Cuando inicié desarrollando sitios web, mi prioridad era que tuviera un diseño elegante y la seguridad de WordPress era mi última preocupación.

El día de hoy pienso diferente gracias a que me hackearon, la seguridad en WordPress es fundamental y pienso que todos los sitios que tengas en esta plataforma, debes blindarlos contra este tipo de ataques.

Tabla de Contenidos

¿Por qué un hacker estaría interesado en cualquier sitio web?

 

Antes de profundizar en la seguridad de WordPress, es importante comprender las razones detrás del hackeo de un sitio web.

Seguramente muchos pensamos algo así:

“¿Por qué un hacker estaría interesado en mi sitio? Solo es mi negocio local”

La mayoría de los hackeos son hechos por razones políticas, también podemos encontrar que los hackers usan los sitios como medio de distribución de malware.

En esencia, tu sitio web puede ser hackeado únicamente con fines criminales.

Existen diversas implicaciones negativas en un hackeo:

  • Tu sitio puede ser usado como proxy para SPAM
  • Un sitio hackeado daña la reputación de tu marca y te puede meter en líos con tus clientes e incluso con el mismo Google.
  • Los sitios hackeados regularmente le dan problemas a su proveedor de hosting, esto regularmente resulta en el cierre del sitio por parte de la empresa de hospedaje para evitar que contagie a los usuarios en el mismo servidor.
  • El costo de recuperación de un sitio hackeado puede variar mucho, ya que pudo ser algo pequeño que se soluciona reinstalando un respaldo del sitio, hasta una invasión total del sitio que implica la pérdida de toda tu información sin la opción de hacer la recuperación de tus archivos.

¿Crees que tu sitio es pequeño y nadie lo intentará hackear? Piénsalo nuevamente.

¿Cómo encuentra mi sitio un hacker?

 

Los hackers no hacen este trabajo manualmente, usan programas que tienen como propósito buscar sitios vulnerables.

Estos programas pueden rastrear miles de sitios por hora, verifican los aspectos generales de seguridad y una vez que encuentran un punto débil, tratan de hacer el hackeo por medio de ataques de fuerza bruta.

En WordPress y sus componentes se descubren continuamente vulnerabilidades y si no tienes un sitio seguro, lo único que va a ser seguro, será un hackeo.

¿Cómo proteger tu sitio en WordPress? En la opinión de Alicia Rodríguez

 

Quisiera empezar con la opinión de un autor invitado, seguro conoces a Alicia Rodríguez.

Alicia es content strategist en SEMrush y es la responsable de la gestión de Twitter chats en SoMeChatES para empresas y profesionales.

El día de hoy nos da su mejor tip de seguridad en WordPress:


Garantizar la seguridad en tu blog o web de WordPress puede ser una tarea de titanes que no siempre se consigue.

Son muchos los aspectos que hemos de tener en cuenta en nuestros WordPress para no dejar puertas abiertas a aquellos que aprovechan cualquier resquicio en la seguridad de nuestros sitios para meternos en serios problemas.

Como Yoshio me ha pedido que te comparta el tip de seguridad que considero más importante, dejaré por el camino a algunos otros que considero imprescindibles como son la necesidad de controlar el spam o la recomendación de no instalar demasiados plugins.

A cambio, me centraré en un solo consejo que considero la primera decisión a tomar por el grado de importancia que tiene y porque es la llave que da paso al resto de consejos que os acabo de mencionar.

Me explico…

Si te pregunto cuál es la primera decisión importante a la que nos enfrentamos cuando arrancamos con nuestro blog o web, ¿qué me responderías?

No, no estoy pensando en el tema sobre el que escribir, voy a algo más técnico.

¡Piensa!

Eso es, ahora sí, efectivamente, me estoy refiriendo a la elección de hosting.

Elegir un buen hosting que nos de todas las coberturas que necesitamos es más que importante fundamental.

Y entre esas coberturas deberíamos “fijarnos” en que nos ofrezca el respaldo de un buen servicio técnico, que su servicio sea 24x7, que sea en nuestro idioma, que realice back ups periódicos o que cuente con reglas anti-hackeo.

Hasta que no tienes un problema “gordo” y pierdes contenidos o datos de importancia no eres capaz de calibrar todo lo que un buen hosting te puede ser de ayuda o por el contrario, te puede poner más difícil la no fácil situación por la que estás atravesando.

Hasta que no tienes una complicación fuera del horario de oficina normal y necesitas que te den una solución (independientemente de la hora que sea) no calibras lo fundamental que puede ser un servicio 24x7x365 (24 horas, 7 días a la semana, 365 días al año).

