Términos y Condiciones, Políticas de Seguridad.

Los servicios contratados con NINWEB, C.A. deben ser utilizados exclusivamente con fines lícitos. Queda estrictamente prohibido el uso de cualquiera de los servicios contratados con NINWEB, C.A. que violen cualquier Ley local, nacional o internacional. Mientras utilice los servicios contratados con NINWEB, C.A., el cliente no podrá: divulgar o transmitir información ilegal, abusiva, difamatoria, racista, ofensiva, o cualquier otro tipo de información susceptible de objeción, ya sea mediante fotografías, textos, banners publicitarios o enlaces a páginas externas, así como publicar, transmitir, reproducir, distribuir o explotar cualquier información o software que contenga virus o cualquier otro componente dañino, software u otro material que no sea original (pirateado), infringir derechos de propiedad intelectual, publicar o facilitar material o recursos sobre hacking, cracking, o cualquier otra información que NINWEB, C.A. considere inapropiada. Cualquier uso del sistema para fines ilícitos autorizará a NINWEB, C.A. a suspender los servicios contratados sin previo aviso.

NINWEB, C.A. se reserva el derecho a denegar o cancelar los servicios contratados por el cliente con o sin notificación previa si el cliente incurre en cualquier conducta o actividad que NINWEB, C.A. considere abuso o violación de alguno de los términos, normas y condiciones aquí expuestas, con o sin previo aviso y no responsabilizándose de las consecuencias que pudieran resultar por este motivo.

Para el caso de las cuentas de hosting que dispongan de permisos de ejecución, el cliente puede instalar y ejecutar los scripts que considere oportunos. No obstante, NINWEB, C.A. se reserva el derecho de desactivar cualquier script o software instalado por el cliente que afecte al normal funcionamiento del servidor.

Los sitios web cuyo propósito es la distribución de archivos (ej. galerías de fotos, MP3, librerías de programas para bajar, etc.) serán considerados caso por caso. Un sitio se podrá considerar así, cuando más del 20% de su contenido, esté dedicado a archivos para distribución.

NINWEB, C.A. mantendrá la confidencialidad y la seguridad de la información facilitada por el cliente para el cobro del servicio, tal como se describe en la Ley de Protección de Datos NINWEB, C.A. se compromete a no enviar publicidad salvo aceptación expresa por parte del cliente. Se excluye la notificación de cambio de precios o características de los servicios ofertados o las notificaciones internas entre el cliente y NINWEB, C.A..

Todos los planes de hosting incluyen una cantidad determinada de tráfico mensual. Si usted supera el límite de transferencia se le avisará en su web site. No se suspenderá el acceso FTP y POP Mail. La restricción no puede ser removida, si su sitio se excede de forma frecuente usted puede solicitar se amplié su plan para obtener una taza de transferencia más elevada y evitar posible bloqueos del servicio web.

NINWEB, C.A. no se hace responsable por la pérdida de datos en el servidor causada por usuarios, fallos en nuestro sistema, actualizaciones en nuestros servidores o baja de servicio por falta pago. Es responsabilidad del usuario el mantener una copia de seguridad (backup) del sitio. Así también es responsabilidad del usuario mantener bajo resguardo los mails del sistema webmail.

NINWEB, C.A. no se hace responsable por las pérdidas o daños que pueda causar al cliente, el estar fuera de línea por trabajos de mantenimiento, actualización y/o fallas en nuestros servidores.

NINWEB, C.A. no se hace responsable por demoras en registros de dominios y transferencias de DNS causadas por terceros o por el usuario que adquiere nuestros servicios. Así como también, no nos hacemos responsables por bloqueo y pérdidas de dominios, si el cliente, no cancela diez (10) días antes de la fecha de vencimiento del servicio. En el momento que realiza el registro de dominios sólo podrá ser utilizado para hosting pagos, en el caso que el usuario desea utilizar un blog gratuito, debe indicarlo en la orden de compra y en el reporte de pago, si no indica esto en la orden de compra ni en el reporte, no nos hacemos responsable que pueda utilizar el nombre del dominio para que sea apuntado a blog gratuitos. Los dominios geográficos no pueden ser apuntados blog gratuitos.

