M谩s

    C贸mo prevenir ataques de inyecci贸n SQL en WordPress (7 consejos)

    - Advertisement -

    驴Quiere evitar ataques de inyecci贸n SQL de WordPress?

    La inyecci贸n SQL es una vulnerabilidad de seguridad que los piratas inform谩ticos pueden utilizar para atacar la base de datos de su sitio web. Una vez que lo hacen, un atacante puede leer sus datos confidenciales, modificarlos y tomar control de toda su base de datos.

    En este art铆culo, compartiremos algunos consejos pr谩cticos para prevenir ataques de inyecci贸n SQL en WordPress, paso a paso.

    Prevenga los ataques de inyecci贸n SQL de WordPress
    驴Por qu茅 prevenir los ataques de inyecci贸n SQL de WordPress?

    SQL significa lenguaje de consulta estructurado, que es un lenguaje de programaci贸n que se comunica con la base de datos de su sitio de WordPress. Sin esta funci贸n, su sitio no puede generar ning煤n contenido din谩mico.

    Sin embargo, la entrada de usuarios no autorizados, el software desactualizado o la revelaci贸n de informaci贸n confidencial pueden causar una vulnerabilidad de seguridad y facilitar que los piratas inform谩ticos realicen ataques de inyecci贸n SQL.

    Este ataque tiene como objetivo su servidor de base de datos y agrega c贸digo o declaraciones maliciosas a su SQL. Al hacer esto, los piratas inform谩ticos pueden utilizar informaci贸n confidencial almacenada en su base de datos, como datos de usuario, para robo de identidad, apropiaci贸n de cuentas, fraude financiero y m谩s.

    Tambi茅n pueden cambiar las entradas de la base de datos o los permisos de la cuenta y realizar ataques DDOS, lo que dificulta que los usuarios reales visiten su sitio web.

    Esto puede da帽ar la confianza del cliente, afectar negativamente la experiencia del usuario y disminuir el tr谩fico de su sitio web, lo que ser谩 perjudicial para el crecimiento de su peque帽a empresa.

    Dicho esto, echemos un vistazo a algunos consejos pr谩cticos que pueden prevenir ataques de inyecci贸n SQL en WordPress.

    Nota: Antes de realizar cambios en su base de datos como medida preventiva, le recomendamos crear una copia de seguridad de la misma. De esta manera, si algo sale mal, puedes utilizar la copia de seguridad para solucionarlo. Para obtener m谩s detalles, consulte nuestro tutorial sobre c贸mo realizar una copia de seguridad de la base de datos de WordPress manualmente.

    1. Realice actualizaciones del sitio con regularidad y utilice un firewall

    Una forma eficaz de prevenir ataques de inyecci贸n SQL es actualizar peri贸dicamente su sitio de WordPress a la 煤ltima versi贸n. Estas actualizaciones a menudo corrigen vulnerabilidades de seguridad, incluidos problemas de software de bases de datos, lo que dificulta que los piratas inform谩ticos ataquen su sitio.

    Si est谩 utilizando una versi贸n desactualizada de WordPress, le recomendamos habilitar las actualizaciones autom谩ticas para la 煤ltima versi贸n visitando el Panel 禄 Actualizaciones p谩gina.

    Aqu铆, simplemente haga clic en el enlace ‘Habilitar actualizaciones autom谩ticas para todas las versiones nuevas de WordPress’. Ahora todas las actualizaciones importantes se instalar谩n en su sitio al momento de su lanzamiento.

    Instalar actualizaciones de WordPressInstalar actualizaciones de WordPress

    Para obtener m谩s informaci贸n, es posible que desee consultar nuestra gu铆a para principiantes sobre c贸mo actualizar WordPress de forma segura.

    Una vez que haya hecho eso, tambi茅n puede agregar un firewall para mayor seguridad. Esta caracter铆stica act煤a como un escudo entre su sitio y el tr谩fico entrante y bloquea las amenazas de seguridad comunes, incluidos los ataques SQL, antes de que lleguen a su sitio web.

    Para esta funci贸n, recomendamos Sucuri, que es el mejor software de firewall de WordPress del mercado. Ofrece un firewall a nivel de aplicaci贸n, prevenci贸n de fuerza bruta, as铆 como servicios de eliminaci贸n de malware y listas negras, lo que lo convierte en una excelente opci贸n.

