Seguridad en Wordpress ¡Guía para acorazar tu página web o bien blog!

Seguridad en Wordpress ¡Guía para acorazar tu página web o bien blog!

15 Jul 2020 in

¿Es para ti una prioridad la seguridad en? Probablemente sí, pero ¿realmente estás haciendo todo lo necesario para sostener segurísima tu página web o blog en este CMS?

Tu web o bien weblog es tu casa en la red, un lugar valoradísimo y al que seguro no querrás que nadie extraño a ti entre sin invitación.

Los amigos de lo extraño en internet cada vez emplean técnicas más sofisticadas para hacerse con el control de un blog o bien una web. Por ende, nunca son suficientes todas las más medidas de protección que podamos adoptar contra ellos ¿o sí?

Menú temático del contenido

Back to top

1) ¿Qué puedo hacer para mejorar la seguridad en mi WP?

Seguro que conoces ciertas buenas prácticas en estos temas, tales como hacer copias de tu página web en WordPress frecuentemente o establecer una contraseña segurísima.

Sin embargo, incluso realizando estas acciones en tu sitio, puede no ser suficiente para estar bien protegido. Y entonces, es preciso aplicarlas al lado de otras mas de un modo mucho más avanzado.

Si una vezo página web quieres mantenerlo seguro, necesitas tomártelo más de verdad. Aplica medidas más avanzadas que las estándar, que por norma general te recomiendan todos o habrás leído en muchos sitios.

Es por este motivo que, en este blog post de convidado contamos con Luis Méndez de Webempresa, que como especialista en la materia nos va a aportar un CHECKLIST muy avanzado de todos aquellos aspectos que debemos tener en cuenta.

Te dejo ya con esta gran guía para conseguir una mayor seguridad en WP.

Back to top

2) ¡Todo lo que necesitas saber sobre Seguridad en WP!

Todo programa por naturaleza tiende a ser vulnerable o inseguro. Y Wordpress no es una excepción.

Es de ahí que que hoy vamos a hablar de este tema.

Si bien es muy seguro(si bien no es infalible) es el usuario y sus buenas prácticas quien lo transforma en un fuerte inconquistable.

En este artículo voy a revelarte algunos trucos y darte recomendaciones sobre cómo proteger tu WP para hacerlo más seguroy así mejorar tu lugar frente a posibles ataques o infecciones.

Back to top

3) Checklist de seguridad en WordPress:

A lo largo de este artículo vamos a ver las próximas 16 acciones a realizar para cubrir los elementos básicos de seguridad en WordPress:

  • Proteger el formulario de acceso al dashboard.
  • Modificar el nombre de usuario (username) para eludir enumeraciones.
  • Utilizar doble factor de autenticación, preferentemente con token físico.
  • Utilizar contraseñas más robustas y menos predecibles.
  • Evitar el listado de directorios sensibles de WP.
  • Protege el fichero wp-config.php
  • Utilizar protocolo SSL a fin de que la trasferencia de datos sea más segura.
  • En sitios con varios usuarios, forzar el cambio de contraseñas periódicamente.
  • Auditar los cambios efectuados por diferentes administradores.
  • Cambiar el prefijo de las tablas de la base de datos por defecto.
  • Realizar copias manuales y automáticas de manera constante y programada.
  • Utilizar contraseñas robustas también para la base de datos.
  • Acceder siempre y en toda circunstancia a la página web de forma segura (SFTP, SSH, cPanel desde VPN).
  • Deshabilitar el listado del archivo .htaccess
  • Mantener siempre y en toda circunstancia complementos actualizados a versiones estables.
  • Alojarse siempre y en todo momento con proveedores de Hosting que garanticen la seguridad global de nuestros sitios.

Como todo, esto es como hacer una buena ensalada. Si compras un aceite de calidad, a ser posible Extra Virgen, si las lechugas son frescas y ecológicas y los tomates están en su punto de color y textura, sólo será preciso tu toque profesor para combinarlos y crear la ensalada perfecta.

