Una cuarta parte de webs publicadas en Internet a nivel mundial están efectuadas con Wordpress.
Esta popularidad tiene aspectos positivos como, por servirnos de un ejemplo, tener a tu disposición una comunidad enorme de desarrolladores, programadores y diseñadores a los que recurrir en el caso de precisar ayuda.
Pero por su parte, la existencia de ese gran volumen de instalaciones hace que sea muy goloso para usuarios maliciosos crear herramientas (robots) que fisgan en internet buscando WP vulnerables.
¡No dejes que metan las narices en el tuyo!
Si tu WordPress es hackeado, los costes pueden ser importantes. No solo por tener que contratar a un técnico para que limpie la página web, también tienes que considerar la pérdida de ventas y clientes del servicio potenciales y una pérdida de reputación.
Sigue nuestra guía de seguridad y actúa ahora para reducir los peligros de sufrir un hackeo Wordpress.
En Webempresa llevamos 19 años trabajando en el ámbito del hosting. Nuestro objetivo es conseguir clientes contentos y felices con su alojamiento para Wordpress.
Nuestra obsesión: Seguridad – Soporte – Velocidad
Todo el equipo ha participado en la creación de esta guía de seguridad con la que deseamos ayudarte a conocer los peligros a los que estás expuesto y enseñarte cómo levantar diferentes barreras de seguridad cerca de tu WP.
¡Nos emociona WP!
Back to top1) Lo más importante de todo
1.1) Siempre hay un riesgo
Sentimos decirte esto: tu WP jamás será cien por cien seguro.
Los usuarios maliciosos están en incesante innovación y se descubren fallos en complementos con frecuencia; no obstante puedes hacer muchas cosas para disminuir al mínimo el peligro.
Aquí estamos nosotros para asistirte, mas ten en cuenta que la seguridad requiere un trabajo incesante y no puedes bajar la guarda.
1.2) ¿WordPress es inseguro?
Esta es una pregunta que recibimos de forma frecuente en nuestro servicio de soporte.
La respuesta es que Wordpress no es menos seguro que cualquier otro gestor de contenidos.
Dependiendo de cómo mimemos y empleemos nuestro WordPress, lo mantendremos más o menos alejado de los malos.
Si nunca actualizas tu WP, tu tema es pirata, tu contraseña es 1234 y no tienes antivirus en tu ordenador… suponemos que también debes dejar tu coche con las llaves puestas y el motor en marcha un sábado por la tarde en un centro comercial, ¿verdad? 😉
después de analizar 20.000 WordPress se encontró con este dato:
Preocupante, ¿verdad?
Pues manos a la obra!
Back to top
2) El eslabón más débil eres tú
2.1) 1.Cuidado con tu conexión a Internet
¿Cómo te conectas a internet? Es mejor que trabajes conectado por cable ethernet en lugar de wifi.
Si te conectas por wifi, comprueba que empleas seguridad WPA-2 y que has alterado la contraseña de acceso a la administración del router que viene por defecto. ¡Utiliza una contraseña segura!
Si estás utilizando WPS en tu conexión wi-fi, desactívalo, puesto que teniéndolo activo es muy fácil que te hurten la contraseña de tu conexión.
Evita conectarte a tu Wordpress desde equipos externos poco fiables como, por ejemplo, el ordenador de la recepción de un hotel.
2.1.1) Wifi gratis: alto precio en seguridad
Todos hemos caído en la tentación de usar las redes wifi abiertas que están libres por servirnos de un ejemplo en hoteles y cafeterías. ¡Wifi sin coste! Mas utilizar una wifi de este tipo supone pagar un alto coste en cuestión de seguridad.
Desaconsejamos la conexión desde wifis abiertas o públicas, ya que no son seguras. En el caso de que sea indispensable emplearlas, verifica que tienes tu equipo protegido con un antivirus y firewall actualizados, o bien conéctate a través de una VPN de confianza.
Hoy en día muchas soluciones de seguridad antivirus incluyen una VPN privada, esta sería una buena opción. También puedes contratar un servicio específico de VPN a fin de que tus conexiones estén cifradas. Si te conectas frecuentemente desde redes no seguras (viajes, fuera de casa o de la oficina, etcétera) con la VPN aumentarás mucho tu seguridad.
En todo caso, cuando estés fuera de casa o de la oficina, siempre es preferible que te conectes desde la conexión 3G de tu teléfono móvil que emplear una conexión wi-fi cuya seguridad desconoces.