Hasta que no te enfrentas a un apuro técnico no valoras al 100% que un buen servicio ofrecido por tu hosting en este aspecto puede ser clave para que tu blog no esté caído durante más tiempo del necesario, dando una mala imagen ante tus lectores e influyendo incluso en la decisión de suscribirse de alguno de ellos.

Hasta que el conflicto con tu blog no se traduce en que has perdido los 150 artículos (por poner una cifra) que tenías escritos, maquetados y publicados; no caes en la cuenta de que los back ups periódicos que además de ti, realiza tu hosting son altamente importantes.

Hasta que no estás de lleno en una crisis no eres capaz de abarcar todo lo que se te puede venir encima y, si no has sido listo y has contratado un hosting que te cubra, seguirás arriesgándote a tener posibles futuros problemas de seguridad que podrías tener cubiertos.

Y ahora dime, en una escala de 0 a 10, ¿cuántos puntos le darías a la importancia de contratar un buen hosting que garantice tu seguridad WordPress? Me lo puedes contar en los comentarios de este post.

El hosting es solo una parte de que debes considerar en la seguridad de tu página web, sobre todo si pretendes que tu sitio sea un pilar que te ayude a ganar dinero.

Hay errores que impiden que un sitio web funcione bien, y peor aún, te hacen perder dinero.

¿Quieres saber cuáles son? Aquí te dejo un e-book GRATUITO.

 

Los 9 errores de tu sitio web que te están haciendo perder dinero

  • Cómo corregir en unos minutos los errores que te están costando dinero
  • Cómo evitar que Tu sitio web sea complejo y difícil de usar
  • Cómo hacer crecer tu cartera de clientes en internet

¿Cómo proteger tu sitio en WordPress? En la opinión de María Melchor

 

María Melchor también nos da sus mejores tips de seguridad en WordPress.

María es consultora estratégica de negocios especializada en marketing y ventas at Amitzy. Hoy nos comparte sus conocimientos:


Ninguna web, por desconocida y poco transitada que pensemos que sea, está a salvo del ataque de un hacker, así que vale la pena protegerla y el desconocimiento técnico no es excusa para no hacerlo. Sigue estos consejos fundamentales para proteger tu web:

1) Protege los accesos a las áreas privadas de tu web renombrando la cuenta de usuario “admin” que se crea por defecto durante la instalación de WordPress e instalando algún plugin que controle y limite los accesos a las mismas, de modo que no te puedan atacar con la técnica de “fuerza bruta” (probar múltiples combinaciones de usuarios y contraseñas hasta que alguna exista).

2) Cambia regularmente las contraseñas, utilizando cadenas alfanuméricas ininteligibles de al menos doce caracteres, incluyendo mayúsculas, minúsculas, números y caracteres especiales.

3) Mantenlo todo actualizado, tanto tus plugins y temas, como el propio WordPress. La mayoría de actualizaciones incorporan mejoras de seguridad que cierran las puertas a un posible ataque.

4) Realiza copias de seguridad con regularidad, tan a menudo como cambios incorpores. Existen muchísimos plugins que permiten programar copias de seguridad desasistidas. A la hora de escoger uno, procura que te permita guardar las copias en un servidor diferente a donde tienes alojada tu web y que copie también la base de datos.

Checklist de Seguridad de 32 Pasos

 

Quiero asegurarme de que estés bien preparado con todo el conocimiento para proteger por completo tu sitio en WordPress.

A continuación te muestro una lista de todo lo que debes hacer para proteger tus sitios.

Esta lista se divide en dos partes: la primera parte incluye medidas que TODOS deben implementar, la mayoría son básicas, como tener contraseñas fuertes. La segunda parte trata medidas más avanzadas de seguridad en WordPress para los que son un poco más cuidadosos con este tema.

Parte 1: Los pasos que TODOS deben seguir para proteger su sitio en WordPress

#1: Mantén tu sitio actualizado con la última versión de WordPress

 

Muchas veces he escuchado que las personas no quieren actualizar WordPress porque “la actualización puede afectar alguno de los plugins”.

Este razonamiento no es tan bueno. Si tuvieras que decidir entre tu sitio hackeado y un plugin afectado temporalmente. ¿Qué elegirías?

Los plugins que sean incompatibles con la última versión de WordPress, no funcionaran correctamente por poco tiempo. Pero un sitio hackeado es un problema mucho más grande.

Cada actualización del núcleo resuelve nuevos problemas de seguridad. Si el núcleo de tu WordPress no está actualizado, tu sitio web será vulnerable.

Si quieres actualizar el núcleo de tu WordPress de manera automática, puedes hacerlo a través del archivo wpconfig.php. Agrega el siguiente texto a tu archivo:

El problema es que ésto también permitirá actualizaciones nocturnas que probablemente no quieras. Así que debes agregar el siguiente texto a tu archivo functions.php para obtener sólo las versiones principales:

 

#2: No modifiques el núcleo de WordPress

 

¿Qué es lo que podrías hacer si necesitas cambiar la funcionalidad de WordPress?

