SG Security es un plugin de seguridad gratuito desarrollado por SiteGround, que se utiliza principalmente para mejorar la seguridad de los sitios web de WordPress y protegerlos de ataques violentos, grietas de inicio de sesión y fugas de datos.
El plugin se puede utilizar en cualquier host, la función es muy completa, como la verificación de identidad doble, la modificación de la dirección de inicio de sesión, la restricción de los intentos de inicio de sesión, etc., el siguiente una luz en la mano para enseñarle cómo utilizar.
Instalación de SiteGround Security
¡Antes de que el uso de SiteGround cuando es necesario instalar manualmente el plugin de seguridad Siteground correspondiente, pero ahora el valor predeterminado oficial se ha instalado, basta con entrar en el backstage de WordPress para encontrar el plugin instalado directamente a usarlo!
Configuración de seguridad del sitio web
Por defecto, marque las casillas según las recomendaciones oficiales y, a continuación, utilice o desactive las funciones de seguridad correspondientes según su propia situación.
Bloquear y proteger las carpetas del sistema
Activando esta opción te aseguras de que no se puedan ejecutar scripts no autorizados o maliciosos en las carpetas del sistema. Esta es una puerta trasera a menudo explotada que puede cerrar con un simple toque.
Ocultar la versión de WordPress
Muchos atacantes escanean los sitios en busca de versiones vulnerables de WordPress. Ocultando la versión del HTML de su sitio, evitará ser marcado por los hackers para ataques masivos.
Desactivar el Editor de Temas y Plugins
Deshabilite la opción de editar el código de temas y plugins directamente desde el administrador de WordPress para evitar posibles errores de codificación o accesos no autorizados a través del editor de WordPress.
Desactivar XML-RPC
XML-RPC fue diseñado como un protocolo que permite a WordPress comunicarse con sistemas de terceros, pero recientemente se ha utilizado en una serie de exploits. A menos que necesite utilizarlo específicamente, le recomendamos que desactive siempre XML-RPC.
Desactivar RSS y ATOM Feeds
Los canales RSS y ATOM se utilizan a menudo para rastrear su contenido y realizar una serie de ataques contra su sitio. Utilice feeds sólo si tiene lectores que utilizan su sitio a través de lectores RSS.
Protección XSS avanzada
Al activar esta opción se añadirán cabeceras adicionales a su sitio para protegerlo contra ataques XSS.
Borrar el Readme.html por defecto
WordPress incluye un archivo readme.html que contiene información sobre su sitio web. El readme.html es a menudo utilizado por los hackers para compilar listas de sitios potencialmente vulnerables que pueden ser hackeados o atacados.
Seguridad de inicio de sesión
Esta configuración es para la seguridad de inicio de sesión, que protege su inicio de sesión de WordPress de ataques maliciosos.
Custom Login URL
WordPress dirección de inicio de sesión por defecto es el objetivo de los hackers y los robots de spam, el uso de la dirección de inicio de sesión personalizada puede evitar eficazmente este tipo de ataques, características similares del plugin y WPS Hide Login.
Login Access
Especifique una IP de la lista blanca que pueda acceder a la dirección de inicio de sesión. Si utiliza una IP dinámica, utilice esta opción con precaución para que ni siquiera inicie sesión en el backend de su sitio WordPress.
Autenticación de dos factores para usuarios administradores y editores
Función de autenticación de dos factores, de acuerdo con las instrucciones para utilizar el Google Authenticator App para escanear el código QR, escanear el código QR se completará en la APP después de que el código de verificación dinámica, entrar a enlazar.
Desactivar nombres de usuario comunes
Utilizar un nombre de usuario como «admin» es una amenaza para la seguridad y a menudo es aprovechado por los hackers. Al activar esta opción, se identificarán y desactivarán automáticamente los nombres de usuario comunes y, si ya está utilizando un nombre de usuario común, se le pedirá que lo cambie.
Limitar los intentos de inicio de sesión
Limitar los intentos de inicio de sesión se utiliza para impedir que los robots intenten iniciar sesión en su sitio utilizando una combinación aleatoria de nombre de usuario y contraseña.
Registro de actividades
La página Registros de actividad contiene toda la actividad de su sitio web en los últimos 12 días, como visitas manuales, rastreos de bots, actividad de usuarios registrados, intentos de inicio de sesión, etc., y puede ayudarle a comprender mejor la audiencia de su sitio web y a identificar visitantes o actividades sospechosos.
El registro de actividades consta de 5 pestañas:
- UNKNOWN – Robot o persona no autentificada
- REGISTRADO – usuario registrado
- BLOQUEADO – Bloqueo de direcciones IP
- INFORMES SEMANALES – Informes de seguridad semanales
- LOG SETTINGS – opciones de configuración del registro de seguridad
Acciones posteriores al pirateo
Si sospecha que su sitio WordPress ha sido pirateado, puede utilizar las herramientas de esta página para repararlo.
Reinstale todos los plugins gratuitos
Reinstale todos los plugins gratuitos, esto eliminará el código sospechoso añadido por los hackers.
Forzar el restablecimiento de contraseña
Forzar restablecimiento de contraseña, una vez que intente volver a iniciar sesión, se le pedirá que cambie su contraseña.
Cerrar sesión de todos los usuarios
Cierre la sesión de todos los usuarios inmediatamente.
Schlussfolgerungen
SiteGround Seguridad como un plugin gratuito, todas las funciones son muy útiles, configurar es muy simple, en tan sólo unos meses después de la liberación del número de 100.000 personas, la popularidad de los viejos plug-ins de seguridad de WordPress de ninguna manera perder.
Su único defecto es que no hay escaneo de sitio completo como Wordfence, sobre este tema pregunté específicamente al personal técnico de SG, su respuesta es: SiteGround hosting viene con un firewall WAF, por lo que en la versión inicial del plugin no considera el escaneo de sitio completo. Sin embargo, no descartaron la posibilidad de añadirlo más adelante, ya que no todo el mundo utiliza SiteGround.
Por último, si eres usuario de SiteGround, te recomendamos que pruebes también su plugin de aceleración SiteGround Optimizer.