2.1.2) ¿Proxy? No, gracias.
No navegues nunca a través de un proxy, y menos si se trata de un proxy gratuito. En internet hay muchos sitios donde recomiendan un proxy para navegar de forma anónima. No debes confundir anónimo con seguro.
Si navegas a través de un proxy todo tu tráfico pasa por un servidor de alguien a quien no conoces. Muchos de esos proxy se anuncian exactamente para espiar el tráfico que pasa por ellos y poder hurtar datos privados.
2.1.3) SSL para cifrar datos
Es muy aconsejable instalar un certificado SSL en tu web y acceder vía HTTPS pues así los datos viajarán encriptados por la red.
Cuando navegas con HTTPS toda la información se envía de forma cifrada al servidor, de tal modo que si hay un usuario conectado a la misma red que tú que esté intentando hurtar tus credenciales de acceso, solo verá una serie de caracteres sin ningún sentido.
Tienes más información a este respecto en el artículo.
No es necesario que adquieras el certificado más caro del mercado, con un certificado estándar de RapidSSL te puede servir.
También puedes probar la opción gratis que te ofrece.
2.2) 2.Usa contraseñas seguras
Nada de emplear contraseñas como “12345”, “password”, “juan”, “nombredemiweb”o “qwerty”. Si tienes una contraseña de este tipo ya estás tardando en mudarla.
Una buena contraseña debe contener mayúsculas, minúsculas, números y caracteres singulares (como una coma, una arroba o un guión).
Este es un caso de contraseña robusta: 7sP3@ dólares americanos zjT1b3
La longitud de la contraseña también es un factor importante a tener en consideración. Lo recomendable es que tenga una longitud de 12 caracteres o bien mayor.
Si te cuesta rememorar una contraseña de esta clase puedes decantarse por construirte una que te resulte más fácil de recordar, como “25beatriz–Seguro++35”.
¡No se lo pongas fácil a los atacantes!
No almacenes jamás contraseñas en tu navegador, emplea un gestor de contraseñas cifrado como nuestro servicio.
Las contraseñas cortas o largas por si solas pueden ser vulneradas. ¡Utiliza siempre y en toda circunstancia un segundo factor de autenticación!
2.2.1) Dobla la seguridad usando la doble autenticación
Utiliza un doble factor de autenticación siempre que puedas, verás que configurarlo y empezar a utilizarlo es muy sencillo:
Puedes habilitarlo para usarlo con los gestores de contraseña y con tu email. Tener el e-mail protegido es esencial, en tanto que muchas contraseñas o recordatorios se envían por correo electrónico. ¡No te dejes vencer por la vagancia y habilítalo!
2.3) 3.Tu equipo
Tienes que mantener limpios y protegidos los equipos y dispositivos lugar desde donde accedes a la administración de tu WordPress.
Muchos usuarios maliciosos encuentran una puerta de entrada cuando los usuarios se conectan a la administración de Wordpress desde un equipo hackeado. Cuando el usuario introduce las contraseñas los atacantes capturan esos datos y entonces ya no habrá medida de seguridad posible que evite un desastre.
2.3.1) Sistema operativo y navegador actualizados
Mantén actualizado el sistema operativo y también tu navegador, puedes elegir el navegador que más te guste pero asegúrate de que estás utilizando la última versión (por favor, no uses Internet Explorer seis o navegadores obsoletos).
Lo ideal es que configures las actualizaciones automáticas, de esta forma te aseguras de estar al día evitando la tarea de actualizar manualmente.
En la medida de lo posible, evita navegar por webs “sospechosas”, puesto que algunas de ellas tratarán de instalar programas no deseados en tu equipo.
No utilices sistemas operativos “piratas” o instales programas procedentes de aplicaciones P2P o bien de páginas de descargas, pues posiblemente incluyan un “regalo” en forma de troyano.
Descarga siempre y en todo momento los programas que vayas a instalar desde la web de los desarrolladores.
2.3.2) Antivirus y firewall
Debes contar con un buen antivirus y un firewall actualizados, ya que tener un antivirus con una base de datos de virus vieja es prácticamente lo mismo que no tener ninguno.
Mantén activadas las opciones de firewall y análisis de seguridad por defecto del antivirus y ejecuta de manera semanal una exploración completa de tu equipo.
