Seguridad de WordPress

Tu día a día comoes una lucha constante contra elementos que quieren entrar en tu página web y usarla para fines… muy distintos al que habías pensado.

Reconocerlo y saberlo es el paso inicial para progresar la.

¿Quieres saber a qué me refiero?

• Bots(programas automáticos) que procuran vulnerabilidades en tu web.
• , personas con algunos conocimientos de los sistemas, buscando entrar también.
• Ese compañero de trabajo al que le duele tu éxito, y ha descubierto en Google como emplear o .
• El diseñador poco profesional que te hizo la página web, y esta resentido pues has contratado a otro mejor.

Casos hay cientos, más de los que te he puesto aquí de ejemplo, y cada uno de estos, los he vivido, combatido o recuperado.

El último caso es real. No creas que no ocurre.

¿Qué encontrarás aquí?

Me avisó una web en la que había trabajado haciendo unos cambios, de que había desaparecido por completo.

Revisando los logs del servidor, vimos que la orden de borrado de todos los archivos se había hecho por FTP, y desde la IP del diseñador original de la página web. ¿Cómo se sabe que era su IP? Por el hecho de que coincide con su localidad, y porque es la misma IP que figuraba en los logs de cuando se creo la web. Así que sí, estas cosas pasan.

Y no te creas que por estar comenzando, no recibes ataques.Te sorprenderías con la rapidez con la que tu weblog empieza a recibir estas visitas no deseadas. Y de hecho, cómo verás ,los weblogs novatos son los más frágiles.

El único que no te he puesto es el del hacker profesional.

Hasta yo creo que como uno se empeñe a entrar en mi web, lo logra.

Pero precisamente estos no vienen a hacer daño. Es solo la superación del reto. Y en este caso, tambien creo que no soy suficientemente esencial o conocido para ser un reto, estando por ahí disponible la web de la Casa Blanca.

Y que ataques puedes percibir o bien para qué:

• Ataques de fuerza brutao de diccionariopara averiguar tu contraseña (hay diccionarios con más de posibles contraseñas, y que ciertamente son utilizadas por el 73 por ciento de las personas).
• Ataques de Psicología Social(el típico email de hemos detectado un problema con su cuenta, envíe usuario y contraseña, o la llamada averiguando detalles nuestros), o incluso el Basureo (no, lo siento, debes leer más para saber que es esta técnica).
• Aprovechamiento de vulnerabilidades XSS,exploits, o fallos en código. Muy técnico. Un rollo. Mas quédate con la idea que la tecnología que usamos puede tener fallos, y hay que aplicarle parches para cerrar esos agujeros de seguridad.
• Ataques DDoS, o bien de denegación de servicio. Esto es que recibes tantas peticiones, que te echan el servidor abajo.
• Spam: Llenan tus artículos de enlaces ocultos, para posicionar webs fraudulentas, y te tocará estar en listas negras.

Pero despreocúpate.

Respira.

Que para eso estoy aquí, para dejarte esta mega-guía con pilares que tienes quey convertirla en elde los WP.

Back to top

1) Los cinco pilares esenciales para prosperar la seguridad de WordPress

Cuando hayas reforzado estas cinco bases de tu proyecto, dormirás más sosegado.

Tambien descubrirás, que contra lo que pensabas, si estas siendo atacado ahora. Mas cuando menos ya sabes que le pusiste solución y estas protegido.

No existe ninguna parte más importante que otra. Simplemente hay que reforzar las 5 o el sistema tendrá un punto de fallo.

Y una vez hecho, solo es cuestión de aplicar lógica y tener en cuenta dos o tres medidas básicas.

¿Vamos a ello?

1.1) Pilar #1. El eslabón más débil de la cadena somos nosotros

Pues sí, voy a comenzar por el más básico, pero de algún modo el que más falla. El eslabón más débil de la cadena de seguridad somos nosotros, y el principal punto de entrada de ataques. Así que prosigue estos consejos al pie de la letra, y conviértete en el eslabón más fuerte.

Las personas somos el eslabón débil de la cadena de seguridad.

