Una cuarta parte de webs publicadas en Internet a nivel del mundo están realizadas con WordPress.
Esta popularidad tiene aspectos positivos como, por ejemplo, tener a tu disposición una comunidad enorme de desarrolladores, programadores y diseñadores a los que recurrir en el caso de precisar ayuda.
Pero por su parte, la existencia de ese gran volumen de instalaciones hace que sea muy goloso para usuarios maliciosos crear herramientas (robots) que fisgonean en internet buscando WordPress frágiles.
¡No dejes que metan las narices en el tuyo!
Si tu WordPress es hackeado, los costos pueden ser esenciales. No solo por tener que contratar a un técnico a fin de que limpie la página web, también debes estimar la pérdida de ventas y clientes del servicio potenciales y una pérdida de reputación.
Sigue nuestra guía de seguridad y actúa ahora para reducir los riesgos de padecer un hackeo WP.
En Webempresa llevamos 19 años trabajando en el sector del hosting. Nuestro objetivo es lograr clientes del servicio contentos y felices con su alojamiento para WordPress.
Nuestra obsesión: Seguridad – Soporte – Velocidad
Todo el equipo ha participado en la creación de esta guía de seguridad con la que queremos asistirte a conocer los peligros a los que estás expuesto y enseñarte cómo levantar diferentes barreras de seguridad en torno a tu Wordpress.
¡Nos entusiasma Wordpress!
Back to top1) Lo más importante de todo
1.1) Siempre hay un riesgo
Sentimos decirte esto: tu WordPress nunca será cien por cien seguro.
Los usuarios maliciosos están en incesante innovación y se descubren fallos en plugins con frecuencia; no obstante puedes hacer muchas cosas para minimizar el peligro.
Aquí estamos nosotros para asistirte, mas ten en cuenta que la seguridad requiere un trabajo constante y no puedes bajar la guarda.
1.2) ¿WordPress es inseguro?
Esta es una pregunta que recibimos de forma habitual en nuestro servicio de soporte.
La contestación es que WordPress no es menos seguro que cualquier otro gestor de contenidos.
Dependiendo de cómo mimemos y empleemos nuestro WP, lo sostendremos más o menos distanciado de los malos.
Si nunca actualizas tu WP, tu tema es pirata, tu contraseña es mil doscientos treinta y cuatro y no tienes antivirus en tu ordenador… suponemos que también debes dejar tu vehículo con las llaves puestas y el motor en marcha un sábado por la tarde en un centro comercial, ¿verdad? 😉
después de analizar 20.000 WordPress se encontró con este dato:
Preocupante, ¿verdad?
Pues manos a la obra!
Back to top
2) El eslabón más débil eres tú
2.1) 1.Cuidado con tu conexión a Internet
¿Cómo te conectas a internet? Es mejor que trabajes conectado por cable ethernet en vez de wi-fi.
Si te conectas por wi-fi, verifica que empleas seguridad WPA-dos y que has alterado la contraseña de acceso a la administración del router que viene por defecto. ¡Utiliza una contraseña segura!
Si estás usando WPS en tu conexión wi-fi, desactívalo, ya que teniéndolo activo es muy fácil que te roben la contraseña de tu conexión.
Evita conectarte a tu WP desde equipos externos poco fiables como, por servirnos de un ejemplo, el ordenador de la recepción de un hotel.
2.1.1) Wifi gratis: alto precio en seguridad
Todos hemos caído en la tentación de emplear las redes wi-fi abiertas que están disponibles por servirnos de un ejemplo en hoteles y cafeterías. ¡Wifi sin coste! Mas usar una wi-fi de este tipo supone pagar un alto costo en cuestión de seguridad.
Desaconsejamos la conexión desde wifis abiertas o bien públicas, en tanto que no son seguras. Caso de que sea imprescindible emplearlas, verifica que tienes tu equipo protegido con un antivirus y firewall actualizados, o bien conéctate a través de una VPN de confianza.
Hoy en día muchas soluciones de seguridad antivirus incluyen una VPN privada, esta sería una buena opción. También puedes contratar un servicio específico de VPN a fin de que tus conexiones estén cifradas. Si te conectas habitualmente desde redes no seguras (viajes, fuera de casa o bien de la oficina, etcétera) con la VPN aumentarás mucho tu seguridad.