NINWEB, C.A. brinda al cliente hasta 7 días posteriores al vencimiento del servicio para realizar el pago luego de la fecha de renovación del mismo. Ante el incumplimiento de pago a los 7 días de la renovación, se suspenderá el servicio de manera temporal. Para la reactivación se deberá abonar el importe correspondiente al costo de renovación del servicio y el mismo será reactivado sólo una vez que sea verificada la acreditación del pago. Ante la falta de pago a 14 días corridos posteriores a la fecha de vencimiento, NINWEB, C.A. realizará la cancelación definitiva del servicio con la correspondiente eliminación de toda la información que haya alojado el cliente en el servidor, perdiendo todo derecho a reclamo por la información eliminada. En el caso que la persona, desea renovar dicho servicio posterior a la fecha de eliminación, y no posee respaldo de su información, deberá generar una nueva orden de compra, como un servicio nuevo, y deberá cancelar adicionalmente una restauración de la cuenta, sin embargo, antes de cancelar dicha restauración deberá percatarse que aún exista respaldo en nuestros servidores de dicha información.

En el caso de Servidores VPS o Dedicados, el cliente tendrá 10 días antes de la fecha de vencimiento para cancelar dicho servicio, si para la fecha de vencimiento de la factura, no posee al día el pago acreditado en su cuenta para la renovación, el servicio automáticamente se dará de baja perdiendo todo derecho a reclamo por la información eliminada.

En planes de hosting que incluya el dominio o se trate de un servicio de Registro de dominio, dicha factura se generará con 30 días de anticipación, y automáticamente el día que se venza entrara a estado de suspensión. Si este pago no es realizado llegado la fecha de vencimiento el dominio pasara estado de “bloqueo”, el cual podrá permanecer de 35 a 45 días, y luego el dominio estará disponible para ser registrado por cualquier persona.

Al momento de contratar un servicio con NINWEB, C.A. el cliente coloca un correo de contacto en su Area de Cliente el cual sera la via principal de comunicación entre el mismo y NINWEB, C.A.. La información de generación de facturas, notificaciones de suspensión, eliminación de servicios y otras notificaciones internas exclusivamente serán enviadas a este correo electrónico de contacto proporcionado por el cliente. NINWEB, C.A. no acepta reportes de pago de servicios por correos que no sean los registrados en el Area de Cliente como correos de contacto del cliente. De igual forma, cualquier petición de cambio o traspaso de servicios no serán procesadas de no ser enviadas desde este correo de contacto; NINWEB, C.A. no enviara correos de recordatorios de datos de acceso a otro que no sea este correo de contacto.

Se le dará atención preferencial vía telefónica, chat online y por correo electrónico, contarán con cuatro (4) horas de soporte técnico avanzado. En el caso de que el cliente, sobre pase de las horas establecidas de soporte técnico avanzado mensual, este debe solicitarle a NINWEB, C.A., horas extras de soporte técnico vía correo electrónico, y cancelarlas una vez generada la factura correspondiente a las horas extras utilizadas en el mes. Si el cliente se sobrepasa en el límite de ancho de banda estipulado en el servicio que se le ofrece mensual, deberá cancelar dicha diferencia una vez generada la factura por este consumo.

NINWEB, C.A. se reserva el derecho a introducir modificaciones sin previo aviso, en las características y precios de los planes y/o servicios ofertados. Toda notificación que afecte a las características técnicas de los servicios ofertados tendrá lugar directamente a través de nuestras páginas web en Internet. Las condiciones y normas aquí enunciadas podrán ser modificadas por parte de NINWEB, C.A. notificándolo por los medios que considere necesarios, incluido Internet.

Si el cliente no actualizara los datos para facturación, antes del pago de dicho servicio, la factura será emitida con los datos que figuren en el área de cliente bajo la modalidad de consumidor final. Una vez transcurridos los 30 días corridos de realizado el pago, el cliente puede cambiar los datos de facturación de futuros pagos, no serán modificadas facturas de pagos que ya se hayan a emitidos excedido el plazo estipulado. Si en el momento de realizar la factura, los datos suministrados por el cliente no coinciden con la verificación realizada en el SENIAT, serán enviados dos avisos al cliente indicando que debe cambiar los datos en su Area de Cliente, si NINWEB, C.A. no recibe respuestas, se enviará un tercer recordatorio de cambio de datos fiscales y se procederá a la suspención en lapso de 24 horas contados a partir del envio de la notificación (correo electronico o ticket), hasta que sea realizado el cambio de los datos fiscales.