1.1.1) Usa contraseñas fuertes.

El fallo número uno..

Y fuerte no significa solo larga, y con números y mayusculas y minúsculas. Fuerte significa además aleatoria.

No sirve de nada que Luis Perez, que tiene un cánido que se llama Nostradamus (Nostri es como lo llaman en la familia), ponga de contraseña Nostradamus .

Si. Es segura. Y si, un ataque de fuerza salvaje lo tendrá complicado. Pero alguien que lo conozca puede tener sencillo descifrarla.

Una contraseña segura es esta: 2nFBxtjGH?TR1a

Al final te cuento el secreto para recordarlas.

1.1.2) Usa contraseñas diferentes.

Por que claro, de nada te vale usar una contraseña fuerte, si entonces te registras en todos los sitios con la misma.

Pues sabrás que no todos y cada uno de los sitios guardan la contraseña de una manera cifrada.

Y por lo tanto ese foro de discusión de cocina que tanto te agrada, o bien esa web donde te registraste mientras procurabas turismo, es posible que este viendo tu email y contraseña. Y por tanto, tener acceso a tu, correo,…

O que se genere un ataque de esos que birlan miles de contraseñas, de algún servicio web, y se vean comprometidos todos tus.

Así que bien sabes, fuerte, aleatoria, y además diferente para cada cuenta y web.

¿Ves como vas a necesitar algo para recordarlas?

No se las des a nadie. Nunca.

Repito. Nunca.

Si un desarrollador tiene que entrar a tu sitio web, para comprobar un, para hacerte cambios, etc… crea un usuario para el, que podrás desactivar después, quitar, o cambiarle los permisos.

Así tendrás controlado quien entra en tu página web, y cuando.

Y si no puedes crear un usuario, cambia la contraseña, y pon una temporal, y cuando finalice el trabajo, vuélvela a mudar.

Multiplica el Nº de clicks en tus contenidos

Con este eBook gratuitode plantillas de crearás titulos que dispararán los clicsen tus contenidos:

• 77 Plantillas de títulos demostradas que multiplicarán los clicks.
• Sacaras infinitas ideas crear tus títulos.
• Con las palabras "mágicas" redactarás textos irresistibles.
• Vale para todo: weblogs,,, etc.

Obtén tu eBook aquí

Apúntate a nuestra Zona VIPy descárgate tu eBook ya

Es 100 por cien gratis🙂

El responsablede este lugar es Wenova Online sociedad limitada, cuya finalidades el envío de información y formación sobre blogging y, con la legitimaciónde tu consentimiento concedido en el formulario.

El destinatariode tus datos (la herramienta que utilizamos) es. Está ubicada en España y podrás ejercer tus derechos de acceso, rectificación, limitación o supresión de tus datos(ver la).

1.1.3) Recuerda de forma eficiente y segura tantas contraseñas

No vale apuntarlas en un blog post-it, o en tu agenda. O bien en un papel que entonces arrugas y tiras a la papelera.

¿Recuerdas que te charlaba del basureo?

Pues es precisamente buscar en la mesa, o basura de alguien por este tipo de apuntes. Si; es una técnica de hackeo. ¿Increíble verdad?

Así que para que puedas recordarpara cada cuenta o sitio web, lo mejor es utilizar un gestor de contraseñas:

• con versiones para todos y cada uno de los sistemas operativos habituales, app para móviles y extensiones para navegador. Gratis y con versión premium. Lo que no me agrada es que las contraseñas se almacenan cifradas en sus servidores.
• :Multiplataforma tambien, pero solo en versión de pago. Es el que empleo, pues marcha excelente, y las contraseñas están almacenadas en mi propioen un fichero cifrado.
• :Versión para Mac, Windows y apps para smartphones, y completamente sin costo. Para mi recién descubierto, mas tiene buena pinta. De haberlo encontrado ya antes quizás no hubiera comprado 1Password. Las contraseñas se almacenan tambien de manera local.