A través de plugins podrás hacer cualquier modificación sin alterar el núcleo de WordPress.

Y claro, lo mismo aplica para plugins y temas. Si realizas algún ajuste al núcleo, ya no podrás actualizarlos a la última versión. Dejando a tu sitio listo para ser hackeado.

Existen otras formas de obtener la funcionalidad que necesites sin tocar el núcleo. Así que si tu programador te sugiere hacerle algún cambio, sal corriendo.

#3: Asegurate de que todos tus plugins estén actualizados

 

Los puntos débiles de seguridad se encuentran frecuentemente en los plugin de terceros. Hay un alto porcentaje de hackeos debido a algunos plugins populares que son vulnerables.

No vamos a exponerlos en éste momento. La mayoría de los software son vulnerables en algún momento de su existencia.

En cuanto se descubre un problema en un plugin, los desarrolladores lo arreglen lo antes posible y lanzan su actualización. En ese momento, es tu responsabilidad actualizarlo o quedarte a expensas de un ataque.

Ya sea que lo hagas manualmente o en automático, siempre mantén tus plugins actualizados.

Puedes habilitar actualizaciones automáticas de fondo para los plugins de WordPress.org cambiando el siguiente texto en tu archivo de functions.php.

Reitero que esto solo funciona para los plugins que se descargan desde WordPress.org, cualquier actualización para plugins comerciales se debe actualizar mediante su propio mecanismo.

Te recomiendo que no descuides ésta parte y mantengas las membresías de los plugins siempre activas para que que puedas obtener las últimas versiones.

#4: Quita los plugins que no utilices

 

Conforme vayas instalando más plugins, el riesgo irà aumentando ya que alguno podría ser vulnerable y afectar tu sitio.

A veces instalamos plugins solo para probarlos y después olvidamos eliminarlos. Si alguno de éstos presenta una falla puede arruinar nuestro sitio (sobre todo si no seguimos los consejos anteriores y no los actualizamos).

Por eso la mejor manera de evitar riesgos es desinstalar los plugins que no estemos utilizando. Hay una manera muy fácil de identificarlos, ingresando a la sección de plugins de nuestro WordPress, aparecen como inactivos. Deshazte de ellos.

Mejor aún, cuando quieras probar algún plugin, no lo hagas en tu sitio. Es mejor crear una copia de seguridad de tu sitio (en un servidor de prueba local o fuera de tu servidor) para probar los plugins en vez de hacerlo en tu sitio directamente.

#5: Asegúrate de que todos tus temas estén actualizados

 

La misma lógica que aplica para las actualizaciones del núcleo de WordPress y plugins. aplica para los temas. La seguridad también depende de que todos tus temas estén actualizados. De otra manera las fallas detectadas que hayan sido solucionadas seguirán siendo un problema en tu sitio.

Ahora probablemente estarás pensando en los cambios que has hecho a tú tema y cómo se verá afectado a lo hora de actualizarlo. En realidad, los cambios en los temas se deben hacer por medio de los temas hijos y no directamente en el tema actual. Ésto te permite obtener las versiones más seguras sin que afecte en tus modificaciones.

Para estar más tranquilo es mejor eliminar todos los temas que no utilices. Y puedes revisar los temas que necesites actualizar en la sección de Apariencia > Temas

También puedes activar las actualizaciones automáticas para los temas usando el siguiente texto en tu archivo functions.php file:

Solo aplica para los temas que descargues desde WordPress.org.

Cualquier actualización de un tema comercial debe ser realizada con su propio mecanismo. Mantén activa tu suscripción para asegurarte de obtener todas las actualizaciones de seguridad.

Nota: Si se te complica hacer los ajustes en los archivos wp-config.php y functions.php, puedes usar el plugin “Advanced Automatic Updates”. Con este plugin puedes modificar la configuración de las actualizaciones automáticas y habilitar todo lo anterior.

#6: Instala temas, plugins y scripts oficiales

 

A veces en tiempos difíciles, preferimos no pagar por un buen tema o plugin, y los buscamos en sitios de dudosa reputación.

Sitios como pirating, torrenting y otros sitios son los que debes evitar. Ya que lo que no nos damos cuenta es que muchos de éstos temas piratas que descargas gratis han sido modificados maliciosamente. La mayoría de las veces vienen con una instalación en el script que permite a los hackers controlar el sitio en donde fueron instalados.

