Seguridad en WordPress ¡Guía para blindar tu página web o bien weblog!

Seguridad en WordPress ¡Guía para blindar tu página web o bien weblog!

15 Jul 2020 in

Tabla de contenido

  1. ¿Qué puedo hacer para prosperar la seguridad en mi Wordpress?
  2. ¡Todo lo que precisas saber sobre Seguridad en Wordpress!
  3. Checklist de seguridad en WordPress:
    1. ¿Te atreves a hacerlo? ¡Pues vamos a ello!
    2. 1# Resguarda el formulario de acceso al dashboard
      1. Algunas formas de proteger el dashboard pueden ser:
      2. Algunos plugins que pueden serte útiles para resguardar el dashboard son:
    3. 2# Altera el nombre de usuario (nombre de usuario) para evitar enumeraciones
    4. ¿Cómo mudar el username admin manualmente?
    5. 3# Emplea doble factor de autenticación ¡mejor con token físico!
    6. 4# Usa contraseñas más robustas y menos predecibles
    7. 5# Evita el listado de directorios sensibles de WordPress
    8. 6# Resguarda el fichero wp-config.php
      1. http://tu-dominio.com/wp-config.php
    9. 7# Utiliza SSL a fin de que la transferencia de datos sea más segura
    10. 8# En sitios con múltiples usuarios, fuerza el cambio de contraseñas periódicamente
      1. Con opciones interesantes como:
    11. 9# Audita los cambios realizados por diferentes administradores
    12. 10# Cambia el prefijo de las tablas de la base de datos por defecto
  4. 11# Realiza copias de seguridad en Wordpress de forma constante y programada
    1. Yo diría que una buena política de copias de seguridad en WordPress pasa por:
    2. 12# Usa contraseñas robustas también para la base de datos
      1. Si de veras te importa resguardar tu sitios con contraseñas, toma por lo menos algunas precauciones:
      2. ¿Tu contraseña es segura? ⇒
    3. 13# Accede siempre y en todo momento a tu web de manera segura (SFTP, SSH, cPanel desde VPN)
      1. Puedes acceder:
    4. 14# Deshabilita el listado del fichero .htaccess
    5. 15# Mantén siempre y en toda circunstancia temas y plugins actualizados a versiones estables
    6. ¡Seguro se marcha a desajustar todo!
    7. ¿Qué no puedes actualizar?
      1. Te lo puedo explicar de 20 formas diferentes, pero la conclusión es siempre la misma:
      2. Te pongo un ejemplo real:
    8. 16# Alójate siempre y en todo momento con distribuidores de Alojamiento web que garanticen la seguridad global de tus sitios web
    9. Conclusiones
    10. Cuéntame en los comentarios cómo haces tú con tu seguridad en WP, será un placer leerte.

¿Es para ti una prioridad la seguridad en? Seguramente sí, mas ¿realmente estás haciendo todo lo preciso para sostener muy segura tu página web o weblog en este Content Management System?

Tu web o weblog es tu casa en la red, un lugar preciadísimo y al que seguro no querrás que absolutamente nadie extraño a ti entre sin invitación.

Los amigos de lo ajeno en la red cada vez utilizan técnicas más complejas para hacerse con el control de un weblog o bien una web. Por ende, jamás son suficientes todas y cada una de las más medidas de protección que podamos adoptar contra ellos ¿o sí?

Menú temático del contenido

Back to top

1) ¿Qué puedo hacer para prosperar la seguridad en mi Wordpress?

Seguro que conoces ciertas buenas prácticas en estos temas, tales como hacer copias de tu página web en WordPress habitualmente o bien establecer una contraseña muy segura.

Sin embargo, aun realizando estas acciones en tu sitio, puede no ser suficiente para estar bien protegido. Y entonces, es preciso aplicarlas junto a otras mas de un modo mucho más avanzado.

Si una vezo página web deseas sostenerlo seguro, necesitas tomártelo más de verdad. Aplica medidas más avanzadas que las estándar, que por norma general te recomiendan todos o bien habrás leído en muchos sitios.

Es por ello que, en este post de convidado contamos con Luis Méndez de Webempresa, que como especialista en la materia nos va a aportar un CHECKLIST muy avanzado de todos aquellos aspectos que debemos tener en cuenta.

Te dejo ya con esta gran guía para conseguir una mayor seguridad en WP.

Back to top

2) ¡Todo lo que precisas saber sobre Seguridad en Wordpress!

Todo programa por naturaleza tiende a ser vulnerable o inseguro. Y WordPress no es una excepción.

Es de ahí que que hoy vamos a hablar de este tema.

Si bien es muy seguro(aunque no es infalible) es el usuario y sus buenas prácticas quien lo convierte en un fuerte inconquistable.

En este artículo voy a revelarte algunos trucos y darte recomendaciones sobre cómo resguardar tu Wordpress para hacerlo más seguroy así mejorar tu sitio en frente de posibles ataques o bien infecciones.

