plugins WordPress, consejos y mucho más

plugins WordPress, consejos y mucho más

15 Jul 2020 in

Tabla de contenido

La seguridad en WordPresses uno de los temas que más tratamos con nuestros clientes en nuestra.

Ningún software es totalmente seguro y, como no podía ser de otra forma, Wordpress no es la excepción.

por lo que ha sido la meta de hackers y por tanto puesta a prueba a lo largo de los años.

Lejos quedaron los inconvenientes de seguridad descubiertos en 2009, con lo que la creencia popular de que WP es inseguro ha pasado a mejor vida.

Por cada pequeño atisbo de vulnerabilidad que pueda causar problemas, hay docenas – si no cientos – de ataques cogidos a tiempo gracias a una combinación de factores que se pueden resumir en: reportes de usuarios, equipo de seguridad de WP y en esfuerzo de desarrolladores independientes.

[easy-tuit tweet=»Es imposible suprimir el peligro, pero podemos reducirlo a la mínina expresión.» user=»@CITIFACE» hashtags=»#wordpress, #seguridad»]

En éste artículo vamos a analizar las cinco medidas esenciales que deberíamos tomar para mantener nuestra web aseguraday recomendaremos varios plugins para tal fin.

Índice de contenidos

Back to top

1) 1. Contrata un hosting de calidad

El primer factor diferenciador para impulsar nuestro proyecto es el alojamiento donde está alojado. Es por esta razón que seleccionar proveedores que ofrecen medidas anti-hackers y que realizan copias de respaldo al día es de vital relevancia.

El noventa por cien de nuestros proyectos están alojados eno, empresas españolas consagradas en el campo y que cuentan con medidas de seguridad convenientes, soporte técnico en español y un grupo de expertos dispuestos a solventar cualquier problema que pueda surgirnos.

Consigue un 20 por ciento de descuentoen cualquier paquete de Webempresay aplicando el código gracias20.

Back to top

2) 2. Usa contraseñas fuertes y cambia el nombre de usuario

El seguramente el error más común (y el más fácil de solventar también). Debemos evitar utilizar “admin” como nombre de usuario. La razón es sencilla: si alguien procura piratear tu página web a través de un ataque de fuerza bruta, sólo tendrá que descubrir una variable de la ecuación: la contraseña.

Desde el lanzamiento oficial de wordpress tres.0, los usuarios pueden seleccionar su propio nombre de usuario a lo largo de la instalación. Si no lo hiciste en su día y has estado ignorando las alertas del dashboard, éste puede ser un buen instante para cambiarlo.

Simplemente crea un nuevo usuario (Usuarios -> Añadir nuevo) con perfil de administrador y suprime el usuario «admin». WP te dará la opción de asignar todo su contenido al usuario previamente creado.

Enhorabuena, tu Wordpress ahora es bastante más seguro.

Tu contraseña es tu segunda línea de defensa y sí, ya sé que estas cansado de oír que es necesario escoger una contraseña segura y única para cada lugar, ¿pero sabes qué? Es una cosa que debes hacer y no está de más recordarlo.

Hay que reconocer que puede resultar tedioso tener (y actualizar) una contraseña para cada sitio, pero el esfuerzo es trivial comparado con la molestia de recobrar una página web comprometida.

Un generador de contraseñas puede ser la solución para los que manejáis varias páginas web. LastPass, Roboformand o 1Password son opciones excelentes que deberías tomar en consideración.

Para una capa de seguridad adicional, deberías considerar habilitar un factor doble de login a través de el uso de plugins como ithemes security (que analizaremos más adelante). Sentirás una sensación de alivio cuando el plugin te alerte por vez primera de un intento de identificación fallido desde un sitio ignoto.

Back to top

3) 3. Asegura tu pantalla de identificación

Incluso si tu combinación de usuario y contraseña es más segura que Fort Knox, un hacker competente podría lograr el acceso a tu dashboard si le dedica el tiempo preciso. Vamos a ponérselo difícil resguardando la pantalla de inicio de sesión contra ataques de fuerza bruta.

Una forma sencilla de solucionarlo es a través de la instalación de un plugin que limite el número de intentos de inicio de sesiónen un periodo de tiempo dado.

Si desde exactamente la misma IP alguien está procurando identificarse sin éxito puede atribuirse a un usuario con poca memoria, si al contrario están intentando acceder mediante la combinación de diferentes nombres de usuario y contraseñas, la historia cambia.

Tu pantalla de inicio no debería informar de qué campo (usuario o contraseña) es incorrecto en el caso de errorde identificación. Como hemos comentado anteriormente, no debemos facilitar información que pueda facilitar a los atacantes el ataque a nuestra página web.