3.1) ¿Te atreves a hacerlo? ¡Pues vamos a ello!

WordPress es líder incontrovertible de audiencia a nivel del mundo con una cuota de mercado en Internet del veintiseis por ciento aproximadamente, lo que hace que sea un pastel deseable para usuarios malintencionados.

Repasemos estos puntos de forma que puedas comprender mejor cada uno de ellos y aplicar medidas extra en aquellos apartados de tu página web que necesiten un refuerzo para asegurar su estabilidad y seguridad en WP.

Recuerda que ni todos son necesariamente aplicables en la mayoría de casos ni tampoco es cuestión de liarse la manta a la cabeza y aplicar niveles de protección obsesos en tu página web.

Busca el equilibro entre lo seguro y lo usable. Los que acceden a tu web de forma legítima son usuarios reales de carne y hueso que desean principalmente enfocar el tiempo que invierten en tu lugar en leer, aprender o bien mejorar conocimientos y no en pasar un master sobre medidas de seguridad.

3.2) 1# Resguarda el formulario de acceso al dashboard

Existen múltiples formas de aportar más seguridad al formulario de acceso al «dashboard» de WordPress, sobre todo teniendo en cuenta que es uno de los que más ataques de media recibe en cualquier sitio existente.

No olvides que todavía un gran número de usuarios prosigue usando exactamente la misma contraseña para acceder a diferentes sitios.

Por regla general suelen ser contraseñas cortas, predecibles o bien de combinaciones muy simples. Y es justamente esto lo que termina facilitando el trabajo a los scripts o usuarios aviesos que buscan sitios de manera segura débil por la parte del usuario.

3.2.1) Algunas formas de proteger el dashboard pueden ser:

  • Implementar reCAPTCHA (preferible No CAPTCHA reCAPTCHA).
  • Añadir un segundo método de autenticación (doble autenticación) con token físico.
  • Ofuscar o bien cambiar el clásico acceso de wp-admin o bien wp-login.php cara otro adaptado.
  • Habilitar accesos federados tradicionales: Fb, Twitter, Google [1]
  • Habilitar autenticación a nivel Hosting protegiendo el directorio /wp-admin

En este sentido quiero dejarte esta oración que saqué de una entrevista que realicé a(no precisa presentación) a este respecto de 2FA y accesos federados:

OAuth es buena opción para muchos ambientes donde no sea preciso emplear nueva identidad, pero aún así hace falta supervisar el acceso a los assets en todos y cada momento

Por eso, esto no debería convertirse en una solución patrón por norma.

Podría exponer otras medidas extra aplicables, pero son algo más técnicas y se escapan del foco de este artículo.

3.2.2) Algunos complementos que pueden serte útiles para resguardar el dashboard son:

3.3) 2# Modifica el nombre de usuario (nombre de usuario) para evitar enumeraciones

El nombre más común y que por defecto se establece al instalar WP es Admin, y esto es Vox pópuli.

Sabiendo como ya sabes que esto también lo saben los malos, y para hacer su vida un tanto más difícil, es bueno que cambies el nombre de usuario frecuente A dminpor uno menos predecible y que tenga alguna mayúscula.

¡Mucho mejor así!

Si no te quieres liar aprendiendo a mudar tu actual ‘username’ llamado adminpor uno diferente, menos predecible y algo más seguro, puedes proponerte hacerlo manualmente (previa backup en Wordpress) si solo tienes un usuario en tu Blog.

3.4) ¿Cómo mudar el nombre de usuario admin manualmente?

  1. Accede al «dashboard»de WP.
  2. Ve al apartado «Usuarios» ⇒ «Añadir nuevo».
  3. Crea un nuevo usuario con privilegios de administrador y más adaptado.
  4. Desde «Entradas» asigna todos y cada uno de los posts al usuario administrador creado.
  5. Y desde «Páginas» asigna todas las páginas al usuario administrador creado.
  6. Luego, desde «Usuarios» ⇒ «Todos los usuarios», puedes eliminar el usuario «admin».

