Reforzando la Seguridad en WordPress – Hardening WordPress

reforzando seguridad wordpress

WordPress tiene una guía general de uso al que llaman WordPress Codex. En ella explica prácticamente todo lo necesario para usar WordPress, ya seas un principiante en la materia, como un desarrollador que está programando un plugin.

Podemos crear una analogía entre el WordPress Codex y el manual de instrucciones que nunca los leemos pero es tremendamente útil cuando la necesitamos.

Una de las secciones de este códex es la seguridad y en una de las partes que en Hostinet más nos tomamos en serio, ya que si el usuario no pone de su parte y refuerza la primera capa de seguridad de su WordPress, estamos atados de pies y manos.

El mayor responsable de la seguridad en WordPress es el propio propietario de sitio Web.

Si crees que esto no pasa y que tu sitio web no le interesa a nadie ni vas a ser objetivo de ataques, estás equivocado.

Todas las semanas vemos como clientes en Hostinet nos piden ayuda porque les han hackeado su sitio Web y el tamaño o la importancia de su sitio web es totalmente indiferente.

Si hackean tu WordPress puedes recuperarlo, pero no será fácil. Los pasos a seguir son varios y es necesario que tengas almacenada una copia de seguridad para recuperarla.

Si quieres ver todo lo que tienes que hacer para recuperar un WordPress hackeado .

Desde Hostinet nos tomamos muy en serio la seguridad y si tienes algún problema te ayudaremos, pero si la primera linea de defensa es débil estaremos atados de pies y manos

Es necesario que el propietario del sitio web sea consciente que la seguridad es responsabilidad suya y es el máximo responsable de la seguridad de su instalación de WordPress o de cualquier otra software que tenga instalado en su alojamiento web.

+Si necesitas copias de seguridad en Hostinet te ofrecemos este servicio: CLICK AQUÍ


Fortaleciendo la Seguridad en WordPress

En el WordPress Codex hablan de Hardening WordPress que que podíamos traducir como Fortaleciendo WordPress, y nos dice los aspectos básicos que tenemos que seguir par evitar problemas de seguridad.

Estos son los consejos que dan los expertos de seguridad del propio WordPress y que todos los propietarios de un sitio Web con WordPress instalado deberían de seguir.


Comprueba tu Ordenador, Móvil, Tablet, etc…

antivirus revision

La gran mayoría de las veces que un WordPress acaba hackeado es por culpa del ordenador del usuario.

Muchos nos llaman y nos dicen que ellos no tienen ningún virus y que su ordenador no es el responsable… hasta que pasan un antivirus.

Nada de lo que puede hacer Hostinet, ni toda la seguridad que el propietario del sitio web añada, servirá de nada si el usuario tiene un virus, malware, spyware o keylogger instalado en su ordenador.

En cuanto exista algún problema de seguridad en un sitio Web, el primer paso es comprobar el ordenador y en los tiempos que corren, el móvil y la tablet también deberían ser revisados.


Actualizar WordPress y todos los Plugins

actualiza

Aunque WordPress es muy seguro siempre se puede mejorar y por eso hay actualizaciones de la versión de software. En cuanto se detecta el más mínimo resquicio en la seguridad se corrige y se lanza una actualización.

Esto quiere decir que la versión más segura de WordPress es la última disponible. Por eso es muy importante mantener actualizado WordPress en todo momento.

Desde la versión 3.7 se puede configurar WordPress para que se actualice de manera automática.

Los plugins y el theme que se estén usando también deben de ser actualizados. Elimina cualquier plugin o theme que no se esté usando.

Si estás usando un plugin premium (de pago) que descargaste de algún sitio no oficial para probarlo, es la hora de que lo compres y borres esa versión que, seguro, estará infectada.

Olvídate de los plugins on themes piratas. Tienen un alto índice de probabilidades de estar infectados.


Cuidado con el WIFI Ajeno

zona wifi gratuita

Las conexiones WIFI son fantásticas. Nos permiten estar conectados sin cables y si estamos en un aeropuerto o cafetería, podemos hacer uso de alguna red WIFI pública para conectarnos a Internet.

Esto puede ser una red no segura. Si los datos no está cifrados, pueden ser interceptados por otras personas que estén conectadas a la misma red.

También cuenta la WIFI de casa. SI alguien más además de nosotros está conectado nuestros datos sensible pueden estar en riesgo.


Usa Contraseñas Robustas

contraseña segura

Un propietario de WordPress quiere entrar al escritorio de su web en cualquier momento. Para ello debe añadir un nombre de usuario y una contraseña. Es probable que use una contraseña fácil de recordar y eso es uno de los mayores errores y más comunes.

Hay que olvidarse de:

Si es posible usa una autentificación en dos pasos. En este tutorial te damos una opción.

En serio… ¡¡Usa contraseñas robustas!!

 

Comprueba los Permisos de los Archivos

Los permisos de los archivos y los directorios pueden cambiar para ofrecer más permisos de lectura y escritura.

