En estos primeros meses del año 2019 las sitios web con wordpress se ha visto afectados por la inserción de códigos maliciosos o malware causando problemas de lentitud en las paginas o baneo por google y hasta por el mismo proveedor de servicios hosting ya que se debe prevenir afectaciones mayores, por tal motivo creamos esta guía de seguridad.
Para Instalaciones nuevas de WP o que no han sido hackeadas:
Si has decidido crear un sitio en wp o ya tienes uno y hasta el momento todo va bien y no ha sido hackeado sigue las siguientes recomendaciones para evitar futuros dolores de cabeza:
1: Utiliza nombre de usuario y clave segura para la base de datos, recomendamos claves alfanumérica.
2) Cambia el prefijo de la base de datos, normalmente es wp_ cámbialo a rsf_ o como quieras llamarle.
3) Utiliza nombre de usuario y clave segura para acceso admin
4)INSTALA EL PLUGIN WP CERBER SECURITY
5) No instales plantillas o plugins de dudosa procedencia o nulled ya que vienen con el código malicioso insertado.
6) Manten actualizado WP y los plugins a la ultima versión
7) Cierra los comentarios
8) Inscribe tú sitio en google search console este te mostrara si el sitio fue hackeado y el lugar exacto del scrip malicioso.
Si tu sitio web ya esta infectado o hackeado sigue las siguientes instrucciones:
- Inscribe tu sitio en google search console
- Instala el plugin WP CERBER SECURITY
- Eliminar todas los archivos infectados, este listado lo debe entregar su proveedor hosting..
OTRAS RECOMENDACIONES
Si se instala un CMS u otra aplicación web, deberá asegurarse de que esté protegido y limpio. Los pasos de limpieza sugeridos pueden incluir, entre otros, los siguientes:
* Eliminar todos los archivos maliciosos y / o restaurar los archivos del sitio desde una copia de seguridad limpia conocida.
* Asegure adecuadamente las credenciales de administrador de CMS, con un mínimo de cambio de contraseñas para cuentas de administrador legítimas y la eliminación de cuentas ilegítimas. Este paso es crítico. Deberá buscar usuarios de administrador adicionales que puedan haber sido agregados para fines de puerta trasera.
* Cambie todas las contraseñas asociadas de MySQL, FTP y cPanel / Plesk / DirectAdmin. Para los servidores de cPanel, no olvide verificar los cambios en la dirección de correo electrónico de contacto de cPanel, que podrían usarse para restablecer la contraseña. Se recomienda deshabilitar la opción “Restablecer contraseña para cuentas de cPanel” en Tweak Settings.
* Revise todos los scripts instalados en el sitio, incluidos los temas y complementos de CMS, marcos de terceros, así como cualquier otro script de terceros. Asegúrese de que estén actualizados y libres de vulnerabilidades conocidas, y elimine cualquier script que ya no esté en uso.