    C贸mo el firewall del sitio web bloquea los ataquesC贸mo el firewall del sitio web bloquea los ataques

    Adem谩s, la herramienta nos ayud贸 a bloquear alrededor de 450.000 ataques de WordPress a nuestro sitio web en el pasado.

    Para obtener m谩s detalles, consulte nuestra gu铆a de seguridad completa de WordPress.

    2. Oculta tu versi贸n de WordPress

    De forma predeterminada, WordPress muestra el n煤mero de versi贸n actual del software que utiliza en su sitio web. Por ejemplo, si est谩 utilizando WordPress 6.4, esta versi贸n se mostrar谩 en su sitio para su seguimiento.

    Sin embargo, la visibilidad p煤blica de su n煤mero de versi贸n puede causar amenazas a la seguridad y facilitar que los piratas inform谩ticos realicen ataques de inyecci贸n SQL de WordPress.

    Eliminar el n煤mero de versi贸n de WordPressEliminar el n煤mero de versi贸n de WordPress

    Esto se debe a que cada versi贸n de WordPress tiene sus propias vulnerabilidades 煤nicas que los atacantes pueden aprovechar despu茅s de descubrir su versi贸n. Esto les permitir谩 agregar fragmentos de c贸digo malicioso a su sitio a trav茅s de campos de entrada vulnerables.

    Puede eliminar f谩cilmente el n煤mero de versi贸n de su sitio agregando el siguiente fragmento de c贸digo a su archivo funciones.php.

    add_filter('the_generator', '__return_empty_string');
    

    Una vez que hagas eso, los piratas inform谩ticos no podr谩n encontrar tu n煤mero de versi贸n de WordPress a trav茅s de esc谩neres autom谩ticos ni de ninguna otra forma.

    Nota: Tenga en cuenta que un error menor al agregar c贸digo puede hacer que su sitio web sea inaccesible. Por eso recomendamos C贸digo WPC. Es el mejor complemento de fragmentos de c贸digo que hace que agregar c贸digo personalizado a su sitio sea s煤per seguro y f谩cil.

    Para obtener m谩s detalles, consulte nuestro tutorial sobre la forma correcta de eliminar el n煤mero de versi贸n de WordPress.

    3. Cambie el prefijo de la base de datos de WordPress

    De forma predeterminada, WordPress agrega el prefijo wp_ a todos los archivos de su base de datos, lo que facilita a los piratas inform谩ticos planificar un ataque apuntando al prefijo.

    La forma m谩s sencilla de prevenir ataques de inyecci贸n SQL es cambiar el prefijo predeterminado de la base de datos con algo 煤nico que los piratas inform谩ticos no puedan adivinar.

    Puede hacerlo f谩cilmente conectando su sitio web mediante FTP. Despu茅s de eso, abra el archivo wp-config.php y busque el cambio $table_prefix l铆nea. Luego, puedes cambiarlo simplemente desde el valor predeterminado. wp_ a algo m谩s como esto: wp_a123456_.

    $table_prefix  = 'wp_a123456_';
    

    A continuaci贸n, debes visitar el cPanel de tu cuenta de hosting web. Para este tutorial, usaremos Bluehost; sin embargo, su cPanel puede verse un poco diferente dependiendo de su empresa de alojamiento web.

    Aqu铆, cambie a la pesta帽a 芦Avanzado禄 y haga clic en el bot贸n 芦Administrar禄 junto a la secci贸n 芦PHPMyAdmin禄.

    Haga clic en el bot贸n Administrar al lado de la secci贸n PHPMyAdminHaga clic en el bot贸n Administrar al lado de la secci贸n PHPMyAdmin

    Esto abrir谩 una nueva p谩gina donde deber谩 seleccionar el nombre de su base de datos en la columna de la izquierda y cambiar a la pesta帽a ‘SQL’ en la parte superior.

    Despu茅s de eso, puede agregar la siguiente consulta SQL en el cuadro de texto.

    consulta SQL en phpMyAdminconsulta SQL en phpMyAdmin

    Solo tenga en cuenta cambiar el prefijo de la base de datos por el que eligi贸 al editar el archivo wp-config.php.

