Hace aproximadamente un mes, comenzamos a ver una gran cantidad de intentos fallidos de acceder a la página de inicio de sesión de WPBeginner y a la página wp-admin. Nos volvimos extremadamente cautelosos al respecto. Desde proteger con contraseña el directorio wp-admin hasta agregar un proceso de verificación en dos pasos, intentamos hacer todo por nuestra cuenta. Sin embargo, nos dimos cuenta rápidamente de que nuestras habilidades y conocimientos eran bastante limitados. Ya tenemos una solución de respaldo completa con VaultPress, así que solo necesitábamos a alguien que monitoreara continuamente nuestro sitio en busca de cualquier comportamiento extraño. Alguien que supiera lo que hacía. Alguien que tuviera una gran reputación. Después de investigar un poco, solo un nombre destacó. Era Sucuri. Después de visitar el sitio web, nos dimos cuenta de que este es el mismo sitio que ofrece un escáner de sitios web gratuito que usamos cuando realizamos una limpieza de malware para el sitio web de uno de nuestros clientes. Fuimos y obtuvimos la cuenta para nuestros sitios web. Mientras lo configurábamos, lo único que se nos ocurría era "WOW". Esta debería ser una herramienta IMPRESCINDIBLE para todos. En este artículo, le mostraremos por qué usamos Sucuri y cómo realmente mejora nuestra seguridad de WordPress.
1. Monitoreo de la integridad del sitio web
A diferencia de su escáner gratuito, que debes ejecutar manualmente, la advertencia de malware y listas negras del sitio web verifica el sitio con una frecuencia de hasta cada 3 horas para asegurar que tu sitio esté libre de malware, scripts maliciosos, iframes maliciosos, redirecciones sospechosas, inyecciones de enlaces spam, etc. También se aseguran de que tu sitio no esté en la lista negra de ninguno de los servicios populares como Google, Norton, AVG, Phishtank, Opera y otros. ¿Cómo beneficia esto? Bueno, mantiene tu reputación intacta, para que tus usuarios no vean avisos como "Advertencia: Algo no está bien aquí".
2. Escaneo del lado del servidor
El monitoreo del sitio web solo revisa tu sitio web en el front-end. Pero, ¿qué pasa si estás lidiando con un hacker inteligente, a quien no le importa infectar a tus usuarios con malware? Simplemente están agregando anuncios publicitarios en tus publicaciones antiguas de los que no tienes conocimiento. ¿Qué pasa si ya han establecido un acceso de puerta trasera que pueden usar para cambiar tus enlaces de afiliados por los suyos y robar tus ingresos? Este tipo de hackeo no puede ser detectado por su escáner de sitios web gratuito. Sin embargo, para los clientes de pago, existe una opción llamada Escaneo del lado del servidor que hace precisamente eso. Escanea tu servidor para asegurarte de que no haya archivos sospechosos alojados en tu servidor. También audita eventos como cambios de archivos y similares para mantenerte informado.
Pensarías que tendrías que instalar algún tipo de software voluminoso en tu servidor para realizar estos escaneos. Todo lo que tienes que hacer es subir un simple archivo php y eso es todo.
3. Plugin de registro de auditoría de WordPress
Debido a que está creado por personas que aman WordPress tanto como nosotros, tienen un plugin especial para usuarios de WordPress. Este plugin es como una joya tanto para principiantes como para usuarios avanzados. Audita todos los eventos que ocurren en tu sitio de WordPress. Cambios de archivos, adiciones de nuevas publicaciones, etc.
A menudo, los hackers intentan disfrazar sus archivos de acceso de puerta trasera hackeada con nombres de archivos de WordPress. Por lo tanto, puede ser un archivo ubicado en su carpeta wp-includes llamado wp-user.old.php o algo que un usuario promedio no sospecharía que fuera un archivo malicioso. El plugin Sucuri WordPress garantiza la integridad de todos los archivos principales. Por lo tanto, si hay un archivo sospechoso entre la mezcla, te alertará de inmediato. A menudo, los hackers intentan ocultar el malware dentro de su archivo wp-config.php. Que es un archivo principal. Este plugin verifica todo eso.