Back to top

3) Checklist de seguridad en WordPress:

A lo largo de este artículo vamos a ver las próximas dieciseis acciones a realizar para cubrir los elementos básicos de seguridad en WordPress:

  • Proteger el formulario de acceso al dashboard.
  • Modificar el nombre de usuario (username) para evitar enumeraciones.
  • Utilizar doble factor de autenticación, preferiblemente con token físico.
  • Utilizar contraseñas más robustas y menos predecibles.
  • Evitar el listado de directorios sensibles de WP.
  • Protege el fichero wp-config.php
  • Utilizar protocolo SSL para que la transferencia de datos sea más segura.
  • En sitios con múltiples usuarios, forzar el cambio de contraseñas periódicamente.
  • Auditar los cambios efectuados por diferentes administradores.
  • Cambiar el prefijo de las tablas de la base de datos por defecto.
  • Realizar copias manuales y automáticas de manera constante y programada.
  • Utilizar contraseñas robustas también para la base de datos.
  • Acceder siempre y en todo momento a la página web de forma segura (SFTP, SSH, cPanel desde VPN).
  • Deshabilitar el listado del fichero .htaccess
  • Mantener siempre y en todo momento plugins actualizados a versiones estables.
  • Alojarse siempre y en todo momento con proveedores de Alojamiento que garanticen la seguridad global de nuestros sitios web.

Como todo, esto es como hacer una buena ensalada. Si compras un aceite de calidad, a ser posible Extra Virgen, si las lechugas son frescas y ecológicas y los tomates están en su punto de color y textura, sólo será preciso tu toque maestro para combinarlos y crear la ensalada perfecta.

3.1) ¿Te atreves a hacerlo? ¡Pues vamos a ello!

WordPress es líder incontrovertible de audiencia a nivel mundial con una cuota de mercado en Internet del 26 por cien aproximadamente, lo que hace que sea un pastel deseable para usuarios malintencionados.

Repasemos estos puntos de forma que puedas comprender mejor cada uno de ellos de ellos y aplicar medidas extra en aquellos apartados de tu web que precisen un refuerzo para garantizar su estabilidad y seguridad en WP.

Recuerda que ni todos son necesariamente aplicables en la mayoría de casos ni tampoco es cuestión de liarse la manta a la cabeza y aplicar niveles de protección paranoicos en tu página web.

Busca el equilibro entre lo seguro y lo usable. Los que acceden a tu web de forma legítima son usuarios reales de carne y hueso que desean principalmente enfocar el tiempo que invierten en tu lugar en leer, aprender o bien progresar conocimientos y no en pasar un master sobre medidas de seguridad.

3.2) 1# Resguarda el formulario de acceso al dashboard

Existen múltiples formas de aportar más seguridad al formulario de acceso al «dashboard» de WP, sobre todo teniendo presente que es uno de los que más ataques de media recibe en cualquier sitio web existente.

No olvides que todavía un gran número de usuarios sigue usando la misma contraseña para acceder a diferentes sitios.

Por regla general suelen ser contraseñas cortas, predecibles o bien de combinaciones muy simples. Y es justamente esto lo que termina facilitando el trabajo a los scripts o usuarios malintencionados que buscan sitios seguramente débil por la parte del usuario.

3.2.1) Algunas formas de proteger el dashboard pueden ser:

  • Implementar reCAPTCHA (preferible No CAPTCHA reCAPTCHA).
  • Añadir un segundo método de autenticación (doble autenticación) con token físico.
  • Ofuscar o mudar el clásico acceso de wp-admin o bien wp-login.php cara otro adaptado.
  • Habilitar accesos federados tradicionales: Facebook, Twitter, Google [1]
  • Habilitar autenticación a nivel Hosting protegiendo el directorio /wp-admin

En este sentido deseo dejarte esta frase que saqué de una entrevista que realicé a(no necesita presentación) al respecto de 2FA y accesos federados:

OAuth es buena opción para muchos entornos donde no sea preciso utilizar nueva identidad, mas aún así hace falta controlar el acceso a los assets en cada momento

Por eso, esto no debería convertirse en una solución patrón por norma.

Podría exponer otras medidas extra aplicables, mas son algo más técnicas y se escapan del foco de este artículo.

3.2.2) Algunos plugins que pueden serte útiles para resguardar el dashboard son:

3.3) 2# Altera el nombre de usuario (nombre de usuario) para evitar enumeraciones

El nombre más común y que por defecto se establece al instalar WP es Admin, y esto es Vox pópuli.

Sabiendo como sabes que esto también lo saben los malos, y para hacer su vida un tanto más complicada, es bueno que cambies el nombre de usuario habitual A dminpor uno menos predecible y que tenga alguna mayúscula.

¡Mucho mejor así!

Si no te quieres liar aprendiendo a mudar tu actual ‘username’ llamado adminpor uno diferente, menos predecible y algo más seguro, puedes plantearte hacerlo manualmente (anterior backup en Wordpress) si solo tienes un usuario en tu Weblog.

3.4) ¿Cómo mudar el username admin manualmente?

