Seguridad en WordPress: Los 11 consejos definitivos
By David Macharia In CMS, SEGURIDAD, WEB, WORDPRESSWordPress es un CMS sencillo pero potente de código abierto. Si estas interesado, calcula aquí el presupuesto para hacer tu web en WordPress. Su proliferación, la potencia de las funcionalidades y su sencillez lo convierten en un caramelo para los piratas digitales.Hay 2 tipos de usuarios de WordPress: El que ya han hackeado o el que van a hackear.
Para acceder a WordPress siempre debes hacerlo a través de un ordenador seguro con antivirus. Recuerda que una imagen infectada con un virus subido al gestor puede afectar la web.
Para mirar si una web de WordPress ha sido hackeada, puedes utilizar plugins de seguridad o hacerlo online en: https://sitecheck.sucuri.net
A continuación analizamos las debilidades y detallamos las opciones de optimización de la seguridad de WordPress para evitar futuros ataques:
1) Actualizaciones automáticas.
Cuando existe una debilidad reconocida por la comunidad en el CMS de WordPress, plugins o plantillas, sus dueños hacen una actualización. Estas actualizaciones además de aumentar funcionalidades y reparar bugs, también ayudan a tapar agujeros de seguridad.
Es altamente recomendable contar con las últimas versiones de cada componente de WordPress. Para aligerar el trabajo, se pueden programar actualizaciones automáticas pero a veces hay que activarlas:
https://codex.wordpress.org/Configuring_Automatic_Background_Updates
2) El usuario admin.
Los ataques de diccionario contra la web ocurren cuando se sabe cómo está hecha la web, se prueban diferentes permutaciones de usuario y contraseña hasta acceder. Para prevenir estos ataques se recomienda cambiar algunos parámetros que utiliza WordPress por defecto.
Cambia siempre el usuario “jefe” de admin (administrador, miweb, minombre, etc) a otro nombre de usuario menos reconocible con una contraseña segura con el rol de administrador.
3) Seguridad de contraseñas.
El uso de contraseñas complejas es fundamental para prevenir cualquier ataque. Utiliza siempre contraseñas seguras de entre 12 a 15 caracteres combinando caracteres especiales, mayúsculas, minúsculas y números. Puedes utilizar un generador de contraseñas para facilitar la tarea: https://strongpasswordgenerator.com/
4) Wp.config.php: Cifrado de cookies de usuarios.
WordPress da la opción de cifrar las cookies con datos de usuarios y contraseñas. Las claves de cifrado se introducen en el fichero wp-config.php. Consigue las claves en la siguiente página : https://api.wordpress.org/secret-key/1.1/salt/
Cambiar claves en los cookies en wp-config.php
5) Seguridad de las Bases de Datos.
Hay varias formas de aumentar la seguridad de las bases de datos:
- Utilizar usuarios y contraseñas seguras para las credenciales de acceso de MYSQL.
- Cambiar los nombres predeterminados de las tablas en la base de datos de WordPress. Normalmente, viene predefinido como wp_ en el fichero wp.config.php.
6) Plugins de seguridad: Antivirus y cortafuegos.
Se recomienda usar un plugin para tener un antivirus y un cortafuegos en la web y parar los intentos de acceso a WordPress repetidos y claramente identificables como un intento de hackeo (ej: 20 intentos en un minuto). Puedes instalar el plugin Wordfence: https://wordpress.org/plugins/wordfence/
7) Spam de comentarios: Akismet activado.
El envío de comentarios automatizados es frecuente y por eso WordPress viene con el plugin Akismet instalado. Solo necesitas pedir una clave API en su web e introducirla en los ajustes del plugin: http://akismet.com/wordpress/
8) Configuración por defecto de WP Admin.
La dirección de acceso a la administración por defecto es: /wp-admin. Este acceso se puede proteger al configurarlo como carpeta protegida con el servidor Apache. En casos extremos (cuando sea incompatible con otras funciones de la web) se puede cambiar esta dirección.
Hay varios plugins de seguridad disponibles en el directorio de plugins.
https://wordpress.org/plugins/search.php?q=security
9) Parámetros de ficheros de WordPress.
Existen otras soluciones para securizar una instalación de WordPress :
- Permisos de ficheros.
- Securizar los ficheros y carpetas de WP: wp.config, htaccess, wp-includes, etc.
- Esconder la versión de WordPress.
- Evitar informes de errores detallados, etc.
Para más información puedes consultar Codex (En inglés): http://codex.wordpress.org/Hardening_WordPress
10) Seguridad del servidor.
Un servidor web o hosting potente y seguro es necesario para mantener una web segura.
- Consultar si el hospedaje web opera con las últimas versiones de PHP y MYSQL, si está optimizado para WordPress con medidas de seguridad (cortafuegos y alertas de actividad sospechosa) y si tiene soporte técnico para las incidencias de WordPress.
- Utilizar credenciales seguras para el panel de control de la web (Cpanel, Plesk, etc) usando contraseñas complejas y seguras.
- Utilizar credenciales FTP (O mejor SFTP) con nombre de usuario y contraseña segura.
Seguridad del servidor como fuente de hacks a WordPress
11. Hacer backups.
Es recomendable hacer backups frecuentes y automatizados porque la web puede verse afectada por las actualizaciones automáticas o por ataques. La política de backups se puede fijar a través de un plugin o de la opciones de administración del servidor: https://codex.wordpress.org/es:Copias_de_seguridad_de_WordPress
Recuerda hacer un backup de ambas partes de la web:
- Copias de seguridad de la base de datos MYSQL via plugins o panel de control del servidor.
- Copias de los ficheros de la instalación de WordPress (php, js, css, jpg, html, etc) via FTP, el servidor o plugins.
Estas técnicas pararían 99.99% de los ataques a la web. Si necesitas ayuda con la configuración de seguridad en WordPress puedes ponerte en contacto con nosotros.
¡Te lo Soluciono!
No Comments