Fortalecimiento en 1 clic
Si eres un usuario nuevo, verás varias publicaciones de seguridad en diferentes blogs. Intentas recordar todas esas en tu próximo sitio y en el siguiente, etc. Algunos de los trucos de endurecimiento ni siquiera se mencionan. Bueno, Sucuri te da la capacidad de mejorar tu seguridad endureciendo tu instalación de WordPress. Con un solo clic, puedes proteger tu directorio de subidas. A menudo, los hackers disfrutan ocultando sus archivos maliciosos en tu carpeta de subidas. Debido a que la carpeta de subidas está organizada por año y mes, es un lugar fácil para que los hackers oculten cosas. La mayoría de la gente nunca revisa su carpeta de subidas. Con un simple clic, este plugin hará que tu directorio de subidas no sea navegable y deshabilitará la ejecución de php. Hace lo mismo para el directorio wp-content y el directorio wp-includes. Con 1 clic, también puedes mover tu archivo wp-config un directorio hacia arriba. Con 1 clic, se deshace de tu archivo readme.html y otros.
A partir de ahora, no hay forma de cambiar el prefijo de la base de datos predeterminado con 1 clic, pero dice que estará disponible en versiones futuras. Mientras tanto, puede usar nuestro tutorial sobre Cómo cambiar el prefijo de la base de datos de WordPress.
Por último, pero no menos importante, este plugin agrega un firewall web que bloquea a los spammers y pone en lista negra sus IPs. Verificamos muchas de las IPs que intentaban acceder a áreas a las que no se suponía que debían acceder y son IPs conocidas en lista negra. Para los usuarios de WordPress, este plugin es lo mejor que ha existido.
4. Alertas
La parte más importante del monitoreo son las alertas. Sucuri te permite configurar alertas por correo electrónico, alertas de Twitter, alertas de mensajería instantánea, alertas por SMS y alertas RSS. Esto es genial porque si alguna vez ocurre un hackeo, serás el primero en saberlo.
Además del monitoreo de malware y listas negras, también tienen monitoreo de cambios de DNS, cambios de whois, etc. Recientemente, muchos dominios populares fueron robados a sus webmasters, y este tipo de monitoreo puede mantenerte alerta.
5. Servicio de limpieza de malware
Aunque todas las razones anteriores justifican bien el costo, también ofrecen un servicio de limpieza de malware sin límites de páginas junto con la eliminación de listas negras. Aún no hemos tenido que usar esta parte del servicio, pero ¿puedes imaginar tener expertos en seguridad limpiando tu sitio? Normalmente, algunos de estos tipos cobran $250+/hora por consultoría. Digamos que si tu sitio es hackeado y tienes su monitoreo, ellos se encargarán de la limpieza por ti. Lo más probable es que se detecte antes de que Google y otros servicios te incluyan en la lista negra. Pero si te incluyeron en la lista negra, entonces te ayudarán con la eliminación de la lista negra.
Tenemos el plan de potencia que cuesta $189.99 / año y cubre 5 sitios web. El costo mensual se acerca a $3 por sitio web. Preferiríamos pagar $3 por sitio web y mantenerlo seguro en lugar de ser hackeados y pagarle a alguien $$$$ para que limpie nuestro sitio.
Conclusión
La web es un lugar realmente aterrador. Día tras día, escuchamos historias de personas y sitios web siendo hackeados. Habiendo ayudado a numerosas personas a limpiar sus sitios web de malware, podemos decir honestamente que Sucuri es, sin duda, el mejor y más rentable servicio de seguridad en la industria de WordPress. Es mucho mejor descubrir que tu sitio ha sido hackeado a través de un servicio de monitoreo que descubrirlo por tus usuarios o, mejor aún, por Google cuando pone tu sitio web en la lista negra.
Estamos usando Sucuri y si te preocupa la seguridad de tu sitio, entonces tú también deberías hacerlo. Hay una razón por la que las principales publicaciones como CNN, USAToday, PC World, TechCrunch, TheNextWeb y otras recomiendan a estos tipos. Habiendo hablado personalmente con uno de sus cofundadores, Dre Armeda, sabemos que estamos en buenas manos.
jesse
He tenido tiempo de inactividad continuo con el firewall de Sucuri... he tenido 48 horas de inactividad debido a 2 interrupciones. Su soporte técnico es realmente incompetente. NO recomiendo su servicio.
Vinny
¿Cuánto te pagó sucuri para ponerlos en tu lista? No digo que sean malos, pero prefiero usar Wordfence o incluso iThemes Security, ambos con 6 veces más usuarios activos que sucuri.
Personal editorial
Sucuri no nos pagó ni un centavo. En el momento de escribir esto, iThemes Security tenía un nombre diferente y WordFence era el único competidor principal. El servicio de limpieza de malware y el monitoreo activo de Sucuri les dieron la ventaja. Estamos en proceso de cambiar a su nuevo WAF, momento en el cual escribiremos una actualización sobre esto.