En todo caso, cuando estés fuera de casa o bien de la oficina, siempre y en todo momento es preferible que te conectes desde la conexión 3G de tu teléfono móvil que utilizar una conexión wi-fi cuya seguridad desconoces.
2.1.2) ¿Proxy? No, gracias.
No navegues jamás a través de un proxy, y menos si se trata de un proxy gratis. En internet hay muchos sitios donde aconsejan un proxy para navegar de forma anónima. No debes confundir anónimo con seguro.
Si navegas a través de un proxy todo tu tráfico pasa por un servidor de alguien a quien no conoces. Muchos de esos proxy se anuncian exactamente para espiar el tráfico que pasa por ellos y poder robar datos privados.
2.1.3) SSL para cifrar datos
Es muy aconsejable instalar un certificado SSL en tu web y acceder vía HTTPS pues así los datos viajarán encriptados por la red.
Cuando navegas con HTTPS toda la información se envía de forma cifrada al servidor, de modo que si hay un usuario conectado a exactamente la misma red que tú que esté procurando hurtar tus credenciales de acceso, solo verá una serie de caracteres sin ningún sentido.
Tienes más información al respecto en el artículo.
No es necesario que adquieras el certificado más costoso del mercado, con un certificado estándar de RapidSSL te puede servir.
También puedes probar la opción gratis que te ofrece.
2.2) 2.Usa contraseñas seguras
Nada de usar contraseñas como “12345”, “password”, “juan”, “nombredemiweb”o “qwerty”. Si tienes una contraseña de este tipo ya estás tardando en cambiarla.
Una buena contraseña debe contener mayúsculas, minúsculas, números y caracteres especiales (como una coma, una arroba o bien un guión).
Este es un caso de contraseña robusta: 7sP3@$ zjT1b3
La longitud de la contraseña también es un factor esencial a tomar en consideración. Lo recomendable es que tenga una longitud de doce caracteres o mayor.
Si te cuesta recordar una contraseña de este género puedes optar por edificarte una que te resulte más fácil de rememorar, como “25beatriz–Seguro++35”.
¡No se lo pongas fácil a los atacantes!
No almacenes jamás contraseñas en tu navegador, usa un gestor de contraseñas cifrado como nuestro servicio.
Las contraseñas cortas o bien largas por si acaso solas pueden ser vulneradas. ¡Utiliza siempre y en toda circunstancia un segundo factor de autenticación!
2.2.1) Dobla la seguridad utilizando la doble autenticación
Utiliza un doble factor de autenticación siempre y cuando puedas, verás que configurarlo y comenzar a utilizarlo es muy sencillo:
Puedes habilitarlo para utilizarlo con los gestores de contraseña y con tu e-mail. Tener el e-mail protegido es esencial, ya que muchas contraseñas o bien recordatorios se envían por correo electrónico. ¡No te dejes vencer por la pereza y habilítalo!
2.3) 3.Tu equipo
Tienes que sostener limpios y protegidos los equipos y dispositivos lugar desde donde accedes a la administración de tu WP.
Muchos usuarios maliciosos hallan una puerta de entrada cuando los usuarios se conectan a la administración de WordPress desde un equipo hackeado. Cuando el usuario introduce las contraseñas los atacantes capturan esos datos y entonces ya no habrá medida de seguridad posible que evite un desastre.
2.3.1) Sistema operativo y navegador actualizados
Mantén actualizado el sistema operativo y también tu navegador, puedes elegir el navegador que más te guste pero asegúrate de que estás usando la última versión (por favor, no utilices Internet Explorer 6 o navegadores obsoletos).
Lo ideal es que configures las actualizaciones automáticas, de esta manera te aseguras de estar al día evitando la labor de actualizar manualmente.
En la medida de lo posible, evita navegar por webs “sospechosas”, puesto que ciertas de ellas tratarán de instalar programas no deseados en tu equipo.
No uses sistemas operativos “piratas” o bien instales programas provenientes de aplicaciones Peer to Peer o de páginas de descargas, por el hecho de que es posible que incluyan un “regalo” en forma de troyano.
Descarga siempre los programas que vayas a instalar desde la página web de los desarrolladores.
2.3.2) Antivirus y firewall
Debes contar con un buen antivirus y un firewall actualizados, en tanto que tener un antivirus con una base de datos de virus vieja es prácticamente lo mismo que no tener ninguno.
Mantén activadas las opciones de firewall y análisis de seguridad por defecto del antivirus y ejecuta de manera semanal una exploración completa de tu equipo.