¿Confiarías tu dinero a un artista conocido como estafador? No lo creo. Es igual con tu sitio web. No confíes en scripts gratis de WordPress que vienen de gente cuyo trabajo es robar el trabajo de otras personas.

Entonces ¿Cuáles son los sitios en donde encontramos temas de buena calidad?

WordPress.org es el lugar mas común para buscar temas y plugins. Pero también existen otros sitios como WPMU DEV, WordPress.com, ThemeForest.net y CodeCanyon.net.

Así que, si la seguridad de tu WordPress es importante para ti, aléjate de los sitios piratas.

#7: Elige un proveedor de hosting confiable

 

Al principio de este listado tenemos la excelente opinión de Alicia Rodríguez sobre este punto, únicamente me gustaría recalcar que un buen proveedor de hosting también debe ser cuidadoso con este tema.. Un hosting confiable tiene un equipo de dedicado a monitorear las fallas de seguridad más recientes y aplicar medidas preventivas en sus firewalls para erradicar cualquier ataque a tu sitio web.

Si llegaste a este punto sin leer lo que opinó Alicia, lo puedes encontrar aquí

#8: Asegurate de que tu sitio está ejecutando la última versión de PHP

 

La página global de estadísticas de WordPress incluye un dato alarmante: Solo el 1.7% de las instalaciones de WordPress trabajan con la última versión de PHP, mientras el 19.8% trabaja con la versión 5.6, la cual aún es compatible.

Un sitio sin una versión actualizada de PHP, además de que no se está beneficiado con las características de rendimiento relacionadas con las últimas versiones, significa que los errores de seguridad descubiertos no serán corregidos. Por lo tanto permanecerán en tu sitio listos para un ataque.

Actualizar tu versión de PHP depende mucho de tu servicio de hosting. Un buen proveedor de hosting pondrá a tu alcance la última versión de PHP a través de algo llamado PHP Version Switcher ( a donde puedes acceder desde tu cuenta de cPanel).

No olvides hacer la actualización a la última versión de PHP.

#9: Cambia el nombre de usuario del administrador

 

Hasta antes del WordPress 3.0, el nombre de usuario predeterminado para iniciar sesión era siempre “admin”. Esto daba un acceso rápido a los hackers ya que no tenían que indagar sobre el nombre de usuario. Hasta la fecha sigue sucediendo. Mucha gente sigue eligiendo como nombre de usuario predeterminado “admin”.

Una de las maneras más rápidas para proteger tu inicio de sesión contra ataques, es cambiando el usuario predeterminado “admin” a otro personalizado y más complicado.

Puedes y deberías hacerlo durante la instalación actual de WordPress.

Para realizar este cambio en el usuario puedes usar phpMyAdmin, o elige ejecutar un script de SQL en tu base de datos para cambiar el nombre de usuario: 

Este sencillo truco puede evitar muchos intentos de ataque a tu sitio.

#10: Siempre utiliza contraseñas fuertes

 

Siempre que mis clientes van a ingresar sus claves de acceso, prefiero darles privacidad y mirara para cualquier otro lado.

Pero hace algún tiempo no cambie la mirada lo suficientemente rápido mientras escribía su contraseña. Y casi me desmayo cuando vi que tecleo:

1 2 3 4 5 6

¿Es comprensible que estuviera aterrorizado?

Otra combinación de usuario y contraseña que me encuentro a menudo, y casi siempre me hace llorar, es la siguiente:

admin/admin

Además de que alguien que esté mirando sobre tus hombros (como yo),  puede recordar fácilmente tu contraseña. Hay otra razón importante por la que debes crear contraseñas más fuertes: los hackers saben bien que las personas solemos olvidar nuestras contraseñas y por ésta razón las creamos sencillas y fáciles de recordar.

Los hackers aprovechan esta gran ventaja y utilizan una lista de las contraseñas más comunes, con las que intentan una y otra vez. A ésto se le llama ataque de fuerza bruta.  Por eso siempre debes crear contraseñas fuertes.

Para crear una contraseña fuerte no es necesario que sean miles de caracteres que no se entiendan y no puedas recordar.

Te dejo un ejemplo: VoyPorUnCafeALas12:00pm

Esa es una contraseña sencilla sobre un hábito, fácil de recordar y muy segura.

¿Tu contraseña debería ser más compleja? Te lo dejo de tarea.

#11: No reutilices la misma contraseña

 

Nunca reutilices una contraseña. Se que piensas que lo más conveniente es tener una contraseña (preferentemente fuerte) para TODO. Así no tendrás que recordar tantas contraseñas, pero este es un grave error.

Nuevamente, los hackers saben bien que ésta es otra debilidad de las personas. Significa que cuando tengas acceso a alguna cuenta, tendrán acceso a todo lo demás.

