La seguridad en WordPresses uno de los temas que más tratamos con nuestros clientes en nuestra.
Ningún software es totalmente seguro y, como no podía ser de otra forma, Wordpress no es la excepción.
por lo que ha sido la meta de hackers y por tanto puesta a prueba a lo largo de los años.
Lejos quedaron los inconvenientes de seguridad descubiertos en 2009, con lo que la creencia popular de que WP es inseguro ha pasado a mejor vida.
Por cada pequeño atisbo de vulnerabilidad que pueda causar problemas, hay docenas – si no cientos – de ataques cogidos a tiempo gracias a una combinación de factores que se pueden resumir en: reportes de usuarios, equipo de seguridad de WP y en esfuerzo de desarrolladores independientes.
[easy-tuit tweet=»Es imposible suprimir el peligro, pero podemos reducirlo a la mínina expresión.» user=»@CITIFACE» hashtags=»#wordpress, #seguridad»]
En éste artículo vamos a analizar las cinco medidas esenciales que deberíamos tomar para mantener nuestra web aseguraday recomendaremos varios plugins para tal fin.
Índice de contenidos
Back to top1) 1. Contrata un hosting de calidad
El primer factor diferenciador para impulsar nuestro proyecto es el alojamiento donde está alojado. Es por esta razón que seleccionar proveedores que ofrecen medidas anti-hackers y que realizan copias de respaldo al día es de vital relevancia.
El noventa por cien de nuestros proyectos están alojados eno, empresas españolas consagradas en el campo y que cuentan con medidas de seguridad convenientes, soporte técnico en español y un grupo de expertos dispuestos a solventar cualquier problema que pueda surgirnos.
Consigue un 20 por ciento de descuentoen cualquier paquete de Webempresay aplicando el código gracias20.
Back to top2) 2. Usa contraseñas fuertes y cambia el nombre de usuario
El seguramente el error más común (y el más fácil de solventar también). Debemos evitar utilizar “admin” como nombre de usuario. La razón es sencilla: si alguien procura piratear tu página web a través de un ataque de fuerza bruta, sólo tendrá que descubrir una variable de la ecuación: la contraseña.
Desde el lanzamiento oficial de wordpress tres.0, los usuarios pueden seleccionar su propio nombre de usuario a lo largo de la instalación. Si no lo hiciste en su día y has estado ignorando las alertas del dashboard, éste puede ser un buen instante para cambiarlo.
Simplemente crea un nuevo usuario (Usuarios -> Añadir nuevo) con perfil de administrador y suprime el usuario «admin». WP te dará la opción de asignar todo su contenido al usuario previamente creado.
Enhorabuena, tu Wordpress ahora es bastante más seguro.
Tu contraseña es tu segunda línea de defensa y sí, ya sé que estas cansado de oír que es necesario escoger una contraseña segura y única para cada lugar, ¿pero sabes qué? Es una cosa que debes hacer y no está de más recordarlo.
Hay que reconocer que puede resultar tedioso tener (y actualizar) una contraseña para cada sitio, pero el esfuerzo es trivial comparado con la molestia de recobrar una página web comprometida.
Un generador de contraseñas puede ser la solución para los que manejáis varias páginas web. LastPass, Roboformand o 1Password son opciones excelentes que deberías tomar en consideración.
Para una capa de seguridad adicional, deberías considerar habilitar un factor doble de login a través de el uso de plugins como ithemes security (que analizaremos más adelante). Sentirás una sensación de alivio cuando el plugin te alerte por vez primera de un intento de identificación fallido desde un sitio ignoto.
Back to top3) 3. Asegura tu pantalla de identificación
Incluso si tu combinación de usuario y contraseña es más segura que Fort Knox, un hacker competente podría lograr el acceso a tu dashboard si le dedica el tiempo preciso. Vamos a ponérselo difícil resguardando la pantalla de inicio de sesión contra ataques de fuerza bruta.
Una forma sencilla de solucionarlo es a través de la instalación de un plugin que limite el número de intentos de inicio de sesiónen un periodo de tiempo dado.
Si desde exactamente la misma IP alguien está procurando identificarse sin éxito puede atribuirse a un usuario con poca memoria, si al contrario están intentando acceder mediante la combinación de diferentes nombres de usuario y contraseñas, la historia cambia.
Tu pantalla de inicio no debería informar de qué campo (usuario o contraseña) es incorrecto en el caso de errorde identificación. Como hemos comentado anteriormente, no debemos facilitar información que pueda facilitar a los atacantes el ataque a nuestra página web.
Lospueden ser una buena herramientapara protegernos de los bots. Pese a que hay soluciones para saltarse la protección (farming captcha solution out to actual humans) que ofrecen los captchas, no está de más su implementación, además son sencillísimos de añadir a cualquier web.
Otra medida de seguridad a tener en consideración es la configuración de notificaciones de intentos de inicios de sesión desde lugares poco comunes, como por servirnos de un ejemplo, desde ips de otro país.
Instalar un firewall que bloquea IPs previamente incluidas en una lista negrapuede ser una buena idea. Vamos a ver cómo hacerlo al final del artículo.