Lospueden ser una buena herramientapara protegernos de los bots. Pese a que hay soluciones para saltarse la protección (farming captcha solution out to actual humans) que ofrecen los captchas, no está de más su implementación, además son sencillísimos de añadir a cualquier web.

Otra medida de seguridad a tener en consideración es la configuración de notificaciones de intentos de inicios de sesión desde lugares poco comunes, como por servirnos de un ejemplo, desde ips de otro país.

Instalar un firewall que bloquea IPs previamente incluidas en una lista negrapuede ser una buena idea. Vamos a ver cómo hacerlo al final del artículo.

Back to top

4) 4. Entender los permisos de archivos y directorios

En la gran mayoría de casos, no deberías manosear demasiado las configuraciones por defecto de Wordpress, pero vale la pena que tengas unas nociones mínimas acerca de los permisosde los archivos en WP.

En los sistemas de computación, los permisos determinan el grupo de reglas que gobiernan cada archivo o bien directorio (por ejemplo, quien puede leerlo, modificarlo o acceder a él).

Los modos más comunes son el seiscientos cuarenta y cuatro y el setecientos cincuenta y cinco.

Los archivos y directorios categorizados bajo el modo perfecto 644 dejan la modificación y lectura al propietario, pero sólo la lectura para el resto de usuarios. Este es el estado ideal para la mayoría de archivos.

El modo setecientos cincuenta y cinco es utilizado por carpetitas que dejan a todos los usuarios alterar dentro de ese directorio. Esporádicamente te encontrarás con plugins que requieren que ciertas carpetitas sean cambiadas a modo setecientos cincuenta y cinco.

Este apartado puede ser objeto de un artículo muy detallado. Para no extendernos demasiado, deberías tomar en consideración que hay que eludir configurar cualquier plugin que requiera dar un permiso para mudar una carpeta o fichero al modo setecientos setenta y siete, a menos, claro está, que sepas qué estas haciendo, puesto que deja a cualquier usuario leer, redactar o borrar directorios.

Back to top

5) 5. Backups (copias de respaldo)

Las copias de respaldo son una forma simple, a la vez que efectiva, de cubrirnos las espaldasen WP.

En caso de catástrofe estarás realmente orgulloso de preservar una copia de respaldo reciente de tu sitio.

Si tus copias de seguridad son viejas (o inexistentes), los pasos para recobrar tu sitio web como lo conocías pueden ser realmente lentos y dolorosos.

Dependiendo de las necesidades de tu sitio tendrás que hacer copias de respaldo con más o menos frecuencia.

Un backup semanal o quincenal suele ser suficientepara la mayoría de los proyectos y pueden ser automatizados y guardados en la nube a través de plugins.

Con el coste actual del alojamiento on line, no hay excusas para no tener nuestras copias de seguridad(on-line y offline) al día.

Back to top

6) 6. Manten tu WP actualizado

Somos siendo conscientes de lo molestas que son las notificaciones de actualización, tanto de los complementos instalados como del mismo WP. Sin embargo hay una razón por la que los equipos de desarrolladores nos bombardean con actualizaciones constantes, y no siempre y en todo momento es la de incluir nuevas características.

A pesar de lo sencillo que es utilizar Wordpress, no deja de ser un complejo CMS. Si añadimos la instalación de plugins y la interacción entre ellos, favorecemos involuntariamente la aparición de determinadas vulnerabilidades. Es por esta razón que los desarrolladores están en costante alerta para protejer a sus usuarios.

Saltarse la última actualización puede representar la diferencia entre tener un proyecto frágil a los piratas informáticos o un sitio dificilmente atacable.

Estate al tanto también del registros de cambios (changelog) o te perderás información importante sobre incompatibilidades entre los complementos y tu versión de wordpress.

Back to top

7) Plugins de seguridad para WordPress

Ahora que tenemos conocimientos básicos sobre seguridad en WordPresspodemos pasar a leer información más detallada y ampliar nuestros conocimientos sobre el tema en la misma página, más concretamente en la sección del codex.
Nuestra atención de ahora en adelante se enfocará en el análisis de los plugins libres para ayudarnos a proteger nuestra página web.
Como siempre decimos, la instalación de cualquier plugin puede ocasionar algunos inconvenientes en nuestra página web, por lo que tener una copia reciente del sitio antes de la instalación de cualquier extensión es enormemente aconsejable.
Echemos una ojeada a nuestra selección de los mejores plugins de wordpress para seguridad.