Si el antivirus que estás usando no cuenta con un firewall, evalúa la posibilidad de añadir uno.
Si usas Windows puedes usar Windows Defendery usar el firewall de Windows que viene incorporado.
En este enlace puedes ver cómo usar Windows Defenderpara escanear malware:.
También puedes ver como habilitar o deshabilitar el firewall de Windows en este enlace:.
2.3.3) Control de usuarios
Accede a tu equipo con un usuario con privilegios de usuario, no de administrador. De este modo, será más difícil que se instalen aplicaciones no deseadas en tu máquina.
Si otra persona tiene que emplear tu equipo, crea usuarios convidados o bien con permisos restringidos.
2.3.4) Control de accesos
Utiliza una contraseña segura y diferente para cada uno de ellos de los accesos: administración de Wordpress, Webmail, FTP y para el acceso al panel de control del alojamiento web.
Te aconsejamos no utilizar FTP. Es frecuente que los atacantes infecten equipos para obtener datos guardados de acceso FTP y así poder acceder al panel de control del alojamiento. Caso de que no tengas opción alternativa y necesites usar FTP para conectar con tu hosting,.
2.3.5) Aísla tu entorno de trabajo
Si solo dispones de un equipo físico de trabajo (ordenador), valora la posibilidad de trabajar con una máquina virtual.
Además de lo práctico que puede resultar para trasladar tu estación de trabajo de un equipo físico a otro y de facilitarte la vida con backups, etc., te permite aislar tu entorno de trabajo.
Así no mezclas tus cosas personales con las profesionales y hay menos posibilidades de que un desliz de tu vida personal afecte a tu vida profesional.
Back to top
3) Cuidando de tu WordPress
3.1) 1.¡Mantén siempre y en todo momento a la última tu Wordpress!
Cuando se lanza una nueva versión de Wordpress no es solo para arreglar errores o añadir nuevas funcionalidades, también se hace para corregir los problemas de seguridad que se han ido advirtiendo.
Tener una versión vieja de esta herramienta es como abrir una puerta a los usuarios maliciosos, en tanto que precisamente se aprovecharán de los fallos de seguridad conocidos para atacarnos.
Actualiza tu Wordpress cada vez que veas una notificación de actualización en la administración; es sencillísimo y solo te llevará un minuto.
Si por algún motivo no puedes actualizar la versión de Wordpress desde la administración de la página web, también se puede actualizar manualmente. Consulta el artículopara ver cómo puedes hacerlo.
Como siempre y en toda circunstancia aconsejamos, para eludir disgustos, efectúa una copia de seguridad ya antes de actualizar.
3.2) 2.Los plugins son maravillosos, ¡cuídalos!
La mayor parte de los ataques que recibe Wordpress se realizan a través de los complementos.
Al igual que sucede con el propio WP, las actualizaciones suelen corregir inconvenientes de seguridad, con lo que debes sostener tus plugins actualizados.
Puedes hacer las actualizaciones desde la administración de Wordpress de forma automática y, al igual que en el anterior punto, es muy recomendable efectuar una backup ya antes de actualizar.
3.2.1) Limita el uso de plugins
Utiliza solo los complementos que vayas a necesitar: no es una gran idea instalar complementos en grandes cantidades ya que cada uno podría ser una puerta de entrada para piratear tu WordPress.
Quédate solo con los complementos indispensables y si has instalado un plugin que ya no utilizas… ¡desinstálalo!.
También es importante que emplees complementos fiables. Lo idóneo es que uses el propio buscador de complementos que tienes en la administración de Wordpress o bien que los descargues de la página oficial de plugins.
Si se trata de un complemento de pago asegúrate de que lo descargas desde la página de sus desarrolladores.
Nunca (repetimos, NUNCA) instales un complemento que hayas logrado desde un torrent (red Peer to Peer), un gestor de descargas o bien una página sospechosa tipo “super-complementos-depago-gratis” ya que es muy posible que con el plugin venga un “regalo” en forma de código malicioso.
Es preferible abonar por la licencia de un plugin que quedarnos sin web.
Fíjate en el número de descargas del complemento (cuantas más mejor) y en la última fecha de actualización (si es de hace dos años sospecha).
Si quieres probar un complemento haz un clon de tu página web y pruébalo en ese clon, jamás en la web real que tienes publicada.
Puedes instalar el pluginque te avisará de las nuevas vulnerabilidades que aparezcan en los plugins de tu instalación de Wordpress.