Back to top4) 4. Entender los permisos de archivos y directorios
En la gran mayoría de casos, no deberías manosear demasiado las configuraciones por defecto de Wordpress, pero vale la pena que tengas unas nociones mínimas acerca de los permisosde los archivos en WP.
En los sistemas de computación, los permisos determinan el grupo de reglas que gobiernan cada archivo o bien directorio (por ejemplo, quien puede leerlo, modificarlo o acceder a él).
Los modos más comunes son el seiscientos cuarenta y cuatro y el setecientos cincuenta y cinco.
Los archivos y directorios categorizados bajo el modo perfecto 644 dejan la modificación y lectura al propietario, pero sólo la lectura para el resto de usuarios. Este es el estado ideal para la mayoría de archivos.
El modo setecientos cincuenta y cinco es utilizado por carpetitas que dejan a todos los usuarios alterar dentro de ese directorio. Esporádicamente te encontrarás con plugins que requieren que ciertas carpetitas sean cambiadas a modo setecientos cincuenta y cinco.
Este apartado puede ser objeto de un artículo muy detallado. Para no extendernos demasiado, deberías tomar en consideración que hay que eludir configurar cualquier plugin que requiera dar un permiso para mudar una carpeta o fichero al modo setecientos setenta y siete, a menos, claro está, que sepas qué estas haciendo, puesto que deja a cualquier usuario leer, redactar o borrar directorios.
Back to top5) 5. Backups (copias de respaldo)
Las copias de respaldo son una forma simple, a la vez que efectiva, de cubrirnos las espaldasen WP.
En caso de catástrofe estarás realmente orgulloso de preservar una copia de respaldo reciente de tu sitio.
Si tus copias de seguridad son viejas (o inexistentes), los pasos para recobrar tu sitio web como lo conocías pueden ser realmente lentos y dolorosos.
Dependiendo de las necesidades de tu sitio tendrás que hacer copias de respaldo con más o menos frecuencia.
Un backup semanal o quincenal suele ser suficientepara la mayoría de los proyectos y pueden ser automatizados y guardados en la nube a través de plugins.
Con el coste actual del alojamiento on line, no hay excusas para no tener nuestras copias de seguridad(on-line y offline) al día.
Back to top6) 6. Manten tu WP actualizado
Somos siendo conscientes de lo molestas que son las notificaciones de actualización, tanto de los complementos instalados como del mismo WP. Sin embargo hay una razón por la que los equipos de desarrolladores nos bombardean con actualizaciones constantes, y no siempre y en todo momento es la de incluir nuevas características.
A pesar de lo sencillo que es utilizar Wordpress, no deja de ser un complejo CMS. Si añadimos la instalación de plugins y la interacción entre ellos, favorecemos involuntariamente la aparición de determinadas vulnerabilidades. Es por esta razón que los desarrolladores están en costante alerta para protejer a sus usuarios.
Saltarse la última actualización puede representar la diferencia entre tener un proyecto frágil a los piratas informáticos o un sitio dificilmente atacable.
Estate al tanto también del registros de cambios (changelog) o te perderás información importante sobre incompatibilidades entre los complementos y tu versión de wordpress.
Back to top7) Plugins de seguridad para WordPress
Ahora que tenemos
conocimientos básicos sobre seguridad en WordPresspodemos pasar a leer información más detallada y ampliar nuestros conocimientos sobre el tema en la misma página, más concretamente en la sección del codex.
Nuestra atención de ahora en adelante se enfocará en el análisis de los
plugins libres para ayudarnos a proteger nuestra página web.
Como siempre decimos, la instalación de cualquier plugin puede ocasionar algunos inconvenientes en nuestra página web, por lo que tener una copia reciente del sitio antes de la instalación de cualquier extensión es enormemente aconsejable.
Echemos una ojeada a nuestra
selección de los mejores plugins de wordpress para seguridad.
7.1) 1. Wordfence Security
Compatible oficialmente hasta:4.6.1
Última actualización:
Puntuación:4.8 sobre of 5 estrellas (más de un millón de instalaciones)
El complemento de seguridad más conocido de todos. Dispone de 2 versiones, una gratuita y otra de pago. Ofrece bloqueos desde fuentes maliciosas, inicios de sesión seguros, scaner de malware, firewall, soporte multisitio, y muchas otras características útiles.
Sus opciones de monitorización te permiten escanear todo el tráfico de tu WP en tiempo real.
Al ser un plugin de uso masivo, su gigante base de datos le deja actuar de forma eficiente ante intentos de penetración, bloqueando las fuentes poco fiables. Es por ello que el software se vuelve más eficiente a medida que crece su base de datos.
7.2) 2. iThemes Security
Compatible oficialmente hasta:4.6.1
Última actualización:
Puntuación:4.7 sobre of 5 estrellas (más de un millón de instalaciones)
El plugin conocido hasta hace verdaderamente poco como Better WP Security ofrece, como la opción precedente, una alternativa gratis y otra de pago y nos ofrece características como principios de sesión seguros con google, authenticator o bien Authy, scaner de malware, análisis de archivos, etc.
