Proteja WordPress con HideMyWP | Proteja su sitio de ataques

Siguiendo las últimas ataques masivos dirigidos a sitios de WordPress donde vimos nada menos que 90.000 sitios atacados en abril de 2013, hoy es impensable dejar tu WP sin un mínimo de protección …

No hablaré en esta publicación sobre las precauciones esenciales de uso como cambiar el nombre del administrador, proteger sus archivos, etc., para esta parte te aconsejo que leas el artículo. 11 consejos de seguridad para WordPress.

Entre algunas soluciones y varios complementos de «seguridad», opté por Ninja Login permitiendo fortalecer / controlar el inicio de sesión de mi WordPress y prohibir automáticamente la IP insistente;)

Es una buena solución pero, lamentablemente, los robots y los programas son cada vez más numerosos y grandes consumidores de ancho de banda.

complemento de seguridad de inicio de sesión ninja

Por lo tanto, esta solución ya no me convenía, así que busqué y encontré un complemento que ofrece un ángulo diferente … En lugar de bloquear, se camufla / esconde ¡El hecho de que usemos WordPress y eso hace una gran diferencia!

HideMyWP el complemento

Ocultar mi WP controla el acceso a archivos PHP, protege su sitio del 95% de inyecciones SQL y ataques XSS. Hackers, spammers y bots no puede reconocer su WordPress y de hecho te ignora!

Sin cambio de archivos o carpetas, ¡todos permanecen en su ubicación predeterminada! Se trata simplemente de controlar el acceso a él, lo que garantiza la máxima compatibilidad del complemento.

hidemywordpress

Nadie necesita saber que estás usando WordPress

El principio es muy simple, si no sabes que estoy usando un sitio de WordPress, ¡no intentarás hackear un WordPress!

HideMyWP oculta sus archivos confidenciales:

  • mysite.com/wp-login.php
  • mysite.com/wp-admin/

Cambie el directorio de temas de WordPress:

  • /wp-content/themes/twentytwelve/style.css
  • /template/twentytwelve/style.css

Cambie el directorio de complementos y hash el nombre de los complementos

  • /modules/0f6a208e/shortcodes.css (en lugar de: / wp-content / plugins / zilla-shortcodes / shortcodes.css)
  • /modules/0f6a208e/shortcodes.php – 404 ¡No encontrado! (acceso denegado)

Cambie la URL de descarga, la carpeta wp-includes, la URL AJAX, etc.

  • mysite.com / mesfichiers / landscape.jpg (en lugar de:… / wp-content / uploads / landscape.jpg)
  • mysite.com / mylibs / js / jquery / jquery.js (en lugar de:… / wp-includes / js / jquery / jquery.js)
  • mysite.com / ajax.php (en lugar de:… / wp-admin / admin-ajax.php)

Determine si el sitio es un WordPress:

¿Qué es eso?

Y un poquito mas …

  • Reemplace cualquier palabra en su archivo HTML de salida
  • Le notifica cuando alguien es redirigido a su sitio de WordPress (¡con detalles de visitantes, IP de usuario, referente e incluso apodo!)
  • Comprima el html de salida y elimine los comentarios en el código fuente
  • Eliminar la información META de WordPress y la fuente RSS
  • Cambiar la dirección de correo electrónico predeterminada de WordPress
  • Página 404 personalizada o tema
  • Eliminar clases de menú innecesarias
  • Limpiar clases corporales
  • etc …

04_import_export 02_vínculo permanente03_general

Preguntas frecuentes … legítimas …

¿Cambia físicamente mis carpetas y archivos de WordPress?
No, todo permanece en su ubicación predeterminada, HideMyWP solo controla el acceso. Esto garantiza la máxima compatibilidad.

Estoy ocultando wp-login y wp-admin, pero todavía puedo verlos. Por qué ?
¡Porque eres un administrador registrado! Cierre la sesión y vuelva a intentarlo. No olvide guardar la nueva dirección de inicio de sesión en algún lugar.

