Guía para Reforzar la Seguridad de WordPress

Guia para reforzar la seguridad de wordpress

Elaborar una guía de seguridad de WordPress es sin duda una tarea exigente, y que requiere de mucha investigación, y abarca varios factores, por tanto, esta guía no es para nada definitiva, ya que la seguridad es variable, a medida que surjan nuevos plugins, themes y otros componentes que se integran a WordPress.

No abstante, gran parte de lo que veremos hoy, asegurará tu sitio web de forma que se vuelve casi imposible de quebrar, ya que abarcaremos todos los aspectos que tú como usuario puedes hacer para lograr el objetivo de asegurar tu WordPress.

Qué es la Seguridad de WordPress

Básicamente son determinadas acciones que realizamos con el fin de impedir acceso no deseado al panel de administración de WordPress, mediante diferentes formas de ataques, como fuerza bruta, adivinar password, entre otros.

Primero, vamos a ver una lista tan importante para la seguridad de WordPress, que incluso personas bien acostumbradas a nuestro CMS debería tener en cuenta siempre, debido a su gran importancia, y en todo caso, recordarlas no nos caerá mal.

Mantener Actualizado a WordPress

Tener a WordPress actualizado al día, es el primer requisito fundamental que se debe cumplir. Un paso tan sencillo puede tener un gran impacto en la seguridad de WordPress. Una vez que vea una actualización nueva en el panel de administración, le das click directamente, claro está, siempre con un Backup en la mano. La importancia de actualizar radica en que, una vez lanzada una actualización, sobre todo actualizaciones de seguridad, vienen con publicación del fallo de seguridad, visible para todo el público, y esa información puede ser usada para hackear sitios desactualizados de WordPress.

Es tu responsabilidad estar al día con las actualizaciones de WordPress, sea estando pendiente de ello o activando la actualización automática.

Mantener Plugins y Temas Actualizados

Tal como actualizas al sistema completo de WordPress, de la misma forma debes estar al día con los plugins y themes que usas en el sitio web. Cada plugin y tema en su sitio, es un código insertado dentro del cuerpo de WordPress, si ese código está desactualizado, puede ser explotado como back door para acceder al ecosistema completo de WordPress.

Borrar Plugins y Temas no Usados en WordPress

Esto es algo del sentido común humano, lo que no usas, bórralo, y si lo vuelves a necesitar, lo reinstalas nuevamente. Es potencialmente peligroso mantener código inactivo en tu sitio web, que puede ser explotado para fines destructivos. La idea básicamente es, mantener el menor código posible en el ecosistema de WordPress, y por lo tanto, un riesgo reducido de ser atacado.

Descargar Plugins y Temas de Fuentes Confiables

El lugar disponible al público más seguro que hay es el repositorio oficial de WordPress.org, tanto para plugins como para themes, pero también hay mercados de gran confiabilidad como Themeforest, donde el código es revisado por humanos, para asegurarse de que cumpla con los estándares de codificación, como otros sitios con buena reputación.

Cambiar Permisos de Archivos

Siempre evita darles permisos absolutos a los archivos y carpetas de la instalación de WordPress, como 777. Opta por una configuración más restringida, como permisos 755 o 750. Hay plugins de seguridad que te ayudan a configurar los permisos para archivos de forma más automatizada, para cada tipo de archivo y carpeta.

No uses “admin” como nombre de usuario

Hay que evitar ayudarle a los posibles intrusos con la información del acceso a la administración de tu sitio web. Tener el nombre de usuario del administrador, significa disponer de la mitad de información de acceso, lo cual tiene que preocuparte.

Cambiar el password con frecuencia

Cambiar la contraseña de la administración de WordPress, con una buena combinación de letras, números y caracteres especiales, o usando una expresión de secuencia especial recordable sólo para ti, la hace aún más difícil de adivinar. Puedes recurrir a la ayuda de un generador de contraseñas para crear una.

Obliga también a todos los usuarios de tu página web, como clientes o colaboradores a usar contraseña relativamente fuerte, para evitar que alguien acceda a tu sitio mediante una débil contraseña de algún otro usuario. Además, limita el acceso al área a los usuarios que realmente lo necesiten, cuanto menos los usuarios con acceso, mejor es la seguridad.

Usa Dos Factores de Autenticación

Una muy buena y efectiva medida de combatir casi por completo los intentos de acceso realizados por sistema automatizado de Brute Force, es usar un factor de autenticación, con ello nos referimos a otra capa de seguridad, como un código de mensaje de texto por ejemplo, después de insertar el correcto password. Hay plugins para crear dos factores de autenticación en WordPress como Google AuthenticatorClef, entre otros.