Desde el dashboard puedes crear nuevos usuarios «administradores».

Ejemplo de post asignados al nuevo usuario administrador.

Ejemplo de páginas asignadas al nuevo usuario administrador.

Con este fácil proceso habrás pasado de utilizar el predecible y enumerable usuario «admin» a emplear otro más desconocido y algo más seguro.

3.5) 3# Usa doble factor de autenticación ¡mejor con token físico!

Es cierto que sobre esto ya he comentado algo en el punto dedicado a « Protege el formulario de acceso al dashboard». Aún así, he querido ponerle un tanto más de énfasis por el bajo uso que se hace a nivel general de esta medida adicional de protección en el formulario de acceso de WP.

Muchos usuarios, por desconocimiento, o bien por miedo a no saber incorporar un 2FA(segundo factor de autenticación) acaban aplazando para «nunca» la activación de este género de medidas que son segurísimas y aconsejables.

Ahora que está más de moda la huella digital como segundo factor de autenticación en dispositivos móviles, quizás te resulte más fácil comprender lo esencial que puede ser aplicar medidas afines.

Puedes hacerlo hasta con un dispositivo móvil a fin de que el acceso al dashboard de WP sólo pueda ser efectuado por quienes tengan acceso a los códigos aleatorios que Apps como Google Authenticator, LastPass Authenticator o Latch aportan.

Existen complementos que son extremadamente fáciles de instalar y configurar y que así como Apps para iOS, Android o Windows Phone, dejan darle una vuelta de tuerca a la seguridad del formulario de acceso de WP.

Utilizar un segundo factor de autenticación para validar tu acceso con un token físico (tu móvil) es quizás una medida extra de seguridad para WP mucho más fiable que obcecar el acceso a /wp-admin enmascarándolo con otro nombre.

3.6) 4# Utiliza contraseñas más robustas y menos predecibles

Hasta hace unos meses (quizás un año) era de los que pensaba que una contraseña robusta, alfanumérica, que incluyera caracteres singulares y que tuviese una longitud mínima de 8 caracteres y que no estuviera asociada a fechas destacadas de mi vida, nombres de familiares o mascotas o lugares familiares sería la solución contra cualquier intento de violarla.

Lamentablemente no es así.

Aunque no me voy a poner a precisar en este artículo el porqué, la verdad es que las máximas a las que estamos habituados sobre las contraseñas pierden cada vez más fuerza y verosimilitud frente a la cantidad de nuevos métodos menos falibles de adivinarlas.

A esto te lo explicaré más abajo.

3.7) 5# Evita el listado de directorios sensibles de WordPress

Cada vez es menos común, sobre todo en instalaciones de WP que se alojan en servidores que trabajan con Apache y que deja evitar el listado de ficheros y carpetitas desde el navegador.

Es por esto con lo que probablemente muchos usuarios no precisen proponerse esta medida de seguridad.

Por regla general, eludir el listado de directorios desde el navegador es una cosa que se hace sencillamente añadiendo un archivo index.htmlen aquellas carpetas susceptibles de ser catalogadas.

O en todas y cada una menos en aquellas en las que haya un archivo index.php responsable de cargar una web, ya que el archivo index.html podría tapar la ejecución del fichero index.php.

Adicionalmente, para eludir de forma global el listado de ficheros en directorios de tu Alojamiento, lo ideal es editar el fichero .htaccess y añadir al comienzo la directiva de Apache: Options -Indexes.

Sin esta directiva en .htaccess el módulo de Apache mod_autoindexdevolvería un listado de los contenidos de un directorio consultado de tu Alojamiento.

3.8) 6# Protege el archivo wp-config.php

Al igual que es posible eludir el listado de archivos y carpetas del Alojamiento, es bueno resguardar de manera adicional ciertos archivos de Wordpress contra miradas curiosas.

Comprueba si expones ficheros «delicados» como wp-config.phpa ojos de extraños vía navegador.