Si el antivirus que estás usando no cuenta con un firewall, evalúa la posibilidad de añadir uno.
Si usas Windows puedes utilizar Windows Defendery usar el firewall de Windows que viene incorporado.
En este enlace puedes ver cómo utilizar Windows Defenderpara escanear malware:.
También puedes ver como habilitar o deshabilitar el firewall de Windows en este enlace:.
2.3.3) Control de usuarios
Accede a tu equipo con un usuario con privilegios de usuario, no de administrador. Así, será más difícil que se instalen aplicaciones no deseadas en tu máquina.
Si otra persona debe utilizar tu equipo, crea usuarios invitados o con permisos limitados.
2.3.4) Control de accesos
Utiliza una contraseña segura y diferente para cada uno de los accesos: administración de WordPress, Webmail, FTP y para el acceso al panel de control del hosting.
Te aconsejamos no utilizar FTP. Es frecuente que los atacantes infecten equipos para obtener datos guardados de acceso FTP y así poder acceder al panel de control del alojamiento. Caso de que no tengas opción alternativa y precises emplear FTP para conectar con tu alojamiento,.
2.3.5) Aísla tu ambiente de trabajo
Si solo dispones de un equipo físico de trabajo (PC), valora la posibilidad de trabajar con una máquina virtual.
Además de lo práctico que puede resultar para trasladar tu estación de trabajo de un equipo físico a otro y de facilitarte la vida con backups, etc., te permite aislar tu entorno de trabajo.
Así no mezclas tus cosas personales con las profesionales y hay menos posibilidades de que un desliz de tu vida personal afecte a tu vida profesional.
Back to top
3) Cuidando de tu WordPress
3.1) 1.¡Mantén siempre y en toda circunstancia a la última tu WP!
Cuando se lanza una nueva versión de WP no es solo para reparar fallos o bien añadir nuevas funcionalidades, también se hace para corregir los inconvenientes de seguridad que se han ido detectando.
Tener una versión vieja de esta herramienta es como abrir una puerta a los usuarios maliciosos, en tanto que precisamente se aprovecharán de los fallos de seguridad conocidos para atacarnos.
Actualiza tu Wordpress cada vez que veas una notificación de actualización en la administración; es sencillísimo y solo te llevará un minuto.
Si por algún motivo no puedes actualizar la versión de Wordpress desde la administración de la página web, también se puede actualizar manualmente. Consulta el artículopara ver cómo puedes hacerlo.
Como siempre y en todo momento recomendamos, para eludir desazones, efectúa una copia de respaldo ya antes de actualizar.
3.2) 2.Los complementos son maravillosos, ¡cuídalos!
La mayor parte de los ataques que recibe WordPress se efectúan a través de los complementos.
Al igual que sucede con el propio WP, las actualizaciones acostumbran a corregir inconvenientes de seguridad, por lo que debes sostener tus plugins actualizados.
Puedes hacer las actualizaciones desde la administración de WordPress de forma automática y, al igual que en el anterior punto, es muy aconsejable efectuar una backup antes de actualizar.
3.2.1) Limita el empleo de plugins
Utiliza solo los plugins que vayas a necesitar: no es una gran idea instalar complementos en grandes cantidades puesto que cada uno de ellos podría ser una puerta de entrada para hackear tu WordPress.
Quédate solo con los plugins imprescindibles y si has instalado un complemento que ya no utilizas… ¡desinstálalo!.
También es esencial que utilices complementos fiables. Lo idóneo es que utilices el propio buscador de plugins que tienes en la administración de WordPress o que los descargues de la página oficial de complementos.
Si se trata de un plugin de pago asegúrate de que lo descargas desde la página de sus desarrolladores.
Nunca (repetimos, NUNCA) instales un plugin que hayas conseguido desde un torrent (red Peer to Peer), un gestor de descargas o una página sospechosa tipo “super-complementos-depago-gratis” puesto que es muy posible que con el complemento venga un “regalo” en forma de código malicioso.
Es preferible pagar por la licencia de un plugin que quedarnos sin web.
Fíjate en el número de descargas del plugin (cuantas más mejor) y en la última data de actualización (si es de hace dos años sospecha).
Si quieres probar un plugin haz un clon de tu web y pruébalo en ese clon, nunca en la página web real que tienes publicada.
Puedes instalar el pluginque te avisará de las nuevas vulnerabilidades que aparezcan en los plugins de tu instalación de WordPress.