  1. Accede al «dashboard»de WP.
  2. Ve al apartado «Usuarios» ⇒ «Añadir nuevo».
  3. Crea un nuevo usuario con privilegios de administrador y más adaptado.
  4. Desde «Entradas» asigna todos los posts al usuario administrador creado.
  5. Y desde «Páginas» asigna todas y cada una de las páginas al usuario administrador creado.
  6. Luego, desde «Usuarios» ⇒ «Todos los usuarios», puedes quitar el usuario «admin».

Desde el dashboard puedes crear nuevos usuarios «administradores».

Ejemplo de artículo asignados al nuevo usuario administrador.

Ejemplo de páginas asignadas al nuevo usuario administrador.

Con este fácil proceso habrás pasado de utilizar el predecible y enumerable usuario «admin» a usar otro más desconocido y algo más seguro.

3.5) 3# Emplea doble factor de autenticación ¡mejor con token físico!

Es cierto que sobre esto ya he comentado algo en el punto dedicado a « Protege el formulario de acceso al dashboard». Aún así, he querido ponerle un tanto más de énfasis por el bajo uso que se hace a nivel general de esta medida adicional de protección en el formulario de acceso de WordPress.

Muchos usuarios, por desconocimiento, o bien por temor a no saber incorporar un 2FA(segundo factor de autenticación) acaban postergando para «nunca» la activación de este género de medidas que son muy seguras y aconsejables.

Ahora que está más de tendencia la huella digital como segundo factor de autenticación en dispositivos móviles, quizás te resulte más fácil entender lo esencial que puede ser aplicar medidas afines.

Puedes hacerlo hasta con un dispositivo móvil a fin de que el acceso al dashboard de WP sólo pueda ser realizado por quienes tengan acceso a los códigos azarosos que Apps como Google Authenticator, LastPass Authenticator o bien Latch aportan.

Existen complementos que son exageradamente sencillos de instalar y configurar y que así como Aplicaciones para iOS, Android o bien Windows Phone, permiten darle una vuelta de tuerca a la seguridad del formulario de acceso de WP.

Utilizar un segundo factor de autenticación para validar tu acceso con un token físico (tu móvil) es quizás una medida extra de seguridad para Wordpress mucho más fiable que ofuscar el acceso a /wp-admin enmascarándolo con otro nombre.

3.6) 4# Usa contraseñas más robustas y menos predecibles

Hasta hace unos meses (quizás un año) era de los que creía que una contraseña robusta, alfanumérica, que incluyera caracteres especiales y que tuviera una longitud mínima de 8 caracteres y que no estuviese asociada a fechas destacadas de mi vida, nombres de familiares o bien mascotas o bien lugares familiares sería la solución contra cualquier intento de violarla.

Lamentablemente no es así.

Aunque no me pondré a especificar en este artículo el porqué, lo cierto es que las máximas a las que estamos habituados sobre las contraseñas pierden cada vez más fuerza y verosimilitud en frente de la cantidad de nuevos métodos menos falibles de adivinarlas.

A esto te lo explicaré más abajo.

3.7) 5# Evita el listado de directorios sensibles de WordPress

Cada vez es menos común, sobre todo en instalaciones de Wordpress que se alojan en servidores que trabajan con Apache y que deja evitar el listado de archivos y carpetitas desde el navegador.

Es por esto por lo que posiblemente muchos usuarios no necesiten plantearse esta medida de seguridad.

Por regla general, eludir el listado de directorios desde el navegador es una cosa que se hace simplemente añadiendo un fichero index.htmlen aquellas carpetas susceptibles de ser catalogadas.

O en todas menos en aquellas en las que haya un fichero index.php responsable de cargar una web, en tanto que el fichero index.html podría tapar la ejecución del archivo index.php.

Adicionalmente, para eludir de forma global el listado de ficheros en directorios de tu Alojamiento, lo idóneo es editar el fichero .htaccess y añadir al comienzo la directiva de Apache: Options -Indexes.

Sin esta directiva en .htaccess el módulo de Apache mod_autoindexdevolvería un listado de los contenidos de un directorio consultado de tu Alojamiento.

3.8) 6# Resguarda el fichero wp-config.php

Al igual que es posible evitar el listado de archivos y carpetitas del Hosting, es bueno proteger de forma adicional ciertos ficheros de WP contra miradas curiosas.

Comprueba si expones ficheros «delicados» como wp-config.phpa ojos de extraños vía navegador.

¡Venga haz la prueba y tipea en tu navegador la url de tu dominio seguida del nombre del convocado archivo!

3.8.1) http://tu-dominio.com/wp-config.php

Si te devuelve un error ‘Forbidden’ entonces puedes dormir apacible, la instalación de WP asociada a ese dominio está protegida de miradas indiscretas.

Forbidden You don’t have permission to access /wppalene/wp-config.php on this server. Additionally, a cuatrocientos tres Forbidden fallo was encountered while trying to use an ErrorDocument to handle the request.

Si por el contrario te enseña en pantalla el contenido del fichero wp-config.phpes esencial que añadas en tu fichero .htaccess el próximo código para resguardarte contra esta clase de ataques:

order allow,deny deny from all

3.9) 7# Utiliza SSL a fin de que la transferencia de datos sea más segura

Ni que decir debe, para uno o bien múltiples (wildcard) dominios o subdominios, es cada vez más esencial y preciso si tu sitio web está enfocada al comercio electrónico con plugins como WooCommerce.