El cliente se obliga a no transmitir publicidad no solicitada a través del email o cualquier otro medio en Internet publicitando cualesquiera servicios hospedados con NINWEB, C.A., ya sea a través de servicios contratados con nosotros o a través de cualquier otro proveedor de servicios. El incumplimiento de este punto conllevará a la suspensión inmediata con o sin previo aviso, de los servicios contratados. Cuando el servicio es suspendido por envió de SPAM, se colocará una pantalla de suspensión en el sitio correspondiente. Todo gasto que se genere será cargado en la cuenta del usuario y el servicio no será reactivado hasta que se verifique el pago de la multa.

Se informa que no está permitido el envío masivo de correos, dado que se ve afectado el funcionamiento del servidor desde el cual se efectúa. Si el cliente cuenta con determinado número de usuarios que están interesados en recibir cierta información acerca de su empresa o servicio, antes de hacer el envío de correo correspondiente, comuníquese con el departamento de soporte técnico, para que desde el área técnica, se le brinden las instrucciones necesarias, para no generar conflictos de ningún tipo. En caso de efectuarse el envío masivo de correo la cuenta será suspendida de manera inmediata con o sin previo aviso, por parte del departamento técnico de nuestra empresa. Será restablecido sólo una vez que el cliente se ponga en contacto con dicho departamento para ser aclarada la situación.

NINWEB, C.A. no hace devolución de dinero, solo el cliente podrá usar dicho dinero como abono para pago de otros servicios o renovación del mismo servicio. NINWEB, C.A. no se hace responsable por pagos duplicados en nuestras cuentas, por nuestros clientes, y este dinero solo podrá ser utilizado para pagos de otros servicios o renovación del mismo; NINWEB, C.A. no hace devolución de dinero, si por otra parte, el cliente paga un monto superior al correspondiente a la factura, podrá utilizar dicho abono hasta el 31 de Diciembre del año corriente, una vez pasado dicho año corriente, el cliente ya no podrá utilizarlo y este ya no podrá reclamarlo, por esta razón cada vez que el cliente queda un excedente, se le notifica que tiene hasta el 31 de Diciembre del año corriente para utilizarlo. No se hace devolución de dinero de registros, renovaciones ni transferencias de dominios e instalaciones de alguna aplicación, que haya sido solicitada y pagada por el cliente.

El derecho a solicitar el reembolso del dinero entregado a NINWEB, C.A. como pago por los servicios prestados, sólo será válido cuando el servicio corresponda únicamente con alguno de los siguientes planes: Plan Payara, Plan Cachama, Plan Piraña (En el caso de este servicio, se realizará el reembolso únicamente del monto correspondiente al servicio de hosting, no así el costo de registro del dominio y creador de sitios web), Plan Valentón, Plan Tepuy, Plan TepuyPlus, Plan Tu Empresa Online, Abre tu tienda online, Abre tu salón on line (En el caso de estos servicios, se realizará el reembolso únicamente del monto correspondiente al servicio de hosting, no así el costo de registro del dominio e instalación de las aplicaciones correspondientes).

Además para que dicha solicitud de reembolso sea considerada, se deben cumplir los siguientes requisitos:

– La solicitud debe ser recibida por NINWEB, C.A. antes de cumplirse los primeros 30 días del servicio original. En el caso de modificaciones en el plan, se tomará la fecha de compra del primer servicio.

– El plan por el cual es solicitado la devolución del dinero debe encontrarse ACTIVO. Para que sea verificada la opción de devolución del dinero NO debe solicitar la baja del servicio antes o durante la solicitud de reintegro.

– La solicitud debe estar basada en hechos justificables donde se compruebe que el solicitante ha sufrido inconvenientes técnicos con el servicio prestado por NINWEB, C.A..