Existen muchos administradores para contraseñas que te podrán ayudar a crear diferentes contraseñas y almacenarlas de forma segura. Esto es lo más recomendable.

Esto no es solo por seguridad de WordPress – es sentido común.

#12: Protege tu contraseña evitando transmitirla en texto plano

 

Es bien sabido (y muy triste por cierto) que el internet está lleno de fisgones. Los datos confidenciales como tarjetas de crédito y contraseñas nunca se deben enviar de forma no cifrada.

Habrá muchos ojos (y analizadores)  interesados en tus datos. Asegurate de protegerlos aplicando las siguientes medidas preventivas.

1. No envíes contraseñas por email, chat, redes sociales u otras maneras no cifradas.

2. Utiliza el HTTPS en tu sitio de WordPress, especialmente en tu backend, para evitar que la contraseñas se envíe en texto plano.

3. Evita usar FTP plano cuando accedas a tu sitio. Usa SSH o FTPS. El protocolo de FTP fue creado en la época oscura del internet, y no es seguro. Contraseñas y archivos se transmiten en texto plano y sin encriptar. FTPS o (FTP seguro), por otra parte, encripta la transmisión de datos a través de FTP. Tendrás  que configurar una cuenta de FTPS en tu servidor de hosting antes de poder hacer esto.

4. Y por supuesto, las contraseñas no se deben compartir entre usuarios o almacenadas en texto plano en ningún lugar por más conveniente que parezca. Compartir claves de acceso va contra la seguridad y el resguardo de sus cuentas.

#13: Actualiza tu sitio únicamente a través de redes confiables.

 

Mucho estamos acostumbrados a conectarnos a todas las redes de WIfi a donde vayamos.

Pero los fanáticos de la seguridad temen actualizar un sitio web desde una red no confiable como lo es la conexión Wifi de tu cafetería local.

Es muy fácil que algún fisgón tenga acceso a esta clase de redes. Así que si ingresas al administrador de tu sitio desde alguna de estas redes, probablemente estarás recibiendo mucho más que Wifi gratis.

Solo actualiza tu sitio desde redes confiables y privadas como la de tu casa o trabajo.

#14: Utiliza un buen Anti-Virus

 

Recuerda que el objetivo del virus es expandirse lo más que pueda.  Que mejor manera para hacerlo que replicándose en tu sitio web.

Existen muchas estaciones de trabajo infectadas por ahí. Y muchas que son utilizadas por administradores de WordPress.

Esa es la peor combinación. Un virus en tu escritorio se puede expandir rápidamente e infectar todo tu sitio. También puede revisar tu contraseña, tus datos de tarjeta y otros datos personales.

Asegúrate de que tu estación de trabajo está funcionando bien y actualiza el antivirus para prevenir alguna infección que se expanda por tu sitio web.

#15: Habilita Google Search Console

 

Esta no es una recomendación de seguridad tan estricta, más bien es algo que puede complementar los que vimos anteriormente.

A Google y algunos otros motores de búsqueda les interesa que tu sitio esté seguro y se mantenga libre de malware. Por este motivo, Google Sarch Console te advierte si tu sitio comienza a alojar algún archivo malicioso.

Lo malo es que te avisa hasta que tu sitio probablemente ya fue hackeado, en vez de avisar antes para poderlo prevenir.  Aun así, es de gran ayuda saber saber si hay algún archivo  malicioso en tu sitio para solucionarlo lo antes posible.

Google Search Console es un servicio gratuito de Google para ayudarte a monitorear y mantener la presencia de tu sitio.

#16: Asegura tu WordPress con un plugin a prueba de balas

 

Muchos de los temas que tocamos en ésta lista no son tan básicos. Algunos requieren de cierto conocimiento técnico en WordPress, y puede ocurrir que en lugar de proteger tu sitio, lo destruyas.

iThemes Security es una  manera fácil pero segura para proteger tu WordPress sin mucho esfuerzo.

Aquí te dejo una guía de configuración de iThemes Security.

 

#17: Si todo lo demás falla, restaura tu sitio con un respaldo

 

Ya enumere los pasos que debes seguir para proteger tu WordPress y entiendo que es laborioso hacerlo todo. Claro que en la práctica, puedes saltar y omitir algunos.

Pero hay algo muy importante.

Lo único que no puedes dejar pasar, es hacer tu copia se seguridad.. No solo para protegerte de hackers, también en caso de accidentes, fallas técnicas o cualquier cosa que salga mal. Tener una copia de seguridad garantiza que pronto tu sitio estará funcionando nuevamente.

Con iThemes Security también podrás hacer los respaldos de tu sitio y programarlos de manera periódica, es como una máquina del tiempo para tu sitio web.