3.3) 3.Cuida el tema que estés utilizando
Puedes emplear tanto temas gratuitos como temas de pago, mas asegúrate siempre y en toda circunstancia de usar la última versión disponible.
Si el tema que estás empleando está en el directorio de wordpress.org, las actualizaciones se mostrarán de forma automática en la administración de WP. Para los temas de pago o bien temas gratuitos descargados desde otras webs, en general tendrás que comprobar de forma periódica si han publicado nuevas versiones que corrigen inconvenientes de seguridad.
De nuevo, NUNCA emplees temas que hayas logrados desde gestores de descarga o páginas sospechosas: pueden venir hackeados de serie.
Instala solo temas procedentes de wordpress.org o bien de la página web de sus desarrolladores.
3.4) 4.Usuario admin, NO gracias.
No emplees el usuario admin para acceder a la administración de tu WordPress: si un hacker desea entrar en la administración de tu web lo primero que hará será probar a usar el usuario “admin”.
Lo mejor es que crees un nuevo usuario con privilegios de administrador (recuerda usar una contraseña segura).
Una vez hecho esto, cierra la sesión y vuelve a conectarte con el nuevo usuario que has creado.
Después accede al gestor de usuarios, edita el usuario “admin” y cambia sus privilegios de administrador por subscriptor o bien suprime de forma directa el usuario “admin”.
Si lo suprimes, asegúrate de reasignar las entradas y páginas que estaban asignadas al usuario “admin” a otro usuario existente.
Con este cambio, un usuario malicioso no solo tendrá que saber la contraseña de un usuario administrador, sino más bien también su nombre.
Si eres un usuario avanzado y prefieres realizar el cambio de cuenta de manera directa, puedes hacerlo siguiendo los pasos de nuestro artículo
3.5) 5.Realiza backups periódicos y automatizados
Algunos proveedores de hosting ya efectúan copias de respaldo automáticas mas, por si las moscas, es una gran idea que hagamos copias periódicas de nuestra página web.
Tendrás que hacer las copias con más o bien menos frecuencia en función de la cantidad de información que vayas añadiendo.
Es esencial realizar copias de seguridad ya antes de efectuar acciones como la actualización de plugins o WP, la instalación de nuevos plugins, cambios en la base de datos, etc…
A veces se generan resultados no deseados y si la última copia es reciente no perderás trabajo anterior.
Existen plugins para WP que nos permitirán hacer esta tarea de forma automática como XCloner, del que.
Es importante que realicemos las copias de respaldo en un almacenaje externo como Dropbox, cuentas FTP externas o bien Amazon S3, o bien que nos descarguemos las copias que realizamos, ya que si alguien nos borra todos y cada uno de los datos de la web también perderemos la propia backup.
Para evitar inconvenientes de espacio en tu cuenta de alojamiento elimina las copias de respaldo tras descargarlas.
3.6) 6.Limita los intentos de acceso fallidos
Una de las formas más frecuentes que emplean los usuarios maliciosos para acceder a la administración de Wordpress son los ataque por a la fuerza salvaje.
Esto consiste en probar el acceso al administrador con todas las combinaciones posibles de usuario y contraseña. Frecuentemente estos ataques están basados en diccionarios de contraseñas, de ahí que es esencial emplear contraseñas complejas o bien robustas.
Limitar el número de intentos de conexión fallidos desde una única dirección IP puede reducir el riesgo de sufrir un acceso ilícito.
La mayoría de plugins de seguridad ya dejan configurar este límite, pero si prefieres no usarlos, hay complementos con esta finalidad específica como BruteProtect de Automattic. Tienes más información en nuestro blog:.
En nuestro alojamiento web, bloqueamos IP’s automáticamente cuando detectamos múltiples intentos de acceso errados a la administración o bien al panel de control cPanel.
3.7) 7.Protección auxiliar con Captcha y doble autenticación
El empleo de opciones auxiliares de autenticación añadirá una capa más de seguridad a tu Wordpress.
3.7.1) Administración de WordPress
Te recomendamos resguardar el acceso a la administración de tu Wordpress con un formulario de autenticación con Captcha o un doble factor de autenticación como por servirnos de un ejemplo Latch.
En nuestro weblog te charlamos de las 2 opciones en los artículosy.
3.7.2) Formularios
Es habitual que se utilicen los formularios de la página web para hacer SPAM usando bots. Para prevenirlo debes resguardar la creación de comentarios con un.