Una vez recibida la solicitud de reembolso y habiéndose cumplido con los requisitos previamente expuestos, NINWEB, C.A. evaluará la solicitud y en caso de corresponder será reembolsada la suma a través del medio convenido. La suma del reembolso no incluirá montos de gastos por comisiones que se aplican en algunas formas de pago.

a) Espacio en disco Ilimitado (solo si este servicio es ofrecido):

NINWEB, C.A., no impone límites en la cantidad de espacio en disco que un cliente puede utilizar para su sitio web, ni tampoco costos adicionales en función de una mayor cantidad de espacio utilizado, siempre y cuando el uso del almacenamiento cumpla con los siguientes términos: Los servicios de Web Hosting compartido del “Plan Corporativo” están especialmente diseñado para alojar sitios web. NO ofrece espacio ilimitado de disco para realizar almacenamiento online, FTP anónimo, servicios de descargas, sitios de distribución de archivos, copias de seguridad o backups de datos y documentos ajenos a la cuenta abonada, almacenamiento de archivos multimedia (video, imágenes, audio, etc.) o archivos de log, entre otros que puedan generar un uso intensivo de disco. Considere que cualquier uso prohibido de los servicios puede dar lugar a la suspensión o a la cancelación del servicio contratado, con o sin previo aviso. Los archivos alojados en las cuentas del cliente (imágenes, multimedia, scripts, html, etc.), deben tener relación directa con el sitio web hospedado y nos reservamos el derecho de monitorear la utilización del espacio para detectar usos indebidos del mismo. Cuentas con un gran número de archivos (recuento de archivos de más de 200.000) pueden tener un efecto adverso en el rendimiento del servidor. De igual manera, las cuentas de hosting con bases de datos (MySQL ó SQLServer) con un número excesivo de tablas (bases de datos de más de 500 tablas) o con tamaño excesivo de las bases de datos (más de 3 GB) impactan de forma negativa el rendimiento del servidor. En estos casos, NINWEB, C.A. podrá solicitar que el número de archivos, cantidad de tablas de una o más bases de datos o tamaño de las mismas se reduzca para asegurar así el correcto funcionamiento del servicio y serán analizadas caso por caso, reservándose derecho a la suspensión del servicio con o sin aviso previo según sea el caso. Sólo están permitidas aquellas copias de seguridad o backups generados por el cliente desde el panel de control Ferozo. Además, toda aquella cuenta de hosting que utilice más de 10GB de espacio en disco, será removida de nuestro sistema de backup semanal, a excepción de las bases de datos que seguirán siendo respaldadas.

b) Transferencia o tráfico Ilimitado (solo si este servicio es ofrecido)::

NINWEB, C.A., no impone límites en la cantidad de tráfico que un sitio web puede recibir a causa de sus visitantes o de la cantidad de contenido que su dueño puede cargar al mismo en un periodo determinado, ni tampoco costos adicionales basados en el aumento del uso de transferencia, siempre y cuando el uso del servicio cumpla con los siguientes términos. El servicio de Web Hosting compartido “Plan Corporativo” está especialmente diseñado para alojar sitios web y está prohibida su utilización para fines como: canales de chat IRC, servicios de streaming de audio o video, canales de video, sitios de proxys o anonymizers, sitios dedicados exclusivamente a descarga de archivos, sitios dedicados exclusivamente al alojamiento de imágenes para terceros, entre otros fines. En la mayoría de los casos un sitio web será capaz de soportar tanto tráfico (y por ende generar consumo por transferencia) como pueda adquirir legítimamente. Sin embargo, NINWEB, C.A. se reserva el derecho de limitar el tiempo de procesador, ancho de banda, procesos, o memoria en caso que sea necesario evitar un impacto negativo sobre su servicio y el del resto de los usuarios que comparten el servidor. Considere que cualquier uso prohibido de los servicios puede dar lugar a la suspensión del servicio contratado, con o sin previo aviso.

c) Bases de Datos Ilimitadas (solo si este servicio es ofrecido)::

NINWEB, C.A. no impone límites en la cantidad de Bases de Datos generadas ni tampoco aplica costos adicionales basados en el aumento de la cantidad de las mismas, siempre y cuando el uso de estas características no degrade la calidad del servicio o afecte negativamente la experiencia de utilización de otros clientes que comparten el mismo servidor. Las cuentas de hosting con bases de datos (MySQL ó SQLServer) con un número excesivo de tablas (bases de datos de más de 500 tablas) o con tamaño excesivo de sus bases de datos (más de 3 GB) impactan de forma negativa el rendimiento del servidor.

d) Espacio ilimitado para casillas de email (solo si este servicio es ofrecido)::