¡Venga haz la prueba y tipea en tu navegador la url de tu dominio seguida del nombre del citado archivo!

3.8.1) http://tu-dominio.com/wp-config.php

Si te devuelve un error ‘Forbidden’ entonces puedes dormir sosegado, la instalación de WP asociada a ese dominio está protegida de miradas indiscretas.

Forbidden You don’t have permission to access /wppalene/wp-config.php on this server. Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

Si al contrario te enseña en pantalla el contenido del archivo wp-config.phpes esencial que añadas en tu archivo .htaccess el siguiente código para protegerte contra este tipo de ataques:

order allow,deny deny from all

3.9) 7# Emplea SSL para que la trasferencia de datos sea más segura

Ni que decir tiene que, para uno o varios (wildcard) dominios o bien subdominios, es cada vez más esencial y preciso si tu sitio web está enfocada al comercio electrónico con plugins como WooCommerce.

Google y otros buscadores web le dan cada vez más importancia al empleo de SSL (https) en sitios web (también en WP).

Además de asistirte a ofrecer transacciones encriptadas, cualquier dato que se produzca entre el usuario y el servidor de la web viajará más seguro merced al uso de este protocolo.

Actualmente puedes hacerte con unutilizando por servirnos de un ejemplo el que Webempresa ofrece a todos sus clientes del servicio.

A pesar de ello, cada vez más proveedores de Hosting están ofertando Let’s Encryptcomo opción para añadir una capa extra de seguridad en Wordpress y pasar fácilmente de HTTP a HTTPSsin tener conocimientos específicos sobre SSL.

No te calientes la cabeza con lo que te cuenten por ahí sobre la «pérdida de velocidad de carga de tu página web por usar SSL», en tanto que es mínima y bien vale para lo que obtienes a cambio.

3.10) 8# En sitios con múltiples usuarios, fuerza el cambio de contraseñas periódicamente

Muchos blogs trabajan con uno o múltiples usuarios, con diferentes papeles, así sean de «Administrador», «Editor», «Autor» etc.

Debes prestar atención a las contraseñas que estas personas utilizan para que no acaben siendo el eslabón débil de la cadena que concluya poniendo en peligro la seguridad de WP.

«Fuerza el cambio de contraseñas periódicamente para sostener seguro tu WP»

Hazlo idealmente cada 6 meses, es una medida adicional que ayudará a que estos usuarios se vean necesariamente obligados a cambiar contraseñas.

Una password siempre puede ser frágil, famosa o quedar expuestas en otros sitios en los que probablemente hayan empleado las mismas.

Es posible que si administras sitios de Wordpress que trabajen con complementos como BuddyPress y tengas cien o mil doscientos usuarios registrados, necesites ejecutar medidas expeditivas.

Tendrás que hacerlo si, por servirnos de un ejemplo, ha habido una vulnerabilidad en tu página web y no tienes claro si una contraseña débil ha sido la causa.

Para estos casos existen complementos comoque te ayudarán a cambiar 5 o 300 contraseñas de cuajo.

3.10.1) Con opciones interesantes como:

  • Cambiar todas las contraseñas de los usuarios registrados.
  • Añadir un mensaje auxiliar al mensaje de correo electrónico.
  • Enviar un correo a fin de que cambien la contraseña o mudarla sistemáticamente.
  • Elegir qué grupo de usuarios será el afectado por el cambio de contraseña.

Échale un ojo a ese plugin, seguro que te sacará de algún que otro apuro y te ayudará a progresar tu seguridad en Wordpress.

3.11) 9# Audita los cambios efectuados por diferentes administradores

Este es un caso más común de lo que imaginas…

Varios administradores trabajan en un mismo sitio y de vez en cuando alguno de ellos toma la iniciativa de probar un determinado complemento, quitar un usuario «registrado», alterar un post, o mudar las configuraciones del plugin de caché de turno.