Para protegerte contra el spam puedes utilizar el plugin Akismet, que está instalado por defecto en WordPress.
También tenemos un artículo sobre esto, no te pierdas.
3.8) 8.Asegúrate de sostener los usuarios imprescindibles y con privilegios mínimos.
Es muy posible que los usuarios creados en tu sitio web con privilegios de administrador tengan una contraseña débil, comprometiendo así la seguridad de tu WordPress. Concediendo a los usuarios únicamente los privilegios indispensables se reducen las posibilidades de que la seguridad se vea comprometida.
Ante la duda, puedes reiniciar todas las contraseñas de usuarios de tu WP fácilmente. Solo debes seguir los pasos del artículo.
Revisa periódicamente qué usuarios existen y elimina los que no se empleen o no deban tener acceso a tu WordPress.
3.9) 9.Ocultar la versión de WordPress
Cada versión de WordPress tiene una serie de vulnerabilidades conocidas que los usuarios maliciosos intentan aprovechar. Ocultar la versión de WordPress que estás utilizando hará que no sea tan fácil identificar esas vulnerabilidades.
La encargada de mostrar la versión de tu Wordpress en tu página web es la función wp_head(), que incluye una llamada a la función wp_generator().
Para ocultar esa información, debes incluir la próxima línea en el archivo functions.php de tu WordPress:
3.10) 10.Audita tu WordPress
Utiliza herramientas para contrastar distintos apartados esenciales de la seguridad de tu Wordpress.
Webempresa ofrece de forma gratuita un análisis de seguridad para WP desde.
Con wpdoctorpodrás revisar de forma automática si estás al día en muchos de los puntos tratados en esta guía:
- Te avisa si no estás usando la última versión de Wordpress y de sus complementos más esenciales.
- Comprueba si el acceso al administrador está protegido contra ataques de fuerza bárbara.
- Te muestra la información que se puede recoger de tu instalación y te señala cómo ocultarla.
Puedes comprobar la salud de tu Wordpress con Google Safe Browsing:
O también de manera directa en Google Console (ya antes Google Webmaster Tools):
Back to top
4) La primera línea de defensa: El Hosting
Ahora que estás al tanto de los peligros que acechan y de las medidas de seguridad que debes aplicar para minimizar el peligro, llega el momento de hablar del alojamiento.
De poco te servirá tener un Wordpress a prueba de balas si el servidor donde lo has alojado es un coladero. Un servicio de hosting debe suministrar elementos de seguridad a nivel de servidor; debe ser la primera línea de defensa.
4.1) Usa un distribuidor de alojamiento profesional
Verifica las características del servicio de hosting que vayas a contratar para tu página web y asegúrate que la seguridad es una de sus prioridades.
4.1.1) Sistema Operativo
Te recomendamos apostar por Linux en frente de Windows. Ambas plataformas presentan problemas de seguridad y suelen ser objeto de ataques de usuarios maliciosos; sin embargo Linux continúa llevando cierta ventaja merced a la comunidad de desarrolladores con la que cuenta.
Linux no está libre de peligros pero, hasta el instante, es capaz de solventar los inconvenientes de seguridad de forma mucho más rápida y eficaz que Windows.
4.2) ¿Tu hosting está al día en seguridad?
A continuación te indicamos algunas de las medidas que deberías valorar en un servicio de alojamiento web compartido.
Los permisos adecuados de tu Alojamiento deben ser:
- 644 para ficheros.
- 755 para carpetas.
Si no los tienes así por defecto ya puedes ir pensando en cambiar de Alojamiento.
Uso de un sistema de aislamiento por cuenta de alojamiento, de manera que un mal comportamiento o el hackeo de una web alojada en el servidor no afecte al resto.
Uso de aplicaciones de monitorización en tiempo real que analicen todos los ficheros que se leen o se graban en disco, para asegurar que no tienen malware ni código sospechoso.
Uso de sistemas para evitar Ataques de Denegación de Servicio (DDoS).
Medidas preventivas para evitar ataques de fuerza bárbara a WP.
Uso de un WAF (Web Application Firewall). Merced a él se pueden establecer reglas de seguridad, que pararán la mayoría de los ataques que se realicen a un WP.
De esta forma, aunque algún complemento de tu página web tenga una vulnerabilidad en el código, probablemente el WAF evite este ataque.