    RENAME table `wp_comments` TO `wp_a123456_comments`;
    RENAME table `wp_links` TO `wp_a123456_links`;
    RENAME table `wp_options` TO `wp_a123456_options`;
    RENAME table `wp_postmeta` TO `wp_a123456_postmeta`;
    RENAME table `wp_RENAME table `wp_commentmeta` TO `wp_a123456_commentmeta`;
    posts` TO `wp_a123456_posts`;
    RENAME table `wp_terms` TO `wp_a123456_terms`;
    RENAME table `wp_termmeta` TO `wp_a123456_termmeta`;
    RENAME table `wp_term_relationships` TO `wp_a123456_term_relationships`;
    RENAME table `wp_term_taxonomy` TO `wp_a123456_term_taxonomy`;
    RENAME table `wp_usermeta` TO `wp_a123456_usermeta`;
    RENAME table `wp_users` TO `wp_a123456_users`;
    

    Para obtener m谩s instrucciones, puede ver nuestro tutorial sobre c贸mo cambiar el prefijo de la base de datos de WordPress para mejorar la seguridad.

    4. Validar datos de usuario

    Los piratas inform谩ticos suelen inyectar ataques SQL en su sitio web utilizando campos que se utilizan para ingresar datos de usuario, como secciones de comentarios o campos de formulario en formularios de contacto.

    Por eso es importante validar todos los datos que se env铆an en su blog de WordPress. Esto significa que los datos del usuario no se enviar谩n a su sitio si no siguen un formato espec铆fico.

    Por ejemplo, un usuario no podr谩 enviar su formulario si el campo de direcci贸n de correo electr贸nico no tiene el s铆mbolo ‘@’. Al agregar esta validaci贸n a la mayor铆a de los campos de su formulario, puede evitar ataques de inyecci贸n SQL.

    Valida tu campo de correo electr贸nicoValida tu campo de correo electr贸nico

    Para hacer esto, necesitar谩 Formidable Forms, que es un complemento de creaci贸n de formularios avanzado. Viene con una opci贸n de ‘Formato de m谩scara de entrada’ donde puede agregar el formato que los usuarios deben seguir para enviar los datos del campo del formulario.

    Puede agregar un formato espec铆fico para n煤meros de tel茅fono o campos de texto 煤nicos.

    Agregar formato de n煤mero telef贸nicoAgregar formato de n煤mero telef贸nico

    Si no desea validar los campos de su formulario, le recomendamos Formularios WP porque es el mejor complemento de formulario de contacto que viene con protecci贸n completa contra spam y soporte de Google reCAPTCHA.

    Tambi茅n puede agregar men煤s desplegables y casillas de verificaci贸n en sus formularios. Esto dificultar谩 que los piratas inform谩ticos agreguen datos maliciosos.

    formularios wpformularios wp

    Para obtener m谩s detalles, consulte nuestro tutorial sobre c贸mo crear un formulario de contacto seguro en WordPress.

    5. Limite el acceso y los permisos a las funciones del usuario

    Otro consejo para prevenir ataques de inyecci贸n SQL de WordPress es limitar el acceso de los usuarios a su sitio web.

    Por ejemplo, si tiene un blog de varios autores, tendr谩 varios autores junto con suscriptores y administradores. En ese caso, puede mejorar la seguridad del sitio limitando el acceso completo de administrador 煤nicamente al administrador.

    Puede restringir todos los dem谩s roles de usuario a funciones espec铆ficas que necesitar谩n para realizar su trabajo. Esto reducir谩 el acceso de los usuarios a su base de datos y evitar谩 ataques de inyecci贸n SQL.

    Puedes hacer esto con el programa gratuito. Eliminar el acceso al panel enchufar. Tras la activaci贸n, simplemente visite el Configuraci贸n 禄 Acceso al panel p谩gina donde puede decidir qu茅 roles de usuario obtienen acceso al panel.

    Limitar la configuraci贸n de acceso al panelLimitar la configuraci贸n de acceso al panel

    Si desea limitar a los usuarios seg煤n su capacidad, puede ver nuestro tutorial sobre c贸mo agregar o eliminar capacidades de los roles de usuario en WordPress.

    De manera similar, tambi茅n puedes limitar a los autores a sus propias publicaciones en tu 谩rea de administraci贸n para mayor seguridad.

    6. Cree mensajes de error de bases de datos personalizados

    A veces, sus usuarios pueden encontrar un error de base de datos en su sitio web, que puede mostrar informaci贸n importante sobre su base de datos, haci茅ndola vulnerable a ataques de inyecci贸n SQL.