7.1) 1. Wordfence Security

Compatible oficialmente hasta:4.6.1
Última actualización:
Puntuación:4.8 sobre of 5 estrellas (más de un millón de instalaciones)
El complemento de seguridad más conocido de todos. Dispone de 2 versiones, una gratuita y otra de pago. Ofrece bloqueos desde fuentes maliciosas, inicios de sesión seguros, scaner de malware, firewall, soporte multisitio, y muchas otras características útiles.

Sus opciones de monitorización te permiten escanear todo el tráfico de tu WP en tiempo real.
Al ser un plugin de uso masivo, su gigante base de datos le deja actuar de forma eficiente ante intentos de penetración, bloqueando las fuentes poco fiables. Es por ello que el software se vuelve más eficiente a medida que crece su base de datos.

7.2) 2. iThemes Security

Compatible oficialmente hasta:4.6.1
Última actualización:
Puntuación:4.7 sobre of 5 estrellas (más de un millón de instalaciones)
El plugin conocido hasta hace verdaderamente poco como Better WP Security ofrece, como la opción precedente, una alternativa gratis y otra de pago y nos ofrece características como principios de sesión seguros con google, authenticator o bien Authy, scaner de malware, análisis de archivos, etc.
Otra característica de utilidad es la opción de asignar algunos privilegios a ciertos usuarios, además de mostrar logs detallados de las acciones de los mismos.

7.3) 3. All In One WP Security & Firewall

Compatible oficialmente hasta:4.3.1
Última actualización:
Puntuación:4.9 sobre of cinco estrellas (más de un millón de instalaciones)

Un complemento que hace honor a su nombre, . All In One WP Security & Firewall tiene un interfaz bastante amigable que muestra métricas de seguridad, una cuenta atrás de puntos de seguridad y el estado de características críticas como nombres de usuario por defecto, permisos de archivo y un firewall.
Sus características estan divididas entre 2 secciones, básica y avanzada, aptas tanto para los usuarios que se conforman con la configuración por defecto como para los que quieren profundizar más en el empleo del complemento.

7.4) 4. BulletProof Security

Compatible oficialmente hasta:4.6.1
Última actualización:
Puntuación:4.7 sobre of cinco estrellas (más de cien de instalaciones)
Bulletproof Security es un complemento que engloba algunos de los inconvenientes de seguridad más comunes que se presentan en los proyectos WP. Incluye seguridad de inicio de sesión, copias de seguridad automáticas, logs de fallos HTTP y muchas otras características útiles.
Tambien tienen una versión profesional al costo de 59.95 dólares americanos que añade monitorización en tiempo real, detección de intrusos y prevención de sistemas, firewall, medidas anti spam y 16 plugins independientes para cubrir la seguridad de forma modular.
La instalación puede efectuarse de forma manual o a través de fáciles pantallas de configuración.

7.5) 5. Sucuri Security

Compatible oficialmente hasta:3.2
Última actualización:
Puntuación:4.9 sobre of cinco estrellas (más de 200.000 de instalaciones)

Otra solución «todo en uno», la que nos ofrece una auditoría general, modificación de archivos y permisos, escaner de malware, listas negras, firewall y notificaciones de seguridad.

Las notificaciones son enviadas por email, pudiendo configurar su frecuencia. Define un límite de accesos errados desde la misma IP ya antes de considerarlo un ataque, y alarma de los intentos de inicio de sesión fallidos e inclusive de las modificaciones de los artículos.

Back to top

8) Soluciones específicas.

Los plugins citados previamente ofrecen un pack de medidas de seguridad que combaten prácticamente todas las amenazas a las que el usuario de WordPress está expuesto.

No obstante, puedes estar interesado en cubrir de manera expresa un determinado aspecto de seguridad.

A continuación examinamos una serie de complementos especificos que pueden sernos de gran utilidad.

8.1) 1. WP-DB-Backup

Compatible oficialmente hasta:4.3.1
Última actualización:
Puntuación:4.6 sobre of cinco estrellas (más de 400.000 de instalaciones)

WP-DB-Backup es un fácil plugin que, como su nombre indica, efectúa copias de seguridad de tu base de datos.

Necesitarás phpMyAdmin para restaurar la base de datos. Tendrás que cerciorarte de que tu distribuidor de hosting la incluye, ya que en pleno dos mil dieciseis hay quien no lo hace.

8.2) 2. Login Security Solution

Compatible oficialmente hasta:4.4.5
Última actualización:
Puntuación:4.4 sobre of cinco estrellas (más de 20.000 de instalaciones)

Login Security Solution. Complemento sencillo que nos deja, como su nombre indica, incrementar la seguridad de nuestra pantalla de identificación. Esta desarrollado para advertir anomalías en los inicios de sesión. Además puede analizar la fuerza de tu contraseña y fuerza a los usuarios a cambios constantes de su password.