3.3) 3.Cuida el tema que estés utilizando
Puedes utilizar tanto temas gratis como temas de pago, pero asegúrate siempre y en todo momento de utilizar la última versión libre.
Si el tema que estás usando está en el directorio de wordpress.org, las actualizaciones se mostrarán de forma automática en la administración de WP. Para los temas de pago o temas gratis descargados desde otras webs, normalmente tendrás que comprobar de forma periódica si han publicado nuevas versiones que corrigen inconvenientes de seguridad.
De nuevo, NUNCA emplees temas que hayas conseguidos desde gestores de descarga o páginas sospechosas: pueden venir hackeados de serie.
Instala solo temas procedentes de wordpress.org o bien de la web de sus desarrolladores.
3.4) 4.Usuario admin, NO gracias.
No uses el usuario admin para acceder a la administración de tu WordPress: si un hacker desea entrar en la administración de tu web lo primero que hará será probar a emplear el usuario “admin”.
Lo mejor es que crees un nuevo usuario con privilegios de administrador (recuerda utilizar una contraseña segura).
Una vez hecho esto, cierra la sesión y vuelve a conectarte con el nuevo usuario que has creado.
Después accede al gestor de usuarios, edita el usuario “admin” y cambia sus privilegios de administrador por subscritor o elimina de forma directa el usuario “admin”.
Si lo suprimes, asegúrate de reasignar las entradas y páginas que estaban asignadas al usuario “admin” a otro usuario existente.
Con este cambio, un usuario malicioso no solo tendrá que saber la contraseña de un usuario administrador, sino más bien también su nombre.
Si eres un usuario avanzado y prefieres realizar el cambio de cuenta de manera directa, puedes hacerlo siguiendo los pasos de nuestro artículo
3.5) 5.Realiza backups periódicos y automatizados
Algunos proveedores de alojamiento web ya efectúan copias de seguridad automáticas mas, por si las moscas, es una buena idea que hagamos copias periódicas de nuestra web.
Tendrás que hacer las copias con más o bien menos frecuencia en función de la cantidad de información que vayas añadiendo.
Es importante realizar copias de respaldo antes de efectuar acciones como la actualización de plugins o WordPress, la instalación de nuevos complementos, cambios en la base de datos, etc…
A veces se generan resultados no deseados y si la última copia es reciente no perderás trabajo previo.
Existen complementos para WP que nos permitirán hacer esta tarea de forma automática como XCloner, del que.
Es esencial que realicemos las copias de seguridad en un almacenaje externo como Dropbox, cuentas FTP externas o bien Amazon S3, o que nos descarguemos las copias que realizamos, ya que si alguien nos borra todos los datos de la web también vamos a perder la propia backup.
Para evitar inconvenientes de espacio en tu cuenta de alojamiento elimina las copias de respaldo tras descargarlas.
3.6) 6.Limita los intentos de acceso fallidos
Una de las formas más habituales que utilizan los usuarios maliciosos para acceder a la administración de WP son los ataque por por fuerza salvaje.
Esto consiste en probar el acceso al administrador con todas las combinaciones posibles de usuario y contraseña. Frecuentemente estos ataques están basados en diccionarios de contraseñas, por eso es esencial usar contraseñas complejas o robustas.
Limitar el número de intentos de conexión errados desde una única dirección IP puede reducir el peligro de padecer un acceso ilícito.
La mayoría de plugins de seguridad ya permiten configurar este límite, mas si prefieres no usarlos, hay plugins con esta finalidad específica como BruteProtect de Automattic. Tienes más información en nuestro blog:.
En nuestro hosting, bloqueamos IP’s automáticamente cuando advertimos múltiples intentos de acceso fallidos a la administración o al panel de control cPanel.
3.7) 7.Protección auxiliar con Captcha y doble autenticación
El empleo de opciones adicionales de autenticación añadirá una capa más de seguridad a tu WP.
3.7.1) Administración de WordPress
Te aconsejamos proteger el acceso a la administración de tu WP con un formulario de autenticación con Captcha o bien un doble factor de autenticación como por ejemplo Latch.
En nuestro weblog te hablamos de las dos opciones en los artículosy.
3.7.2) Formularios
Es frecuente que se usen los formularios de la web para hacer SPAM utilizando bots. Para prevenirlo debes resguardar la creación de comentarios con un.