Instalar una Firewall en tu computador

Una etapa extra de reforzar la seguridad de WordPress, pero fácil de llevar a cabo, es instalar una pared de fuego, conocido como Firewall en tu computador. Una vez instalado, se agrega otra capa de seguridad contra agujeros de seguridad y hackers.

Algunos disponibles firewalls a revisar o usar son Norton Internet Security, y ZoneAlarm Free Firewall, entre otros disponibles en el mercado. Algunos Antivirus vienen con firewall incluido de forma gratuita.

Limit logins. The brute force attack is tactic #1 for hackers. If you let them, they’ll try to login to your site over and over again until they crack your password. That’s why it’s called “brute force” because the onslaught is relentless. However, there are plugins that allow you to limit the number of times a person from a specific IP can attempt to login within an allotted period of time. The user is restricted from attempting to login again for a given period of time. Login LockDown is great for offering this feature but other plugins that offer a whole set of security features often include login limiting like iThemes Security and Sucuri Security.

Limitar Intentos de Acceso Login

La zona más explotable de WordPress por los hackers, en sus intentos por acceder a tu sitio web es el panel de administración de WordPress, por tanto el ataque a fuerza bruta, conocido como Brute Force, es la primera opción que intentan, si dejas la posibilidad de intentos ilimitados de acceso, van a probar una y otra vez hasta que tengan tu clave, por eso se llama fuerza bruta. Hay plugins que te ayudan a limitar el número de intentos de acceso a base de la dirección IP por ejemplo, casi todos los plugins de seguridad tienen esa opción incluida, como el plugin de IThemes Security.

Crear un Backup regularmente

Es sumamente importante este punto, crear backup periódico de tu sitio web para garantizar el contenido en un lugar seguro, en caso de emergencia. Hemos visto con detalle cómo hacer Backup completo de WordPress con BackWPup, el cual te ayuda a llevar a cabo la tarea paso a paso. Nunca lo olvides.

Analiza la calidad y seguridad del theme

Antes de adoptar el tema seleccionado para tu sitio web, toma el tiempo de analizar tanto la calidad como los posibles fallos de seguridad que pueda tener. Un plugin como Theme Authenticity Checker te ayuda con la tarea de analizar el tema por posible código malicioso incrustado.

El equipo de Sucuri ofrece una interesante herramienta gratuita llamada Sucuri Check para analizar algunos aspectos importantes del sitio y del theme también.

Ahora ya has concebido una idea clara de los puntos que debes saber por adelanto sobre la seguridad de WordPress, lo que nos permite movernos por temas más profundos de la protección del sitio web.

1. Reducir el Uso de Plugins

usar solo los necesarios plugins en wordpress para mejorar el funcionamiento

Como hemos mencionado, en alguna parte de este post, el número de plugin puede significar más vulnerabilidad del sitio web, por tanto intenta limitar los plugins a un número reducido, usando plugins que hace más de una función como Jetpack, y plugin de seguridad que trae consigo varias funciones relacionadas con la protección.

No es asunto de seguridad solamente, es también sobre la velocidad del sitio web, y la reducción del tiempo de respuesta, y menos código inline que descargar.

2. No Descargues Temas o Plugin Premium de forma Gratuita

Es muy mala idea descargar tema o plugin de forma gratuita de alguna fuente desconocida, que son originalmente de pago (premium), son conocidos como Tema o plugin nulled.

Además de ser poco ético usar ilegalmente productos que son pagos, estás insertando código desconocido dentro de tu propio sitio! Es terrible, puede que incluya malware o código ejecutable una vez instalado en tu espacio de trabajo. No lo hagas!

3. Activar Actualización Automática

Actualizacion de wordpress a la ultima version disponible

Ya hemos hablado sobre la importancia de actualizar tu WordPress cada vez que haya una versión nueva. Valga la redundancia, que si estás usando una versión a la actualmente lanzada oficialmente, te estás dejando tu sitio al descubierto, ya que toda la información de la vulnerabilidad que presenta tu versión instalada se vuelve pública. Esto significa que los hackers tienen esa información también, y por consiguiente procederán a usarla con tu versión. No es nada personal, pero es terrible.

Cada actualización menor de WordPress, desde la versión 3.7 ahora es realizada automáticamente, sin ninguna intervención del usuario, lo cual es muy bueno, porque dichas versiones suelen ser para corregir alguna vulnerabilidad rápidamente.

