La seguridad de nuestra página web es muy importante para todos.

Lo último que queremos que suceda es despertarnos una mañana y descubrir que nuestra web ha sido hackeada.

Así que hoy voy a compartir muchos consejos, estrategias y técnicas que podemos utilizar para mejorar la seguridad en WordPress y mantenernos protegidos.

Medidas de seguridad en WordPress

Siento decirte esto: tu WordPress nunca será 100% seguro.

Los usuarios maliciosos están en constante innovación y se descubren fallos en plugins con frecuencia. Pero puedes hacer muchas cosas para reducir el riesgo.

Aquí estoy para ayudarte, pero ten en cuenta que la seguridad requiere un trabajo constante y no puedes bajar la guardia.

¿WordPress es inseguro?

WordPress no es más inseguro que cualquier otro gestor de contenidos.

Dependiendo de cómo cuides y uses tu WordPress, lo mantendrás más o menos alejado de los malos.

Si nunca actualizas tu WordPress, tu tema es pirata, tu contraseña es 1234 y no tienes antivirus en tu ordenador…

Supongo que también debes dejar tu coche con las llaves puestas y el motor en marcha un sábado por la tarde en un centro comercial, ¿verdad?

1. Para acceder a WordPress no uses el usuario admin

Durante la instalación de WordPress debes decidir el nombre del primer usuario para acceder a la administración de tu web, usuario que por defecto tendrá permisos totales de gestión de la misma.

WordPress ha dado la opción de poner un nombre de usuario por defecto que, por supuesto, no tienes que usar.

Cuando tengas que escoger el nombre de tu primer usuario para acceder a WordPress no elijas los nombres comunes para esta tarea, como admin, Admin, root, etc. Un hacker que quiera acceder a tu web va a comprobar en primer lugar esos nombres.

2. Para la base de datos no uses el prefijo wp_

Cuando instalas WordPress debes indicar una serie de información que tienes que insertar para que WordPress se comunique con la base de datos.

Tu proveedor de alojamiento te facilitará la mayoría de esta información, como:

  • nombre de la base de datos,
  • usuario y
  • contraseña de la misma.

Pero tú debes decidir el prefijo de las tablas que se crearán para WordPress.

Por defecto, en esta pantalla el prefijo ofrecido es wp_, de manera que tus tablas serán wp_options, wp_comments, wp_posts, etc.

Esto es algo que todo hacker conoce. Cualquier posible atacante sabe que las tablas de WordPress tendrán esos nombres completos si no cambias el prefijo y realizas una instalación segura.

Modifica el prefijo para las tablas por defecto por otro a tu elección, por ejemplo wptabla_ o X1jM_ o lo que quieras. Lo importante es que no dejes el prefijo por defecto, no lo largo o complicado que sea.

3. Utiliza contraseñas robustas

Es fundamental que seas consciente de que cuanto más fácil sea para ti recordar una contraseña, también será más fácil que los sistemas automáticos de acceso por fuerza bruta de los atacantes la consigan.

En las últimas versiones de WordPress se incluye un generador de contraseñas seguras y te recomienda usarlas.

Ésta será siempre la mejor opción.

Tú decides poner una contraseña sencilla e insegura y saltarte esta recomendación. Pero cometerías el más importante y principal error de seguridad de todos los posibles.

Hoy en día no es necesario usar contraseñas sencillas, ya que todos los navegadores dan la posibilidad de recordarlas por ti en tu ordenador.

Por eso utiliza siempre contraseñas robustas, que incluyan letras en minúsculas, mayúsculas, números y caracteres especiales.

4. Usa una versión actualizada de WordPress y actualiza plugins y temas

Trabajar con software obsoleto o no suficientemente actualizado es muy peligroso. Los hackers atacarán en primer lugar sitios con versiones antiguas, no actualizadas, ya que son más vulnerables al no incluir la suficiente protección a tipos de ataque conocidos.

WordPress proporciona un sistema de actualizaciones automáticas, tanto para el mismo núcleo de WordPress como para plugins y temas.

Las actualizaciones de mantenimiento y seguridad las hace WordPress directamente sin tu intervención.

Pero sí deberás actualizar las versiones denominadas “mayores”, aunque sea con un simple clic.