8.3) 3. BBQ: Block Bad Queries

Compatible oficialmente hasta:4.3.1
Última actualización:
Puntuación:5 sobre of 5 estrellas (más de diez de instalaciones)

Es el único miembro de la lista con una puntuación perfecta – algo debe ver que solo tenga cuarenta y seis reseñas ;) – pero nos podemos hacer una idea de que cumple con su cometido de manera perfecta. ¿Cuál es su función? Monitorizar tu tráfico y bloquear consultas maliciosas y peticiones de URL de incierta procedencia.

Back to top

9) Conclusión

Debemos comprender que, aunque la seguridad de nuestra página debe ser tenida en cuenta, no debemos entrar en pánico.

Existen herramientas que nos dan, una vez configuradas correctamente, protección ante cualquier amenaza.

Hagamos un breve resumen de lo que hemos aprendido:

  • Contrata un alojamiento web de calidad ()
  • Utiliza nombres de usuario y contraseñas fuertes
  • Asegura tu pantalla de acceso
  • Entiende los permisos de ficheros y carpetas
  • Haz copias de respaldo de tu página
  • Mantén tu WP actualizado

Como dueño, diseñador o bien desarrollador web, tienes que ser siendo consciente de que pese a existir vulnerabilidades, nunca fue tan fácil sostener una instalación de WordPress segura.

¿Algún consejo de seguridad que desees compartir? ¡Hazlo en los comentarios!

Back to top
Share icon

Solicita información sin compromiso

Políticas de privacidad

De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su normativa de desarrollo, el responsable del sitio web, CITIFACE MANAGEMENT, S.L., en cumplimiento de lo dispuesto en el art. 5 y 6 de la LOPD, informa a todos los usuarios del sitio web www.citiface.com que faciliten, o vayan a facilitar sus datos personales, que estos serán incorporados a un fichero que se encuentra debidamente inscrito en la Agencia Española de Protección de Datos.

Consentimiento del usuario:
Mediante la marcación de las correspondientes casillas, en los formularios dispuestos en el sitio web para la recogida de datos, los usuarios aceptan expresamente y de forma libre e inequívoca que sus datos personales sean tratados con las finalidades y destinos que se detallarán a continuación.

Finalidad
Los datos que se faciliten a través del portal, se destinarán a la finalidad de responder a su solicitud de información, así como a remitirle información que consideremos que pueda ser de su interés. Incluyendo para ello medios electrónicos (email, sms, etc..). Asimismo, y si usted nos lo indica, le remitiremos a su correo electrónico nuestro boletín electrónico SEO/SEM en el que le trasladaremos recomendaciones y herramientas para la mejora de sus campañas de posicionamiento y pago por clic. Los envíos serán con carácter mensual y podrá dejar de recibirlos en cualquier momento a través del mecanismo establecido en el propio email.

Calidad de datos
Los datos marcados como obligatorios en el formulario que usted cumplimente, son necesarios para la prestación de un servicio óptimo al usuario y dar respuesta a sus requerimientos. En caso de que no sean facilitados todos los datos obligatorios, el prestador no garantiza la prestación de los servicios solicitados.
El usuario será el único responsable, respecto a la veracidad y actualización de los datos aportados a través de los distintos formularios del sitio web

Comunicación de datos a terceros
Sus datos personales no serán cedidos, en ningún caso, a terceras compañías, y que siempre que fuera a realizarse algún tipo de cesión de datos personales, de forma previa, se solicitaría el consentimiento expreso, informado, e inequívoco por parte de los titulares. Ejercicio de derechos ARCO
El prestador garantiza en todo caso al usuario el ejercicio de los derechos de acceso, rectificación, cancelación, información y oposición, en los términos dispuestos en la legislación vigente. Por ello, de conformidad con lo dispuesto en la LOPD, podrá ejercer sus derechos remitiendo una solicitud expresa, junto a una copia de su DNI, a través del correo electrónico: info[at]citiface.com o Calle Farell 3, 1-1. 08014 Barcelona .

Medidas de seguridad
Del mismo modo, el prestador, conforme a lo establecido en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la L.O. 15/1999, indica que ha adoptado todas las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos de carácter personal que trate, así como para evitar su pérdida, alteración y/o acceso por parte de terceros no autorizados.

