Saltar al contenido

Guía básica de Seguridad para WordPress

2016-05-05
Like
Like Love Haha Wow Sad Angry
Guía básica de Seguridad para WordPress
Califica este artículo 😉

Guía básica de Seguridad para WordPress

De todas las páginas web existentes, un 25% están diseñadas con WordPress. Este CMS es muy popular no sólo por su facilidad de gestión sino también por la enorme comunidad formada por desarrolladores, diseñadores y programadores que a lo largo de los años se han juntado para ayudarse y aprender entre todos.

La gran cantidad de instalaciones activas de WordPress hace que sea muy tentador para los hackers crear ciertas herramientas que a través de internet buscan instalaciones de WordPress con vulnerabilidades es decir con algún fallo de seguridad por el cual puedan acceder para robar las credenciales de nuestro sitio, instalar código malicioso, enviar spam, etc.

Cabe mencionar que WordPress nunca será 100% seguro ya que estos hackers están en constante aprendizaje e innovación descubriendo con frecuencia fallos en plugins y vulnerabilidades propias de una mala configuración de seguridad de WordPress. Nosotros como usuarios lo que podemos hacer es tomar medidas preventivas que reduzcan considerablemente el riesgo de que nuestro WordPress sea hackeado.

En este artículo vamos a mencionar algunos aspectos básicos a tener en cuenta para cuidar de nuestro WordPress:

  1. Datos de acceso indescifrables 

datos-indescifrables

 Con esto nos referimos al usuario y contraseña que utilizas para hacer Login en tu WordPress. Es de vital importancia que cambies tu usuario de acceso que usualmente es “admin” o “nombrededominio”. En la configuración inicial de WordPress puedes hacer esto. Elige un usuario que sea una palabra fuera de lo común.

Parece broma pero hay usuarios que aún utilizan contraseñas tan inseguras como las siguientes:

123456

nombredeweb2016

admin

12345678

qwerty1234

miWordPress2016

Una contraseña segura debe incluir minúsculas, mayúsculas, números, algún caracter y ser de por lo menos 10 dígitos. Como por ejemplo: Feran25,-s1 tal vez te cueste algo más recordar una contraseña así pero vale la pena.

A medida que la tecnología avanza, especialmente en este campo del desarrollo de software, existen cada vez más nuevos programas que los hackers pueden conseguir para intentar descifrar los usuarios y contraseñas a una velocidad increíble. Si estás utilizando credenciales inseguras es mejor que las cambies pronto.

  1. Doble autenticación

doble-autenticacion

Tal vez suena algo complicado pero en realidad es más sencillo de lo que parece. La doble autenticación añade una capa más de seguridad luego de ingresar tu usuario y contraseña ya que solicita al usuario una validación de identidad adicional que puede ser mediante correo, llamadas de voz, sms o con códigos QR a través de alguna aplicación de tu móvil.

Una de las mejores herramientas para hacer esto es Google Authenticator que incluye todas las opciones arriba mencionadas. Tiene versiones para Android, iOS, Blackberry y por su puesto existen plugins para WordPress.

  1. Siempre actualizado! 

wordpress-actualizado

 En esta parte debemos mencionar 3 aspectos importantes: WordPress, Plugins y themes.

Respecto a WordPress, a fecha de hoy tenemos la versión 4.5.1. Si ves que tu WordPress tiene una versión anterior a esta actualízala inmediatamente. Usualmente sale una actualización cada 30 días sin embargo esta última versión salió 14 días después de la anterior debido a que tuvieron que corregir unos errores. Las versiones muy antiguas de WordPress tienen fallos de seguridad ya comprobados y confirmados; respecto a las versiones más actuales a veces tienen ciertos errores, bugs imperceptibles para el usuario común pero una muy buena oportunidad para un hacker experimentado. Por eso es importante tener siempre actualizado nuestro WordPress a la última versión.

Respecto a los plugins, la fecha de actualización depende de los creadores y esto suele ser una vez al mes luego del último update de WordPress. No siempre vas a encontrar actualizaciones de tus plugins favoritos por eso debes investigar un poco sobre tus plugins que no tienen actualizaciones hace tiempo porque tal vez hoy en día tenga fallos de seguridad producto de incompatibilidad con otros plugins o con las nuevas versiones de WordPress. Procura usar plugins reconocidos y valorados por los mismos usuarios de WordPress, guíate del rating y los comentarios al buscar plugins. La mayoría de los ataques proviene de los plugins por eso siempre tenlos actualizados.