Google y otros buscadores web le dan cada vez más relevancia al uso de SSL (https) en sitios web (también en WP).

Además de asistirte a ofrecer transacciones cifradas, cualquier dato que se genere entre el cliente y el servidor de la página web viajará más seguro gracias al empleo de este protocolo.

Actualmente puedes hacerte con unutilizando por servirnos de un ejemplo el que Webempresa ofrece a sus clientes del servicio.

A pesar de ello, cada vez más distribuidores de Alojamiento web están ofertando Let’s Encryptcomo opción para añadir una capa extra de seguridad en WP y pasar fácilmente de HTTP a HTTPSsin tener conocimientos específicos sobre SSL.

No te calientes la cabeza con lo que te cuenten por ahí sobre la «pérdida de velocidad de carga de tu web por usar SSL», ya que es mínima y bien sirve para lo que obtienes a cambio.

3.10) 8# En sitios con múltiples usuarios, fuerza el cambio de contraseñas periódicamente

Muchos blogs trabajan con uno o bien múltiples usuarios, con diferentes roles, ya sean de «Administrador», «Editor», «Autor» etc.

Debes prestar atención a las contraseñas que estas personas usan a fin de que no terminen siendo el eslabón débil de la cadena que finalice poniendo en riesgo la seguridad de WP.

«Fuerza el cambio de contraseñas periódicamente para sostener seguro tu WP»

Hazlo idealmente cada 6 meses, es una medida adicional que ayudará a que estos usuarios se vean necesariamente obligados a cambiar contraseñas.

Una contraseña siempre puede ser frágil, conocida o quedar expuestas en otros sitios en los que probablemente hayan empleado exactamente las mismas.

Es posible que si administras sitios de Wordpress que trabajen con complementos como BuddyPress y tengas 100 o 1200 usuarios registrados, precises ejecutar medidas expeditivas.

Tendrás que hacerlo si, por ejemplo, ha habido una vulnerabilidad en tu web y no tienes claro si una contraseña débil ha sido la causa.

Para estos casos existen complementos comoque te ayudarán a cambiar cinco o trescientos contraseñas de cuajo.

3.10.1) Con opciones interesantes como:

  • Cambiar todas y cada una de las contraseñas de los usuarios registrados.
  • Añadir un mensaje auxiliar al mensaje de correo electrónico.
  • Enviar un correo a fin de que cambien la contraseña o cambiarla sistemáticamente.
  • Elegir qué grupo de usuarios será el perjudicado por el cambio de contraseña.

Échale un ojo a ese complemento, seguro que te sacará de algún que otro apuro y te ayudará a prosperar tu seguridad en WordPress.

3.11) 9# Audita los cambios realizados por diferentes administradores

Este es un caso más común de lo que imaginas…

Varios administradores trabajan en un mismo sitio y en ocasiones alguno de ellos toma la iniciativa de probar un determinado complemento, quitar un usuario «registrado», modificar un blog post, o bien cambiar las configuraciones del complemento de caché de turno.

Luego vienen los inconvenientes y absolutamente nadie ha sido el responsable del cambio realizado, y solo queda recurrir a los logs del servidor, si se tiene acceso a ellos, o meditar que se podría haber deshecho el cambio si se usase algún plugin que sostenga un registro de cambios que se generan en el dashboard.

Si sucede algo extraño en tu instalación de WP, aunque seas tu solo el administrador del lugar, te será también muy útil para controlar actividades sospechosas.

Entre ellas hallamos algunas como, por poner un ejemplo, el cambio de determinados archivos de forma maliciosa, aprovechando alguna vulnerabilidad puntual de tu instalación.

Con complementos como WP Security Audit Logpuedes tener un control de cambios bastante completo sin precisar recurrir a complementos pesados como Wordfence o bien similares.

Al mismo tiempo obtendrás un listado en el dashboard muy completo con interacción en los registros guardados, para saber qué ha ido sucediendo en todos y cada momento.

Registro de actividades destacadas con WP Security Audit Log

Este complemento dispone de funcionalidades auxiliares «de pago», mas la versión gratis es más que suficiente para la mayoría de sitios web que trabajen con uno o múltiples administradores o usuarios con roles específicos que realicen tareas en el dashboard.

3.12) 10# Cambia el prefijo de las tablas de la base de datos por defecto

Por defecto en WP el prefijo de la base de datos es wp_y, aunque es verdad que lo puedes alterar cuando lo instalas, existe una probabilidad muy alta de que no lo hagas, lo dejes pasar.

Y luego ese « wp_» acabe convirtiéndose en un vector más de ataque contra tu web, por la simple deducción de que los malos saben también cual el prefijo de la base de datos «by default».

Prefijo de la base de datos por defecto configurado en el fichero wp-config.php

Lo ideal es meditar en el prefijo de la base de datos cuando se instala WP. Si se te pasó por alto en aquel momento, quizás ahora sea un mejor momento para cambiar el prefijo de la base de datos y así mejorar la seguridad en WordPress.

