Como Mejorar la Seguridad de WordPress

por Ago 7, 2017Sitio Web0 Comentarios

Mejorar la seguridad de WordPress es importante para evitar imprevistos. Ya que la Internet es un lugar peligroso. En especial si tenemos instalada cualquier plataforma dinámica.

Pero no te preocupes, continua leyendo para saber como puedes mitigar el riesgo y salir bien librado.

Antes de empezar, es importante dejar en claro que es poco probable que un hacker quiera hacerse personalmente de nuestro sitio web. En la mayoría de los casos, el mayor riesgo proviene de los bots o robots. Salvo que tengamos en línea información que sea muy valiosa, las posibilidades relativamente pocas.

¿Por qué?

Esto debido a que las ganancias que alguien podría obtener no justificarían el esfuerzo de hackear un sitio web cualquiera. Sin embargo, ello no significa que debamos bajar la guarda y no contar con buenas practicas de seguridad.

Como si se tratase de una tienda física, es importante tomar consideraciones de seguridad para nuestras propiedades digitales.

Un sitio comprometido perderá posiciones en buscadores como Google. Podría incluso ser removido por completo. Esto puede generar grandes perdidas, tanto en los costos por limpiar el sitio web como por los potenciales clientes y ventas que se pueden perder.

Además de la perdida de confianza y de la credibilidad por parte de nuestros clientes. Algo que tomará mucho tiempo recuperar. Después de todo, la reputación es lo más valioso que tenemos.

Siempre existirá el riesgo de que se pierdan los frutos de nuestro trabajo. Entradas, páginas, comentarios, todo puede desaparecer en un instante. Es por ello que mejorar la seguridad de WordPress es tan importante y critico como parte de nuestra estrategia en línea.

14 consejos para mejorar la Seguridad de WordPress

1. Mantén WordPress actualizado, siempre

Una instalación no actualizada es un desastre esperando suceder. Mantenerse al pendiente de las actualizaciones es una forma efectiva de mejorar la seguridad de WordPress. Esto es diferente a mantener actualizados los contenidos.

Como dije antes, nuestro mayor problema son los bots. Ellos están programados para realizar de tareas especificas y repetitivas rápidamente. Muchos de ellos tienen el objetivo encontrar y abusar de cualquier vulnerabilidad que encuentren, para tomar el control.

El mantener un núcleo, tema o plugin actualizado reduce el riesgo de que esto suceda.

Cuando actualizamos, se aplican parches que corrigen los problemas que son detectados. Actualizar le impide a los robots abusar de las vulnerabilidades. Cierra esas puertas de acceso que pudieran usar.

Pero si no se mantiene actualizado, eventualmente un robot encontrará esa vulnerabilidad, lo cual significa problemas.

Igualmente se recomienda que nuestro servidor cuente con las versiones más recientes de PHP, MySQL y de su sistema operativo. Si bien esto no afecta directamente en mejorar la seguridad de WordPress, si ayuda para evitar que el servidor se vea comprometido.

Lo ideal es que nuestro hospedaje tenga instalada la ultima versión de PHP 7.

Si no lo tiene, pudiera ser un buen momento de buscar nuevas alternativas para el mediano y largo plazo. O en su defecto, ponerse en contacto con el proveedor del hospedaje para que solucione el problema.

2. Remueve los plugins y temas que no uses

Cada tema o plugin que este instalado puede ofrecer una puerta de entrada para los hackers.

Teniendo esto en cuenta, es importante el desinstalar todo tema o complemento que no estemos usando. Así cerramos puertas de acceso hacia nuestro sitio web para los bots.

También hay que mantener el número de complementos al mínimo. Solo instala aquellos que sean realmente necesarios. Si descubres alguno que ya no uses, deberás eliminarlo. Esto ayuda a disminuir el riesgo. Con lo cual podemos mejorar la seguridad de WordPress, en lo que hará el mantenimiento y actualización más fácil.

Además deberás de estar al pendiente para saber si alguno de dichos temas o plugins ya no está siendo actualizado. Si es así, se deberá de buscar una nueva alternativa antes de que se vuelva un problema. Como regla general, se deberá de remplazar cualquier plugin o tema que no haya sido actualizado desde hace dos años.

3. Desactiva la edición desde el Panel de Control

Evita que los administradores puedan editar los archivos locales desde el Panel de Control de WordPress.

De esta forma evitaras que las cuentas de administrador puedan ser usadas para ingresar código malicioso.  Protegiendo así la instalación si alguna de las cuentas se ve comprometida.

