Blog

Medidas de seguridad en Wordpress

Medidas de seguridad en WordPress

Wordpress

Siento decirte esto, pero tu WordPress no es ni será nunca 100% seguro. No importa lo que hagas, siempre aparecerá una vulnerabilidad que le permitirá a los atacantes entrar en nuestro sitio web. Pero, aunque nunca consigamos un sitio 100% seguro, sí que podemos hacer que sea lo mas seguro posible, haciendo así que sea más difícil entrar para un atacante.

A continuación, os daremos algunas medidas de seguridad para que vuestro sitio esté lo mas seguro posible.

Principales factores de seguridad

Existen varios factores principales que nos servirán como base para brindar a nuestro sitio web de seguridad, los cuales son:

  • Nivel de seguridad de nuestro servidor. Este factor, en la mayoría de las ocaciones, no dependerá de nosotros, sino de nuestro proveedor de hosting. Saber qué hosting elegir es uno de los aspectos más importantes.
  • Nivel de seguridad en la instalación de nuestro WordPress. Este factor dependerá únicamente de nosotros, convirtiéndonos en los responsables de forma íntegra de lo que ocurra. No nos referimos a “la seguridad a la hora de instalar WordPress”, sino a la seguridad de los ficheros, directorios, etc, donde está ubicado nuestro WordPress.
  • Tus hábitos en el mundo de la informática. Será de vital importancia también tus hábitos, como por ejemplo: la longitud y dificultad de las contraseñas, el realizar copias de seguridad, actualizar plugins etc.

Medidas de seguridad en WordPress

1. No utilices el nombre de usuario admin para acceder al panel de administración

Un error común, y que puede suponer una vulneravilidad para nuestro sitio, es el uso del nombre admin para acceder a nuestro panel de administración de WordPress. Un atacante siempre usará en primer lugar este nombre y otros comunes (como root) para acceder a nuestro sitio.

2. No utilices el prefijo wp_ para la base de datos

Aunque, en ocaciones, es nuestro proveedor de hosting el que nos facilitará el nombre, usuario y contraseña de nuestra base de datos, a la hora de realizar la instalación de WordPress, seremos nosotros quienes podremos elegir el prefijo de las tablas de la base de datos.

Por defecto, WordPress utilizará el prefijo wp_, y esto es un dato que todos conocemos, por lo que, si un atacante quiere realizar un ataque a nuestra Base de Datos, le estaremos facilitando el trabajo si no cambiamos el prefijo.

3. Utiliza una contraseña segura

De nada sirve tener la mejor tecnología del mundo en cuanto a seguridad si nuestra contraseña no cumple el mínimo de seguridad recomendado.Te recomendamos que tu contraseña tenga al menos 16 caracteres y que incluya, al menos una mayúscula, una minúscula, un número y un carácter especial. Si no sabes que contraseña elegir, puedes obtener una mediante el generador de contraseñas que incluye WordPress en su instalación.

4. Mantén tu sitio actualizado

Mantén siempre todo tu sitio actualizado. Esto incluye WordPress, plugins y temas. Ciertas actualizaciones podremos saltarlas, siempre y cuando sean menores, claro está. Y recuerda que, de nada sirve mantener software obsoleto, pues, en la gran mayoría de las veces, supone un agujero de seguridad en WordPress y un gran riesgo.

5. Mantén seguro el fichero de configuración: wp-config.php

El fichero wp.config.php incluye información muy sensible, y es que, en el, se almacenan los datos de acceso a nuestra base de datos. Por ello, recomendamos que lo protejas de modificaciones y miradas ajenas

Algunas medidas que puedes tomar para proteger este fichero son las siguientes:

  • Modificar los permisos del fichero a 444.
  • Incluir en nuestro htaccess las siguientes líneas:
    • <Files wp-config.php>
    • order allow, deny
    • deny from all
    • </Files>
  • Trasladar el fichero a una carpeta superior.

6. Limitar el número de intentos de inicio de sesión

La mayoría de los ataques son mediante un intento masivo de acceso a través de la pantalla de inicio de sesión. Por ello, es fundamental proteger el acceso interno a nuestro WordPress. Podéis realizar lo siguiente:

  • Desactiva el registro de usuarios. De esta forma, evitarás que los usuarios obtengan permisos en nuestra instalación.
  • Incluye un sistema de Captcha. De esta forma, podrás evitar que un bot consiga entrar en tu sitio web.
  • Instala un plugin para limitar el número de intentos de inicio de sesión.