Con estos sistemas solo deberás rememorar una contraseña. La de acceso a la base de datos de contraseñas. El resto estará cifrado y seguro. Tan seguro, que si olvidas esa contraseña… ¡las perderás por siempre! (y ahora no me vayas a apuntar ésta en el blog post-it pegado a tu monitor…)

La diferencia entre que se almacene de forma local o bien remota, es que si los servidores de la compañía se ven comprometidos,. Yo soy más de tener yo el control, pero seguro que invierten más en seguridad que .

1.2) Pilar #2. Tu computador y sistemas siempre y en toda circunstancia seguros

De nada sirve utilizar contraseñas fuertes y poner mil medidas de seguridad, si luego un simple keylogger(un programa que atrapa lo que escribimos en el teclado) atrapa tus datos de acceso.

Por lo tanto, es una parte indispensable que le des vitaminas a tu computador, para protegerlo de virus, y malware.

No es difícil manejar uno de los antivirus más potentes que ahi.

Eso se hace con un buen antivirus, y mucho sentido lógico.

Para mi los mejores antivirus serian ,y .¿Debes usar exclusivamente uno de estos? No, si el que tienes te va bien, no tienes pues mudar. Pero si no usas ninguno, tienes donde escoger. Indispensable si empleas Windows.

Si eres usuario de Mac o bien Linux, no te confíes. No te creas la historia de leyenda urbana de que no existen virus o bien malware para estos sistemas. No es cierta. Mas tampoco precisas un antivirus. Sus sistemas de permisos, y que sean sistemas menos extendidos, los hace menos apetecibles a ataques. Si precisas usar mucho tu sentido común.

Consejos aplicables a todos y cada uno de los sistemas (ordenadores o móviles):

• No instales aplicaciones de procedencia sospechosa. Unos euros ahorrados por emplear una aplicación pirata te pueden valer caros. Ni instalesgratuitas «extrañas» en tu equipo de trabajo». No descargues de Softonic (curiosamente, la versión gratis de avast te manda descargarla de softonic…).
• Usa solo en general , que tengan reviews de bloggers independientes.
• No abras adjuntos de correos electrónicos de desconocidos. Y de conocidos si no esperas nada, observalo con precaución.
• Solo usa tus claves en webs que tu mismo hayas escrito la url.

Y unos consejos extras, relacionados con las comunicaciones:

• Por ahorrarte nuevamente unos eurillos, no compartas la conexión a Internet con vecinos o ignotos. Mucho menos, le «robes» la conexión a absolutamente nadie.
• No emplees WiFis públicas de centros comerciales u hoteles.

El motivo de esto es que es sencillísimo para alguien, «sniffar» o extraer toda la información que circula por esa red, para después examinarla reposadamente. Esta recomendación es sobre todo esencial si el panel de admin de tu WordPress no utiliza https. Es un consejo básico para progresar la seguridad.

1.3) Pilar #3. La seguridad de tu Wordpress es el baso de tu negocio online

Tengo claro que no abrirías un bar en un edificio viejo, o mal construido, que consideras que se te puede venir abajo en cualquier momento.

O que los ladrones se pueden colar haciendo un simple orificio en la pared de lo debilucha que es.

¿Entonces por el hecho de que usas para tu negocio en línea servidores de poca calidad?

Yo personalmente, al igual que Berto,. Por seguridad, por soporte, y por desempeño.

Aquí te dejo una captura de pantalla de sus diferentes planes y precios (haz click en ella si deseas irte a su página web):

Los planes decon el costo después de aplicar el descuento.

Laes excepcional:

• Medidas de seguridad pro-activas, a fin de que aunque no actualices no te veas perjudicado.
• Medidas de seguridad pasivas,como bloqueo por intentos errados repetidos de empezar sesión.
• Bloqueo a todos los países de habla no hispana al admin de tu web. ¡Ni te imaginas lo que te quita esto de encima!

Otro servidor que me marcha realmente bien a nivel de seguridad para WP, y donde. Mucho más caro, mas sencillamente te olvidas de administrar seguridad o bien rendimiento, puesto que es un.

En este caso, nuevamente, apreciar ahorrar algo de dinero, te puede costar realmente caro entonces.