Una vez que tengas tu plan de respaldo, puedes estar seguro de que si hackean tu sitio; solo necesitas descubrir el origen, volver a la copia de seguridad, tapar el hoyo por donde entraron y listo.

Nota importante: Debes hacer pruebas de tu respaldo instalándolo en un lugar temporal y asegurarte de que todo esté en orden. Lo último que necesitas es un respaldo que no esté funcionando correctamente.

Parte 2: Seguridad en WordPress para los que quieren más

#18: Limita tus intentos de inicio de sesión

 

Ya vimos anteriormente el ataque de fuerza bruta a tu contraseña. Por eso debes ocupar mecanismos para bloquear cualquier intento de fuerza bruta contra tu contraseña.

El plugin iThemes Security también te permite hacer esto, te dije que es una maravilla.

Si este plugin detecta muchos inicios de sesión incorrectos, lo bloqueará en automático por cierto tiempo. Esto hace que sea más difícil usar la fuerza bruta y mejora significativamente la seguridad de tu WordPress.

#19: Habilita la verificación de dos pasos

 

Una de las formas más rápidas y sencillas de proteger el inicio de sesión en WordPress es habilitando la verificación de dos pasos, también conocido como 2FA (2 Factor Authentication).

2FA crea un mecanismo para que además de iniciar sesión normalmente, también tengas que utilizar un token que es distinto para cada usuario. El token irá cambiando por lapsos de 60 segundos.

Este token de seguridad es generado normalmente por una aplicación como Google Authenticator.

Debido a que existe un token único para cada usuario que expira cada 60 segundos, aunque alguien conozca tus claves de acceso, no podrá iniciar sesión porque no tendrá el token actual. Ésto aumenta considerablemente la seguridad de tu inicio de sesión y disminuye la probabilidad de un ataque de fuerza bruta.

#20: Asegurate de que los archivos tengan los permisos correctos

 

Esto requiere un poco de técnica.

PHP y WordPress en general usan un conjunto de permisos asociados con archivos y carpetas. Sin entrar en muchos detalles, existen diferentes tipos de permisos

  • Archivos y directorios públicos y editables
  • Archivos que pueden ser editados solo por el servidor web
  • Archivos de solo lectura

En general, tu servidor web normalmente debe de permitir la edición de archivos en WordPress para trabajar correctamente, mientras el internet público NUNCA debe tener acceso para editar tus archivos.

Algunos principiantes o desarrolladores flojos pueden sugerirte que cambies los permisos para que no sean tan estrictos. Por ejemplo, pueden sugerir que algunos archivos y carpetas sean editables (777). Esto puede ocasionar un problema de seguridad, ya que cualquiera podría modificar esa carpeta.  Y tendrás tu WordPress lleno de gente con malas intenciones que podrían dañar tu sitio.

Como regla general, los archivos deben tener un permiso 664  y las carpetas deben tener el permiso 755. El archivo wp-config.php debe tener los permisos 400 o 440

Si cualquiera te dice algo diferente, debes preocuparte. Mi recomendación es que no trabajes con estas personas.

 

#21: Cambia el prefijo predeterminado de la tabla

 

Este es otro aspecto que vienen arrastrando las versiones anteriores de WordPress. Anteriormente, el nombre de las tablas de WordPress en la base de datos normalmente comienzan con el prefijo wp_

Actualmente esto ya no aparece de forma predeterminada, sin embargo algunas personas aún recurren a esta práctica (que no es nada segura), mientras que en las versiones anteriores si hay que lidiar con ésto de cualquier forma.

Renombrar las tablas de wp_ a un prefijo diferente puede bloquear a algunos intentos de ataque de inyección al SQL.

Te recomiendo que este proceso para renombrar las tablas wp_  solo sea realizado por tu desarrollador WordPress de confianza.

#22: Asegúrate de mantener en secreto tus claves de autenticación

 

Es posible que hayas encontrado ocho claves de autenticación en tu archivo wp-config.php y te estarás preguntando qué son. Ya que nunca antes las habías visto o escuchado hablar sobre eso.

Se ven más o menos así:

En esencia, estas son variables aleatorias que sirven para evitar que descubran tu contraseña. Esto se debe a que agrega un elemento aleatorio en el almacenamiento de tu contraseña en la base de datos que hace mucho más difícil usar la técnica de la fuerza bruta.

Sin embargo, la mayoría de los sitios que tienen su propio alojamiento web no lo tienen como predeterminado, así que tu debes de configurarlo.

Es un proceso relativamente fácil:

  1. Generar un conjunto de claves usando WordPress random generator.
  2. Editar tu archivo wp.config y en la sección de Authentication Unique keys encuentra un lugar para agregar las claves generadas en el paso 1.