NINWEB, C.A. no impone límites en la cantidad de espacio disponible para almacenar mensajes en cada casilla de email, ni tampoco aplica costos adicionales basados en el aumento de la capacidad de las mismas, siempre y cuando el uso de estas características no degrade la calidad del servicio o afecte negativamente la experiencia de utilización de otros clientes que comparten el mismo servidor. Cada email recibido o enviado genera archivos en el servidor y cuentas con un gran número de archivos (recuento de archivos de más de 200.000) pueden tener un efecto adverso en el rendimiento del servidor. En estos casos, podremos solicitar al cliente que realice un backup o copia de resguardo fuera del servidor, de una cantidad determinada de mensajes. En caso de que el cliente no atienda a esta solicitud, NINWEB, C.A. se reserva el derecho de remover una determinada cantidad de archivos (mensajes de correo electrónico) hasta tanto la calidad de servicio sea normalizada.

e) Cantidad ilimitada de casillas de email (solo si este servicio es ofrecido)::

NINWEB, C.A. no impone límites en la cantidad de casillas de correo electrónico (o e-mail) que un cliente puede crear, ni tampoco aplica costos adicionales basados en el aumento de la cantidad de las mismas, siempre y cuando el uso de estas características no degrade la calidad del servicio o afecte negativamente la experiencia de utilización de otros clientes que comparten el mismo servidor. Queda expresamente prohibida la utilización de esta característica ilimitada con el propósito de brindar servicio de correo electrónico a terceros. Si el cliente requiere esta característica para convertirse en un proveedor de servicios de correo electrónico (ej: hotmail, gmail, yahoo, etc.), deberá contactarnos y podremos ofrecerle otros servicios acordes a esta utilización.

f) Cuentas de acceso FTP ilimitados (solo si este servicio es ofrecido)::

NINWEB, C.A. no impone límites en la cantidad de cuentas de FTP que un cliente puede crear y/o utilizar, ni tampoco aplica costos adicionales basados en el aumento de la cantidad de las mismas, siempre y cuando el uso de estas características no degrade la calidad del servicio o afecte negativamente la experiencia de utilización de otros clientes que comparten el mismo servidor. Así mismo, queda expresamente prohibida la utilización de esta característica ilimitada con el propósito de brindar servicios de almacenamiento a terceros y el uso de cuentas de FTP del tipo “Usuario Anónimo” o “Invitado”.

g) Dominios apuntados o parkeos ilimitados (solo si este servicio es ofrecido)::

NINWEB, C.A. no impone límites en la cantidad de dominios que un usuario puede apuntar (o parkear) a su sitio web, ni tampoco aplica costos adicionales basados en el aumento de la cantidad, siempre y cuando el uso de estas características no degrade la calidad del servicio o afecte negativamente la experiencia de utilización de otros clientes que comparten el servidor. El uso “Ilimitado” de esta característica tiene el sólo propósito que el cliente pueda ofrecer distintos dominios de acceso a su sitio web y cualquier uso no relacionado con esta finalidad queda expresamente prohibido.

h) Sub-Dominios ilimitados (solo si este servicio es ofrecido)::

NINWEB, C.A. no impone límites en la cantidad de dominios que un usuario puede apuntar (o parkear) a su sitio web, ni tampoco aplica costos adicionales basados en el aumento de la cantidad, siempre y cuando el uso de estas características no degrade la calidad del servicio o afecte negativamente la experiencia de utilización de otros clientes que comparten el servidor. En cada caso, el uso indebido de las características ilimitadas de los planes de web hosting compartido «Plan Corporativo» será analizado caso por caso y NINWEB, C.A. se reserva el derecho de suspender o eliminar una cuenta o su contenido con el fin de garantizar la calidad y uptime del servicio, mediando o no aviso previo.

NINWEB, C.A. considera que una cuenta esta sobrecargando el servidor por motivos de sobrecarga de CPU, Memoria o MySQL puede ser suspendida o dada de baja con o sin previo aviso.

Los servicios contratados con NINWEB, C.A. deben ser utilizados exclusivamente con fines lícitos incluidos los servicios de Radio (Streaming de radio) Queda estrictamente prohibido el uso de cualquiera de los servicios contratados con NINWEB, C.A. que violen cualquier Ley local, nacional o internacional. Mientras utilice los servicios contratados con NINWEB, C.A., el cliente no podrá: Divulgar o transmitir información ilegal, abusiva, difamatoria, racista, ofensiva, o cualquier otro tipo de información susceptible de objeción, ya sea transmitir, reproducir, distribuir o explotar cualquier información o software que contenga virus o cualquier otro componente dañino, software u otro material que no sea original (pirateado), infringir derechos de propiedad intelectual, o cualquier otra información que NINWEB, C.A. considere inapropiada. Cualquier uso del sistema para fines ilícitos autorizará a NINWEB, C.A. a suspender los servicios contratados sin previo aviso. NINWEB, C.A. no se responsabiliza por el contenido del servicio de Radio debiendo el usuario hacerse cargo de Licencias particulares para el servicio que transmite, en caso de corresponder la misma.