Plugins comote dejan efectuar este cambio sencillamente, tras hacer un «Backup» (¡claro!).

Este proceso es más rápido que hacerlo manualmente, sobre todo si no te llevas aún bien con phpMyAdminy las consultas SQL.

Back to top

4) 11# Realiza copias de seguridad en Wordpress de forma constante y programada

¿Cuántas copias de respaldo haces al año de tu web? ¿Y por mes? ¿Y semana a semana?

¡Mal! Muy mal… Esto puede ser realmente perjudicial para tu seguridad en WordPress.

4.1) Yo diría que una buena política de copias de seguridad en WordPress pasa por:

  • 1º Realizar automáticamente una copia de respaldo en Wordpress diaria de tu página web.
  • 2º Efectuar una copia semanal (un día fijo) y si es programada mejor.
  • 3º Efectuar una copia mensual, el primer día de cada mes.
  • 4º Realizar copias manuales bajo demanda ya antes de actualizar o de probar temas o complementos.

Si además estas copias las subes a la nube (DropBox, Google Drive, MEGA, etc. mejor que mejor. Así tendrás menos espacio ocupado en el Alojamiento, en tu ordenador y siempre y en toda circunstancia las tendrás disponibles desde cualquier lugar cuando las necesites.

Sólo el día que pierdas datos del mismo día o de la tarde anterior y desees recurrir a copias del Alojamiento y te des cuenta que sólo tienen copias semanales o bien mensuales, aprenderás que tener tu propia política de copiases más importante que casi todo lo demás aquí relatado.

Lo que puedes hacer, por poner un ejemplo, es automatizar las copias de respaldo en WP para mandarlas a algún CDN (la nube) de forma automática y programada.

Y esto por citar algunos que marchan bastante bien.

4.2) 12# Usa contraseñas robustas también para la base de datos

Puede ser que sea un tópico, pero créeme: al final las contraseñas no dejan de ser un valor binario predecible.

Te lo explicaba más arriba cuando hablaba de « Protege el formulario de acceso al dashboard»¿lo recuerdas?

Da igual si tu contraseña tiene 6 caracteres, doce ó 127, si es numérica únicamente, está compuesta por letras y número, mayúsculas o bien minúsculas o bien caracteres especiales. No es más robusta por ser más larga😉

Habrá quien me crucifique por esto que estoy diciendo, pero es la verdad.

Cada vez son menos fiables los accesos supeditados únicamente a contraseñas que hay que escribir (o rellenar con LastPass) por el hecho de que cada vez es más fácil romper la seguridad de estas contraseñas.

Por otro lado están las cuestiones relacionadas con los «keyloggers», esos programas o scripts que toman buena nota de tus pulsaciones y que son cada vez más difíciles de detectar… Primordialmente si están adobados en un rootkit, puesto que ahí detectarlos se dificulta.

Y si, también los hay para dispositivos móviles (infelizmente).

Contra todo esto existen muchas formas de combatirlo, mas la más eficiente es que «además de emplear contraseñas seguras y/o robustas» implementes un segundo factor de autenticación (2FA) a fin de que haya una co-dependencia de un dispositivo móvil, YubiKey, etc., que valide los accesos físicamente.

Si ahora deseas leer lo que todo el planeta cuenta sobre las contraseñas seguras, aquí va el tópico:

La contraseña debe tener cuando menos diez caracteres y entre ellos algún carácter extraño #@$ por cien &/()

Y si eres de los que tiene la tentación o bien la pésima costumbre de almacenarlas en el navegador, por aquello de la comodidad y no tener que estar recordándola constantemente… Mala idea eso de memorizarlas en tu browser habitual si piensas en términos de seguridad en Wordpress.

4.2.1) Si de veras te importa resguardar tu sitios con contraseñas, toma por lo menos algunas precauciones:

  • Longitud y Complejidad: Este valor cada vez pierde más peso, pero mejor larga y difícil que corta y fácil.
  • Realiza cambios regulares de contraseña.
  • Si tu sitio se ha visto comprometido ¡cambia de inmediato las contraseñas!
  • Utiliza aplicaciones seguras para guardarlas ¡núnca en el navegador! (el artículo-it tampoco vale).
  • Una contraseña para cada acceso, no la misma para todo.
  • Núnca las compartas de forma insegura. (LastPass dispone de una función para compartirlas sin revelarlas).

4.2.2) ¿Tu contraseña es segura? ⇒

4.3) 13# Accede siempre y en todo momento a tu web de manera segura (SFTP, SSH, cPanel desde VPN)

No es habitual darle relevancia al modo como accedemos al dashboard de WP.

4.3.1) Puedes acceder:

  • Con la wifi del bar de la esquina.
  • En el Aeropuerto mientras que aguardamos un puente aéreo.
  • Con la wi-fi del vecino.
  • En la plaza mayor de la ciudad que para eso da el Ayuntamiento wi-fi sin costo.
  • Desde el móvil a través de una red insegura o bien wifi abierta.

