Portada General Reforzando la Seguridad en WordPress – Hardening WordPress
WordPress tiene una guía general de uso al que llaman WordPress Codex. En ella explica prácticamente todo lo necesario para usar WordPress, ya seas un principiante en la materia, como un desarrollador que está programando un plugin.
Podemos crear una analogía entre el WordPress Codex y el manual de instrucciones que nunca los leemos pero es tremendamente útil cuando la necesitamos.
Una de las secciones de este códex es la seguridad y en una de las partes que en Hostinet más nos tomamos en serio, ya que si el usuario no pone de su parte y refuerza la primera capa de seguridad de su WordPress, estamos atados de pies y manos.
El mayor responsable de la seguridad en WordPress es el propio propietario de sitio Web.
Si crees que esto no pasa y que tu sitio web no le interesa a nadie ni vas a ser objetivo de ataques, estás equivocado.
Todas las semanas vemos como clientes en Hostinet nos piden ayuda porque les han hackeado su sitio Web y el tamaño o la importancia de su sitio web es totalmente indiferente.
Si hackean tu WordPress puedes recuperarlo, pero no será fácil. Los pasos a seguir son varios y es necesario que tengas almacenada una copia de seguridad para recuperarla.
Si quieres ver todo lo que tienes que hacer para recuperar un WordPress hackeado .
Desde Hostinet nos tomamos muy en serio la seguridad y si tienes algún problema te ayudaremos, pero si la primera linea de defensa es débil estaremos atados de pies y manos
Es necesario que el propietario del sitio web sea consciente que la seguridad es responsabilidad suya y es el máximo responsable de la seguridad de su instalación de WordPress o de cualquier otra software que tenga instalado en su alojamiento web.
+Si necesitas copias de seguridad en Hostinet te ofrecemos este servicio: CLICK AQUÍ
En el WordPress Codex hablan de Hardening WordPress que que podíamos traducir como Fortaleciendo WordPress, y nos dice los aspectos básicos que tenemos que seguir par evitar problemas de seguridad.
Estos son los consejos que dan los expertos de seguridad del propio WordPress y que todos los propietarios de un sitio Web con WordPress instalado deberían de seguir.
La gran mayoría de las veces que un WordPress acaba hackeado es por culpa del ordenador del usuario.
Muchos nos llaman y nos dicen que ellos no tienen ningún virus y que su ordenador no es el responsable… hasta que pasan un antivirus.
Nada de lo que puede hacer Hostinet, ni toda la seguridad que el propietario del sitio web añada, servirá de nada si el usuario tiene un virus, malware, spyware o keylogger instalado en su ordenador.
En cuanto exista algún problema de seguridad en un sitio Web, el primer paso es comprobar el ordenador y en los tiempos que corren, el móvil y la tablet también deberían ser revisados.
Aunque WordPress es muy seguro siempre se puede mejorar y por eso hay actualizaciones de la versión de software. En cuanto se detecta el más mínimo resquicio en la seguridad se corrige y se lanza una actualización.
Esto quiere decir que la versión más segura de WordPress es la última disponible. Por eso es muy importante mantener actualizado WordPress en todo momento.
Desde la versión 3.7 se puede configurar WordPress para que se actualice de manera automática.
Los plugins y el theme que se estén usando también deben de ser actualizados. Elimina cualquier plugin o theme que no se esté usando.
Si estás usando un plugin premium (de pago) que descargaste de algún sitio no oficial para probarlo, es la hora de que lo compres y borres esa versión que, seguro, estará infectada.
Olvídate de los plugins on themes piratas. Tienen un alto índice de probabilidades de estar infectados.
Las conexiones WIFI son fantásticas. Nos permiten estar conectados sin cables y si estamos en un aeropuerto o cafetería, podemos hacer uso de alguna red WIFI pública para conectarnos a Internet.
Esto puede ser una red no segura. Si los datos no está cifrados, pueden ser interceptados por otras personas que estén conectadas a la misma red.
También cuenta la WIFI de casa. SI alguien más además de nosotros está conectado nuestros datos sensible pueden estar en riesgo.
Un propietario de WordPress quiere entrar al escritorio de su web en cualquier momento. Para ello debe añadir un nombre de usuario y una contraseña. Es probable que use una contraseña fácil de recordar y eso es uno de los mayores errores y más comunes.