Medidas de seguridad que los usuarios deben tomar en cuenta

Algunas de las medidas de seguridad más importantes a tomar son:

Aplicación Web obsoleta. Las aplicaciones que utilizamos en la actualidad como WordPress, Joomla y PhpBB, pueden tener problemas de seguridad y es por eso que siempre debemos contar con sus versiones más nuevas.

Plugins desactualizados. Si tenemos instalado en nuestro sitio algunas extensiones de terceros, es importante mantenerlas actualizadas al mismo tiempo que mantenemos nuestro sitio web principal. En muchos casos, los usuarios han descuidado esto haciendo que tengan extensiones que son obsoletas y les abren paso a posibles intrusos.

Contraseñas débiles. Siempre debemos estar seguros de que nuestros usuarios cuenten con contraseñas seguras. Una de las más delicadas es la que corresponde al administrador y a los que puedan generar contenido en el sitio web.

Ordenador local infectado. Existen virus que son capaces de robar información de inicio de sesión de FTP colocando archivos maliciosos en los archivos del sitio web. Por ese motivo, siempre debemos asegurarnos de mantener nuestro antivirus actualizado y hacer un escaneo constante de nuestro ordenador para detectar cualquier amenaza.

Si tu cuenta ha sido hackeada, debes estar seguro de que no exista algún tipo de relación con el servidor. Si ninguna de las otras cuentas fue hackeada en el servidor, entonces, el problema puede que esté situado dentro de nuestro sitio web.

De igual forma, no debemos preocuparnos, ya que si tenemos un sitio web infectado con un virus, no quiere decir que todo el trabajo este perdido. En el caso de un sitio web de WordPress, se puede limpiar en su totalidad empleando algunos de sus plugins.

En este artículo de Ayuda Hosting, les mostraremos algunas medidas de seguridad para alojamientos de WordPress. La seguridad es de suma importancia para cualquier sitio web. Una pequeña omisión puede dañar un sitio web fácilmente.

¿Sabían ustedes que más de la cuarta parte de los sitios web en Internet usan WordPress? Este hecho es impresionante, pero también pone a WordPress en alto riesgo de ser atacado por hackers notorios. Un error de seguridad en el CMS más conocido de Internet pone en riesgo a millones de sitios. Sería como dejar una puerta trasera abierta a merced de bandidos.

Usar una contraseña impredecible y mantenerse actualizado con la última versión del software son tácticas de seguridad básicas. Sin embargo, hay una serie de prácticas de seguridad que los usuarios experimentados de WordPress ya conocen.

Medidas de seguridad para alojamientos de WordPress

Entonces, en lugar de ser repetitivos, discutamos un tema que no ha sido cubierto de manera justa. Hoy en Ayuda Hosting, conocerán sobre algunos ajustes de seguridad relacionados con el alojamiento web. Estos ajustes deben garantizarse cuando suscribamos cualquier plan con nuestro proveedor de alojamiento.

Servicios de alojamiento de WordPress

Un proveedor de alojamiento web es la columna vertebral de cualquier sitio de WordPress. Su trabajo es un poco más allá de simplemente mantener nuestros datos en un servidor. Deben proporcionarnos un entorno seguro y evitar la intrusión de piratas informáticos. Si las empresas de alojamiento no son seguras, entonces es probable que diferentes vulnerabilidades estén consumiendo nuestros recursos. Es notorio que el mayor problema asociado con un alojamiento deficiente es un sitio web lento.

Por lo tanto, un proveedor de alojamiento web debe proporcionar servicios seguros desde sus centros de datos para la protección contra exploits sofisticados.