Por ejemplo, no es necesaria tu intervención para actualizar de la versión 4.3.1 a la 4.3.2, WordPress las actualiza por ti. Pero sí desde la 4.3.x a la 4.4, aunque solo tengas que pulsar un botón.

WordPress dispone de un sistema de aviso y actualizaciones automáticas de los plugins instalados. Si ves que alguno necesita actualizarse no te lo pienses.

Es también muy importante usar siempre una versión actualizada del tema activo. Los atacantes saben que no se suelen cambiar muy a menudo, y esto les permite aprender de su código e idear formas de complicarte la vida e incluso meterte en problemas.

5. Asegura el archivo de configuración de WordPress

El archivo de configuración de WordPress, el fichero wp-config.php, incluye información muy sensible sobre tu base de datos:

  • Nombre
  • Usuario
  • Contraseña
  • Prefijo de las tablas.

Por ello es fundamental protegerlo de modificaciones no deseadas y de miradas ajenas.

Para asegurarlo debes efectuar las siguientes actuaciones:

  • Trasladarlo a una carpeta superior, de forma que si está ubicado en la ruta …/public_html/midominio.es/ lo muevas a la carpeta …/public_html/.
  • Asegurarlo contra escritura modificando los permisos a 444.
  • Incluye una serie de reglas al fichero de Apache .htaccess para impedir accesos no deseados:
    • <Files wp-config.php>
    • order allow,deny
    • deny from all
    • </Files>

6. Realiza copias de seguridad de forma constante y programada

¿Qué cantidad de copias de seguridad haces al año de tu web? ¿Y al mes? ¿Y semanalmente?

¡Mal! Muy mal…

Esto perjudicará en gran medida tu seguridad en WordPress.

Una buena política de copias de seguridad en WordPress consiste en:

  • Realizar automáticamente una copia de seguridad en WordPress diaria de tu web.
  • Hacer una copia semanal (un día fijo) y si es programada mejor.
  • Realizar una copia mensual, el primer día de cada mes.
  • Hacer copias manuales bajo demanda antes de actualizar o de probar temas o plugins.

Si además estas copias las subes a la nube (DropBox, Google Drive, etc) mejor que mejor.

Así ocuparás menos espacio en el Hosting, en tu ordenador y siempre las tendrás disponibles desde cualquier lugar cuando las necesites.

7. Restringe los intentos de acceso

Los intentos masivos de acceso a través de la pantalla de login constituyen la mayoría de los actuales ataques contra sitios WordPress. Por eso es fundamental proteger el acceso interno a tu WordPress.

Puedes utilizar diferentes medidas de seguridad:

  • Inhabilita el registro de usuarios. De esta forma evitarás que usuarios con malas intenciones obtengan permisos extra en tu instalación y la posibilidad de realizar cambios en la misma aprovechando vulnerabilidades.
  • Incluye un sistema de comprobación humana como reCaptcha. Esto evita accesos no deseados de máquinas automatizadas que pretenden acceder a tu web.
  • Instala algún plugin para evitar intentos de acceso masivos que bloqueen este tipo de ataques como:
    • Limit login attempts,
    • el módulo Protect de JetPack.

8. Usa permisos de archivos y carpetas seguros

WordPress utiliza por defecto permisos de lectura y escritura a archivos y carpetas que, a veces, pueden cambiarse,

  • automáticamente por algunos plugins o
  • al subir tú mismo manualmente archivos desde las utilidades de cPanel o, incluso, mediante clientes FTP.

Los archivos y carpetas en WordPress deben tener los siguientes permisos por defecto:

  • Archivos: 644
  • Carpetas: 755

Cuando algún archivo o carpeta tenga más permisos sería una posible fuente de vulnerabilidades.

Es necesario que lo modifiques a los permisos por defecto desde el administrador de archivos de cPanel o tu cliente FTP favorito.

9. Aplica un proxy inverso como CloudFare

Usar un servicio CDN, o red de entrega de contenidos remotos como CloudFlare, es una medida que no solo mejorará la seguridad sino también la seguridad de WordPress. Puedes usarlo con plugins y un plan gratuito muy completo que facilitan su integración con WordPress.

