[powerpress]Getting hacked is one of the worst things that can happen to a blog or website owner.
Puede destruir semanas o meses de trabajo, causar grandes cantidades de estrés personal e incluso afectar tus fuentes de ingresos.
Lamentablemente, ser hackeado es una de las realidades de los negocios en línea.
En el episodio de hoy, repasaré 15 consejos que espero te ayuden a estar más preparado. Mi sincera esperanza es que parte de esta información sea un catalizador para mantenerte a ti y a tu blog seguros.
Ver el episodio en iTunes aquí o si lo prefieres puedes descargarlo a tu computadora aquí y escucharlo más tarde.
¿Qué hay en este episodio?
Aquí hay algunas de las cosas mencionadas en este episodio, así como enlaces a material relevante útil.
- Distribute.IT es la compañía que experimentó el terrible incidente de hacking aquí en Australia. Aquí hay un resumen del incidente y un desglose de cómo sucedió, y aquí hay un artículo de noticias sobre los 4800 sitios web que se perdieron. Una historia fascinante (y muy triste).
- Aquí hay una reseña de una VPN que uso para estar un poco más seguro en línea.
- Los plugins y servicios de seguridad para WordPress incluyen BulletProof Security, Limit Login Attempts, Wordfence y Sucuri.
- Recomiendo a David Steven-Jennings si deseas que se realice una auditoría de seguridad en tu blog y/o servidores de blog.
- Regístrate en Google Webmaster Tools si aún no lo has hecho, ya que ofrecen un buen monitoreo para SEO y seguridad.
- Aquí hay información útil sobre copias de seguridad de WordPress y cómo controlarlo todo.
- Un buen resumen de los administradores de contraseñas que pueden ayudarte a usar contraseñas complicadas, de forma sencilla.
- Protección para tu computadora personal aquí y aquí.
¿Tienes algún consejo extra?
Me encantaría saber si tienes otros consejos en cuanto a seguridad o manejo de un evento desafortunado. Por favor, deja un comentario abajo, ya que podría ayudar realmente a alguien que lo lea.
© Foto principal: Valeriy Kachaev.
Buen tema para abordar y muy importante para cualquiera que se haya tomado el tiempo y el esfuerzo de crear un blog. ¡Es asombroso lo rápido que pueden desaparecer simplemente!
Mi consejo es tener cuidado con los complementos 'gratuitos' que usas y asegurarte de actualizarlos regularmente.
¡Desafortunadamente, aprendí de la manera difícil y perdí cientos de horas de trabajo!
Sigue con el gran trabajo, Rams
Sí, ese es un gran problema. Hay muchos complementos no tan buenos por ahí.
Gran artículo.
¿Qué hay de la autenticación de dos factores?
Sí, hablé de eso en el podcast. Muy buena idea.
Muchas gracias por estos recordatorios, Ramsay.
Nunca somos lo suficientemente prudentes. Por eso he revisado mi blog tan pronto como he recibido tus claros consejos.
Soy usuario de Wordfence y UpdraftPlus y me gustan.
Creo que hoy le daré una oportunidad a BulletProof Security.
Todavía soy cauteloso con 'Limit Login Attempts' porque vivo la mayor parte del año en África y no quiero que me bloqueen algún día. ¿Hay algún riesgo?
Sigue con tu buen trabajo, incluso para la fan francesa que soy.
Sí, existe la posibilidad de que te bloquees a ti mismo, seguro.
Además, no estoy seguro de que necesites BPS y Wordfence. Podrían crear un conflicto.
Gracias por tu rápida respuesta 😉
La historia de Distribute.IT me recuerda un incidente en una empresa para la que trabajé en Sudáfrica. Un ex-empleado descontento de uno de nuestros clientes accedió a sus servidores porque sus cuentas no habían sido desactivadas (incluida su cuenta VPN de la empresa). Les causó estragos, ya que creó una cuenta de 'respaldo' para la VPN y los servidores que se parecía mucho a una cuenta del sistema, por lo que tardaron un tiempo en encontrarla.
Además, 'DDOS' significa *Distributed* Denial of Service :p
¿Qué dije? Quise decir eso. lol
"Deliberado" 🙂 Aún así creo que es una descripción precisa, ya que el 99% de las veces es deliberado.
¡Hola Ramsay! En cuanto al plugin Wordfence que mencionaste, es un buen plugin de última generación, pero me vi obligado a desinstalarlo porque estaba consumiendo la memoria de mi blog en mi cuenta de hosting compartido.
¿Conoces alguna otra opción factible y más ligera para proteger mi blog?
Eso es realmente interesante. BPS es realmente ligero, hasta donde sé, pero lleva algo de tiempo configurarlo.
Cualquier plugin de seguridad requiere tener buenos conocimientos y toma tiempo configurarlo. Y es normal que sea así porque lo último que quieres es bloquearte a ti mismo.
Hola Ramsay,
Esa es otra gran pieza para que la consumamos, pero como ves, las VPN son caras y no son 100% seguras, como bien mencionaste (VPN Review).
Creo en la combinación de plugins de seguridad de WordPress con todas las demás medidas para fortificar las murallas de nuestro sitio.
Bueno, definitivamente ninguno será 100% seguro. Quizás por eso se hizo disponible esta publicación.
He probado la mayoría de las medidas descritas. Lo que me queda ahora es probar David y VPN.
Gracias por la guía.
Francis
Strong VPN cuesta alrededor de $9 por tres meses, creo. Buena inversión.