Aquí no hay más ciencia. Si quieres seguridad en tu WordPress, invierte en un servidor de veras.

Como ejemplo, decirte que uno de los más famosos,, no se pues últimamente me he encontrado numerosos clientes que lo utilizaban, con el blog inficionado por Spam posicionamiento en buscadores.

Sencillamente es mejor elegir algo que te un buen soporte, y mas que ser famosísimo, saber que administra realmente bien sus recursos.

No hay mayor complicación para tener un buen pilar de seguridad en este sentido.

1.4) Pilar #4. La seguridad de Wordpress es una cosa que no hay que olvidar

No podemos estar hablando de la seguridad en WordPress, y no hablar de lo que se ha de hacer, para que ésta sea insuperable.

Resultado de un escáner hecho con Sucuri Security.

Básicamente se basa en fortalecer múltiples aspectos:

• Obligar a los usuarios a usar contraseñas fuertes(esto lo hace por defecto Wordpress desde la versión 4.3, pero no esta de más asegurarnos).
• Limitar los intentos de iniciar sesión, y así bloquear los ataques a la fuerza bárbara.
• Realizar una búsqueda periódica de malware, a fin de que nos avise en el caso de cambios inesperados, y podamos solucionarlo con eficacia y rápida.
• Eliminar posibles vulnerabilidadeso debilidades de los plugins o bien temasque tengamos instalados.
• Bloquear bots(programas automáticos) en busca de dichas vulnerabilidades.

Para poder hacer todo esto,, y labores periódicas de mantenimiento que hay que hacer si o si.

1.4.1) Lo más importante: Mantén WordPress actualizado

Como te he explicado, una de las formas más frecuentes de ataque es aprovechando las vulnerabilidades de plugins, temas, o bien del propio WP. Por eso en ocasiones salen actualizaciones, que corrigen dichas debilidades, y es sumamente aplicarlas.

No debes tener miedo a actualizar, si lo haces bien, y no dejas que se amontonen las actualizaciones.

• Nunca actualices WordPress tras salir la actualización. O si lo haces, asegúrate de tener una copia de seguridadque sepas restaurar. Por norma general se espera dos o bien tres días, a que se descubran posibles fallos o incompatibilidades que pueda dar. Cuando pase el periodo de gracia ni lo pienses. Actualiza.
• Si tienes múltiples actualizaciones de plugins pendientes, no las hagas todas y cada una de golpe. Es mejor ir de una en una, aunque tardes más. De esa forma si alguna falla, sabrás exactamente como ha sido, y podrás solucionarlo.
• Actualiza también temas o plugins que tengas desactivados. Si bien de esto te hablaré más adelante.
• Siempre haz una copia de seguridadantes de actualizar por si acaso.

Entro en muchas webs que tienen aún WP 3.9 o bien afín. Que nadie que lea Ciudadano veinte sea de estos por favor. Ponte a trabajar, que es muy sencillo.

Especial cuidado con actualizar los temas, pues si no usas un sistema basado enes fácil que al actualizar pierdas cambios y personalizaciones realizadas. Para eso lo mejor es utilizar un sistema, como cuando te instalasFramework + un Child Tema. Si es tu caso, y no deseas cambiar de tema, habla con un profesional para que te haga un Child Theme.

1.4.2) Instala un plugin todo en uno

Lo primero es instalar un plugin que nos asista a efectuar varias funciones. Aquí te daré dos elecciones, ya probadas:

es el plugin que suelo utilizar para resguardar mis instalaciones fuera de, y las de mis clientes. Es sencillo de utilizar, y prácticamente desde su activación ya estas protegido sin haber configurado nada.

Otra opción que empleo en algunos de mis clientes del servicio es el plugin.

Utiliza solo uno de ellos. Si bien hay gente que emplea los dos combinados, creo que si no sabes lo que haces te puede dar más inconvenientes que soluciones.

Cualquiera de ellos te ayudará a limitar los intentos de login, bloquear bots y ataques, y reforzar generalmente la seguridad de Wordpress.