Para resguardarte contra el spam puedes emplear el complemento Akismet, que está instalado por defecto en WP.
También tenemos un artículo sobre esto, no te pierdas.
3.8) 8.Asegúrate de sostener los usuarios imprescindibles y con privilegios mínimos.
Es muy probable que los usuarios creados en tu sitio con privilegios de administrador tengan una contraseña débil, comprometiendo así la seguridad de tu Wordpress. Concediendo a los usuarios únicamente los privilegios indispensables dismuyen las posibilidades de que la seguridad se vea comprometida.
Ante la duda, puedes resetear todas las contraseñas de usuarios de tu WordPress fácilmente. Solo tienes que continuar los pasos del artículo.
Revisa periódicamente qué usuarios existen y suprime los que no se usen o no deban tener acceso a tu WordPress.
3.9) 9.Ocultar la versión de WordPress
Cada versión de WP tiene una serie de vulnerabilidades conocidas que los usuarios maliciosos intentan aprovechar. Esconder la versión de WordPress que estás empleando hará que no sea tan fácil identificar esas vulnerabilidades.
La encargada de enseñar la versión de tu WP en tu web es la función wp_head(), que incluye una llamada a la función wp_generator().
Para esconder esa información, debes incluir la siguiente línea en el fichero functions.php de tu WordPress:
3.10) 10.Audita tu WordPress
Utiliza herramientas para verificar diferentes apartados importantes de la seguridad de tu Wordpress.
Webempresa ofrece de forma gratuita un análisis de seguridad para WordPress desde.
Con wpdoctorpodrás comprobar de forma automática si estás al día en muchos de los puntos tratados en esta guía:
- Te avisa si no estás usando la última versión de Wordpress y de sus complementos más esenciales.
- Comprueba si el acceso al administrador está protegido contra ataques de fuerza bárbara.
- Te muestra la información que se puede recoger de tu instalación y te indica cómo ocultarla.
Puedes comprobar la salud de tu WP con Google Safe Browsing:
O también directamente en Google Console (antes Webmaster Tools):
Back to top
4) La primera línea de defensa: El Hosting
Ahora que estás al tanto de los riesgos que acechan y de las medidas de seguridad que debes aplicar para minimizar el peligro, llega el instante de hablar del alojamiento.
De poco te servirá tener un Wordpress a prueba de balas si el servidor donde lo has alojado es un coladero. Un servicio de hosting debe suministrar elementos de seguridad a nivel de servidor; debe ser la primera línea de defensa.
4.1) Usa un proveedor de alojamiento web profesional
Verifica las características del servicio de alojamiento web que vayas a contratar para tu web y asegúrate que la seguridad es una de sus prioridades.
4.1.1) Sistema Operativo
Te recomendamos apostar por Linux en frente de Windows. Las dos plataformas presentan inconvenientes de seguridad y acostumbran a ser objeto de ataques de usuarios maliciosos; no obstante Linux continúa llevando cierta ventaja merced a la comunidad de desarrolladores con la que cuenta.
Linux no está libre de peligros mas, hasta el instante, es capaz de solventar los inconvenientes de seguridad de forma mucho más rápida y eficiente que Windows.
4.2) ¿Tu hosting está al día en seguridad?
A continuación te señalamos algunas de las medidas que deberías valorar en un servicio de alojamiento compartido.
Los permisos correctos de tu Hosting deben ser:
- 644 para ficheros.
- 755 para carpetitas.
Si no los tienes así por defecto ya puedes ir pensando en mudar de Hosting.
Uso de un sistema de aislamiento por cuenta de alojamiento, de forma que un mal comportamiento o bien el hackeo de una web alojada en el servidor no afecte al resto.
Uso de aplicaciones de monitorización en tiempo real que analicen todos y cada uno de los ficheros que se leen o bien se graban en disco, para asegurar que no tienen malware ni código sospechoso.
Uso de sistemas para eludir Ataques de Denegación de Servicio (DDoS).
Medidas preventivas para evitar ataques de fuerza bruta a Wordpress.
Uso de un WAF (Web Application Firewall). Merced a él se pueden establecer reglas de seguridad, que pararán la mayoría de los ataques que se realicen a un Wordpress.
De esta forma, aunque algún complemento de tu página web tenga una vulnerabilidad en el código, es probable que el WAF evite este ataque.