No puedo iniciar sesión, ¿qué debo hacer ahora?
Cuando oculta wp-login.php, debe agregar su palabra clave de administrador para conectarse. Habla a: ?. por ejemplo, su sitio.com/wp-login.php hide_my_wp = 1234 (1234 es la clave predeterminada) Si tiene otros problemas, simplemente use su FTP o un administrador de archivos y cambie el nombre de la carpeta del complemento a otra cosa (en wp-content / plugins), luego desactivará el complemento.

¿Funciona con Nginx?
Desde la versión 1.5, Hide My WP es compatible con Nginx. Debe tener acceso de escritura al archivo de configuración de Nginx. Tenga en cuenta que el uso de varios sitios en Nginx aún no es compatible oficialmente, pero si puede convertir las reglas de htaccess a Nginx, puede hacerlo funcionar.

¿Qué pasa si desactivo el complemento? ¿Todo vuelve como antes?
¡Absolutamente! Simplemente apáguelo desde el panel de administración y todo volverá como antes. Si está utilizando un complemento de caché, es posible que deba borrar el caché. Si el complemento se eliminó o cambió de nombre accidentalmente, vaya a Configuración -> Enlaces permanentes y todo volverá a la normalidad.

¿Afecta esto la velocidad de mi sitio? (debido a las muchas redirecciones)
Hide My WP no utiliza redireccionamientos 30x, sino principalmente la regla de reescritura que es interna y, por lo tanto, no tiene impacto en la velocidad. Puede producirse un impacto en la velocidad cuando tiene demasiados complementos de WordPress. Todas las opciones se explican en detalle y puede elegir entre opciones rápidas y / o compatibles.

¿Funciona en múltiples sitios y en una red?
Desde la versión 1.5, Hide My WP admite subdominios y subdirectorios de sitios múltiples. Es posible que el administrador del sitio utilice el panel de red y configure el complemento para toda la red. Debe tener acceso de escritura para actualizar el archivo htaccess y los temas para cambiar el nombre.

¿Por qué mi página de configuración de complementos es diferente de las capturas de pantalla oficiales?
Esto se debe a que no habilita la estructura de enlace permanente de WordPress o su servidor web no admite la reescritura de URL (htaccess específico).

¿HideMyWP afecta mi SEO?
Si no cambia el contenido principal de las URL (artículos, categorías, etiqueta) no, no hay problema de SEO.
Tenga en cuenta que HideMyWordPress anula la configuración predeterminada de sus enlaces permanentes de WP para artículos, categorías y etiquetas. Entonces, incluso sin este complemento, si cambia esta configuración, afectará su clasificación.

¿Entonces, cómo funciona?

Principalmente con reescritura de URL y algunas redirecciones a través de su .htaccess, pero no solo …

Por supuesto, puede elegir el grado de confidencialidad con 3 niveles predefinidos: ultraconfidencial, medio (rápido) y medio (compatible).

Asegúrese de tener acceso a su archivo htaccess (si está usando Apache) o configure su servidor web manualmente (si está usando Nginx o multi-sitio).

Conclusión

Ocultar mi WP Se vende alrededor de 15 €, este plugin premium es una excelente solución y lamentablemente no hay equivalente a este día en versión gratuita o freemium.

Sin embargo, ten cuidado, configurar este complemento puede ser complicado para los principiantes y algunas funciones, incluida la reescritura, a veces pueden causar problemas. También es recomendable hacer una copia de seguridad completa de tu WordPress antes de instalarlo.

Tenga en cuenta también que si HideMyWordPress es suficiente para protegerse de los Bots, no será suficiente contra un pirata informático experto que absolutamente quiere forzar su sitio;)

Este complemento fue probado por Julio de Boite à Web, especialista en seguridad de WordPress y contenía una falla de seguridad … El autor fue contactado y corregido en la versión 1.8;)