Configuración a nivel de servidor que evite que se pueda hacer un listado de directorios (que un usuario pueda ver los archivos de una determinada carpetita de la web) o averiguar la versión de PHP que se está ejecutando, ya que esto compromete gravemente la seguridad.
Protección de las bases de datos. Entre otras muchas medidas, lo adecuado sería que sólo se dejara el acceso a la mismas desde el propio servidor, y no desde equipos remotos.
Puerto MySQL cerrado: lo idóneo es que el puerto de MySQL esté cerrado, y si necesitas acceder desde tu casa, que te habiliten el acceso únicamente a tu IP.
Para esto necesitarás una IP fija o bien una cuenta de.
Software actualizado: como ocurre con tu WordPress y sus plugins, es importante que el software que utilice el servidor se halle actualizado, ya que las versiones antiguas del mismo también pueden ser frágiles.
Un valor añadido que puede ofrecer un servicio de alojamiento web es la realización de copias de respaldo automáticas de nuestros datos de forma que, si debemos regresar a un estado precedente de nuestra página web, siempre y en toda circunstancia dispongamos de alguna backup.
Pero recuerda que el hecho de que tu servicio de alojamiento ya haga copias de respaldo automáticas no es excusa a fin de que hagas tus copias.
La copia disponible en tu servicio de alojamiento no tiene por qué corresponder con la data exacta del estado de la página web que deseas recuperar.
Estas son solo ciertas medidas que aplicamos en Webempresa y que nos permiten a nosotros y a nuestros clientes del servicio dormir más apacibles.
Monitorizamos veinticuatro horas todos nuestros servicios y nuestro equipo técnico recibe alertas cuando se advierten actividades sospechosas para poder actuar inmediatamente y de forma coordinada con el cliente.
Nuestros administradores de sistemas actualizan periódicamente las reglas que resguardan los Wordpress alojados en nuestros servidores ante vulnerabilidades o fallos de seguridad.
El seguimiento de las nuevas formas de agredir Wordpress debe ser una tarea diaria y constante, ¡no se puede bajar la guarda!.
Back to top
5) Más madera para usuario medio y avanzado
Las medidas de seguridad que se pueden aplicar para resguardar tu WP son muchas, y no queremos agobiarte con cambios complicados.
Sin embargo si eres un usuario avanzado y quieres seguir trabajando en la seguridad de tu Wordpress, aquí tienes algunas mejoras auxiliares que puedes aplicar.
5.1) 1.Activa la actualización automática en tu WordPress
En la versión 3.7 de Wordpress se hizo una gran mejora añadiendo la actualización automática de WP.
Manteniendo esta opción activada, nos aseguraremos de que las actualizaciones de seguridad se instalarán tan pronto como estén disponibles.
Puedes configurar las actualizaciones automáticas del núcleo de WordPress desde el fichero wp-config.php. Solo debes añadir las siguientes líneas para cada una de las configuraciones:
Las actualizaciones de complementos y plantillas es mejor hacerlas de forma manual, puesto que pueden ser más sensibles y podrían provocar fallos en la web si no se verifica bien la compatibilidad con la versión de Wordpress.
5.2) 2.Modifica la url de login de tu WordPress
En webs efectuadas con Wordpress el acceso a la administración se realiza por defecto en la url /wp-admino /wp-login.php
Los atacantes son siendo conscientes de este acceso y tratan de explotar el acceso a través de lanzar ataques de fuerza bárbara.
Modificando esta url de acceso a la administración evitarás esos intentos de acceso a la fuerza bruta.
Aprende cómo hacerlo consultando el artículo.
Nota En Webempresa, para nuestros clientes, ya incorporamos medidas de seguridad encaminadas a resguardar los accesos a /wp-admin y /wp-login.php contra este tipo de ataques con lo que no es preciso que implementes este tipo de medidas de seguridad..
5.3) 3.Protege los ficheros que pueden comprometer la seguridad de tu web.
Existen diversos ficheros que pueden comprometer la seguridad de WP.
Hay ciertos ficheros que se añaden con la instalación de WP, que son meramente informativos, pero cuya información puede ser útil para los atacantes.
Puedes ver en nuestro blog cómo protegerlos:.
5.4) 4.Protege tu base de datos cambiando el prefijo de las tablas por defecto
La base de datos es donde guardas toda la información de tu instalación de Wordpress.
Como imaginarás es muy goloso para los crackers y spammers, que procuran enviar códigos automatizados para acceder a tus datos.