El WAF de Sucuri es muy superior a los otros plugins que mencionaste porque es un firewall DNS activo basado en la nube, no uno alojado para tu sitio WP. Además, 6 veces más usuarios activos se debe principalmente a que los otros son gratuitos.
Administrador
butterkitten
Me gusta la recomendación, pero no puedo permitirme Sucuri en este momento. ¿Hay otros plugins que puedas recomendar que sean asequibles?
Chris Bunting
Aunque ahora existen varios plugins de seguridad, ¡todavía prefiero Securi! Dirijo un sitio donde el tráfico no es tanto el problema, sino más bien la gente que lo visita... Los intentos de hackeo son algo diario para nosotros... ¡Pero Securi tiene las mejores notificaciones y configuración que he encontrado!
Proteger verdaderamente tu sitio va mucho más allá de un simple plugin... ¡No te dejes engañar por el bombo! Si operas en un servidor dedicado/VPS, debes empezar por el sistema operativo... Si estás en una cuenta de hosting compartido con scripts de autoinstalación, deberías investigar sobre cómo asegurar tu sitio antes de siquiera pensar en asegurar WordPress...
Thomas Zickell
Sucuri CloudProxy ya está disponible y lo he estado usando desde que salió. Tengo que decir que es una de las mejores herramientas que he utilizado. La velocidad del sitio es más rápida, tienes protección real contra todos los ataques de fuerza bruta, incluso protección DDoS 7 integrada en su oferta básica con DDoS 3,4 y 7 completos en su oferta profesional. Es realmente una herramienta sobresaliente para cualquiera que no use hosting WordPress administrado (uso tanto WordPress administrado junto con Terremark, FireHost, Linode y digital ocean), es una gran adición, especialmente para cualquiera que busque un servidor muy rápido, confiable y seguro, combinado con digital ocean y tienes algo increíble.
Sean
Buena reseña, estamos a punto de registrarnos con ellos. Cuando has sufrido a manos de hackers y tanta gente recomienda a estos tipos, sabes que es lo correcto.
Thomas Zickell
Realmente me gustan las nuevas copias de seguridad de Sucuri. Cuestan $5 al mes y tienes espacio ilimitado. Estoy de acuerdo en que VaultPress es un servicio excelente, sin embargo, después de comparar VaultPress de $15 al mes con Sucuri y CodeGuard, elijo Sucuri. Todo lo que necesitas es sftp/ftp/mySQL, esto es preferible a un método solo con plugin.
Especialmente por el servicio que obtienes de Sucuri, incluso te ayudarán a restaurar el sitio por ti y sí, debes usar chat en vivo, que está disponible las 24 horas, los 7 días de la semana.
Puedes enviar a tu cliente un correo electrónico cada día, semana o mes con un enlace de copia de seguridad para descargar.
Cuando estás haciendo optimización de motores de búsqueda, desarrollo web y creación de contenido como yo.
Los clientes necesitan tener un método para saber que eres una persona honesta, así que si desapareces, obtendrán su sitio incluso si está en tu plataforma de alojamiento.
Por esa razón, que sé que es extraño mencionarlo, pero es importante porque no quieres que tu cliente, que podría no ser tan experto en la web como tú, juegue con complementos o cualquier otra cosa si tú eres el webmaster.
Sucuri realmente se ha superado, los he usado durante años y son una empresa fantástica.
Diré que CodeGuard está bien
Preferiría gastar el dinero en la copia de seguridad de Sucuri y no preocuparme nunca por el espacio
Phil Alcock
Cuando ejecuté la verificación de Sucuri en nuestro dominio, salió limpio, pero en la sección de versión de aplicación web tenía un triángulo de advertencia para
Ruta interna de Wordpress: /home/dibdench/public_html/wp-content/themes/atahualpa3712/index.php
Sin indicación de lo que esto significa. ¿Alguna idea?
oj wickliffe
Hola,
Ya he visto este sitio antes y, de hecho, ayudó a descubrir algunos malwares.
En realidad, tengo un problema para el que necesito alguna recomendación. Mi sitio parece hackeado, ya que hay una carpeta allí que no puse yo. Pero cada vez que la elimino, vuelve a aparecer desde mi administrador de archivos de cPanel.
¿Qué puedo hacer?
Gracias.
Soporte de WPBeginner
Una carpeta no significa necesariamente que se deba a algún malware o troyano en tu sitio. Muchos complementos de WordPress también crean carpetas para almacenar datos. Para asegurarte de que no es un complemento el que crea esa carpeta, primero desactiva todos tus complementos y luego elimina la carpeta. Mira si la carpeta vuelve a aparecer. Si lo hace, entonces probablemente se deba a un script malicioso o malware. Si no vuelve a aparecer, significa que uno de los complementos de tu sitio necesita esa carpeta para funcionar correctamente.
