Soy un front-end y desarrollador de WordPress. Hace una semana, varios de mis sitios fueron pirateados en alojamiento compartido.
Los sitios se crearon con un alto nivel, desde cero, utilizando Underscores . Solo uso un pequeño número de complementos de buena reputación ( ACF , Gravedad Formularios y Yoast ). WordPress estaba actualizado además de todos los complementos. El endurecimiento de la seguridad se habilitó a través del complemento gratuito de Sucuri y se implementaron otras precauciones (protección de fuerza bruta, cambio del prefijo wp_, etc.) ).
No pude encontrar ningún complemento vulnerable. Al realizar una comprobación de IP inversa, puedo ver que hay más de 600 sitios en el mismo servidor. Sospecho que el hack provino de una vulnerabilidad dentro del servidor. Desafortunadamente, no puedo confirmar esto porque faltaban algunos de los registros. Desde que GoDaddy se ha hecho cargo de mi host, su soporte ha disminuido y los problemas han aumentado.
En las próximas semanas, migraré cada sitio a una gota de WordPress de Digital Ocean. Al iniciar sesión a través de SSH, puedo ver que cada droplet viene con UFW habilitado además de Fail2Ban , así:
The "ufw" firewall is enabled. All ports except for 22, 80, and 443 are BLOCKED.
To secure your WordPress installation, fail2ban has been configured and the
WordPress fail2ban plugin is a site enforce module in. If you do not want to use this
plugin, remove /var/www/html/wp-content/mu-plugins/fail2ban.
Cuando UFW está habilitado, ¿se recomienda que se configure un cortafuegos adicional dentro de la gota?
Para maximizar la seguridad, también me gustaría usar una de las siguientes configuraciones de escáner y WAF:
- Cloudflare Free Plan + Wordfence Premium o Sucuri Website Security Platform
- Cloudflare Pro + Wordfence Free o Sucuri Free
- Cloudflare Pro + Wordfence Premium o Seguridad del sitio web de Sucuri
¿El uso de múltiples WAF (como Cloudflare Pro y Wordfence Premium o Sucuri Website Security Platform) causaría algún conflicto y ralentizaría el sitio?