Luego vienen los inconvenientes y nadie ha sido el responsable del cambio efectuado, y solo queda recurrir a los logs del servidor, si se tiene acceso a ellos, o bien pensar que se podría haber deshecho el cambio si se usase algún complemento que sostenga un registro de cambios que se producen en el dashboard.

Si sucede algo extraño en tu instalación de WP, aunque seas tu solo el administrador del lugar, te será también muy útil para monitorizar actividades sospechosas.

Entre ellas encontramos ciertas como, por servirnos de un ejemplo, el cambio de ciertos ficheros de forma maliciosa, aprovechando alguna vulnerabilidad puntual de tu instalación.

Con complementos como WP Security Audit Logpuedes tener un control de cambios bastante completo sin precisar recurrir a complementos pesados como Wordfence o afines.

Al mismo tiempo obtendrás un listado en el dashboard muy completo con interacción en los registros guardados, para saber qué ha ido sucediendo en cada momento.

Registro de actividades señaladas con WP Security Audit Log

Este plugin dispone de funcionalidades auxiliares «de pago», mas la versión gratuita es más que suficiente para la mayoría de sitios web que trabajen con uno o bien múltiples administradores o bien usuarios con papeles específicos que realicen tareas en el dashboard.

3.12) 10# Cambia el prefijo de las tablas de la base de datos por defecto

Por defecto en Wordpress el prefijo de la base de datos es wp_y, aunque es cierto que lo puedes modificar cuando lo instalas, existe una probabilidad altísima de que no lo hagas, lo dejes pasar.

Y entonces ese « wp_» acabe convirtiéndose en un vector más de ataque contra tu web, por la simple deducción de que los malos saben también cual el prefijo de la base de datos «by default».

Prefijo de la base de datos por defecto configurado en el fichero wp-config.php

Lo ideal es meditar en el prefijo de la base de datos cuando se instala WP. Si se te pasó por alto en aquel momento, quizás ahora sea un mejor momento para mudar el prefijo de la base de datos y así progresar la seguridad en Wordpress.

Plugins comote dejan realizar este cambio sencillamente, tras hacer un «Backup» (¡claro!).

Este proceso es más rápido que hacerlo manualmente, sobre todo si no te llevas aún bien con phpMyAdminy las consultas SQL.

Back to top

4) 11# Efectúa copias de respaldo en WP de manera constante y programada

¿Cuántas copias de respaldo haces al año de tu web? ¿Y al mes? ¿Y semana a semana?

¡Mal! Muy mal… Esto puede ser realmente perjudicial para tu seguridad en WP.

4.1) Yo diría que una buena política de copias de respaldo en WordPress pasa por:

  • 1º Efectuar automáticamente una copia de seguridad en Wordpress diaria de tu página web.
  • 2º Efectuar una copia semanal (un día fijo) y si es programada mejor.
  • 3º Efectuar una copia mensual, el primer día de cada mes.
  • 4º Realizar copias manuales bajo demanda antes de actualizar o de probar temas o bien plugins.

Si además estas copias las subes a la nube (DropBox, Google Drive, MEGA, etcétera mejor que mejor. Así tendrás menos espacio ocupado en el Alojamiento, en tu computador y siempre las tendrás disponibles desde cualquier lugar cuando las necesites.

Sólo el día que pierdas datos del mismo día o bien de la tarde precedente y quieras recurrir a copias del Hosting y te des cuenta que sólo tienen copias semanales o bien mensuales, aprenderás que tener tu propia política de copiases más esencial que prácticamente todo lo demás aquí contado.

Lo que puedes hacer, por ejemplo, es mecanizar las copias de respaldo en WordPress para mandarlas a algún CDN (la nube) de forma automática y programada.

Y esto por citar algunos que marchan bastante bien.

4.2) 12# Usa contraseñas robustas también para la base de datos

Puede ser que sea un tópico, pero créeme: al final las contraseñas no dejan de ser un valor binario predecible.

Te lo explicaba más arriba cuando hablaba de « Protege el formulario de acceso al dashboard»¿lo recuerdas?