Simplemente emplea el que te llame más la atención.

1.4.3) Añadamos un extra de seguridad

Con las 2 medidas precedentes, ya tienes tu WordPress lo suficientemente seguro. Pero a mi me agrada añadir una medida extra.

El complemento te ayuda a escanear en pos de malware y avisarte rapidamente si ha encontrado algo o bien estas en listas negras.

Tambien conserva un log de las actividades en WP (comienzos de sesión, etc…) y puedes recibir estas notificaciones en tu e-mail.

Aviso:No te satures de notificaciones, pues llegará un instante que no eches cuenta, y no te ayudará a mejorar la seguridad. Desactiva las que creas no te serán útil.

1.5) Pilar #5. No hay nada infalible. Ten a mano un Backup

Todo puede fallar. aunque tengas.

Un día tu mismo puedes suprimir toda tu Web.

O un día te descuidas y utilizas una wi-fi pública y tu contraseña se ve comprometida, y entran en tu página web.

Al final ha pasado lo que tanto temías. Has perdido todo tu trabajo.

Pero si realizas una política correcta de copias de respaldo, no tiene por el hecho de que pasar nada.

Para hacer las copias de seguridad .Me agrada porque es fácil de emplear, sirve para todo cuanto precisamos, y deja hacer restauraciones de forma sencilla.

Ten en cuenta estos consejos:

• Las copias de respaldo siempre y en toda circunstancia deben de hacerse en un repositorio externo, en la nube, como Dropbox o bien afín. No vale de nada si se quedan en tu servidor.
• Las copias deben ser programadas y automáticas. Siempre que puedas, prográmalas a la noche.
• No es preciso tener una copia diaria de tus ficheros. ¿Qué puedes perder,? Así que puedes hacerla de manera semanal, y conserva al menos 4 copias (un mes de copias de seguridad?
• Las bases de datos si cambian cada día(comentarios, actualizaciones de post, etc….), así que programa una copia diaria, y conserva al menos 7 (una semana).
• Por último, no sirve de nada una copia de respaldo, si algunas veces no miras en la carpetita que se esta haciendo, y verificas que ciertamente se hacen, están actualizadas, y puedes restaurar los ficheros.

Aparte de tenerlas programadas, no olvides hacer una a mano antes de actualizar, o bien después de hacer importantes cambios de diseño en tu página web.

¡No te preocupes! El plugin que te invito a hace todo lo que te he dicho.

Back to top

2) En seguridad, si uno de los pilares falla, la casa se cae

Como ves, y seguro que te has dado cuenta, si uno de los pilares falla, todo se cae.

• De nada sirve tener una contraseña fuerte, si la logra un virus de tu ordenador.
• De nada sirve que tu ordenador sea un fortín, si entonces no actualizas Wordpress y arreglas esa vulnerabilidad tan grave que encontraron hace poco.
• De nada sirve que lo mantengas WordPress actualizado y blindado, si entonces te entran por vulnerabilidades del servidor.
• De nada sirve tener un gran servidor, para que te puedan entrar por FTP por tener una contraseña débil.

Es la pescadilla que se muerde la cola. O refuerzas los cuatro pilares periféricos, o bien nada hay que hacer.

Y el quinto viene a la ayuda, reforzando desde el centro. Las copias de seguridad que están siempre y en todo momento ahi para asistirnos a levantarnos rápido si caemos.

Son las 5 medidas básicas que aplico en las webs que diseño, y aun no ha caído ninguna. Unete a la comunidad de bloggers que descansamos apacible sabiendo que WordPress es seguro.

No he podido hacer un punto por punto con todas y cada una de las instrucciones.

Son prácticamente tres mil palabras para explicarte 5 cosas que debes tener en consideración para evitar ser hackeado.

Es lo único que tienes que aplicar. Y tienes enlazado tutoriales con explicaciones de las herramientas.

Haz que sean de utilidad. Aplícalas y duerme apacible.

¿Has tenido alguna experiencia desagradable con tu página web? ¿Piensas que conocer esto antes te hubiera ayudado?

 

Back to top