Si no eres una persona que hace mantenimiento periódico a la página web, y no accedes mucho al panel de administración, sería muy recomendable que activara la actualización automática para versiones mayores de WordPress, insertando este código en tu archivo wp-config.php para estar más al día, sin intervención manual.

Lanzar actualizaciones mayores de forma automática puede quebrar tu sitio web, debido a las grandes modificaciones estructurales y profundas que traen consigo. Es importante disponer siempre de un respaldo backup fresco de tu sitio web por completo, por si pasa algo inesperado.

4. Configurar Actualización Automática de Plugins y Temas

Veremos algunos filtros que no pueden serrvir quizá para todos los usuarios, pero vale la pena mencionarlos aquí en todo caso. Normalmente, los plugin y Temas son componentes que necesitamos actualizar manualmente. Después de todo, las actualizaciones son lanzadas en diferentes tiempos por cada uno. Pero una vez más, si no eres un usuario que hace mentenimientot regular del sitio web, es más recomendable configurar actualización automática para que todos los componentes estén al día sin necesitar de tu intervención.

Par activar la actualización automática para los plugins y temas, tendrás que insertar este código en forma de filtro en tu archivo wp-config.php de tu sitio web.

5. Desactivar el Editor de Tema y Plugin

Si eres un desarrollador que siempre va retocando el código del theme o algún plugin, entonces creo que esta sección no te  va a aportar mucho. Pero si eres un usuario normal, que siente temor a tocar ese código raro ahí, te recomendaría desactivarlo, porque es un editor muy básico, y no está hecho para acondicionado para desarrollar en él.

Además, es un camino muy corto para llegar al código fuente de tus plugins y temas, y si llega algún hacker a acceder con cuenta de algún usuario de la página, te podría hacer mucho daño.

Para desactivar el editor de código de WordPress, simplemente necesitas agregar este trozo de código en el archivo wp-config.php de configuración.

6. Eliminar Reporte de Error de PHP

Reforzar la seguridad del backend de tu sitio implica mucho que hacer, tapando agujeros o corregir algún otro error. Ahora bien, si algún plugin o theme presenta algún fallo en el funcionamiento, creará un mensaje de error en el log, lo cual es muy útil a la hora de resolver el problema, pero aquí está hay el problema, ya que el error muestra detalles sensibles de tu sitio web, incluida la ruta del servidor, por ejemplo así :

htdocs/wp-content/themes/your-theme/comments.php

Un hacker sólo necesita ver el error para conseguir la ruta completa de tu servidor, lo cual significa ofrecerle tu sitio web en una bandeja de plata. No importa cuán importante y útil es el error, siempre es buena idea desactivar el reporte de error mediante este código en el mismo archivo de wp-config.php de la instalación.

If you’re into WordPress security at all, you’ve heard of the .htaccess file before and have likely accessed it. Still, the changes you make in this one file can have such a huge impact on your entire site’s security, I can’t leave it off the list.

Why is this file so important? It’s at the heart of WordPress and directly affects how your site structures permalinks and how it handles security. You can insert many different code snippets into the .htaccess file anywhere outside the #BEGIN WordPress and #END WordPress tags to modify what files are visible within your site’s directory. These snippets are sourced directly from the WordPress Codex.

7. Proteger los Archivos Más Importantes con .htaccess

Si eres una persona cercana al tema de la seguridad en WordPress, seguramente habrá escuchado mencionar el archivo .htaccess en alguna ocasión. Básicamente es un archivo que refuerza la seguridad de tu sitio web. Un pequeño cambio o adición a este archivo, puede gener gran impacto sobre el sitio, por tanto es sumamente importante hablar de él.

La importancia de ello viene de su rol en WordPress, porque en el archivo .htaccess donde se almacena la estructura de los enlaces permanentes de WordPress, y la forma de cómo maneja la seguridad en él.

Los plugins de seguridad particularmente, insertan diferentes fragmentos de código en el archivo .htaccess para configurar correctamente la seguridad, y conecta tu configuración con la del servidor.

Si eres usuario principiante, querrás ocultar el archivo wp-config.php de la lista de archivos, por razones de seguridad, dada la importancia extrema de la información que contiene dicho archivo. Paraocultarlo, sólo agregar el siguiente código extraído de WordPress Codex al archivo de .htaccess

Otro código que puedes agregar, y que restringe el acceso a la administración de WordPress wp-admin por dirección IP es el siguiente.

Ten cuidado al usar estos códigos, y úsalos de forma sensata ya que puede que te dejes fuera a ti mismo, si te conectas de otra parte o colocas una dirección IP que no sea la tuya. Otra forma posible es darle acceso a varias direcciones, colocando cada una en una línea.

