Wordpress - Proteger tu sitio web de ataques - Parte 9

hola a todos entramos en un capítulo más de este curso de wordpress y en esta ocasión vamos a ver una cosa muy interesante el tema de la seguridad informática y cómo proteger nuestro sitio web y bueno cómo se iba diciendo en esta parte del curso vamos a ver algo muy interesante y es cómo proteger nuestra web de ataques bueno hay diferentes tipos de ataques que nos pueden hacer a nuestro sitio wordpress ya que como todo gestor de contenidos de código abierto pues bueno los hacker tienen acceso al código y pueden ver vulnerabilidades que pueden poner en riesgo nuestro sitio web yo en este vídeo os voy a dejar 15 plugins que considero fundamentales bueno habrá otros que también sean muy buenos pero bueno yo con estos 5 creo que sería suficiente para mantener un nivel de seguridad bastante bueno bueno es uno de los primeros plugins o lo que es mostrar aquí un bloc de notas que los tengo aquí es el skimmer es anti spam a ver si os lo digo bien vamos a ver plugin instalados bueno es que met aquí ya viene no está pidiendo una actualización viene casi por defecto con todas las instalaciones de wordpress en el caso de no tenerlo bueno pues añadir nuevo y aquí lo podríamos buscar en el buscador bueno básicamente este plugin lo que nos está haciendo es generar una protección anti spam en los comentarios y en el tema del correo en la versión pro la versión básica solo trabaja con comentarios bueno evidentemente pues siempre nos va a entrar algo de spam pero bueno nos quitará nos filtrara bastante y nos quitará bastante bastantes comentarios sobre todo hechos por bots o robots que nos encontramos en internet este plugin en la versión free versión gratuita pues da un resultado relativamente bueno y bueno el plugin por excelencia de hecho si os dais cuenta aquí lleva más de 5 millones de instalaciones activas o sea quiere decir que es un plugin que bueno funciona bien aquí tenéis el jetpack también que también hace un poco estas funciones pero bueno jetpack ya es un paquete de de plugins que es de pago ya pues nosotros decidir qué mejor opción nos interesa bueno otro de los plugins que nos interesa mucho es este el de sangre lo vamos a abrir aquí un momento de sable xml rpc que es esto bueno el xml rpc es un protocolo de comunicación que tiene wordpress para aplicaciones externas y con este protocolo supone una vulnerabilidad en wordpress ya que muchos hackers aprovechan para intentar hacer un login o un ataque por fuerza bruta y sacar el login del administrador de wordpress para evitar esto este tipo de ataque instalamos este plugin que hay aquí y lo activamos y con esto estaremos consiguiendo deshabilitar este protocolo ya que si nosotros no vamos a utilizar este protocolo es una vía una vía de aquí lo tenemos es una vía de seguridad que nos permite tener nuestro sitio nuestro sitio más seguro porque utiliza en este protocolo porque se manda una petición a través de un bueno técnicamente mujer y desde ahí van intentando loguearse en el sistema con robots y bueno si consiguen la contraseña podrían entrar en nuestra web como administradores del sistema vamos a añadir otro plugin nuevo que también es muy interesante que se llama vps high line el vp ese halo ying como bien sabéis bueno lo voy a mostrar aquí que lo mejor por ejemplo si nosotros bueno en este caso trabajamos en lo que mejor cualquier otro dominio será igual el acceso a nuestra administración siempre sería la ruta a nuestro wordpress en este caso nosotros la tenemos instalada aquí y añadiéndole vp admin o en los dos casos pero lynn también sería el acceso natural de wordpress qué pasa que aquí estamos expuestos a que alguien utilice el acceso genérico de wordpress para intentar acceder a nuestro sitio web nosotros lo que hacemos con este plugin es directamente cambiar esta ruta por otra ruta que nosotros queramos por ejemplo voy a poner algo sencillo con el minis tracción 14 por ejemplo y este plugin lo que hace es sustituir el vp login y el vp admin por administración 14 que es la que nosotros le hemos puesto con eso conseguimos ocultar la ruta de acceso al administrador de wordpress este plugin funciona muy bien la verdad es que un plugin que a mí siempre me ha gustado muchísimo es este de aquí lo vamos a escalar y ahora lo configuramos para que veáis cómo funciona realmente funciona muy bien no tendríamos a ver si lo veo aquí ajustes del plugin vale aquí este plugin se nos aparece en la justa generales ajustes generales y aquí en la parte de abajo nos nos aparece el plugin la configuración del proyecto bueno como veis la url de acceso ya no la está diciendo la aparece con logic accederíamos al hogar host worker logic y esta parte la podemos cambiar por la que nosotros queramos con lo cual ya estamos sustituyendo por el acceso genérico de wordpress por largo personalizado que nos va a permitir ocultar el acceso al administrador de wordpress y en este caso lo voy a quitar sólo era para mostraros cómo funciona desactiva correcta bien y otro plugin bastante interesante aquí tenemos otro que es el límite logic a temps y reloj bien vamos a ver qué hace este plugin básicamente este plugin lo que hace es limitar el número de intentos de acceso al hoy y es decir si alguien por ejemplo consigue entrar en nuestra administración cuando genera 34 intentos si no ha conseguido