Menores de edad
Se prohíbe, expresamente, a los menores de 14 años, facilitar ningún dato a través del presente sitio web, sin contar con el consentimiento y supervisión de sus padres o tutores legales.
Si el prestador tuviera noticia acerca de la infracción de la referida prohibición, procederá a la eliminación de cualquier dato asociado al usuario en cuestión.

Uso de cookies y del fichero de actividad
El prestador por su propia cuenta o la de un tercero contratado para la prestación de servicios de medición, pueden utilizar cookies cuando un usuario navega por el sitio web. Las cookies son ficheros enviados al navegador por medio de un servidor web con la finalidad de registrar las actividades del usuario durante su tiempo de navegación.
Las cookies utilizadas por el sitio web se asocian únicamente con un usuario anónimo y su ordenador, y no proporcionan por sí mismas los datos personales del usuario.
Mediante el uso de las cookies resulta posible que el servidor donde se encuentra la web, reconozca el navegador web utilizado por el usuario con la finalidad de que la navegación sea más sencilla, permitiendo, por ejemplo, el acceso a los usuarios que se hayan registrado previamente, acceder a las áreas, servicios, promociones o concursos reservados exclusivamente a ellos sin tener que registrarse en cada visita. Se utilizan también para medir la audiencia y parámetros del tráfico, controlar el progreso y número de entradas.
Puede Usted rechazar el tratamiento de los datos o la información rechazando el uso de cookies mediante la selección de la configuración apropiada de su navegador, sin embargo, debe Usted saber que si lo hace puede ser que no pueda usar la plena funcionabilidad de este website.
Este sitio web utiliza Google Analytics, un servicio analítico de web prestado por Google, Inc., una compañía de Delaware cuya oficina principal está en 1600 Amphitheatre Parkway, Mountain View (California), CA 94043, Estados Unidos («Google»). Google Analytics utiliza «cookies», que son archivos de texto ubicados en su ordenador, para ayudar al website a analizar el uso que hacen los usuarios del sitio web. La información que genera la cookie acerca de su uso del website (incluyendo su dirección IP) será directamente transmitida y archivada por Google en los servidores de Estados Unidos. Google usará esta información, por cuenta nuestra, con el propósito de seguir la pista de su uso del website, recopilando informes de la actividad del website y prestando otros servicios relacionados con la actividad del website y el uso de Internet.
Google podrá transmitir dicha información a terceros cuando así se lo requiera la legislación, o cuando dichos terceros procesen la información por cuenta de Google. Google no asociará su dirección IP con ningún otro dato del que disponga Google.
Puede Usted rechazar el tratamiento de los datos o la información rechazando el uso de cookies mediante la selección de la configuración apropiada de su navegador, sin embargo, debe Usted saber que si lo hace puede ser que no pueda usar la plena funcionalidad de este website. Al utilizar este website Usted consiente el tratamiento de información acerca de Usted por Google en la forma y para los fines arriba indicados. En todo caso, le informamos que para instar a la cancelación de los posibles tratamientos de datos llevados a cabo por Google, deberá dirigirse a esa compañía, a tal efecto. El prestador no tiene la capacidad técnica ni legal, para proceder al cese en el tratamiento de datos fuera del ámbito delimitado por los ficheros y medios técnicos de su titularidad. Y no se le podrán exigir responsabilidades en este sentido. Para conocer más acerca de las cookies es.wikipedia.org/wiki/Cookie_(informática)

SEMrush

SEMrush

SEMrush

ESTOS EXCLUSIVOS INFORMES GRATUITO REVELAN

7 SECRETOS DE EXPERTOS SEO QUE TE LLEVÁN AL 1#
7 SECRETOS DE EXPERTOS SEO QUE TE LLEVÁN AL 1# EN GOOGLE PARA GANAR 10.000s DE TRÁFICO DE CALIDAD GRATUITO - EN SÓLO 2 MESES
 

Los 7 pasos más poderosos para disparar tu ranking orgánico para ALCANZAR Y MANTENER un impresionante tráfico orgánico es TUYO.

Consigue gratis lo que el 1% de los expertos en SEO venden por miles de euros... y el otro 99% ni siquiera sabe que existe.


OBTEN MI INFORME GRATUITO
5 errores que debes evitar en tu sitio web de Drupal
Ebook - 5 errores que debes evitar en tu sitio web de Drupal (¡podrían costarte miles de euros!)
 

Este Ebook cubre 5 terribles errores que probablemente estés cometiendo ahora mismo con tu sitio web de Drupal.

¡Nº3 TE SORPRENDERÁ! Esta lectura de 10 minutos te ahorrará miles de euros.



OBTEN MI INFORME GRATUITO