Esto presenta un sistema de cache muy potente, y también incluye medidas de protección como:

  • Ocultación de emails, impidiendo la captura de direcciones de email mostradas en tu web
  • Bloqueo de IPs de usuarios con actuaciones sospechosas de ser atacantes
  • Siempre online, para presentar una versión en cache de tu web incluso cuando estés siendo victima de un ataque.

10. Crea una cuenta en Google Search Console

Las antiguas herramientas para webmasters de Google, conocidas como Google Search Console, ofrecen protección extra para tu WordPress además de ser herramientas fundamentales de análisis de tu web.

Es muy importante que des de alta tu web en la Search Console para que Google te avise de:

  • Actualizaciones de WordPress
  • Inyecciones de código
  • Notificaciones de problemas de usabilidad
  • Incidencias de velocidad

Los plugins que permiten la integración de WordPress con la Search Console de manera sencilla son Yoast SEO o All in one SEO pack.

11. Evita el spam

Una de las funciones normales de cualquier administrador de un gestor de contenidos, como WordPress, es examinar el spam en los comentarios.

El spam es fuente de enlaces no deseados en los formularios de comentarios. Y algunos hackers usan estos formularios para inyectar código que podría arriesgar la seguridad de tu instalación de WordPress.

Para ello debemos utilizar diferentes estrategias:

  • Incluir un sistema de comprobación humana Captcha mediante plugins:
    • Really Simple CAPTCHA o
    • WangGuard.
  • Instalar un plugin de comprobación de spam como Akismet.
  • Proteger los formularios de la inyección de código.

Y aplicar reglas de control de spam desde los Ajustes -> Comentarios de tu instalación de WordPress, sin necesidad de instalar nada:

  • Aprobando manualmente todos los comentarios.
  • Incorporando reglas para marcar automáticamente como spam comentarios no deseados.

12. Evita el acceso de sploggers

Si aceptas los registros de usuarios en tu WordPress debes protegerte contra los llamados sploggers.

Son usuarios que se registran masivamente en webs para:

  • intentar acceder a su configuración,
  • añadir comentarios spam o
  • inyectar malware.

La solución definitiva para evitar este tipo de usuarios es no activar el registro de usuarios.

Pero en caso de que tengas habilitado el registro por motivos de marketing o fidelización, deberás instalar el mejor plugin que hay para detectar y eliminar esta amenaza: WangGuard.

13. Impide la vulnerabilidad pingback

Existe una vulnerabilidad específica, llamada vulnerabilidad pingback, que merece una especial consideración porque, aunque de fácil solución, inactivaría importantes funciones de WordPress como:

  • gestión remota,
  • uso de aplicaciones móviles o
  • sistema de pingbacks y trackbacks.

Esta vulnerabilidad se relaciona con el protocolo XML-RPC, que es el que permite:

  • que WordPress se conecte, por ejemplo, con la aplicación WordPress para iOS o Android,
  • editores offline y
  • algunos sistemas de sindicación de contenidos.

Por lo que no es recomendable inactivar este protocolo.

Lo malo es que a través de ella, los atacantes pueden realizar posibles inyecciones de código.

En caso de que tengas claro que nunca vas a usar este tipo de aplicaciones la solución es sencilla: borra el archivo de la instalación de WordPress denominado xml-rpc.php.

Bonus track: Comprueba los cambios en los archivos de tu instalación de WordPress

Ten en cuenta que la seguridad debe ser una preocupación permanente y activa.

Afortunadamente WordPress nos ayuda, de forma totalmente gratuita normalmente, a automatizar muchas de estas tareas.

Utilizar plugins como iThemes Security o WordFence es un modo estupendo de vigilar nuestra instalación de WordPress.

Estos plugins vigilarán por nosotros los posibles cambios y la integridad de los archivos de nuestra instalación de WordPress tratando de evitar modificaciones. Y nos avisarán de estos cambios para que podamos restituirlos y así permanecer seguros.

¿Estás dispuesto a ponérselo un poco más difícil a los malos?

¿Cómo proteges tu seguridad en WordPress? Espero tus comentarios.

12 mas 1 medidas de seguridad en WordPress
4.7 (94.55%) 11 votos