Da igual si tu contraseña tiene 6 caracteres, 12 ó 127, si es numérica únicamente, está compuesta por letras y número, mayúsculas o minúsculas o bien caracteres especiales. No es más robusta por ser más larga😉

Habrá quien me crucifique por esto que digo, pero es la verdad.

Cada vez son menos fiables los accesos supeditados únicamente a contraseñas que hay que escribir (o bien rellenar con LastPass) por el hecho de que es cada vez más fácil romper la seguridad de estas contraseñas.

Por otro lado están las cuestiones relacionadas con los «keyloggers», esos programas o bien scripts que toman buena nota de todas tus pulsaciones y que son cada vez más difíciles de detectar… Principalmente si están adobados en un rootkit, puesto que ahí detectarlos se complica.

Y si, también los hay para dispositivos móviles (infelizmente).

Contra todo esto hay muchas formas de combatirlo, mas la más eficaz es que «además de usar contraseñas seguras y/o robustas» incorpores un segundo factor de autenticación (2FA) para que haya una co-dependencia de un dispositivo móvil, YubiKey, etc., que valide los accesos físicamente.

Si ahora quieres leer lo que todo el mundo cuenta sobre las contraseñas seguras, aquí va el tópico:

La contraseña debe tener cuando menos diez caracteres y entre ellos algún carácter extraño #@ dólares americanos por cien &/()

Y si eres de los que tiene la tentación o la pésima costumbre de guardarlas en el navegador, por aquello de la comodidad y no tener que estar recordándola constantemente… Mala idea eso de memorizarlas en tu browser frecuente si piensas en términos de seguridad en WP.

4.2.1) Si de verdad te importa proteger tu sitios con contraseñas, toma al menos ciertas precauciones:

  • Longitud y Complejidad: Este valor cada vez pierde más peso, mas mejor larga y difícil que corta y fácil.
  • Realiza cambios regulares de contraseña.
  • Si tu lugar se ha visto comprometido ¡cambia de inmediato las contraseñas!
  • Utiliza aplicaciones seguras para guardarlas ¡núnca en el navegador! (el post-it tampoco vale).
  • Una contraseña para cada acceso, no la misma para todo.
  • Núnca las compartas de forma insegura. (LastPass dispone de una función para compartirlas sin revelarlas).

4.2.2) ¿Tu contraseña es segura? ⇒

4.3) 13# Accede siempre y en toda circunstancia a tu página web de manera segura (SFTP, SSH, cPanel desde VPN)

No es frecuente darle importancia al modo como accedemos al dashboard de WP.

4.3.1) Puedes acceder:

  • Con la wi-fi del bar de la esquina.
  • En el Aeropuerto mientras esperamos un puente aéreo.
  • Con la wi-fi del vecino.
  • En la plaza mayor de la ciudad que para eso da el Municipio wi-fi sin coste.
  • Desde el móvil a través de una red insegura o wifi abierta.

A veces es demasiado tarde para contener la brecha de seguridad en WP. Pues ¡a cambiar contraseñas! Si: de nuevo.

Esto es más común de lo que imaginas, y termina produciendo verdaderos problemas no solo a particulares, sino a empresas cuyos empleados tienen un sentido de la seguridad un tanto laxo.

Trabajar con una red privada virtualo VPN(Virtual Private Network) sería la mejor de las opciones, en tanto que de esta forma estarás generando un túnel cifrado entre tu máquina y la máquina remota (el Alojamiento web donde se aloja tu Web).

Independientemente de que la conexión sea la WIFI del bar o del Aeropuerto y de esta manera aplicando una capa de protección robusta a tu tráfico de datos.

No tienes disculpas, los precios de las VPNsson el día de hoy día de risa y sino también existen Apps para iOS, Android etc. para ese propósito. Navegar seguro no es una limitación para nadie, primordialmente si vives de tu Weblog o web comercial.

Los demás protocolos, como SFTPo SSHvan a depender de tu proveedor de Alojamiento y de si te lo deja y como ¡Consúltaselo!