A veces es tarde para contener la brecha de seguridad en WP. Puesto que ¡a cambiar contraseñas! Si: de nuevo.

Esto es más común de lo que imaginas, y acaba produciendo verdaderos inconvenientes no solo a particulares, sino a empresas cuyos empleados tienen un sentido de la seguridad un tanto laxo.

Trabajar con una red privada virtualo VPN(Virtual Private Network) sería la mejor de las opciones, ya que de esta forma estarás produciendo un túnel cifrado entre tu máquina y la máquina recóndita (el Alojamiento web donde se aloja tu Web).

Independientemente de que la conexión sea la WIFI del bar o bien del Aeropuerto y de esta manera aplicando una capa de protección robusta a tu tráfico de datos.

No tienes excusas, los precios de las VPNsson hoy día de risa y sino más bien también existen Apps para iOS, Android etcétera para ese propósito. Navegar seguro no es una limitación para absolutamente nadie, primordialmente si vives de tu Blog o bien web comercial.

Los demás protocolos, como SFTPo SSHvan a depender de tu proveedor de Alojamiento y de si te lo permite y como ¡Consúltaselo!

4.4) 14# Deshabilita el listado del fichero .htaccess

El archivo .htaccess o archivo de configuración distribuida es un fichero oculto (el punto delante del nombre señala que se trata del archivo oculto).

Se usa en servidores que trabajan con Apache para añadir directivas personalizadas por el usuario, eminentemente si este no tiene acceso al fichero php.inidel Alojamiento web.

Al igual que nos protegemos del listado de ficheros y carpetitas, es bueno resguardar este archivo de miradas indiscretas.

Ya que suele ser un archivo que en ocasiones puede contener directivas de redireccionamientos que podrían ser manipuladas para forzar la redirección a sitios de incierta reputación.

Añadir el siguiente código al principio del fichero te ayudará en esta tarea:

order allow,deny Deny from all

4.5) 15# Mantén siempre y en toda circunstancia temas y plugins actualizados a versiones estables

Ni que decir tiene lo de trabajar con la última versión de WordPress, de tu tema en uso y de los dieciocho o bien 36 plugins que tengas instalados.

Y no por decir que estás a la última, sino más bien por disfrutar de las nuevas funcionalidades, las correcciones de seguridad, etcétera, sino más bien principalmente para… no dejar tu sitio comprometido.

¿Te fuiste de vacaciones verdad? Puesto que a la vuelta probablemente te hayas encontrado con WordPress cuarenta y ocho, 4.9 o bien la última versión del instante de esta lectura… y descubras que de súbito ciertos plugins sencillamente no marchan, o generan problemas colaterales por el hecho de que sus autores «también se fueron de vacaciones» y dejaron para septiembre eso de las actualizaciones.

Estas son ciertas de las razones por las cuales hay que mantener el Content Management System y los plugins ysiempre actualizados.

Debería ser por una razón de fuerza mayor por la que no los actualizas, y tendrás que argüirla.

De lo contrario no es viable mantener WP en versiones de hace meses o bien años y encima pretender trabajar con la última versión del tema Divi «responsive» pues algo no va a cuadrar.

Es importante sostener el núcleo de WP al día, primordialmente por seguridad, porque si bien sea segurísimo hay días en que algo ocurre y entonces recordamos de que se nos olvidó actualizar.

Esto es extensible a plugins y temas en uso, por el hecho de que para qué deseas la última versión de WP con un mega-flamante tema adaptable si entonces empleas complementos desactualizados desde hace más de 3 años para mostrar tablas de precios en primera plana.

4.6) ¡Seguro se marcha a desajustar todo!

Hay que cuidar la armonía, y ésta pasa necesariamente por tener todo al día.

4.7) ¿Qué no puedes actualizar?

Ponte entonces con seriedad a examinar el porqué, quizás haya llegado el instante de desprenderte de ese plugin que tanto te gusta, o bien el tema de Genesis que te costó un pastón y dar un paso adelante y evolucionar.

O buscar algo que combine con las versiones actuales o bien no encorsetarte en versiones obsoletas y frágiles por culpa de una manía.

4.7.1) Te lo puedo explicar de 20 formas diferentes, pero la conclusión es siempre la misma:

  • Actualiza siempre el núcleo de WP a la versión estable disponible ¡sin excusas!
  • Utiliza complementos de fuentes fiables y versiones estables compatibles con tu versión de WP.
  • Hay miles y miles de temas, pero con lo que más desees, que sean responsive y compatibles con la versión estable de WP.
  • Si no lo usas ¡eliminalo! ¿Para que quieres veinte temas y 72instalados que no empleas?
  • Haz copia de tu página web antes de actualizar y si puedes prueba ya antes en una sandbox las actualizaciones.

4.7.2) Te pongo un ejemplo real:

Los plugins W3 Total Cachey WP Super Cache, muy populares y utilizados tiempo atrás, presentaron vulnerabilidades de ejecución de código. Un exploit permitía su ejecución.