Los permisos correctos para los directorios son 755 y 644 para los archivos.

Para comprobar los permisos debes acceder a cPanel / Administrador de Archivos

permisos directorios y archivos

A la derecha de cada directorio y archivo podéis ver los permisos que tienen y si hacemos click en ellos podemos cambiar los permisos de cada uno de los archivos.

 

Asegurar wp-admin

protege wpadmin

Para acceder a la administración de WordPress lo hacemos a través de wp-admin, por lo que es una de los archivos más susceptible de ataques.

De hecho, el codex de WordPress indica que la gran mayoría de los ataques en WordPress se producen de dos formas:

El ataque de fuerza bruta no es otra cosa que empezar a probar contraseñas de manera automática por si se está usando una contraseña poco robusta y fácil de adivinar.

Esto se puede evitar con la mayoría de los plugins de seguridad que tenemos disponibles en WordPress, como Wordfence Security, WP Limit Login Attempts, Limit Login Attempts, etc…

Básicamente, estos plugins banean cualquier ip que intenta acceder a wp-admin de manera repetida y equivocadamente. Una forma muy efectiva de evitar los ataque de fuerza bruta.
 

Asegurar wp-config-php

Una de las formas más habituales y efectivas que tenemos de proteger el archivo wp-congig.php es añadiendo estas líneas de código en el archivo .htaccess.

# Denegar el acceso al archivo wp-config.php
<Files wp-config.php>
  order allow,deny
  deny from all
</Files>

Si no sabes cómo editar el archivo .htaccess puedes ayudarte de este tutotial.
 

Desactiva el Editor de WordPress

editor wordpress

El editor de archivos de WordPress es una herramienta muy interesante que ayuda a los usuarios a realizar modificaciones en los archivos php de la instalación de WordPress.

Pero esta herramienta también puede ser usada por atacantes que consiguen el acceso a la cuenta de administrador.

Una opción recomendada en el codex de WordPress es desactivar este editor. Es muy sencillo, sólo debemos ir a nuestro archivo wp-config.php y añadir la siguiente linea:

 define ( 'DISALLOW_FILE_EDIT', true);

Con esto ya no podrán usar el editor de archivos y nos protegerá de algunos ataques.
 

Seguridad en los Plugins de WordPress

WordPress sin plugins no sería lo mismo. Los plugins hacen que nuestro WordPress sea precisamente nuestro, adaptándolo a las necesidades de cada sitio Web.

Una de las mayores fuentes de problemas de seguridad en WordPress llegan por los plugins. No mantenerlos actualizados, usar plugins piratas, mantener plugins instalados inactivos, etc…

plugins instalados en WordPress

Un plugin desactivado y desactualizado, puede ser la puerta de entrada de un problema de seguridad.

Los plugins más usados son, en principio, lo más seguros ya que están más testeados y los desarrolladores suelen tener las actualizaciones ante cualquier problema o cambio de versión de WordPress en tiempo récord.

Si no se estás usando un plugin… ¡Bórralo!


Copias de Seguridad

Nunca nos cansaremos de decir que hay que tener copias de seguridad almacenadas en nuestro disco duro o en un servidor externo al que tengamos el alojamiento web.

Si almacenamos la copia de seguridad en el mismo servidor y un atacante tiene acceso a ella, puede modificarla y añadir código malicioso en ella, así, cada vez que restauremos pensando que vamos a solucionar los problemas no haremos más que volver a reproducirlos.

Existen soluciones gratuitas de terceros donde poder almacenar las copias de seguridad como Dropbox, Google Drive, OneDrive, etc…

Aquí hablamos de algunas de estas opciones:


Conclusiones

conclusion seguridad

Pasar por todos estos pasos puede resultar tedioso pero una vez te acostumbras se hace de manera automática, de la misma forma que se escribe una contraseña para entrar a nuestro sitio web.

Si nos acostumbramos a tener siempre actualizado nuestro WordPress, usamos contraseñas robustas y únicas, comprobamos que nuestro ordenador esté libre de virus y aseguramos los archivos como hemos comentado en este artículo e instalamos algún plugin como Wordfence, se tiene mucho ganado frente a un posible ataque.

[ninja-popup ID=13602] * APÚNTATE GRATIS para recibir más consejos y artículos de Seguridad en WordPress.  CLICK AQUÍ [/ninja-popup]

 


Hosting SSD con Hostinet

En Hostinet trabajamos desde hace más de 15 años con servidores ubicados en España (Madrid). ¡Somos expertos en cPanel! Y ahora también puedes contratar Hosting SSD para aumentar el rendimiento de tu web hasta en un 95%!

Hosting SSD

Hostinet SSD Básico –> Características y Precios

VN:F [1.9.22_1171]
Rating: 0.0/5 (Votos: 0)

¿NECESITAS AYUDA? Llama a nuestro soporte técnico 946 545 762

De Lunes a Viernes de 08:00 a 20:00 horas.


Contactar