4.4) 14# Deshabilita el listado del archivo .htaccess

El archivo .htaccess o fichero de configuración distribuida es un fichero oculto (el punto delante del nombre señala que se trata de archivo escondo).

Se emplea en servidores que trabajan con Apache para añadir directivas adaptadas por el usuario, eminentemente si este no tiene acceso al archivo php.inidel Alojamiento.

Al igual que nos resguardamos del listado de ficheros y carpetas, es bueno proteger este archivo de miradas indiscretas.

Ya que acostumbra a ser un archivo que a veces puede contener directivas de redireccionamientos que podrían ser manipuladas para forzar la redirección a sitios de incierta reputación.

Añadir el siguiente código al principio del archivo te ayudará en esta tarea:

order allow,deny Deny from all

4.5) 15# Mantén siempre temas y plugins actualizados a versiones estables

Ni que decir tiene lo de trabajar con la última versión de WP, de tu tema en empleo y de los dieciocho o bien treinta y seis complementos que tengas instalados.

Y no por decir que estás a la última, sino por gozar de las nuevas funcionalidades, las correcciones de seguridad, etcétera, sino principalmente para… no dejar tu sitio comprometido.

¿Te fuiste de vacaciones verdad? Puesto que a la vuelta es probable que te hayas encontrado con Wordpress 4.8, cuarenta y nueve o bien la última versión del momento de esta lectura… y descubras que de repente algunos complementos sencillamente no funcionan, o producen problemas colaterales por el hecho de que sus autores «también se fueron de vacaciones» y dejaron para septiembre eso de las actualizaciones.

Estas son ciertas de las razones por las cuales hay que sostener el CMS y los complementos ysiempre actualizados.

Debería ser por una razón de fuerza mayor por la que no los actualizas, y tendrás que argüirla.

De lo contrario no es viable sostener WP en versiones de hace meses o años y encima pretender trabajar con la última versión del tema Divi «responsive» por el hecho de que algo no va a cuadrar.

Es esencial sostener el núcleo de WP al día, eminentemente por seguridad, pues si bien sea segurísimo hay días en que algo ocurre y entonces nos acordamos de que se nos olvidó actualizar.

Esto es extensible a complementos y temas en empleo, por el hecho de que para qué deseas la última versión de WP con un mega-flamante tema responsive si entonces usas complementos desactualizados desde hace más de 3 años para enseñar tablas de precios en primera plana.

4.6) ¡Seguro se marcha a desajustar todo!

Hay que cuidar la armonía, y ésta pasa necesariamente por tener todo al día.

4.7) ¿Qué no puedes actualizar?

Ponte entonces con seriedad a examinar el porqué, quizás haya llegado el momento de desprenderte de ese complemento que tanto te agrada, o bien el tema de Genesis que te costó un pastón y dar un paso adelante y evolucionar.

O buscar algo que combine con las versiones actuales o bien no encorsetarte en versiones obsoletas y frágiles por culpa de una manía.

4.7.1) Te lo puedo explicar de 20 maneras diferentes, mas la conclusión es siempre la misma:

  • Actualiza siempre y en toda circunstancia el núcleo de WP a la versión estable disponible ¡sin excusas!
  • Utiliza complementos de fuentes fiables y versiones estables compatibles con tu versión de WP.
  • Hay miles y miles de temas, mas por lo que más quieras, que sean responsive y compatibles con la versión estable de WP.
  • Si no lo empleas ¡eliminalo! ¿Para que quieres 20 temas y 72instalados que no utilizas?
  • Haz copia de tu página web antes de actualizar y si puedes prueba ya antes en una sandbox las actualizaciones.

4.7.2) Te pongo un ejemplo real:

Los plugins W3 Total Cachey WP Super Cache, muy populares y empleados tiempo atrás, presentaron vulnerabilidades de ejecución de código. Un exploit permitía su ejecución.