El 18 de abril se liberaron nuevas versiones de estos 2 plugins. Cientos y cientos de usuarios (miles) fueron afectados por esta vulnerabilidad, eminentemente por no actualizar cuando había versiones corregidas disponibles, actualizaciones que eran bien perceptibles en el dashboard, si bien entonces obviadas.

Una acción tan fácil como es el aplicar, anterior backup, las actualizaciones libres desde el dashboard, es la solución inmediata y expeditiva contra posibles vulnerabilidades de seguridad en WordPress.

Ignorar los avisos de actualizaciones de temas o complementos o postergar esta tarea para «cuando tengas tiempo» solo ayudarán a que tu sitio quede expuesto y pueda terminar siendo pasto de los scripts-kiddies o usuarios malintencionados que quieran explotar la vulnerabilidad de turno, por diversión, por interés económico o bien sencillamente para aparecer en Zone-H¡tú decides!

Nuevas versiones de plugins disponibles en el dashboard, Actualizaciones.

4.8) 16# Alójate siempre y en todo momento con distribuidores de Alojamiento web que garanticen la seguridad global de tus sitios web

De poco sirve que trabajes con la versión más estable y tengas complementos y temas actualizados, así como 20 medidas de seguridad auxiliares si entonces vas y te alojas en un Alojamiento web que no aplique medidas de protección globales para eludir ataques de fuerza bruta, inyección de código en tu base de datos, o bien algo tan simple como que no haga copias con regularidad.

Es esencial que consultes a tu proveedor de Alojamiento por las medidas de seguridad globales que se aplican a nivel servidor, tanto para impedir los ataques de fuerza bruta como para mitigar otro tipo de ataques que puedan afectar a tu Alojamiento y las webs que alojes.

Si se trata de un mucho mejor.

Al final lo importante no es duplicar esfuerzos sino más bien sumarlos, y complementar con medidas auxiliares de protección por parte del usuario aquellas que no son cubiertas por el servidor.

Se trata de una suma de tus esfuerzos y los de tu proveedor de Alojamiento para juntos bogar en la misma dirección, que no es otra sino la de garantizar la estabilidad y el uptime de tu sitio al 99,99 por cien .

 

4.9) Conclusiones

Hay muchas más medidas que tomar y una docena más de plugins para instalar para llevar al máximo la seguridad en WordPress.

El sentido común y el equilibrio entre lo seguro y lo usable debe ser la frontera que te mantenga en un punto de equilibrio.

La perfección no existe, pero tampoco es tan difícil alcanzar el nivel óptimo de prestación si te lo planteas.

¿Estás dispuesto a ponérselo un poco más difícil a los malos?

Foto (web ) Shutterstock

4.10) Cuéntame en los comentarios cómo haces tú con tu seguridad en WP, será un placer leerte.

Back to top
Share icon

Solicita información sin compromiso

Políticas de privacidad

De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su normativa de desarrollo, el responsable del sitio web, CITIFACE MANAGEMENT, S.L., en cumplimiento de lo dispuesto en el art. 5 y 6 de la LOPD, informa a todos los usuarios del sitio web www.citiface.com que faciliten, o vayan a facilitar sus datos personales, que estos serán incorporados a un fichero que se encuentra debidamente inscrito en la Agencia Española de Protección de Datos.

Consentimiento del usuario:
Mediante la marcación de las correspondientes casillas, en los formularios dispuestos en el sitio web para la recogida de datos, los usuarios aceptan expresamente y de forma libre e inequívoca que sus datos personales sean tratados con las finalidades y destinos que se detallarán a continuación.

Finalidad
Los datos que se faciliten a través del portal, se destinarán a la finalidad de responder a su solicitud de información, así como a remitirle información que consideremos que pueda ser de su interés. Incluyendo para ello medios electrónicos (email, sms, etc..). Asimismo, y si usted nos lo indica, le remitiremos a su correo electrónico nuestro boletín electrónico SEO/SEM en el que le trasladaremos recomendaciones y herramientas para la mejora de sus campañas de posicionamiento y pago por clic. Los envíos serán con carácter mensual y podrá dejar de recibirlos en cualquier momento a través del mecanismo establecido en el propio email.

Calidad de datos
Los datos marcados como obligatorios en el formulario que usted cumplimente, son necesarios para la prestación de un servicio óptimo al usuario y dar respuesta a sus requerimientos. En caso de que no sean facilitados todos los datos obligatorios, el prestador no garantiza la prestación de los servicios solicitados.
El usuario será el único responsable, respecto a la veracidad y actualización de los datos aportados a través de los distintos formularios del sitio web

Comunicación de datos a terceros
Sus datos personales no serán cedidos, en ningún caso, a terceras compañías, y que siempre que fuera a realizarse algún tipo de cesión de datos personales, de forma previa, se solicitaría el consentimiento expreso, informado, e inequívoco por parte de los titulares. Ejercicio de derechos ARCO
El prestador garantiza en todo caso al usuario el ejercicio de los derechos de acceso, rectificación, cancelación, información y oposición, en los términos dispuestos en la legislación vigente. Por ello, de conformidad con lo dispuesto en la LOPD, podrá ejercer sus derechos remitiendo una solicitud expresa, junto a una copia de su DNI, a través del correo electrónico: info[at]citiface.com o Calle Farell 3, 1-1. 08014 Barcelona .