Si lo deseas también puedes limitar el acceso a wp-login.php de casi la misma forma, con el código modificado que será así.

Si quieres en vez de permitir determinadas direcciones IP bloquear algunas personas usando sus direcciones para impedir su acceso al wp-admin o wp-login.php puedes hacerlo bloqueando IPs individualmente usando este fragmento de código.

Hay otras diferentes formas de usar el archivo .htaccess para mejorar la seguridad de tu WordPress que veremos en próximos posts.

8. Ocultar Nombres de Autores

Como hemos mencionado anteriormente, disponer del nombre de usuario del administrador, o de los editores en tu sitio web, significa la mitad de información que necesita un hacker para acceder a tu sitio web, por tanto es muy importante mantenerlos ocultos.

Esta función no permite que las personas curiosas hagan consultas para obtener el nombre del administrador del sitio mediante la URL como de esta forma.

http://tusitio.com/?author=1

En vez de obtener el nombre del usuario de ese ID, se redireccionará a la página oficial de tu sitio web, es un código muy útil, aunque puedes configurarlo con algún plugin de seguridad, pero requerda no abusar del uso de plugins.

9. Controla la Actividad en el Panel de Administración

Plugin de WP Security Audit Log para Controlar la Actividad de la Administracion

Si tu sitio dispone de más  de un autor o colaborador, mantener el seguimiento de la actividad que se realiza en el sitio es algo necesario para saber lo que están haciendo en tu administración. De esta podrás controlar y rastear cualquier acto o acción que puede quebrar el sitio web, y así podrá saber qué acciones deshacer para volver a restablecer el funcionamiento tal como estaba.

Esto es importante por razones de seguridad porque permite conectar los puntos entre una específica acción y una reacción. Puedes por ejemplo si alguien sube un archivo que causa problema en tu sitio, mirar si contiene algún código malicioso.

Un plugin en particular que hace esto, de forma mucho más cómoda de la que viene con WordPress, es el llamado WP Security Audit Log. Es un plugin gratuito que ofrece una amigable interfaz que muestra con lujo de detalle, incluyendo direcciones IP, nombre de usuario, tipo de acción que se realizó. Este plugin da una sensación de tener más control sobre todo el conjunto del sitio web.

También puede ver otras alternativas, tan buenas como Activity Log o Simple History si el anterior no suple tus necesidades.

10. Ofuscar la Página de Acceso Login

Siempre es una buena idea desplazar algunas páginas o cambiandolas de nombre con el fin de complicar aún más la tarea de cualquier curioso que pretenda acceder a tu sitio web.

La mayoría de las operaciones de intentos de acceso, sobretodo por ataques de fuerza bruta son procesos automatizados, por tanto, cambiar la dirección de acceso de wp-admin o de wp-login.php a otro nombre o lugar hará que la operación será muy difícil.

Varios plugins pueden hacer este trabajo por ti, como Lockdown WP Admin, además de la mayoría de los plugins de seguridad disponibles tanto gratuitos como los premium, que incluyen dicha opción.

11. Contrata el Mejor Hosting

Es cierto que todos los puntos que estamos  viendo en este presente post son muy importantes para la seguridad de WordPress, pero sinceramente, este esfuerzo puede que no sea suficiente si el servicio de hosting que contratas es escaso y no ofrece las últimas actualizaciones en cuanto a seguridad de servidor.

Los expertos de seguridad de WordPress han reportado que, un porcentaje bastante alto de los sitios hackeados fue debido a vulnerabilidades en el servidor del hosting. Así que, vuelve a reevaluar el servicio de tu actual hosting para saber si realmente está al día con el software.

12. Mantener Actualizado tu Computador

Tanto en cuanto a sistema operativo como a antivirus, aveces los hackers tienen acceso a tu sitio por causa de alguna vulnerabilidad en tu propio computador, y la mejor forma de combatirlo, es instalar actualización, cuando haya una nueva versión del sistema o un programa, actualiza, sobre todo actualizaciones de seguridad. Sólo así puedes mantenerte lejos del peligro.

Conclusión Final

La seguridad de WordPress es un asunto mucho más complejo que instalar un plugin de seguridad y ya, es una estrategia de trabajo, y una rutina que se realiza casi diariamente, pero con estos aspectos que hemos visto con detalle en este post, seguro haremos que el sitio web sea mucho más seguro.

Te queda alguna duda al respecto? tienes toda la libertad de expresarnos lo que tienes en un comentario, no lo dudes!

DEJAR COMENTARIO

Favor escribir tu comentario!
Favor ingresar tu nombre aquí