No las compartas ni las hagas públicas. Perderían su propósito.

#23: Deshabilita la ejecución de PHP

 

Lo primero que haría un hacker una vez que tenga acceso a tu sitio seguramente sería ejecutar el PHP dentro de un directorio. Pero si desactivas esto, aunque exista alguna falla de seguridad en tu sitio, esta protección definitivamente evitaría que que otros hackers tomen el control de tu sitio.

Este es un proceso fuerte para proteger tu WordPress y podría alterar algunos temas y plugins, pero aun asi debes implementarlos por lo menos en los directorios más vulnerables como wp-includes uploads

Esta protección debe ser implementada por medio del archivo .htaccess. Agrega el siguiente código a tu archivo en el directorio raíz de tu instalación de WordPress:

#24: Separa tus bases de datos

 

Si tienes alojados múltiples sitios en la misma cuenta de un servidor de hosting, probablemente te sientas tentado a crear todos estos sitios en la misma base de datos.

Lo cual provoca un gran riesgo.

Si alguno de estos sitio se ve comprometido, todos los demás sitios que se encuentren en la misma base de datos, también estarán en riesgo de ser hackeados.

Al configurar tu instalación de WordPress, lo primero que debes hacer es crear una nueva base de datos. Ponle un nombre y claves de acceso diferentes a las de los demás sitios.

De esta manera, si alguno de los sitios es hackeado, la infección no se esparcirá a los otros sitios de la misma cuenta de hosting compartido.

#25: Restringe los privilegios para los usuarios de la base de datos

 

Al configurar un sitio en WordPress por primera vez, es posible que por la falta de experiencia, crees un problema de seguridad causado por los privilegios de los usuarios de la base de datos.

En general, los usuarios de las base de datos solo necesitan los siguientes privilegios: Para la mayoría de las operaciones frecuentes en WordPress, el usuario de la base de datos solo necesita el acceso a la lectura y escritura de la base de datos: SELECT, INSERT, UPDATE y DELETE.

Así que puedes quitarles privilegios adicionales como: DROP, ALTER y GRANT.

Nota: Es posible que algunas versiones de WordPress si requieran de estos privilegios, pero en la mayoría de los casos no son necesarios.

Es recomendable que antes de hacer cualquier actualización o instalación tanto de WordPress como de plugins , tengas una copia de seguridad.

#26: Deshabilita la edición de archivos

 

Cuando estás en la fase inicial para crear un sitio web, probablemente tengas que jugar con los archivos de los temas y plugins. Pero en si, los administradores de WordPress tienen los derechos para editar los archivos PHP.

Una vez que tu sitio web esté listo, no será tan necesario que edites estos archivos.

De cualquier forma, permitir que los administradores editen los archivos causa un problema de seguridad. Ya que si un hacker logra entrar a tu sitio, de inmediato podrá editar tus archivos para hacer sus fechorías.

Lo que puedes hacer (y deberías), es deshabilitar la edición de archivos a los administradores de WordPress, después de que tu sitio web esté en línea, asegúrate de que tenga el siguiente comando en el archivo wp-config.php:

#27: Asegura tu archivo wp-config.php

 

Si tus archivos de WordPress fueran como el cuerpo humano, el archivo wp-config.php sería el corazón.

A lo que hay que poner atención es a las claves de acceso de la base de datos, la forma de almacenar la contraseña en la base de datos y otras configuraciones importantes. Bueno, basta con decir que este archivo es muy importante y no querrás a nadie merodeando en él.

Yo recomiendo ampliamente implementar medidas de seguridad específicamente para proteger la configuración de este archivo tan valioso. Hay desacuerdos en torno a si este archivo debe ser alejado de su locación original, pero la mayoría está de acuerdo en que debe ser protegido.  

Si aún no ha implementado el paso #23 (Deshabilitar la ejecución de PHP), entonces puedes agregar la siguiente función a tu archivo .htaccess:

#28: Deshabilitar el XML-RPC (Si no lo estas utilizando)

 

WordPress tiene una aplicación que permite acceder vía remota a lo que se conoce como Application Programming Interface (o API). Esto quiere decir que hay aplicaciones que pueden acceder a tu sitio (para bien). Un ejemplo típico para el uso de XML-RPC, es cuando estás usando una aplicación para actualizar tu sitio.

También hay plugins que usan la funcionalidad del XML-RPC, como Jetpack.

Sin embargo, el XML-RPC también puede ser usado para hackear tu sitio web.  

Actualmente, muchos usuarios creen que el XML-RPC es tan seguro como todo los demás en WordPress, pero es verdad que es algo con lo que los hackers estarán haciendo pruebas. Es probable que encuentres muchas visitas al XML-RPC si no has limitado tu inicio de sesión.