Muchos usuarios se olvidan de cambiar el prefijo de base de datosal instalar Wordpress.
Esto hace que sea más fácil para los usuarios maliciosos planear un ataque masivo al dirigirse al prefijo por defecto de las tablas de la base de datos que es: wp_ .
Lo recomendable es que cambies el prefijo por defecto al instalar el WP.
Si ya lo tienes instalado, puedes mudar el prefijo fácilmente con el complemento.
Recuerda hacer unaantes de efectuar ningún cambio.
5.5) 5.Protege el fichero wp-login.php
Si no permites registro y acceso de usuarios en el frontal del WordPress es conveniente que protejas el acceso al wp-login.php o bien permitas únicamente el acceso desde IPs autorizadas ( si te conectas con IPs fijas).
¿Quieres aprender cómo resguardarlo? En este artículo te lo enseñamos:.
¡Ojo! Esto solo debes hacerlo si los visitantes de tu web no precisan identificarse como usuario.
Por ejemplo, en una tienda en línea no deberás proteger el archivo wp-login.php.
5.6) 6.Agrega una cabecera X-Content-Type
Con esta cabecera evitarás que haya usuarios que procuren suplantar ficheros css o bien js por ejecutables.
Se puede evitar con el fácil cambio que te explicamos en el artículo :.
5.7) 7.Instala algún complemento de seguridad para WordPress
Este género de complementos te ayudarán a acrecentar la seguridad de diferentes formas. te permiten desde proteger el acceso a la administración hasta revisar los archivos de tu Wordpress en busca de código malicioso.
Existen multitud de opciones, como por ejemplo:
Si quieres conocer todas las características de Wordfence, te las mostramos en este artículo:.
Recuerda deshabilitar las estadísticas (tabla wfhits) para no sobrecargar tu WP.
Una opción interesante de Wordfence es la verificación de ficheros básicos de Wordpress para comprobar si han sido cambiados.
Ten precaución a la hora de configurar esta clase de plugins, puesto que podrías bloquear tu propio acceso con estas herramientas.
Antes de instalar algún complemento de este tipo, haz una copia de seguridad. Así podrás regresar al estado anterior en caso de inconvenientes.
¡No te vuelvas ido con la instalación de complementos!
Ten presente que instalar todos los complementos de seguridad que halles no hará que tu WordPress sea más seguro y posiblemente tenga comportamientos inopinados provocados por haber múltiples complementos modificando ficheros claves para el funcionamiento de tu WP, como puede ser el archivo .htaccess.
5.8) 8.Agrega una cabecera X-Frame-Options
Añadiendo esta cabecera evitaremos que nuestra web cargue en un frame o bien iframe (marcos).
Con ello, evitaremos también ataques de tipo clickjacking y no podrán suplantar nuestra página web cargándola desde una ubicación externa.
Si dejas esto, podría estar tu contenido en otro dominio y tener inconvenientes con Google si lo considera contenido duplicado.
Tienes todos y cada uno de los detalles en el artículo
5.9) 9.Agrega una cabecera X-XSS-Protection
Añadiendo esta cabecera puedes aumentar la seguridad frente ataques de tipo XSS. Te lo contamos todo sobre esta cabecera en.
Tras añadir la cabecera, tanto si lo haces en el archivo .htaccess tal y como si lo haces en el functions.php, asegúrate de repasar que tu página web funciona según lo esperado.
Si ves que afecta de algún modo al funcionamiento de tu página web, suprime el código añadido para revertir el cambio.
Recuerda hacer siempre y en todo momento una copia de seguridad de los archivos que vayas a editar.
Hay varias fórmulas con las que puedes añadir protecciones extra mediante .htaccess
5.9.1) Impedir la ejecución de archivos .php en el directorio uploads
El directorio /uploads por norma general se emplea para guardar imágenes o vídeos y a veces puede ser explotado por usuarios maliciosos que suben código PHP inficionado aprovechando los scripts para subir imágenes de WP.
Una buena solución es añadir un archivo .htaccess en el directorio uploads impidiendo el acceso a ficheros php:
También se puede limitar el acceso exclusivo a documentos de imagen en directorios como el uploads:
Para eludir que ciertos códigos maliciosos se procuren ocultar bajo nombres como xxxxxx.php.jpg, también se puede bloquear por estructura:
5.9.2) Redirigir siempre y en todo momento los errores
Redirigir los errores es una buena práctica para evitar que se muestre información que pueda dar pistas a algún individuo malintencionado:
5.9.3) Denegar el acceso a determinadas herramientas como wget, curl, perl, etc.