Hola Ramsay,
Gracias por cubrir este tema. Me tiene muy confundido, disculpa mi larga respuesta, pero quizás puedas ayudarme.
Uso Limit Login Attempts, y al menos una vez al día me quedo fuera de mi propio sitio.
Dice demasiados intentos fallidos, ¡pero sucede cuando ya he iniciado sesión! ¿Entonces eso significa que alguien en algún lugar conoce mi dirección IP y la está usando al intentar adivinar mis contraseñas?
¿Y luego inevitablemente me cierra la sesión de mi propia cuenta?
El registro de LLA muestra muchísimos intentos al día desde direcciones IP aleatorias que intentan adivinar el nombre de usuario y/o la contraseña. Sin embargo, tengo demasiado miedo de desinstalar el plugin de LLA.
También uso Sucuri (porque una vez me marcaron como sitio con malware hace unos 9 meses y tardaron una semana en arreglarlo).
Todos los días recibo notificaciones de Sucuri que dicen "tu sitio está bajo ataque Bruteforce". Y enumera un montón de direcciones IP y marcas de tiempo que intentan iniciar sesión cada pocos segundos (debe ser automatizado).
¿Es esto normal, le pasa a tu sitio?
La notificación de Sucuri en realidad no me dice que haga nada ni me da recomendaciones. No estoy seguro de si debería preocuparme.
¡Gracias!
Hola amigo.
Mi sitio recibe algo así como 40,000 intentos de hackeo al mes. LLA sí hace muchos bloqueos, pero tú no deberías estar bloqueándote a ti mismo.
¿En qué host estás? Un ataque de fuerza bruta debería ser manejado por tu host bastante rápido, ya que también les afectará. Me pondría en contacto con el soporte lo antes posible y les informaría.
Ok, entonces los intentos de hackeo son "normales".
Sí, muy confundido acerca de los bloqueos considerando que bloquea direcciones IP.
Estoy con HostGator.
Gracias por tu respuesta.
Gracias por el recordatorio de lo importante que es la seguridad para un blog.
Gracias.
Muy útil. Gracias, Ramsay
Muchos bloggers o incluso propietarios de sitios web dan por sentadas estas medidas de seguridad.
Hola, Ramsey, es una gran publicación la que tienes aquí. Me beneficié mucho. Gracias.
[…] Enlace de origen […]
Hola Ramsay,
¿Estás usando algún tipo de seguridad en tu propio blog? Tengo un blog pero es muy pequeño en este momento y no me preocupa mucho, pero cuando crezca a un buen nivel, estoy seguro de que querré tenerlo seguro. ¡Gracias por esta gran información!
Hola Ramsay,
primera vez en blog tyrant y me reciben con un podcast aburrido.
Por cierto, tuve una idea genuina de tu podcast para mi próxima publicación de blog.
gracias amigo
Hola, Ramsey, tu publicación me ayudó mucho, gracias
Oye, ¿tienes transcripciones de tus podcasts disponibles? Tiendo a ser mejor lector que oyente. No es gran cosa si no. 🙂
Por suerte aprendí la lección de una contraseña Y un nombre de usuario muy malos después de dejar de bloguear en mi primer intento de blog. El sitio fue hackeado unos meses después de que dejara de funcionar.
¡Las copias de seguridad y las actualizaciones de plugins son muy, muy, muy importantes!
Hola Ramsay..
Muy buenos consejos de seguridad tienes aquí,
En lugar de ocultar la versión de WordPress de tu sitio, una mejor solución es simplemente mantener tu sitio actualizado.
Gracias por esta publicación Ramsay. Tengo un blog configurado con Managed WP w/GoDaddy. Espero que me respalden con algunas de las cosas de las que has hablado. Estoy pensando en iniciar un segundo sitio web y pensé en pasar a ver qué tienes que decir. Aprecio el recordatorio de no usar internet gratis en Starbucks, etc. y de tener contraseñas más seguras.
excelente publicación muy informativa, gracias, y trata de mejorar el nivel de conversación…
Realmente gracias por esta publicación Ramsay.
Muy buena publicación Ramsay, en mi opinión se puede usar el intento de inicio de sesión limitado con captcha de inicio de sesión para obtener una seguridad estricta del sitio web.
Hola Ramsay,
Gracias por los consejos de seguridad. ¿Qué opinas sobre crear tu propio blog en lugar de contratar a una empresa desarrolladora web? No sé si esto podría generar algún problema de seguridad. Tengo todas las herramientas para empezar mi blog yo mismo usando Bluehost, pero recientemente encontré una empresa llamada Varisage. Están dispuestos a crear mi blog (todo, desde el hosting, suscripciones por correo electrónico, diseño web, etc.) de manera que lo único de lo que tendría que preocuparme sea mi contenido. Ya trabajan con varios bloggers muy exitosos a quienes admiro y que se dedican a bloguear a tiempo completo, que es mi objetivo. Supongo que pensé que el éxito de mi blog sería más seguro si me unía a esta empresa porque me ayudarían con mi marca. ¿Es esto común y una buena idea?
Es una locura con qué frecuencia nuestros sitios son atacados todos los días y ni siquiera lo sabemos. Instalé el plugin iThemes Security y, en cuestión de minutos, mis registros se llenaron de intentos fallidos de inicio de sesión. ¡Santo cielo! Sin el plugin, no tendría ni idea de lo que estaba sucediendo a diario. Ni siquiera puedo empezar a imaginar lo que sitios más grandes como Facebook y Amazon deben pasar en términos de intentos de hackeo.