el acceso automáticamente 6p se queda bloqueado durante un tiempo tenemos muchas más opciones de poder bloquear esa s&p ahora veremos la configuración del plugin y ella quedará al gusto de cada uno también hay que tener cuidado no vaya a ser que nos pase a nosotros y bueno nos quedamos fuera un poquito de tiempo bueno aquí la activación del plugin nos dará una pequeña explicación funcionalidades y demás bueno no vamos a venir aquí y aquí bueno nos dice los intentos de acceso nos da una pequeña actualización y también tenemos la opción previa bueno aquí pues ya nos va dando información del plugin aquí en la parte de ajustes vale bueno aquí nos das como todos los plugins un motor un montón de información y de opciones para el cumplimiento de la rgp de él el texto bueno notificaciones si cuando hay un bloqueo no notifica por correo si por ejemplo aquí nos podemos traer el elemento de menú de nivel superior recarga la página para ver los cambios a la implicación activa local y bueno y aquí están las opciones del bloqueo por cuatro intentos permitido cada vez que bloquea cuánto tiempo en 20 minutos 4 bloqueo incrementar el tiempo de bloqueo a 24 horas y 24 horas hasta reiniciar los intentos bueno orígenes de ip de confianza bueno aquí es una variable se llama remota de leer que es para para capturarla las ip remoto aquí tenemos alguna alguna alguna opción más pero es para las versiones premios bueno básicamente este plugin la configuración sería esto aquí nosotros podemos modificar el número de intentos permitidos el tiempo de bloqueo y demás un plugin bastante interesante bueno y por último obvia un plugin que yo hace poco que lo llevo utilizando que se llama prueben x x s s vulnerability más os explico qué es esto bien el ataque xx xx s ese perdón que me equivocaba está bien añadir nuevo para el ataque cuando que se realiza por xs s quiere decir que se realiza por ejemplo imaginaros que estamos en una caja de comentarios y podemos meter un código escrito bien hub javascript hp o html en cualquier caja de comentarios y ese código se va a ejecutar cada vez que se abra ese post o ese un comentario eso es un ataque x ss es decir podríamos meter un código por ejemplo lleva script en una caja de comentarios del tipo script a ver si lo escribo bien script por ejemplo a leer para que no saltara una alerta de hecho he hecho algunas pruebas en algunas instalaciones de wordpress para probar este tipo de script y realmente es se inyecta el código perfectamente eso sí en el tema de los comentarios que tener mucho cuidado porque cuando los comentarios son públicos este script puede estar dando muchos muchos huesos bueno pues si nosotros cogemos por ejemplo este sencillo script en javascript y lo insertamos en un comentario de wordpress como usuario registrado nos puede nos va a inyectar este código en la base de datos quiere decir que cada vez que alguien abra nuestra página le va a saltar un mensaje de alerta diciendo hola esto es lo menos lo menos peligroso pero hay otro script que son más complejos y puedes llegar incluso a redireccionar la página y hacer un montón de funcionalidades no deseadas por nosotros precisamente bueno para esto para evitar que este código lo puedan inyectar tal cual en nuestra página web existe este plugin que es el prevent x ss vulnerability es una pequeña vulnerabilidad que tiene wordpress que se consigue resolver con este plugin vale vamos a ir aquí aunque las opciones del club no las pone aquí vale bueno aquí nos da un poco las entidades que eliminaremos inti this y bueno aquí bloquea y remueve todas las todos los brackets todos los paréntesis abiertos cerrados símbolos de mayor y menor símbolos de llaves corchetes que son los que van integrados siempre en cualquier tipo de código podemos añadir extra entities aquí separadas por coma o es cruyff entities predefinidas vale y activamos el bloqueos le damos aquí esto es para hacer un escape html esta opción esta opción lo que nos permite es que las variables que nos vengan por get a través de nuestros parámetros se haga un escape por ejemplo para evitar que introduzcan comillas o una inyección sql y aquí lleva para para codificar las entidades por ejemplo para codificar este tipo de entidades a un código que sea legible por el navegador pero que no pueda inyectarse dentro de la base de datos sobre nuestros códigos en nuestro caso lo habilitaría mostrar estas opciones y con esto estaremos consiguiendo que no nos puedan hacer un tipo de ataque de ese tipo bueno como veis hay muchas muchos muchos puntos donde he perdonado porque tengo la garganta un poquito irregular como veis hay muchos puntos donde nos pueden hacer un ataque e incluso hay más pero bueno esto ya sería otro nivel de seguridad pero bueno con estos cinco plugins que hay aquí que he dicho en este vídeo creo que es suficiente para que podáis prevenir este tipo de ataques en cierta medida y proteger nuestro sitio web tener en cuenta que el un hacker cuando detecta un woods detecta que un sitio está protegido y no puede realizar el ataque que tiene previsto al poco tiempo abandona ese sitio busca a otro porque realmente es como estar dándole un golpe a una piedra no estamos consiguiendo nada bueno como veis bastante sencillo espero que este vídeo os sirva para que nuestro sitio web mejor protegido y nada seguimos con más vídeos y un saludo a todos