Aunque muestres contenido públicamente en tu página web, posiblemente te interese eludir que puedan copiarlo.
No hay forma de resguardarlo del todo, mas para dificultar la tarea podemos denegar el acceso a ciertas herramientas de forma que no puedan escanear la página web y descargar contenido:
5.9.4) Evitar ataques de inyección SQL
WordPress por defecto tiene medidas para eludir esta clase de ataques, pero ¿quién sabe si alguno de tus plugins puede tener algún agujero en este aspecto?
Por si fuera el caso, puedes servirte del siguiente código para prevenir ciertos ataques de inyección SQL.
Si deseas evitar que desde la administración de Wordpress se pueda alterar el código de archivos, puedes añadir la siguiente línea al archivo wp-config.php
Si la web ya está creada y no precisas añadir nuevos plugins o plantillas, también puedes deshabilitar la instalación de temas y plantillas añadiendo:
5.10) 12.Deshabilitar XMLRPC para evitar ataques de DoS
Esta funcionalidad se emplea bastante para realizar ataques de denegación de servicios. Desde una localización oculta se lanzan muchas solicitudes pingback forjadas a mano a muchos WordPress, diciendo que en tu web han hablado sobre ellos.
Estos Wordpress irán a revisar si verdaderamente les has enlazado descargando tu página, y al recibir tantas solicitudes de descarga juntas desde tantos sitios web, tu web quedará bloqueada.
Puedes evitarlo de 2 modos:
- Cerrar por completo el comportamiento XMLRPC. El problema de deshabilitar XMLRPC es que pierdes alguna funcionalidades interesantes, como los pingback y los trackback.
- Disponer de un Firewall Web (WAF) que te proteja a través de reglas avanzadas que realizan recuento de todas peticiones XMLRPC que recibes y, en caso de que este número se dispare demasiado, bloquean todo ese tráfico. Esta opción la tenemos incorporada con éxito en Webempresa.
Si te resuelves a deshabilitar XMLRPC, puedes hacerlo manualmente o bien utilizando el complemento.
Para hacerlo manualmente tienes que añadir esta línea en el fichero functions.php:
5.11) 13.Bloqueos por usuario-agent
En ocasiones puede ser necesario bloquear algunas aplicaciones, como por servirnos de un ejemplo a determinados robots, estableciendo bloqueos por usuario-agent en el archivo .htaccess.
De este modo evitarás el acceso de un usuario-agent determinado a tu web.
Algunos códigos de ejemplo para bloquear por usuario-agent pueden ser los siguientes:
5.12) 14.Bloqueos por referer
También puedes ver preciso bloquear conexiones que vienen desde un determinado referer, para lo cual podrías utilizar cualquiera de los próximos códigos:
Con este bloqueo conseguirías bloquear el acceso a tu web desde un link situado en un dominio determinado.
5.13) 15.Crypto.php
Esta es una de las vulnerabilidades más importantes y conocidas de WP.
Afecta de manera directa a las plantillas y plugins no autenticados por el repositorio oficial de wordpress.org y normalmente viene integrado en plantillas o plugins pirateados o bien obtenidos de forma ilícita.
El propósito del malware es añadir a tu página web enlaces a otros sitios que normalmente vinculan a sitios con fines maliciosos.
También puede ser usada con otros fines puesto que esta infección puede comunicarse con servidores de control para realizar otras labores (envío de SPAM, alojar otro género de contenido, realizar ataques a otras webs, etcétera)
La infección por norma general está en una pequeña línea de código como la siguiente:
Como se puede ver, lo que hace es incluir un script llamando a un código que hay escondo en un archivo .png, que en teoría debería ser una simple imagen.
5.13.1) ¿Cómo evitarla?
La primordial medida para eludir esta vulnerabilidad es no descargar plugins ni plantillas de sitios no contrastados, nuestra recomendación es realizar siempre y en toda circunstancia las descargas desde el repositorio oficial de Wordpress.org
En el caso de que estés infectado, te invitamos a instalar el plugin de seguridad Wordfenceque incluye una opción para examinar las imágenes como si de código php se tratara.
Desconfía si por poner un ejemplo ves ficheros PHP en directorios donde solo debería haber imágenes, como el directorio /wp-content/uploads.
Back to top