Ajustes de seguridad básicos

Al comienzo de este artículo, hemos mencionado que existen ajustes de seguridad básicos, pero sería injusto para los principiantes que están leyendo esta publicación no mencionarlos. Para ellos, presentamos un breve resumen:

No usar admin como nombre de usuario.
Mantener actualizado nuestro WordPress con la última versión.
Actualizar plugins y temas regularmente.
Evitar descargar plugins de fuentes no oficiales o plataformas de marketing de aspecto malicioso.
Usar una contraseña segura (podemos usar recursos como Random Password Generator y LastPass Generate Password).
Limitar los intentos de inicio de sesión para poner fin a los ataques de fuerza bruta (WP Limit Login Attempts).
No instalar plugins que no se hayan actualizado recientemente.
Incluso si somos usuarios experimentados de WordPress, esta es una buena lista para futuras referencias. Ahora, vayamos directamente al asunto de fondo. Es decir, ¿cuáles son las medidas de seguridad para alojamientos de WordPress?

Eliminar informes de errores de PHP
Los errores de procesamiento o análisis de PHP pueden decir mucho. Si un tema o plugin de WordPress no funciona como se esperaba, podría generar un mensaje de error. Los desarrolladores pueden superar esto mediante el empleo de diferentes técnicas de solución de problemas. Sin embargo, estos errores nunca se hacen públicos en sus entornos de producción.

Una de las principales técnicas de seguridad que ofrece WordPress es deshabilitar los informes de errores. De forma predeterminada, WordPress no permite que aparezcan errores, advertencias y fallas relacionadas con CMS en el frontend y el backend. Sin embargo, el informe de errores de PHP todavía está habilitado, y esto ocurre por alguna razón muy válida.

Todo lo que requiere un hacker es la ruta completa de nuestro servidor. Esto es como recompensar a un pirata informático con un manual que detalla todos los escondrijos de nuestro sitio. Eso sería absurdo, por lo tanto, es buena idea deshabilitar este informe de errores para sitios públicos. Para deshabilitar el informe de errores de PHP, podemos agregar el siguiente código corto al archivo wp-config.php:

error_reporting(0);
ini_set(‘display_errors’,0);
error_reporting(E_ALL|E_STRICT);
Utilizar solo SFTP y SSH

El Protocolo de transferencia de archivos (FTP) es el protocolo comúnmente empleado para transferir archivos a través de Internet. Funciona de la misma manera en la que HTTP utiliza los protocolos TCP/IP de Internet para permitir la transferencia de datos. Podemos conectarnos por FTP a través de un cliente FTP como Filezilla, así como transmitir y cargar o descargar archivos desde o hacia nuestro servidor. La mayoría de los servidores web proporcionan FTP y SFTP (Protocolo Seguro de Transferencia de Archivos).

Ambos se utilizan para el intercambio de datos entre el cliente y el servidor. Debemos usar el protocolo SFTP porque garantiza que la transmisión del archivo sea segura y eficiente. Para conectarnos a través del protocolo SFTP, nos ponemos en contacto con nuestro host y dejamos que este nos guíe.

Otra forma de conectarnos al servidor es a través de Secure SHell (SSH). Podemos hacerlo por defecto en nuestro Mac o con PuTTy (Windows). Usamos los mismos detalles que SFTP para conectarnos. SFTP y SSH son inherentemente más seguros, por lo que es una buena práctica usarlos.

Medidas de seguridad para alojamientos de WordPress
Los permisos de archivo deben ser adecuados
Los permisos de archivo pueden ser algo complejos. Son importantes porque deciden quién puede leer, escribir y ejecutar los archivos en nuestro servidor. Algunas de las principales funciones de WordPress solo son posibles al permitir que ciertos archivos se escriban en el servidor web. Esto puede ser algo peligroso, especialmente si nuestro sitio está alojado en un entorno de alojamiento compartido.

Es una buena práctica utilizar permisos de archivo estrictos. Sin embargo, si los plugins requieren ciertos permisos de archivo, podemos cambiarlos más adelante.

WordPress recomienda los siguientes permisos de archivo:

Carpetas y directorios: 755.
Archivos: 644.
Para verificar los permisos de nuestros archivos, usamos SFTP o SSH. El archivo .htaccess en el directorio raíz, necesita reglas de reescritura automáticas de WordPress para establecer el permiso en 644. Los desarrolladores deben verificar los permisos de archivos cambiantes y los conceptos avanzados si desean conocer más sobre este tema.