Si estás seguro que no tienes aplicaciones externas, o que ningún plugin está usando tu sitioweb vía XML-RPC, puedes elegir desactivarlo utilizando un plugin, aquí te dejo una lista de los que puedes utilizar https://wordpress.org/plugins/search.php?q=disable+xml-rpc

#29: Deshabilitar los reportes de error de PHP

 

Cuando estás desarrollando un sitio web, los reportes de errores son un salvavidas. Te muestra exactamente de donde viene el error para que lo puedas solucionar pronto.

Pero, en un sitio que ya está funcionando, los reportes de errores dan información crucial a los hackers para hacer su trabajo más fácil.

Los reportes de error se ven algo así:

Fatal error: Call to undefined function get_header() in /home/sitioweb/public_html/blog/…

El reporte de error de PHP puede proporcionar información importante de la instalación de tu WordPress.

El reporte anterior está dando el usuario de la cuenta, información crucial para alguien que quiere atacar tu cuenta de hosting.

Y esta solo es una parte, los reportes de errores pueden dar pistas más significativas si conoces las debilidades que estas buscando.

Para desactivar los reportes de errores de PHP usa la siguiente función en el archivo de php.ini:

 

De esta manera garantizas que no haya ningún riesgo de seguridad,  a causa de la exposición de información confidencial de tu sitio.

#30: Instala un Firewall

 

Existen dos tipos de firewalls o usos para los firewalls.

En la red de seguridad, los firewalls son usados para clasificar diferentes tipos de redes. Incluyendo lo que entra y lo que sale.

Nuevamente, si usamos una analogía, un firewall sería como un agente de seguridad, solo se te permite la entrada a la fiesta VIP si te encuentras en la lista de invitados. Así como el agente de seguridad detiene a la gente que trata de entrar sin invitación, los firewalls se usan para alejar a los hackers de la fiesta en tu sitio web.

En el caso de WordPress, vamos a ocupar una aplicación web de firewall (Web Application Firewall – WAF) para evitar que los hackers pongan sus socias manos (o robots) en donde no deben.

Hay varias aplicaciones web de firewalls (WAF) pero una de las más confiables, gratuitas y de código abierto que normalmente es compatible con WordPress es ModSecurity firewall.

Tal vez quieras preguntar a tu proveedor de hosting si está disponible para tu servicio, y habilitarlo si es así. Una vez habilitado, haz que tu proveedor de hosting o desarrollador WordPress de confianza te ayuden a configurarlo.

#31: Utiliza un firewall de red de distribución de contenido

 

Uno de los principales usos de la red de distribución de contenido (CDN) es optimizar el rendimiento de tu sitio web proporcionando un servicio rápido de recursos pesados.

Sin embargo, la CDN también tiene otra función: la mayoría son capaces de proteger varios problemas de seguridad en WordPress.

Si estás usando una CDN (deberías hacerlo), también asegúrate de habilitar  las configuraciones de seguridad especialmente para la protección de tu sitio web.

#32: Monitorea tus entradas para mejorar la seguridad de WordPress.

 

Si no sabes qué tipo de ataques están haciendo a tu sitio, entonces difícilmente podrás detenerlos ¿Verdad?

Puedes mejorar la seguridad en WordPress monitoreando tus entradas. Por ejemplo, si descubres que la mayoría de intentos de hackeo vienen de un país específico, tal vez uno para el que tu sitio web no fue diseñado, podrías usar un firewall para bloquearlo.

Claro que este es un ejemplo muy simple sobre cómo te puede ayudar monitorear tus entradas.

Para ésto puedes usar OSSEC si tienes acceso directo a tu servidor de hosting. O también puedes usar un plugin de auditoría de seguridad para auditar constantemente tus entradas.

Mantén tu WordPress seguro

Ésta lista para asegurar tu WordPress podría darte mucho que hacer si no habías pensado en ésto anteriormente. La buena noticia es que los pasos que revisamos ya forman parte del proceso de crear un sitio web.

La seguridad de WordPress es algo que se tiene que tomar en serio. Los hackeos se han convertido en algo muy común. Tu sitio tal vez esta siendo atacado en este momento.

Está bien, tal vez no tienes que hacer todo lo anterior, pero te recomiendo que hagas lo más que puedas para mejorar la seguridad.

¿No te parece que es mejor estar seguro que arrepentido?

Si tienes otro tip de seguridad, no dudes en apuntarlo en los comentarios para complementar este listado, nos leemos pronto.

Yoshio Casas

La mejores experiencias son las que se viven cuando ayudas sin pedir nada a cambio. Espero que les guste lo que escribo, me apasiona saber que es de utilidad para su crecimiento profesional.
Shares
Share This