Otra característica de utilidad es la opción de asignar algunos privilegios a ciertos usuarios, además de mostrar logs detallados de las acciones de los mismos.
7.3) 3. All In One WP Security & Firewall
Compatible oficialmente hasta:4.3.1
Última actualización:
Puntuación:4.9 sobre of cinco estrellas (más de un millón de instalaciones)
Un complemento que hace honor a su nombre, . All In One WP Security & Firewall tiene un interfaz bastante amigable que muestra métricas de seguridad, una cuenta atrás de puntos de seguridad y el estado de características críticas como nombres de usuario por defecto, permisos de archivo y un firewall.
Sus características estan divididas entre 2 secciones, básica y avanzada, aptas tanto para los usuarios que se conforman con la configuración por defecto como para los que quieren profundizar más en el empleo del complemento.
7.4) 4. BulletProof Security
Compatible oficialmente hasta:4.6.1
Última actualización:
Puntuación:4.7 sobre of cinco estrellas (más de cien de instalaciones)
Bulletproof Security es un complemento que engloba algunos de los inconvenientes de seguridad más comunes que se presentan en los proyectos WP. Incluye seguridad de inicio de sesión, copias de seguridad automáticas, logs de fallos HTTP y muchas otras características útiles.
Tambien tienen una versión profesional al costo de 59.95 dólares americanos que añade monitorización en tiempo real, detección de intrusos y prevención de sistemas, firewall, medidas anti spam y 16 plugins independientes para cubrir la seguridad de forma modular.
La instalación puede efectuarse de forma manual o a través de fáciles pantallas de configuración.
7.5) 5. Sucuri Security
Compatible oficialmente hasta:3.2
Última actualización:
Puntuación:4.9 sobre of cinco estrellas (más de 200.000 de instalaciones)
Otra solución «todo en uno», la que nos ofrece una auditoría general, modificación de archivos y permisos, escaner de malware, listas negras, firewall y notificaciones de seguridad.
Las notificaciones son enviadas por email, pudiendo configurar su frecuencia. Define un límite de accesos errados desde la misma IP ya antes de considerarlo un ataque, y alarma de los intentos de inicio de sesión fallidos e inclusive de las modificaciones de los artículos.
Back to top8) Soluciones específicas.
Los plugins citados previamente ofrecen un pack de medidas de seguridad que combaten prácticamente todas las amenazas a las que el usuario de WordPress está expuesto.
No obstante, puedes estar interesado en cubrir de manera expresa un determinado aspecto de seguridad.
A continuación examinamos una serie de complementos especificos que pueden sernos de gran utilidad.
8.1) 1. WP-DB-Backup
Compatible oficialmente hasta:4.3.1
Última actualización:
Puntuación:4.6 sobre of cinco estrellas (más de 400.000 de instalaciones)
WP-DB-Backup es un fácil plugin que, como su nombre indica, efectúa copias de seguridad de tu base de datos.
Necesitarás phpMyAdmin para restaurar la base de datos. Tendrás que cerciorarte de que tu distribuidor de hosting la incluye, ya que en pleno dos mil dieciseis hay quien no lo hace.
8.2) 2. Login Security Solution
Compatible oficialmente hasta:4.4.5
Última actualización:
Puntuación:4.4 sobre of cinco estrellas (más de 20.000 de instalaciones)
Login Security Solution. Complemento sencillo que nos deja, como su nombre indica, incrementar la seguridad de nuestra pantalla de identificación. Esta desarrollado para advertir anomalías en los inicios de sesión. Además puede analizar la fuerza de tu contraseña y fuerza a los usuarios a cambios constantes de su password.
8.3) 3. BBQ: Block Bad Queries
Compatible oficialmente hasta:4.3.1
Última actualización:
Puntuación:5 sobre of 5 estrellas (más de diez de instalaciones)
Es el único miembro de la lista con una puntuación perfecta – algo debe ver que solo tenga cuarenta y seis reseñas ;) – pero nos podemos hacer una idea de que cumple con su cometido de manera perfecta. ¿Cuál es su función? Monitorizar tu tráfico y bloquear consultas maliciosas y peticiones de URL de incierta procedencia.
Back to top9) Conclusión
Debemos comprender que, aunque la seguridad de nuestra página debe ser tenida en cuenta, no debemos entrar en pánico.
Existen herramientas que nos dan, una vez configuradas correctamente, protección ante cualquier amenaza.
Hagamos un breve resumen de lo que hemos aprendido:
- Contrata un alojamiento web de calidad ()
- Utiliza nombres de usuario y contraseñas fuertes
- Asegura tu pantalla de acceso
- Entiende los permisos de ficheros y carpetas
- Haz copias de respaldo de tu página
- Mantén tu WP actualizado
Como dueño, diseñador o bien desarrollador web, tienes que ser siendo consciente de que pese a existir vulnerabilidades, nunca fue tan fácil sostener una instalación de WordPress segura.
¿Algún consejo de seguridad que desees compartir? ¡Hazlo en los comentarios!
Back to top