Configuración a nivel de servidor que evite que se pueda hacer un listado de directorios (que un usuario pueda ver los ficheros de una determinada carpeta de la página web) o averiguar la versión de PHP que se está ejecutando, ya que esto compromete gravemente la seguridad.
Protección de las bases de datos. Entre otras muchas medidas, lo correcto sería que sólo se permitiera el acceso a la mismas desde el propio servidor, y no desde equipos remotos.
Puerto MySQL cerrado: lo ideal es que el puerto de MySQL esté cerrado, y si necesitas acceder desde tu casa, que te habiliten el acceso solamente a tu IP.
Para esto necesitarás una IP fija o una cuenta de.
Software actualizado: del mismo modo que ocurre con tu Wordpress y sus plugins, es esencial que el software que utilice el servidor se halle actualizado, en tanto que las versiones antiguas del mismo también pueden ser frágiles.
Un valor añadido que puede ofrecer un servicio de alojamiento web es la realización de copias de seguridad automáticas de nuestros datos de manera que, si debemos volver a un estado precedente de nuestra página web, siempre y en todo momento dispongamos de alguna backup.
Pero recuerda que el hecho de que tu servicio de hosting ya haga copias de seguridad automáticas no es disculpa para que hagas tus propias copias.
La copia disponible en tu servicio de alojamiento web no tiene por qué corresponder con la data exacta del estado de la web que deseas recobrar.
Estas son solo ciertas medidas que aplicamos en Webempresa y que nos permiten a nosotros y a nuestros clientes del servicio dormir más sosegados.
Monitorizamos veinticuatro horas todos nuestros servicios y nuestro equipo técnico recibe alertas cuando se detectan actividades sospechosas para poder actuar inmediatamente y de forma coordinada con el usuario.
Nuestros administradores de sistemas actualizan periódicamente las reglas que protegen los WordPress alojados en nuestros servidores ante vulnerabilidades o bien fallos de seguridad.
El seguimiento de las nuevas formas de atacar WP ha de ser una labor diaria y constante, ¡no se puede bajar la guarda!.
Back to top
5) Más madera para usuario medio y avanzado
Las medidas de seguridad que se pueden aplicar para resguardar tu Wordpress son muchas, y no queremos abrumarte con cambios complicados.
Sin embargo si eres un usuario avanzado y quieres proseguir trabajando en la seguridad de tu Wordpress, aquí tienes ciertas mejoras adicionales que puedes aplicar.
5.1) 1.Activa la actualización automática en tu WordPress
En la versión tres.7 de WP se hizo una gran mejora añadiendo la actualización automática de WordPress.
Manteniendo esta opción activada, nos aseguraremos de que las actualizaciones de seguridad se instalarán tan pronto como estén disponibles.
Puedes configurar las actualizaciones automáticas del núcleo de WordPress desde el fichero wp-config.php. Solo debes añadir las siguientes líneas para cada una de las configuraciones:
Las actualizaciones de plugins y plantillas es mejor hacerlas de forma manual, puesto que pueden ser más sensibles y podrían provocar errores en la web si no se verifica bien la compatibilidad con la versión de WordPress.
5.2) 2.Modifica la url de login de tu WordPress
En webs efectuadas con WordPress el acceso a la administración se efectúa por defecto en la url /wp-admino /wp-login.php
Los atacantes son conscientes de este acceso y tratan de explotar el acceso mediante lanzar ataques de fuerza salvaje.
Modificando esta url de acceso a la administración evitarás esos intentos de acceso a la fuerza salvaje.
Aprende cómo hacerlo consultando el artículo.
Nota En Webempresa, para nuestros clientes, ya incorporamos medidas de seguridad encaminadas a resguardar los accesos a /wp-admin y /wp-login.php contra este tipo de ataques por lo que no es necesario que incorpores este tipo de medidas de seguridad..
5.3) 3.Protege los archivos que pueden comprometer la seguridad de tu página web.
Existen diferentes archivos que pueden comprometer la seguridad de WordPress.
Hay ciertos archivos que se añaden con la instalación de Wordpress, que son meramente informativos, pero cuya información puede ser útil para los atacantes.
Puedes ver en nuestro blog cómo protegerlos:.
5.4) 4.Protege tu base de datos cambiando el prefijo de las tablas por defecto
La base de datos es donde guardas toda la información de tu instalación de WP.
Como imaginarás es muy goloso para los crackers y spammers, que intentan mandar códigos automatizados para acceder a tus datos.