Hay que olvidarse de:
Si es posible usa una autentificación en dos pasos. En este tutorial te damos una opción.
En serio… ¡¡Usa contraseñas robustas!!
Los permisos de los archivos y los directorios pueden cambiar para ofrecer más permisos de lectura y escritura.
Los permisos correctos para los directorios son 755 y 644 para los archivos.
Para comprobar los permisos debes acceder a cPanel / Administrador de Archivos
A la derecha de cada directorio y archivo podéis ver los permisos que tienen y si hacemos click en ellos podemos cambiar los permisos de cada uno de los archivos.
Para acceder a la administración de WordPress lo hacemos a través de wp-admin, por lo que es una de los archivos más susceptible de ataques.
De hecho, el codex de WordPress indica que la gran mayoría de los ataques en WordPress se producen de dos formas:
El ataque de fuerza bruta no es otra cosa que empezar a probar contraseñas de manera automática por si se está usando una contraseña poco robusta y fácil de adivinar.
Esto se puede evitar con la mayoría de los plugins de seguridad que tenemos disponibles en WordPress, como Wordfence Security, WP Limit Login Attempts, Limit Login Attempts, etc…
Básicamente, estos plugins banean cualquier ip que intenta acceder a wp-admin de manera repetida y equivocadamente. Una forma muy efectiva de evitar los ataque de fuerza bruta.
Una de las formas más habituales y efectivas que tenemos de proteger el archivo wp-congig.php es añadiendo estas líneas de código en el archivo .htaccess.
# Denegar el acceso al archivo wp-config.php <Files wp-config.php> order allow,deny deny from all </Files>
Si no sabes cómo editar el archivo .htaccess puedes ayudarte de este tutotial.
El editor de archivos de WordPress es una herramienta muy interesante que ayuda a los usuarios a realizar modificaciones en los archivos php de la instalación de WordPress.
Pero esta herramienta también puede ser usada por atacantes que consiguen el acceso a la cuenta de administrador.
Una opción recomendada en el codex de WordPress es desactivar este editor. Es muy sencillo, sólo debemos ir a nuestro archivo wp-config.php y añadir la siguiente linea:
define ( 'DISALLOW_FILE_EDIT', true);
Con esto ya no podrán usar el editor de archivos y nos protegerá de algunos ataques.
WordPress sin plugins no sería lo mismo. Los plugins hacen que nuestro WordPress sea precisamente nuestro, adaptándolo a las necesidades de cada sitio Web.
Una de las mayores fuentes de problemas de seguridad en WordPress llegan por los plugins. No mantenerlos actualizados, usar plugins piratas, mantener plugins instalados inactivos, etc…
Un plugin desactivado y desactualizado, puede ser la puerta de entrada de un problema de seguridad.
Los plugins más usados son, en principio, lo más seguros ya que están más testeados y los desarrolladores suelen tener las actualizaciones ante cualquier problema o cambio de versión de WordPress en tiempo récord.
Si no se estás usando un plugin… ¡Bórralo!
Nunca nos cansaremos de decir que hay que tener copias de seguridad almacenadas en nuestro disco duro o en un servidor externo al que tengamos el alojamiento web.
Si almacenamos la copia de seguridad en el mismo servidor y un atacante tiene acceso a ella, puede modificarla y añadir código malicioso en ella, así, cada vez que restauremos pensando que vamos a solucionar los problemas no haremos más que volver a reproducirlos.
Existen soluciones gratuitas de terceros donde poder almacenar las copias de seguridad como Dropbox, Google Drive, OneDrive, etc…
Aquí hablamos de algunas de estas opciones:
Pasar por todos estos pasos puede resultar tedioso pero una vez te acostumbras se hace de manera automática, de la misma forma que se escribe una contraseña para entrar a nuestro sitio web.
Si nos acostumbramos a tener siempre actualizado nuestro WordPress, usamos contraseñas robustas y únicas, comprobamos que nuestro ordenador esté libre de virus y aseguramos los archivos como hemos comentado en este artículo e instalamos algún plugin como Wordfence, se tiene mucho ganado frente a un posible ataque.
Hosting SSD con Hostinet
En Hostinet trabajamos desde hace más de 15 años con servidores ubicados en España (Madrid). ¡Somos expertos en cPanel! Y ahora también puedes contratar Hosting SSD para aumentar el rendimiento de tu web hasta en un 95%!