La limitación de esta característica se realiza declarando la constante “DISALLOW_FILE_EDIT” en el archivo wp-config.php. Con lo cual deberá de agregar la siguiente línea en el archivo:

define('DISALLOW_FILE_EDIT', true);

Una vez hecho, ya no será posible editar esos archivos mediante el Panel de Control. De esta forma nos aseguraremos que una cuenta comprometida no pueda ser usada para alterar los archivos del servidor. Al menos no fácilmente.

Este tipo de limitación es muy útil si se cuenta con acceso a los archivos mediante cPanel o SFTP. Así el compensar esta limitación es realmente fácil.

4. Usa siempre contraseñas fuertes en tus cuentas

Una contraseña fuerte e inusual evitará que puedan ingresar fácilmente a nuestra cuenta.

En un solo día, miles de robots pueden intentar millones de combinaciones de usuarios y contraseñas en sus bases de datos. Todo esto en busca de una combinación que les permita ingresar. Lo que resulta en miles de sitios web hackeados todos los días.

Si se cuenta con una contraseña única, la posibilidad de que ingresen disminuye. Ya que el reciclar contraseñas o usar passwords simples como «password123» o «qwerty12345» es una terrible idea. Es una invitación abierta para los intrusos.

Es cierto que una contraseña fuerte puede ser difícil de recordar, pero hay formas para lograrlo con poco esfuerzo.

Podemos ser ingeniosos o usar administradores de contraseñas como KeePass. Este ultimo es realmente útil, permitiéndote crear y organizar contraseñas de una forma fácil y segura.

5. No uses el usuario «admin» en WordPress

El borrar el usuario “admin” fortalece la seguridad. Mantener esta cuenta es una terrible idea.

Los robots saben que puede existir e intentarán ingresar a ella. Es por esto que eliminar esta cuenta es vital para la seguridad.

Normalmente será la primera que probarán. Esto debido a que el instalador sugiere dicho nombre de cuenta y muchos administradores no se molestan en siquiera cambiarla. Eso es un grave error.

Si ya contamos con el nombre de usuario «admin» en la instalación, lo mejor es eliminarla o renombrarla. Al hacerlo, se reduce de forma importante el riesgo de que el sitio web termine comprometido.

Recuerda, quizá necesites crear una nueva cuenta de administrador antes de borrar la que ya existe. Además, se recomienda el mantener el número de cuentas con privilegios de administrador al mínimo y asegurarse de que cuenten con contraseñas fuertes.

Esto cierra cualquier puerta de entrada adicional que pudiera existir.

6. Realiza respaldos periódicamente

Mantener copias de seguridad permite recuperar un sitio web hackeado. Ideal para recuperarse ante un desastre.

Una copia de seguridad puede ser la diferencia entre empezar de cero, o simplemente regresar a un estado limpio previo.

Las copias de seguridad son muy importantes. En especial cuando se detecta que el sitio web está infectado. Con ellas, podemos regresar a un estado en el cual sabíamos que todo estaba bien. Restaurar la instalación a un momento en el cual estaba limpio y poder recuperarse rápidamente.

Estas se pueden realizar de muchas formas. Existen plugins como Duplicator, UpdraftPlus o BackUpWordPress que te facilitarán la vida. O en su defecto puede contratar a un profesional para que se haga cargo de ello. También podemos preguntar a nuestro hospedaje para saber si cuentan con el servicio de respaldos.

Contar con más de una copia de seguridad siempre será deseable. Esa resiliencia adicional puede ayudar si todo el servidor se encuentra comprometido o si se pierden algunos de los respaldos.

7. Escanea la instalación de WordPress constantemente

Usa herramientas que te ayuden a detectar si algún archivo se encuentra infectado. Así se podrán tomar acciones preventivas antes de que sea tarde.

Esto es critico, ya que a veces un sitio web que ya se encuentra infectado no muestra los síntomas. Por lo cual realizar un escaneo rutinario es importante. Para poder detectar cualquier archivo infectado o alterado antes de que se vuelva un verdadero problema. Antes de que tenga la posibilidad de continuar propagándose.

Existen servicios que te permiten hacerlo de forma remota o puedes hacer uso de plugins como WordFence que escanean todos los archivos localmente. No solo aquellos de la instalación.

Si cuentas con cPanel, también es buena idea el hacer uso de su herramienta de Antivirus.

Con ello, podemos incluso evitar que los respaldos generados contengan código malicioso. Algo muy importante para garantizar la calidad y confiabilidad de las copias de seguridad.

8. Protege la carpeta wp-admin y el archivo wp-login.php

Controlar quien puede ver el wp-login.php o wp-admin puede aumentar enormemente la seguridad.