Muchos usuarios se olvidan de mudar el prefijo de base de datosal instalar WP.
Esto hace que sea más fácil para los usuarios maliciosos planear un ataque masivo al dirigirse al prefijo por defecto de las tablas de la base de datos que es: wp_ .
Lo aconsejable es que cambies el prefijo por defecto al instalar el WP.
Si ya lo tienes instalado, puedes mudar el prefijo fácilmente con el plugin.
Recuerda hacer unaantes de realizar ningún cambio.
5.5) 5.Protege el fichero wp-login.php
Si no dejas registro y acceso de usuarios en el frontal del WordPress es recomendable que protejas el acceso al wp-login.php o permitas únicamente el acceso desde IPs autorizadas ( si te conectas con IPs fijas).
¿Quieres aprender cómo resguardarlo? En este artículo te lo enseñamos:.
¡Ojo! Esto solo debes hacerlo si los visitantes de tu página web no necesitan identificarse como usuario.
Por ejemplo, en una tienda en línea no deberás resguardar el fichero wp-login.php.
5.6) 6.Agrega una cabecera X-Content-Type
Con esta cabecera evitarás que haya usuarios que procuren suplantar ficheros css o js por ejecutables.
Se puede evitar con el fácil cambio que te explicamos en el artículo :.
5.7) 7.Instala algún plugin de seguridad para WordPress
Este género de complementos te ayudarán a acrecentar la seguridad de diferentes formas. te permiten desde resguardar el acceso a la administración hasta comprobar los ficheros de tu Wordpress en busca de código malicioso.
Existen multitud de opciones, como por ejemplo:
Si quieres conocer todas las características de Wordfence, te las mostramos en este artículo:.
Recuerda deshabilitar las estadísticas (tabla wfhits) para no sobrecargar tu Wordpress.
Una opción interesante de Wordfence es la verificación de ficheros básicos de Wordpress para revisar si han sido modificados.
Ten precaución en el momento de configurar este género de complementos, ya que podrías bloquear tu propio acceso con estas herramientas.
Antes de instalar algún complemento de este tipo, haz una copia de respaldo. Así podrás regresar al estado precedente en caso de inconvenientes.
¡No te vuelvas orate con la instalación de complementos!
Ten presente que instalar todos los plugins de seguridad que encuentres no hará que tu Wordpress sea más seguro y es posible que tenga comportamientos inopinados provocados por haber múltiples complementos alterando archivos claves para el funcionamiento de tu WordPress, como puede ser el fichero .htaccess.
5.8) 8.Agrega una cabecera X-Frame-Options
Añadiendo esta cabecera evitaremos que nuestra página web cargue en un frame o iframe (marcos).
Con ello, evitaremos también ataques de tipo clickjacking y no podrán suplantar nuestra web cargándola desde una ubicación externa.
Si dejas esto, podría estar tu contenido en otro dominio y tener inconvenientes con Google si lo considera contenido copiado.
Tienes todos y cada uno de los detalles en el artículo
5.9) 9.Agrega una cabecera X-XSS-Protection
Añadiendo esta cabecera puedes aumentar la seguridad frente ataques de tipo XSS. Te lo contamos todo sobre esta cabecera en.
Tras añadir la cabecera, tanto si lo haces en el fichero .htaccess tal y como si lo haces en el functions.php, asegúrate de repasar que tu web funciona según lo esperado.
Si ves que afecta de algún modo al funcionamiento de tu página web, suprime el código añadido para revertir el cambio.
Recuerda hacer siempre una copia de seguridad de los archivos que vayas a editar.
Hay varias fórmulas con las que puedes añadir protecciones extra a través de .htaccess
5.9.1) Impedir la ejecución de ficheros .php en el directorio uploads
El directorio /uploads normalmente se utiliza para almacenar imágenes o vídeos y en ocasiones puede ser explotado por usuarios maliciosos que suben código PHP inficionado aprovechando los scripts para subir imágenes de WP.
Una buena solución es añadir un archivo .htaccess en el directorio uploads impidiendo el acceso a ficheros php:
También se puede limitar el acceso exclusivo a documentos de imagen en directorios como el uploads:
Para eludir que algunos códigos maliciosos se procuren esconder bajo nombres como xxxxxx.php.jpg, también se puede bloquear por estructura:
5.9.2) Redirigir siempre y en todo momento los errores
Redirigir los errores es buena práctica para evitar que se muestre información que pueda dar pistas a algún individuo malintencionado:
5.9.3) Denegar el acceso a determinadas herramientas como wget, curl, perl, etc.