Administrador
TOrben Heikel Vinther
¡Buena reseña! Hoy estoy usando el plugin gratuito Better WP Security en mis sitios, pero cuando leo sobre Sucuri, ¡suena a que es aún mejor! Si compro el plugin Sucuri, ¿obtendré la misma protección (o más) que con Better WP Security?
¿Recomiendas otros plugins de seguridad para que funcionen junto con Sucuri, por ejemplo, Wordfence, o habría mucha superposición?
Personal editorial
Sucuri es una solución bastante completa, por lo que no deberías necesitar combinarla con Wordfence y similares. Una clara ventaja de Sucuri es su garantía de que arreglarán tu sitio si algo sale mal. Cualquiera que conozca el dolor de limpiar un sitio hackeado, comprará la suscripción en un instante. Contratar a un buen consultor de seguridad cuesta cientos de dólares por hora. Sucuri también tiene escaneo del lado del servidor que te da advertencias. Monitorea cambios en archivos y cosas así.
Administrador
Frithjof
¡Gracias por la excelente reseña! Antes de registrarme, una pregunta "extra": ¿El escaneo del lado del servidor reemplaza la necesidad de monitoreo de tiempo de actividad?
Personal editorial
Tienen una opción para recibir alertas de tiempo de actividad.
Administrador
Maggie
Empecé mi blog el mes pasado y todavía es un sitio muy pequeño al que no llegan más de 10 personas al día.
¿Significa eso que hay menos posibilidades de que alguien hackee mi sitio web?
¿Debería esperar hasta que mi sitio web tenga más visitas?
Me tomo mi blog muy en serio, pero no estoy seguro de si vale la pena invertir mucho al principio.
Mary
Hola,
Solo quería responderte porque estoy sufriendo ataques de fuerza bruta en mis sitios web y todos son nuevos con muy poco tráfico.
"Login in security" es un plugin gratuito que me está dando esta información y se discutió en este sitio.
Las actualizaciones y una contraseña segura también son importantes.
Pero estoy investigando Sucuri y compraré a través del enlace en este sitio porque estos tipos son geniales.
¡Buena suerte!
Maggie
Gracias por tu respuesta, Mary. ¡Suena aterrador!
Acabo de instalar "Limit Login Attempts" ahora y volveré a considerar lo de Sucuri.
Mary
Hola, Gracias por este artículo
Realmente no entiendo todos los detalles escritos aquí o en los comentarios
Así que me preguntaba esto. Si obtengo Sucuri, ¿YO
1) tengo que decidir qué necesito de lo que ofrecen (no sabría)
2) ¿es difícil de instalar para un NO ENTENDIDO como yo?
3) ¿hay código? Ya he roto mi sitio antes al agregar código
4) ¿y serán necesarias otras medidas de seguridad?
¡Gracias por tu sitio! Mary
Personal editorial
Hola Mary,
1. No, simplemente compras el plan (es todo incluido).
2. Bastante fácil de instalar. Su equipo te asistirá si lo necesitas.
3. No. No hay código involucrado.
4. Usar una contrase\
Administrador
Keith Davis
Hola Syed
Solo quería avisarte que Sucuri ahora tiene uno – cambio de prefijo de base de datos con un clic – ¡genial!
Personal editorial
Genial… No sabía que habían añadido esto.
Administrador
Keith Davis
Mirando seriamente Sucuri para 5 a 8 sitios.
¿Hay códigos de descuento?
Ahmed
Bueno, ¡supongo que les daré una oportunidad a estos chicos!
Brad Dalton
Mi sitio fue hackeado hoy y el escaneo de Sucuri salió limpio antes de que lo arreglara.
Wordfence lo detectó cuando escaneé usando este plugin.
Personal editorial
Brad, ¿estabas usando su escáner gratuito o el escaneo de servidor de pago? Su escáner gratuito no revisa los archivos en tu servidor. Simplemente revisa el código malicioso que se muestra públicamente.
Administrador
Jason H
La reseña positiva termina con esta línea:
“No hay ninguna razón por la que publicaciones importantes como CNN, USAToday, PC World, TechCrunch, TheNextWeb y otras recomienden a estos chicos.”
Personal editorial
Vaya, total omisión por nuestra parte. Se suponía que debía decir "hay una razón". Gracias por señalarlo.
Administrador