    En ese caso, recomendamos crear un mensaje de error de base de datos personalizado que se mostrar谩 a los usuarios cuando encuentren este error com煤n. Para hacer esto, deber谩 copiar y pegar el siguiente contenido en una aplicaci贸n de bloc de notas y guardar el archivo como ‘db-error.php’.

    
       
    
    
    
    Database Error
    
    
    
      You got problems.
    
    

    Despu茅s de eso, conecte su sitio a un programa FTP y cargue el archivo que acaba de crear en el directorio /wp-content/ de su sitio.

    Ahora, cuando los usuarios encuentren un error en la base de datos de su sitio web, solo ver谩n un mensaje de error inform谩ndoles sobre el problema sin revelar ninguna informaci贸n confidencial.

    P谩gina de vista previa de errores de base de datos personalizadaP谩gina de vista previa de errores de base de datos personalizada

    Adem谩s, el t铆tulo 芦Error de base de datos禄 se mostrar谩 en la pesta帽a del navegador web.

    Para obtener m谩s detalles, consulte nuestro tutorial sobre c贸mo agregar una p谩gina de error de base de datos personalizada en WordPress.

    7. Elimine la funcionalidad de base de datos innecesaria

    Para evitar ataques de inyecci贸n SQL, tambi茅n debe intentar eliminar todas las funciones y archivos de la base de datos que no necesita en su sitio web.

    Por ejemplo, puede eliminar tablas innecesarias, basura o comentarios no aprobados que pueden hacer que su base de datos sea susceptible a los piratas inform谩ticos.

    Para eliminar funciones innecesarias de la base de datos, recomendamos WP-Optimize. Es un complemento incre铆ble que elimina tablas innecesarias, revisiones de publicaciones, borradores, comentarios eliminados, publicaciones eliminadas, pingbacks, metadatos de publicaciones y mucho m谩s.

    Eliminar funcionalidad de base de datos innecesariaEliminar funcionalidad de base de datos innecesaria

    Elimina todos los archivos que no necesita y optimiza su base de datos para que sea m谩s segura y r谩pida. Para obtener m谩s detalles, consulte nuestra gu铆a para principiantes sobre c贸mo optimizar su base de datos de WordPress.

    Bonificaci贸n: utilice los servicios WPBeginner Pro para crear un sitio seguro

    Una vez que haya tomado todas las medidas preventivas contra los ataques de inyecci贸n SQL, tambi茅n puede optar por WPBeginner Pro Services.

    Podemos ayudarlo a identificar y corregir cualquier otra vulnerabilidad de seguridad que no conozca. Adem谩s, si ya se ha enfrentado a un ataque de inyecci贸n SQL, nuestros expertos pueden ayudarle a contener el da帽o y recuperar sus sistemas.

    WPBeginner Servicios profesionales Reparaci贸n de sitios pirateadosWPBeginner Servicios profesionales Reparaci贸n de sitios pirateados

    Tambi茅n puede contratarnos para mejorar la optimizaci贸n de la velocidad, el dise帽o, el SEO de su sitio o incluso reconstruir completamente su sitio de WordPress existente, ya sea que haya sido pirateado o no.

    Para obtener m谩s informaci贸n, consulte todos nuestros servicios profesionales WPBeginner.

    Esperamos que este art铆culo le haya ayudado a aprender c贸mo prevenir ataques de inyecci贸n SQL en WordPress. Es posible que tambi茅n le interese ver nuestra gu铆a para principiantes sobre la administraci贸n de bases de datos de WordPress y nuestras mejores opciones para los mejores complementos de bases de datos de WordPress.

    Si te gust贸 este art铆culo, suscr铆bete a nuestro Canal de Youtube para tutoriales en v铆deo de WordPress. Tambi茅n puedes encontrarnos en Gorjeo y Facebook.


    Fuente: C贸mo prevenir ataques de inyecci贸n SQL en WordPress (7 consejos)

    Populares

    M谩s de esta categor铆a

    DEJA UNA RESPUESTA

    Por favor ingrese su comentario!
    Por favor ingrese su nombre aqu铆

    Este sitio usa Akismet para reducir el spam. Aprende c贸mo se procesan los datos de tus comentarios.