Aunque muestres contenido públicamente en tu página web, es posible que te interese eludir que puedan copiarlo.
No hay forma de resguardarlo del todo, pero para dificultar la tarea podemos denegar el acceso a ciertas herramientas de tal modo que no puedan escanear la página web y descargar contenido:
5.9.4) Evitar ataques de inyección SQL
WordPress por defecto tiene medidas para evitar este género de ataques, pero ¿quién sabe si alguno de tus plugins puede tener algún agujero en este aspecto?
Por si fuese el caso, puedes servirte del siguiente código para prevenir algunos ataques de inyección SQL.
Si quieres evitar que desde la administración de Wordpress se pueda alterar el código de ficheros, puedes añadir la próxima línea al fichero wp-config.php
Si la web ya está creada y no necesitas añadir nuevos plugins o bien plantillas, también puedes deshabilitar la instalación de temas y plantillas añadiendo:
5.10) 12.Deshabilitar XMLRPC para evitar ataques de DoS
Esta funcionalidad se emplea bastante para efectuar ataques de denegación de servicios. Desde una localización oculta se lanzan muchas solicitudes pingback forjadas a mano a muchos WordPress, diciendo que en tu página web han hablado sobre ellos.
Estos Wordpress irán a comprobar si verdaderamente les has enlazado descargando tu página, y al percibir tantas solicitudes de descarga juntas desde tantos sitios web, tu página web quedará bloqueada.
Puedes evitarlo de dos modos:
- Cerrar por completo el comportamiento XMLRPC. El inconveniente de deshabilitar XMLRPC es que pierdes alguna funcionalidades interesantes, como los pingback y los trackback.
- Disponer de un Firewall Web (WAF) que te proteja a través de reglas avanzadas que realizan recuento de todas solicitudes XMLRPC que recibes y, en caso de que este número se dispare demasiado, bloquean todo ese tráfico. Esta opción la tenemos implementada con éxito en Webempresa.
Si te decides a deshabilitar XMLRPC, puedes hacerlo manualmente o usando el plugin.
Para hacerlo manualmente tienes que añadir esta línea en el archivo functions.php:
5.11) 13.Bloqueos por usuario-agent
En ocasiones puede ser necesario bloquear ciertas aplicaciones, como por servirnos de un ejemplo a ciertos robots, estableciendo bloqueos por user-agent en el archivo .htaccess.
De este modo evitarás el acceso de un user-agent determinado a tu página web.
Algunos códigos de ejemplo para bloquear por user-agent pueden ser los siguientes:
5.12) 14.Bloqueos por referer
También puedes ver preciso bloquear conexiones que vienen desde un determinado referer, para lo que podrías emplear cualquiera de los próximos códigos:
Con este bloqueo conseguirías bloquear el acceso a tu página web desde un enlace ubicado en un dominio determinado.
5.13) 15.Crypto.php
Esta es una de las vulnerabilidades más importantes y conocidas de Wordpress.
Afecta de manera directa a las plantillas y complementos no autenticados por el repositorio oficial de wordpress.org y en general viene integrado en plantillas o bien plugins pirateados o bien obtenidos de forma ilícita.
El propósito del malware es añadir a tu página web links a otros sitios que normalmente vinculan a sitios con fines maliciosos.
También puede ser usada con otros fines ya que esta infección puede comunicarse con servidores de control para efectuar otras labores (envío de SPAM, alojar otro tipo de contenido, realizar ataques a otras webs, etc.)
La infección normalmente está en una pequeña línea de código como la siguiente:
Como se puede ver, lo que hace es incluir un script llamando a un código que hay oculto en un fichero .png, que en teoría debería ser una simple imagen.
5.13.1) ¿Cómo evitarla?
La principal medida para eludir esta vulnerabilidad es no descargar complementos ni plantillas de sitios no contrastados, nuestra recomendación es realizar siempre las descargas desde el repositorio oficial de Wordpress.org
En el caso de que estés inficionado, te recomendamos instalar el complemento de seguridad Wordfenceque incluye una opción para analizar las imágenes tal y como si de código php se tratase.
Desconfía si por servirnos de un ejemplo ves archivos PHP en directorios donde solo debería haber imágenes, como el directorio /wp-content/uploads.
Back to top