Limitar el acceso a estos recursos puede ser una buena idea. En especial si solo un pequeño grupo de usuarios deben de contar con acceso a nuestro sitio web. En el caso de que se cuente con registros abiertos, el bloqueo de estos recursos puede causar problemas.

Todo dependerá de las propias necesidades del sitio web. Pero pudiera ser una buena practica para mejorar la seguridad de WordPress. Incluso se pudiera limitar el acceso basado en el país de origen.

Para limitar el acceso en un servidor Apache, se hace uso de dos archivos: .htaccess y .htpasswd

Ambos cuentan con funciones diferentes. El .htaccess permite crear reglas para controlar quienes acceden a ciertas partes de nuestro sitio web. Mientras que el .htpasswd permite proteger directorios mediante contraseña. Podemos usar ambos para aumentar la seguridad.

Por ejemplo, el siguiente código impide que cualquiera pueda ingresar al área de administración por cualquier motivo. Este código va en un archivo .htaccess en la carpeta wp-admin.

#CAMBIA "xxx.xxx" CON TU DIRECCIÓN IP
SetEnvIF X-Forwarded-For xxx.xxx Allowed
order deny,allow
allow from env=Allowed
deny from all
#LE PERMITIMOS A TODOS ACCEDER AL AJAX
<Files "admin-ajax.php">
Order allow,deny
Allow from all
Satisfy any
</Files>

No solo basta el contar con las credenciales correctas, hay que tener una IP especifica. Esto aumenta la seguridad pero sin restringir las funcionalidades de los visitantes.

De esta forma, limitamos enormemente quienes pueden ver la zona de administración. Este método es radical, pero efectivo si sabemos que nuestra dirección IP no cambia o somos los únicos que deberían de poder ingresar.

9. Impide la indexación de Directorios

El evitar que los usuarios obtengan el contenido de los directorios de un sitio web es clave para mejorar la seguridad.

De esta forma se puede evitar que los curiosos busquen por vulnerabilidades, manteniendo ocultos varios de los archivos en el servidor. Haciéndolos más difícil de encontrar.

Se puede impedir que los robots o personas sepan fácilmente los nombres de los archivos subidos, cuantos hay, sus características, etc. Podrán dar con algunos, pero no tendrán toda la información. No podrán encontrar vulnerabilidades con tan solo explorar los directorios.

En un servidor Apache, es posible desactivar esta característica con la siguiente línea en el archivo .htaccess:

Options -Indexes

Así de sencillo se puede hacer. Con ello mejoramos la seguridad.

10. Usa un firewall (como CloudFlare o WordFence)

Un cortafuegos evitará que los usuarios mal intencionados accedan a los recursos del servidor.

Este tipo de software es realmente importante hoy en día. Junto con herramientas como fail2ban, se puede tener un entorno el cual detecte posibles amenazas y las detenga antes de que puedan hacer mucho daño. Incluso ya existen sitios web dedicados a registrar las IPs de los bots abusivos.

También hay que tener en cuenta que esta solución no es a prueba de fallos. Solo es un capa adicional de protección. La mayoría de los servidores modernos ya tienen esta configuración instalada, por lo cual nuestra opción más importante para aumentar la seguridad será agregar la solución de CloudFlare.

Con esa plataforma tendremos a nuestra disposición un proxy en reversa que permitirá filtrar el trafico malicioso antes de que llegue siquiera al nuestro sitio web.

CloudFlare ofrece muchas más ventajas, en especial en las orientadas a seguridad. Incluir este servicio aumenta sustancialmente la seguridad, ya que bloqueará las direcciones IP maliciosas. ¿Lo mejor? Cuenta con un plan gratuito.

Hay que tener en cuenta que esto puede causar algunos inconvenientes, ya que algunos usuarios pudieran necesitar validar que son humanos antes de ingresar a nuestro sitio.

Otra alternativa viable para mejorar la seguridad de WordPress, es el hacer uso de plugins como WordFence. El cual funciona del lado de nuestro servidor. Este puede proteger la instalación en la mayoría de los casos. O al menos avisarnos cuando algo ha sucedido. Conocer ello puede ser critico para poder responder rápidamente.

11. Utiliza la identificación de dos pasos

Agregar la identificación a dos pasos ayuda a aumentar drásticamente la seguridad, haciendo uso del correo electrónico o teléfono para validar la identidad.

Esto se puede lograr con extensiones o plugins en WordPress, los cuales implementan servicios de Google u alguno otro proveedor con esta finalidad. De esta forma se evita que un hacker o robot pueda acceder aun si ya cuenta con el usuario y contraseña de un administrador.

