acceso a los archivos PHP, protege su sitio del 95% de las inyecciones SQL y de los ataques XSS. Hackers, spammers y robots no pueden reconocer tu WordPress y por lo tanto te ignoran!

No hay cambios de archivo o carpeta, todos permanecen en su ubicación predeterminada! Se trata simplemente de controlar el acceso, lo que garantiza la máxima compatibilidad de los plugins.

Nadie debe saber que está usando WordPress

El principio es muy simple, si no sabes que uso un sitio de WordPress entonces no tratarás de hackear un WordPress!

HideMyWP oculta sus archivos confidenciales:

  • monsite.com/wp-login.php
  • monsite.com/wp-admin/

Cambiar el directorio temático de WordPress:

  • /wp-content/themes/twentytwelve/style.css
  • /plantilla/twentytwelve/style.css

Cambiar el directorio de plugins y ajustar el nombre del plugin

  • /Modules/0f6a208e/shortcodes.css (para: / wp-content/plugins/zilla-shortcodes/shortcodes.css)
  • /Modules/0f6a208e/shortcodes.php – 404 ¡No encontrado! (denegar el acceso)

Cambiar la url de descarga, la carpeta wp-includes, la url de AJAX, etc….

  • monsite.com/ mesfichiers/ landscape.jpg (en lugar de: … / wp-content/uploads/landscape.jpg)
  • monsite.com/ mylibs / js / jquery / jquery.js (en lugar de: … / wp-includes/js/js/jquery/jquery.js)
  • monsite.com/ ajax.php (en lugar de: … / wp-admin/admin-ajax.php)

Determinar si el sitio es un WordPress:

  • Pruebe la detección a través de http://whatwpthemeisthat.com/

Y un poco más…

  • Reemplazar cualquier palabra en su archivo HTML de salida
  • Le avisa cuando alguien es redirigido a su sitio de WordPress ( con detalles de visitantes, IP del usuario, referenciador e incluso nombre de usuario!)
  • Comprimir la salida html y eliminar comentarios en el código fuente
  • Eliminar la información de META WordPress y el feed RSS
  • Cambiar la dirección predeterminada para el envío de correo electrónico de WordPress
  • Página 404 personalizada o tema
  • Eliminar clases de menú innecesarias
  • Clases de cuerpo limpio
  • etc…

Preguntas frecuentes…. Legítimo…

¿Cambia físicamente mis carpetas y archivos de WordPress? No, todo permanece en su ubicación predeterminada, HideMyWP simplemente controla el acceso. Esto garantiza la máxima compatibilidad.

Oculto tanto wp-login como wp-admin, pero todavía puedo verlos. ¿Por qué? ¿Por qué? Porque usted es un administrador conectado! Desconéctese y vuelva a intentarlo. No olvide registrar la nueva dirección de inicio de sesión en algún lugar.

No puedo conectar, ¿qué debo hacer ahora? Cuando oculte wp-login.php debe agregar la palabra clave Admin para conectarse. Dirección: ?. por ejemplo, yoursite.com/wp-login.php hide_my_wp = 1234 (1234 es la clave por defecto) Si tiene otros problemas, utilice su FTP o administrador de archivos y cambie el nombre de la carpeta del plugin a otro (wp-content/plugins), entonces desactivará el plugin.

¿Funciona con Nginx? Desde la versión 1.5 Hide My WP soporta Nginx. Debe tener acceso de escritura al archivo de configuración de Nginx. Tenga en cuenta que el uso de múltiples sitios en Nginx aún no está oficialmente soportado, pero si puede convertir las reglas de htaccess a Nginx, puede hacerlo funcionar.

¿Qué pasa si desactivo el plugin. ¿Todo ha vuelto a ser como antes? Absolutamente! Simplemente desactívelo desde el panel de administración y todo volverá a estar como antes. Si está utilizando un plugin de caché, es posible que necesite vaciar la caché. Si el plugin ha sido accidentalmente eliminado o renombrado, vaya a Configuración de Permaliens y todo volverá a la normalidad!

¿Afecta esto a la velocidad de mi sitio? (debido a las muchas redirecciones) Hide My WP no utiliza redirecciones 30x sino principalmente la regla de reescritura que es interna y por lo tanto no tiene impacto en la velocidad. Un impacto en la velocidad puede ocurrir cuando tienes demasiados plugins de WordPress. Todas las opciones se explican en detalle y puede elegir entre opciones rápidas y/o compatibles.

¿Funciona en entornos multisitio y de red? Desde la versión 1.5 Hide My WP soporta subdominios y subdirectorios multi-sitio. El administrador del sitio puede utilizar el panel de red y configurar el plugin para toda la red. Debe escribir un acceso para actualizar el archivo htaccess y los temas a renombrar.

¿Por qué la página de configuración de mi plug-in es diferente de las capturas de pantalla oficiales? Esto se debe a que usted no habilita la estructura de permalink de WordPress o a que su host no soporta URLs reescritas (htaccess específico).

¿Afecta HideMyWP a mi SEO? Si no cambia el contenido principal de las URLs (artículos, categorías, etiquetas) no, no hay problema de SEO. Tenga en cuenta que HideMyWordPress anula la configuración predeterminada de los enlaces permanentes de su paquete de trabajo para artículos, categorías y etiquetas. Por lo tanto, incluso sin este plugin si cambias estos ajustes, esto afectará tu ranking.

Entonces, ¿cómo funciona?

Principalmente con reescritura de URL y algunas redirecciones a través de su.htaccess pero no sólo…

Por supuesto, puede elegir el grado de confidencialidad con 3 niveles predefinidos: Utra-confidencial, Medio (rápido) y Medio (compatible).

Asegúrese de tener acceso a su archivo htaccess (si está usando Apache) o configure su servidor web manualmente (si está usando Nginx o multi-sitio).

Conclusión

Hide My WP se vende por unos 15€, este plugin premium es una excelente solución y desafortunadamente no hay equivalente en versión gratuita o freemium.

Sin embargo, tenga cuidado, la implementación de este plugin puede ser delicada para los principiantes y algunas funciones, especialmente la reescritura, a veces puede causar problemas. También es aconsejable hacer una copia de seguridad completa de su WordPress antes de instalarlo.

Tenga en cuenta también que si HideMyWordPress es suficiente para protegerse contra los robots, no será suficiente contra un hacker experto que quiera forzar su sitio;)

Este plugin fue probado por Julio de Boite à Web, el especialista en seguridad WordPresset contenía una vulnerabilidad de seguridad… El autor fue contactado y arreglado en la versión 1.8;)

5.004

Related Articles