¿Ocultar el número de versión de WordPress realmente mejora la seguridad de su sitio web?
Uno de los consejos más comunes para mejorar la seguridad de su sitio web de WordPress es ocultar la versión de WordPress que tu sitio está ejecutando.
La recomendación es también es una característica muy común en los muchos complementos de seguridad de WordPress disponibles ¿Pero realmente ayuda? ¿O es solo un truco?
La respuesta es no, no ayuda. Ocultar la versión de su WordPress no protegerá tu sitio de ataques maliciosos automatizados.
En este artículo te digo con más detalle por qué no funciona.
Table of Contents
Ataques Más Comunes en WordPress
Lo primero que debes saber es que las dos formas más comunes y exitosas que los hackers maliciosos usaron y siguen haciendo para hackear sitios web de WordPress son:
- Explotar una vulnerabilidad conocida en una versión anterior de WordPress, plugin o tema
- Adivinar una contraseña de administrador de WordPress (u otra cuenta) para iniciar sesión en WordPress
Ataques a WordPress, Plugins y Temas
Explotar una vulnerabilidad conocida de WordPress, plugin o tema hasta la fecha es una de las formas más apetecidas por los hackers.
Para explotar esas vulnerabilidades conocidas, los hackers maliciosos usan herramientas automatizadas para escanear grandes cantidades de sitios web.
Estas herramientas automatizadas no comprueban qué versión de WordPress está utilizando el sitio web de destino.
Ni siquiera verifican si un objetivo se está ejecutando en WordPress. Simplemente envían la solicitud maliciosa, y si el sitio web objetivo responde con una respuesta específica, significa que es vulnerable.
Los sitios web vulnerables se marcan y atacan en una etapa posterior.
Ocultar la versión de WordPress en este caso no ayuda en absoluto.
Las mejores formas de proteger sus sitios web de este tipo de ataques son:
- Ejecutar siempre la última versión de WordPress, complementos y tema
- Eliminar los complementos, temas y otros archivos no utilizados / deshabilitados que contengan fragmentos de código
- Antes de instalar un complemento o tema, realice una verificación de antecedentes adecuada para asegurarse de que no sea vulnerable.
Ataques de Fuerza Bruta
Los otros ataques populares empleados contra los sitios web de WordPress es la fuerza bruta y los ataques de diccionario.
Durante estos ataques automatizados, las herramientas utilizadas por los piratas informáticos maliciosos escanean un gran número de sitios web para:
- Identificar la página de inicio de sesión
- Intentar iniciar sesión utilizando un enfoque de fuerza bruta utilizando credenciales de uso común, como administrador y contraseña.
Al igual que con el ataque anterior, las herramientas no comprueban ni se dirigen específicamente a sitios web de WordPress.
Las herramientas simplemente escanean una lista de objetivos. Si un sitio web objetivo responde con una respuesta esperada, significa que está alojado en WordPress y será atacado.
Una vez que se adivinan las credenciales, el sitio web se marca para un ataque posterior.
Para proteger sus sitios de WordPress contra la fuerza bruta y otros ataques similares:
- No uses nombres de usuario predeterminados y use contraseñas seguras.
- Considera también implementar políticas para hacer cumplir la seguridad de contraseña segura y agregar autenticación de dos factores.
¿Cómo Remover el Número de Versión de WordPress?
Este es el código que debes agregar usando el plugin de Code Snippets para remover el número de la versión de WordPress
function remove_version_info() {
return '';
}
add_filter('the_generator', 'remove_version_info');
¿Por qué muchos Recomiendan Ocultar la Versión de WordPress?
La idea de ocultar la versión del software que está ejecutando se originó en la industria de seguridad de aplicaciones web.
En algunos casos, las organizaciones no pueden usar la última versión del servidor web u otro software disponible debido a incompatibilidades.
Por lo tanto, la mayoría de las veces, emplean un enfoque de seguridad por oscuridad. Ocultan la versión del servidor web y otro software que están utilizando.
Los que mantienen sus sitios de WordPress actualizados no obtendrán una ventaja de seguridad por esconder la versión de WordPress que utilizan.
Más Sobre Seguridad de WordPress
Espero que hayas encontrado todo lo que estabas buscando
Estas son algunas publicaciones que te ayudarán a mejorar la seguridad sobre tu sitio de WordPress
- Reglas de Firewall de CloudFlare
- Cómo Proteger la Página de Acceso en WordPress
- Cómo Cambiar la Página de Login en WordPress
- Seguridad de WordPress sin Plugins: 8 Pasos
- Bloquear Direcciones IP por Seguridad: ¿Una Locura?
- Reseña sobre WordFence: Gratis y Premium
- Reseña Honesta de SecuPress: ¿Es el Mejor?
Si tienes preguntas, puedes escribirme por medio de mis redes sociales