Con ello añadimos una capa más de seguridad, a cambio de consumir un poco más de tiempo a la hora de ingresar. Esto puede valer la pena en cuestión de seguridad.

12. No instales temas o plugins pirateados o nulled

Usar software pirata en un sitio web abre la puerta a los hackers.

Sabemos que es tentador el poder contar con plugins y temas premium totalmente gratis. Pero no debe de hacerlo. Si lo hace, podría estarle dando la oportunidad a un hacker de tomar control de su sitio web.

El software premium que se distribuye de forma gratuita puede contener código malicioso. En especial aquel que es distribuido por quienes no están autorizados.

Nada garantiza que ese software se encuentre limpio y libre de problemas. Quien lo distribuye puede haberle instalado puertas traseras. Esto permitirá que él, o cualquier otro, se haga del control de nuestro sitio web en cualquier momento.

No importa que medidas de seguridad estén implementadas, ese código le permitirá evadirlas o eliminarlas fácilmente.

13. Evita el acceso al archivo xmlrpc.php (opcional)

Este archivo permite que cualquier aplicación pueda comunicarse con WordPress, pero puede representar un riesgo.

Si usas un plugin como Jetpack, no es recomendable el desactivar esta funcionalidad. Esto debido a que dejarás de contar con muchas de sus características. Incluso podrían dejar de funcionar otros complementos.

Si no usamos programas externos o plugins que necesiten comunicarse con nuestra instalación de WordPress, desactivar este archivo es entonces una opción viable y recomendable. Ya que así evitaremos cualquier riesgo de seguridad que pudiera presentarse.

Su desactivación dependerá mucho de las necesidades con las que contemos. Ya que en algunos escenarios es deseable que este archivo se encuentre funcional pero asegurado. Plugins como WordFence o Akismet pueden ayudarnos con esa tarea, manteniendo una parte integral de WordPress asegurada y funcional.

14. Instala un certificado SSL (recomendado)

Encriptar la comunicación entre el servidor y navegador evita que alguien se pueda robar nuestras credenciales. Así podremos mejorar la seguridad de WordPress y nuestras comunicaciones.

Este método aumenta la seguridad al evitar que cualquiera pueda ver el usuario y contraseña ingresadas en lo que viajan por la Internet.

Mientras viajan los datos, estos pueden ser interceptados o copiados en cualquier momento. Esto normalmente puede suceder en casa o si pasan por un servidor comprometido.

Si la comunicación entre nuestro servidor y el navegador es segura, haciendo uso de HTTPS, el riesgo será menor. Esto no evita que nuestro sitio web sea hackeado, pero cierra una posible puerta. Apoyando así a mejorar la seguridad de WordPress, como un todo.

Además el uso de SSL trae beneficios, como mejores posiciones en los diferentes buscadores de Internet. Algo que Google ha estado apoyando mucho.

Conclusión sobre como mejorar la Seguridad de WordPress

Puede parecer que mejorar la seguridad de WordPress es una tarea monumental. Pero con una estrategia correcta, esto puede lograrse.

Esto considerando todos los detalles que deben de tenerse en cuenta para lograrlo. Pero con el suficiente tiempo y dedicación es posible mantenerlo seguro ante los embates de los riesgos de la Internet.

En el caso de que no sepa donde comenzar o los pasos necesarios parezcan abrumadores, siempre es una buena idea el contratar a un profesional para que se haga cargo por uno. De esa forma podrá enfocar sus esfuerzos a otras tareas u objetivos importantes.

Al final del día, mientras más importante sea nuestro sitio web, será más critico el mantenerlo seguro y libre de cualquier potencial amenaza.

Tomar estas medidas de seguridad puede ser la diferencia entre salir bien librado o terminar siendo un desastre.

Por lo cual no lo pienses más y comienza hoy mismo a mejorar la seguridad de WordPress.

0 comentarios

Trackbacks/Pingbacks

  1. La Reputación de su Sitio Web es lo más valioso » Daniel Torre - […] una entrada anterior comente que es más probable que los sitios web se vieran vulnerados por bots y vulnerabilidades…
  2. Como resolver el contenido mixto en HTTPS » Daniel Torre - […] o archivo mediante http. Si bien el contar con un certificado y tener el sitio web en https da…
  3. Administra tus contraseñas con KeePass » Daniel Torre - […] Así mejoraremos la seguridad. Tanto de nuestro sitio web, como de las cuentas que administramos. Algo muy importante hoy…
  4. ¡No uses estos nombres de usuario comunes! » Daniel Torre - […] mejorará la seguridad de nuestro sitio web, junto con el contar con una contraseña fuerte y única. Ya que…

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Pin It on Pinterest

Share This