Medidas de seguridad para alojamientos de WordPress
Deshabilitar la edición de archivos desde el panel de WordPress
El editor predeterminado de WordPress (Apariencia -> Editor de temas) nos permite editar los archivos de temas. Es un atajo agradable que ahorra tiempo para acceder a los archivos. Sin embargo, tiene un gran poder y acarrea una gran responsabilidad. Permitir que los archivos se editen a través del tablero puede ser peligroso si los piratas informáticos tienen acceso a él.

Pueden inyectar scripts maliciosos muy fácilmente, lo que puede permitirles acceder a la base de datos o al servidor completo por lo valioso que resulta.

No solo esto, sino como desarrolladores, nunca debemos tratar de codificar en un sitio web en vivo.

Si comprendemos lo peligroso que puede ser, aquí mostramos cómo deshabilitar la función de edición de archivos. Para hacerlo, nos vamos a nuestro archivo wp-config.php. Aquí encontraremos un comentario, es decir:

/* That’s all, stop editing! Happy blogging. */
Simplemente pegamos el siguiente código justo debajo de esta línea comentada:

define( ‘DISALLOW_FILE_EDIT’, true );
Este código deshabilita la opción para la edición de temas y plugins. Por cierto, también podemos hacerlo recreándonos con el código a través del plugin iThemes Security.

Prevenir la exploración de directorios
La exploración de directorios permite a los visitantes examinar el contenido de las carpetas en nuestro sitio web. Una instalación de WordPress contiene muchos directorios y subdirectorios como wp-content y wp-includes. La exploración de directorios, si está habilitada, permite que un hacker visite cualquier directorio y vea qué archivos existen en él.

Con esta técnica, cualquiera puede examinar la estructura de todo nuestro sitio. Los hackers incluso pueden ver qué plugins estamos utilizando, qué versión de WordPress tenemos, qué tema estamos utilizando y mucho más. Por supuesto, no queremos eso.

La mayoría de los servidores web deshabilitan la exploración de directorios por razones obvias. Sin embargo, muchos otros no. Esto puede ser una violación de seguridad masiva. Para evitar la exploración de directorios, debemos seguir los siguientes pasos:

Abrir el archivo .htaccess (este archivo puede estar oculto, así que tenemos que mostrar los archivos ocultos) en el directorio raíz de WordPress y agregamos el siguiente código al final de este archivo:

Disable Directory Browsing

Options All -Indexes
Como precaución, debemos mantener además una copia de seguridad del archivo .htaccess. Como lo mencionamos anteriormente, esto también se puede lograr con el plugin de seguridad iThemes Security.
Medidas de seguridad para alojamientos de WordPress
Asegurar wp-config.php
wp-config.php es el archivo más crítico en una instalación de WordPress. Allí, residen todas las credenciales de la base de datos y otras informaciones importantes. Además, contiene muchos parámetros de configuración que pueden mejorar la seguridad del sitio. Dado que nadie con intenciones maliciosas debe acceder a este archivo, podemos bloquear el acceso al archivo wp-config.php a través de .htaccess.

Para hacerlo, debemos agregar las siguientes líneas a nuestro archivo .htaccess:

protect wpconfig.php

order allow, deny deny from all
Algunos especialistas recomiendan mover el archivo wp-config.php fuera de la raíz web, pero eso es bastante discutible. Dado que el archivo wp-config.php solo define una gran cantidad de constantes y nunca imprime nada en la pantalla, moverlo podría no ayudar en absoluto. Lo que debemos hacer es restringir el acceso a él. Podemos obtener más detalles sobre esto aquí.

Bloquear o eliminar license.txt, etc.
WordPress ofrece muchos archivos. La mayoría de ellos quedan integrados en el momento de la instalación. Otros son redundantes. Estos son los archivos: license.txt, readme.html y wp-config-sample.php. Estos no tienen rumbo en el directorio raíz. Cualquiera puede acceder a estos archivos y aprender cosas importantes sobre la instalación. Por esta razón, es mejor eliminar estos archivos.

El archivo readme.html contiene texto introductorio e instrucciones de instalación. También revela la versión de WordPress que estamos utilizando. Esta puede ser o no una información crítica para los piratas informáticos. El archivo license.txt contiene los detalles de la licencia pública general GNU del software. Podemos eliminar estos archivos yendo a cPanel -> Administrador de archivos -> Directorio raíz. También podemos restringir el acceso a ellos cambiando los permisos para que no se puedan leer.

1
Hola.!
En que podemos ayudarte?
Powered by