Medidas de seguridad
Del mismo modo, el prestador, conforme a lo establecido en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la L.O. 15/1999, indica que ha adoptado todas las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos de carácter personal que trate, así como para evitar su pérdida, alteración y/o acceso por parte de terceros no autorizados.

Menores de edad
Se prohíbe, expresamente, a los menores de 14 años, facilitar ningún dato a través del presente sitio web, sin contar con el consentimiento y supervisión de sus padres o tutores legales.
Si el prestador tuviera noticia acerca de la infracción de la referida prohibición, procederá a la eliminación de cualquier dato asociado al usuario en cuestión.

Uso de cookies y del fichero de actividad
El prestador por su propia cuenta o la de un tercero contratado para la prestación de servicios de medición, pueden utilizar cookies cuando un usuario navega por el sitio web. Las cookies son ficheros enviados al navegador por medio de un servidor web con la finalidad de registrar las actividades del usuario durante su tiempo de navegación.
Las cookies utilizadas por el sitio web se asocian únicamente con un usuario anónimo y su ordenador, y no proporcionan por sí mismas los datos personales del usuario.
Mediante el uso de las cookies resulta posible que el servidor donde se encuentra la web, reconozca el navegador web utilizado por el usuario con la finalidad de que la navegación sea más sencilla, permitiendo, por ejemplo, el acceso a los usuarios que se hayan registrado previamente, acceder a las áreas, servicios, promociones o concursos reservados exclusivamente a ellos sin tener que registrarse en cada visita. Se utilizan también para medir la audiencia y parámetros del tráfico, controlar el progreso y número de entradas.
Puede Usted rechazar el tratamiento de los datos o la información rechazando el uso de cookies mediante la selección de la configuración apropiada de su navegador, sin embargo, debe Usted saber que si lo hace puede ser que no pueda usar la plena funcionabilidad de este website.
Este sitio web utiliza Google Analytics, un servicio analítico de web prestado por Google, Inc., una compañía de Delaware cuya oficina principal está en 1600 Amphitheatre Parkway, Mountain View (California), CA 94043, Estados Unidos («Google»). Google Analytics utiliza «cookies», que son archivos de texto ubicados en su ordenador, para ayudar al website a analizar el uso que hacen los usuarios del sitio web. La información que genera la cookie acerca de su uso del website (incluyendo su dirección IP) será directamente transmitida y archivada por Google en los servidores de Estados Unidos. Google usará esta información, por cuenta nuestra, con el propósito de seguir la pista de su uso del website, recopilando informes de la actividad del website y prestando otros servicios relacionados con la actividad del website y el uso de Internet.
Google podrá transmitir dicha información a terceros cuando así se lo requiera la legislación, o cuando dichos terceros procesen la información por cuenta de Google. Google no asociará su dirección IP con ningún otro dato del que disponga Google.
Puede Usted rechazar el tratamiento de los datos o la información rechazando el uso de cookies mediante la selección de la configuración apropiada de su navegador, sin embargo, debe Usted saber que si lo hace puede ser que no pueda usar la plena funcionalidad de este website. Al utilizar este website Usted consiente el tratamiento de información acerca de Usted por Google en la forma y para los fines arriba indicados. En todo caso, le informamos que para instar a la cancelación de los posibles tratamientos de datos llevados a cabo por Google, deberá dirigirse a esa compañía, a tal efecto. El prestador no tiene la capacidad técnica ni legal, para proceder al cese en el tratamiento de datos fuera del ámbito delimitado por los ficheros y medios técnicos de su titularidad. Y no se le podrán exigir responsabilidades en este sentido. Para conocer más acerca de las cookies es.wikipedia.org/wiki/Cookie_(informática)

SEMrush

SEMrush

SEMrush

ESTOS EXCLUSIVOS INFORMES GRATUITO REVELAN

7 SECRETOS DE EXPERTOS SEO QUE TE LLEVÁN AL 1#
7 SECRETOS DE EXPERTOS SEO QUE TE LLEVÁN AL 1# EN GOOGLE PARA GANAR 10.000s DE TRÁFICO DE CALIDAD GRATUITO - EN SÓLO 2 MESES
 

Los 7 pasos más poderosos para disparar tu ranking orgánico para ALCANZAR Y MANTENER un impresionante tráfico orgánico es TUYO.

Consigue gratis lo que el 1% de los expertos en SEO venden por miles de euros... y el otro 99% ni siquiera sabe que existe.


OBTEN MI INFORME GRATUITO
5 errores que debes evitar en tu sitio web de Drupal
Ebook - 5 errores que debes evitar en tu sitio web de Drupal (¡podrían costarte miles de euros!)
 

Este Ebook cubre 5 terribles errores que probablemente estés cometiendo ahora mismo con tu sitio web de Drupal.

¡Nº3 TE SORPRENDERÁ! Esta lectura de 10 minutos te ahorrará miles de euros.



OBTEN MI INFORME GRATUITO