7. Realiza copias de seguridad de forma programada

Entre la mayoría de las medidas de seguridad, la reina sin duda es la de realizar copias de seguridad. Nadie está libre de sufrir un día un desastre en su sitio web. Así que, sin lugar a dudas, una de las medidas de seguridad que debes tomar será la de relizar un backup de forma programada.

Para esta labor, existen un sin fin de herramientas. Nosotros aconsejamos usar el plugin UpdraftPlus por su eficacia, su cantidad de opciones y facilidad de uso. Con este plugin podrás realizar copias de tus temas, plugins, WordPress en sí y, por supuesto, de tu base de datos y podrás almacenarlo, si quieres, en la nube.

8. Instala algún plugin que actúe como antivirus

Quizás piensas que tu hosting es muy seguro y que no pasará nada en cuanto a infecciones se refiere. Pero, como decíamos al comienzo del artículo, la seguridad en WordPress absoluta no existe. Puede que para un atacante sea muy difícil burlar la seguridad de tu hosting, pero si, por ejemplo, descargas un fichero de internet que está infectado y lo instalas, por mucha seguridad que tenga tu hosting, no podrá hacer nada si eres tu la misma persona que llevas a cabo la infección.

Por ello, recomendamos que siempre instaléis un antivirus para proteger nuestro sitio de peligros de este tipo. Para hacer frente a este problema, os recomendamos el plugin WordFence, el cual, no solo actúa como un antivirus, si no que, además, también funciona como un cortafuegos.

9. Evita a toda costa el spam

Por defecto, WordPress ya examinará los comentarios en busca de spam. Sin embargo, en ocaciones puede que falle, y debemos evitar que esto pase incluyendo nosotros algún sistema que haga a este sistema mas robusto.

Para evitar que un atacante inyecte código malicioso en nuestros formularios y que nuestra sección de comentarios se llene de contenido no deseado, podemos utilizar los siguientes métodos:

  • Utilizar algún plugin de comprobación de spam, como puede ser Akismet.
  • Proteger los formularios de la inyección de código malicioso.
  • Incluir un sistema de comprobación humana (Captcha).
  • Desde los Ajustes del Panel de Administración de WordPress: Aprobar los comentarios de forma manual.

10. Evita el acceso de sploggers a tu sitio

Un splogger es aquel que se registra masivamente en páginas webs para:

  • Intentar acceder al Panel de Administración.
  • Añadir comentarios de spam.
  • Inyectar código malicioso.

La solución definitiva para evitar que esto ocurra es desactivar el registro de usuarios, aunque, si tu sitio requiere tener esta opción activada si o si, siempre podremos instalar algún plugin.

11. Evita que los atacantes realicen pingback

Ya hablamos en una ocasión sobre que son los pingbacks y  como nos podrían afectar. De primeras, os recomendaríamos no dejar inactivo este protocolo, pero lo malo es que a través de este los atacantes podrán inyectarnos código malicioso.

12. Utiliza un certificado SSL válido

En ocasiones, la gente suele relacionar el hecho de tener un certificado SSL con tener “el candadito verde”. El protocolo HTTPS es fundamental para aumentar la seguridad de nuestro sitio, ya que, gracias a el, los datos irán cifrados y protegidos ante atacantes.

13. Cambia la contraseña de tu usuario administrador a menudo

Así como tener una contraseña lo bastante difícil de adivinar es necesario, también lo será cambiarla a menudo. No nos referimos a que cambies la contraseña una vez al día o a la semana, pero si que te recomendamos cambiarla al menos 1 vez al mes.

En definitiva…

Esperamos que estas medidas de seguridad en WordPress te hayan sido útiles y que, si en algún momento sufres un acceso no autorizado, puedas combatirlo a tiempo y no pierdas tu  sitio al completo.

En el caso de que no quieras complicarte mucho, instala al menos los plugins de WordFence y UpdraftPlus, te aseguramos que, con estos plugins, te ahorrarás muchos problemas.

Una vez leído el artículo, y conociendo algunas de las medidas que puedes llevar a cabo para proteger tu sitio, ¿estás dispuesto a ponérselo un poco más complicado a los malos? 🙂

¡Si te ha gustado comparte y haz comunidad!