Respecto al Theme, en este caso hay que tener en cuenta de donde consigues el theme. Si lo consigues gratuito, pirateado de algún foro o sitio de descargas es muy probable que no sea el theme original y tenga los archivos alterados. En este caso no tienes opciones de actualización, pero si inviertes en un theme y lo compras lo vas a tener a su última versión y tendrás acceso a las nuevas actualizaciones si es que así te lo venden. Es importante elegir adecuadamente el Theme porque por este medio también logran hackear instalaciones de WordPress.

  1. Algunos plugins para mejorar la seguridad

wordpress-plugins

Procura usar los plugins que necesites porque el exceso de estos pueden afectar el rendimiento de tu servidor especialmente si tienes miles de visitas diarias, así que usa lo necesario. Respecto a plugins de seguridad, tener en cuenta estos:

Akismet -> Te protege de los intentos de publicar spam en tu WordPress y los bloquea.

BruteProtect -> Limita los intentos de conexión fallidos al Dashboard.

Xcloner -> Puedes hacer backups de tu WordPress y base de datos automáticamente.

Por último creo uno de los mejores plugins de seguridad para WordPress que en lo personal me ha advertido de ataques de fuerza bruta y me ha ayudado a tomar medidas al respecto, es All In One WP Security. Este plugin tiene un sistema de puntuación con el cual puedes ir sumando puntos hasta 470 cada vez que realices una acción de seguridad a través del plugin, esto te ayuda a evaluar cuantas medidas estás tomando para proteger tu WordPress. Con AIO WordPress puedes revisar los permisos de tus archivos, protegerte del spam, usar un Firewall, bloquear usuarios por IP, detectar ataques de fuerza bruta, alertarte  y bloquearlos, escanear tus archivos en búsqueda de código malicioso, usar reglas para el registro y acceso de usuarios, usar captcha para el login, renombrar la página del login, usar cookies para el login, etc.

  1. Elige el Hosting adecuado 

wordpress-hosting

De nada servirá tener la mejor configuración con WordPress si el servidor o hosting nos limita o no es el adecuado. La elección correcta de un Hosting para WordPress es muy importante ya que este CMS demanda ciertos requisitos en el lado del servidor para poder sacarle el máximo provecho, específicamente hablando en términos de velocidad y seguridad.

Hace unos cuantos años sólo encontrabas los típicos paquetes de Hosting compartidos, VPS y servidores dedicados. Hoy en día vemos muchas empresas que ofrecen Hosting WordPress y es importante resaltar algunos aspectos importantes que todo hosting debe cumplir:

  • Reputación: no es mala idea buscar un hosting de buena reputación respaldada por testimonios y buenos comentarios de los usuarios. No todas las empresas tienen ya una reputación definida y esto nos ayuda a descartar algunas.
  • Soporte: el tiempo de respuesta y forma de atención en este negocio es muy importante, yo tengo amigos que han cambiado de hosting sólo porque se demoraban un par de días en responderle. Esto es muy importante y por experiencia propia unos años atrás me hackearon una página web y la respuesta inmediata y soporte de mis proveedores de hosting me ayudaron a recuperar mi web.
  • Actualización: así como los plugins y el mismo WordPress se actualizan, el servidor también utiliza programas que deben actualizarse con frecuencia como PHP, MySQL, Apache, etc.
  • Protección contra ataques DDOS: hay servicios que se instalan en los servidores para protegernos contra estos ataques o los de fuerza bruta también. Un ejemplo de esto es el conocido CloudFlare y un Firewall como WAF. 
  • Configuraciones Básicas: como limitar acceso a base de datos y puertos MySQl, impedir listado de directorios, copias automáticas diarias de los archivos y DB, etc.

Esta fue una guía básica de seguridad para WordPress con algunos aspectos importantes a tener en cuenta, espero te sea de utilidad y te agradecería compartirlos con tus amigos.