Portada Wordpress WordPress Manager Medidas de Seguridad (Security Measures)
Si usas WordPress, ya sabrás que la seguridad es muy importante y que tienes que mantener actualizado y seguro tu instalación para que no caiga en mano de los hackers.
Desde la herramienta WordPress Manager, hay una opción llamada Security Measures (Medidas de Seguridad), que puede ayudarte a mejorar la seguridad de tu WordPress. Veamos cómo funciona y qué podemos hacer con estas opciones.
La seguridad en WordPress es algo más que poner una contraseña potente. Hay que pensar que WordPress es el gestor de contenidos más usado en el mundo, así que los hackers lo tienen en su punto de mira siempre.
No se trata de que WordPress sea inseguro, no lo es para nada, siempre que sigas unas normas básicas, como mantenerlo actualizado y no instalar nada que no provenga de fuentes oficiales, por muy barato que sea lo que te ofrezcan.
Pero como es el CMS más utilizado, un hacker tiene más posibilidades de encontrar una instalación de WordPress desprotegida o desactualizada, cuantos más peces haya en el mar….
Para securizar WordPress al máximo, hay un paquete de medidas de seguridad que podemos revisar desde la herramienta gratuita WordPress Manager.
WordPress Manager puede encontrarla en el panel de control cPanel que incluimos en todos los alojamientos web, excepto en los hosting Windows.
Para acceder a WordPress Manager debes acceder al panel de control cPanel y buscar el apartado Software.
Ahí encontrarás el icono para poder acceder a WordPress Manager by Softaculous o si estás usando el skin Jupiter de cPanel, también tendrás un acceso desde la barra lateral izquierda.
Ahí encontrarás todas las instalaciones de WordPress que tengas en tu servicio de hosting, si sólo tienes una, sólo verás una y si tienes un WordPress pero no aparece, tendrás que escanearlo para que aparezca.
En la parte superior verás que tienes varias opciones, entre ellas, un botón de Security Measures.
Debes seleccionar la instalación que quieras securizar y luego pulsar en el botón.
Ahí verás todas las opciones de seguridad que pasamos a detallar en el siguiente apartado.
Antes de nada, hay que indicar que por ahora, todo está sección está en inglés, esperemos que el equipo de la herramienta WordPress Manager ofrezca una traducción en breve, mientras tanto, aquí te indicamos las opciones en castellano.
El sistema es muy sencillo, hay varios checks que puedes marcar y luego un botón para aplicar los cambios, así de simple.
Las opciones están divididas en 2 bloques, las 3 primeras son genéricas, mientras que el resto son medidas independientes que puedes seleccionar por separado.
Las 3 primeras opciones son:
No hay mucho que explicar aquí, sólo que si escoges la opción Sólo Críticas, las opciones las elegirá el sistema, aunque ya depende de ti el ver si son las que te interesan o no.
A continuación pasamos a detallar lo que hace cada una de las medidas de seguridad.
(Change default administrator’s username)
Las instalaciones de WordPress por defecto, usan como nombre de usuario admin, al menos que lo hayas cambiado antes de la instalación.
Como es el nombre de usuario por defecto, lo hackers es el primero que utilizan para lanzar sus ataques, así que parece una buena idea cambiarlo por otro distinto.
Esta opción cambia el nombre de usuario admin, por otro distinto, generado de forma aleatoria.
(Restrict access to files and directories)
Esta opción podía llamarse algo así como permisos correctos ya que es lo que hace realmente.
Cada archivo y directorio del WordPress tiene que tener unos permisos predeterminados y correctos.
Con esta opción, WordPress Manager revisa estos permisos y los cambia por los correctos, en el caso de que sea necesario.
(Block unauthorized access to xmlrpc.php)
El archivo xmlrpc.php es uno de los objetivos de los atacantes y casi no se usa ya.
Desactivarlo es una forma de securizar WordPress y si no lo usas, WordPress no se verá afectado.
Con esta opción se puede bloquear, aunque avisan de que, en el caso de estar autorizado desde el archivo .htaccess, prevalecerá sobre WordPress Manager.
(Block access to .htaccess and .htpasswd)
El archivo .htaccess es el más importante del hosting y se pueden añadir múltiples configuraciones si se tiene acceso.
Esta opción bloquea estos dos archivos para que sean inaccesibles desde la web, lo que limita el acceso y los ataque en gran medida.
(Turn off pingbacks)
Los pingbacks se hicieron muy populares durante un tiempo, pero con el tiempo se utilizaron para realizar acciones maliciosas y hoy en día, los problemas de seguridad que generan los han convertido en algo en desuso.
Con esta opción podemos desactivar los pingbacks de manera automática.
(Disable file editing in WordPress Dashboard )
Desde el administrador de WordPress puedes editar los archivos de WordPress, algo muy útil para realizar retoques en el código, pero una puerta abierta si un atacante consigue el acceso a tu WordPress.
Hay varias formas de desactivar esta opción y desde aquí también puedes hacerlo al instante.
(Block author scans )
Los autores de una instalación de WordPress pueden ser escaneados para lanzar un ataque por fuerza bruta.
En el caso de que un autor tenga privilegios de administración, algo muy común, un atacante podría hacerse con la instalación de WordPress, con esta opción lo evitamos.
La opción tiene un problema y es que en algunas configuraciones, los usuarios legítimos no podrán listar todos los post de un autor en particular.
(Block directory browsing)
WordPress tiene una estructura de directorios que todo el mundo conoce, pero cada hosting puede estar configurado de forma distinta y conocer cómo es esta estructura es un problema de seguridad.
Aunque esta opción suele estar configurada por defecto, desde aquí la puedes bloquear.
(Forbid execution of PHP scripts in the wp-includes directory )
Wp-includes es un directorio por defecto de WordPress y que en general no tiene porque ejecutar archivos PHP.
Un hacker puede añadir código malicioso para que se ejecute desde wp-includes y hacerse con el control de WordPress, así que evitar que se pueda ejecutar archivos PHP en este directorio parece una buena idea.
(Forbid execution of PHP scripts in the wp-content/uploads directory)
De la misma forma forma que en el caso anterior, pero con el directorio wp-content/uploads.
(Disable scripts concatenation for WordPress admin panel)
Desactivar la concatenación evita la ejecución de scripts y evitar algunos ataques de denegación de servicio DoS.
Esto puede afectar negativamente el rendimiento de WordPress, así que utilízalo con precaución.
(Block access to sensitive files)
El bloqueo de archivos confidenciales evita que un atacante pueda llegar a información sensible, que le puede servir para saber cómo atacar a tu WordPress, así que mejor bloquearlos.
(Enable bot protection)
Los bots suelen ser malos para nuestro WordPress. Consumen recursos del hosting y no en ocasiones, pueden llegar a tumbar el servicio de nuestra web.
Además, muchos de ellos son maliciosos y sólo intentan encontrar un problema de seguridad en nuestro WordPress.
Con esta opción evitamos los bots en nuestra web, pero si queremos escanear nuestra web desde algún servicio externo, deberás desactivar esta opción.
A partir de aquí , ya puedes decidir qué medidas de seguridad quieres activar y cuales no desde WodPress Manager.