El 18 de abril se liberaron nuevas versiones de estos dos complementos. Cientos y cientos de usuarios (miles) fueron perjudicados por esta vulnerabilidad, primordialmente por no actualizar cuando había versiones corregidas disponibles, actualizaciones que eran bien visibles en el dashboard, si bien luego obviadas.

Una acción tan fácil como es el aplicar, previa copia de respaldo, las actualizaciones libres desde el dashboard, es la solución inmediata y expeditiva contra posibles vulnerabilidades de seguridad en Wordpress.

Ignorar los avisos de actualizaciones de temas o plugins o aplazar esta tarea para «cuando tengas tiempo» solo ayudarán a que tu sitio quede expuesto y pueda acabar siendo pasto de los scripts-kiddies o bien usuarios malintencionados que deseen explotar la vulnerabilidad de turno, por diversión, por interés económico o sencillamente para aparecer en Zone-H¡tú decides!

Nuevas versiones de complementos libres en el dashboard, Actualizaciones.

4.8) 16# Alójate siempre y en toda circunstancia con proveedores de Alojamiento que garanticen la seguridad global de tus sitios web

De poco sirve que trabajes con la versión más estable y tengas complementos y temas actualizados, así como 20 medidas de seguridad adicionales si luego vas y te alojas en un Alojamiento web que no aplique medidas de protección globales para evitar ataques de fuerza bárbara, inyección de código en tu base de datos, o bien algo tan simple como que no haga copias regularmente.

Es importante que consultes a tu proveedor de Alojamiento por las medidas de seguridad globales que se aplican a nivel servidor, tanto para impedir los ataques de fuerza bruta como para paliar otro tipo de ataques que puedan afectar a tu Hosting y las webs que alojes.

Si se trata de un mucho mejor.

Al final lo importante no es duplicar sacrificios sino más bien sumarlos, y complementar con medidas adicionales de protección por parte del usuario aquellas que no son cubiertas por el servidor.

Se trata de una suma de tus esfuerzos y los de tu proveedor de Alojamiento web para juntos bogar en exactamente la misma dirección, que no es otra sino la de asegurar la estabilidad y el uptime de tu sitio al 99,99 por ciento .

 

4.9) Conclusiones

Hay muchas más medidas que tomar y una docena más de complementos para instalar para llevar al máximo la seguridad en WP.

El sentido común y el equilibrio entre lo seguro y lo usable ha de ser la frontera que te sostenga en un punto de equilibrio.

La perfección no existe, mas tampoco es tan difícil alcanzar el nivel óptimo de prestación si te lo planteas.

¿Estás dispuesto a ponérselo un tanto más difícil a los malos?

Foto (web ) Shutterstock

4.10) Cuéntame en los comentarios cómo haces tú con tu seguridad en WP, será un placer leerte.

Back to top
Share icon

ESTOS EXCLUSIVOS INFORMES GRATUITO REVELAN

7 SECRETOS DE EXPERTOS SEO QUE TE LLEVÁN AL 1#
7 SECRETOS DE EXPERTOS SEO QUE TE LLEVÁN AL 1# EN GOOGLE PARA GANAR 10.000s DE TRÁFICO DE CALIDAD GRATUITO - EN SÓLO 2 MESES
 

Los 7 pasos más poderosos para disparar tu ranking orgánico para ALCANZAR Y MANTENER un impresionante tráfico orgánico es TUYO.

Consigue gratis lo que el 1% de los expertos en SEO venden por miles de euros... y el otro 99% ni siquiera sabe que existe.


OBTEN MI INFORME GRATUITO
5 errores que debes evitar en tu sitio web de Drupal
Ebook - 5 errores que debes evitar en tu sitio web de Drupal (¡podrían costarte miles de euros!)
 

Este Ebook cubre 5 terribles errores que probablemente estés cometiendo ahora mismo con tu sitio web de Drupal.

¡Nº3 TE SORPRENDERÁ! Esta lectura de 10 minutos te ahorrará miles de euros.



OBTEN MI INFORME GRATUITO