¿Buscas mejorar la seguridad de tu sitio web de WordPress?

En este artículo queremos compartir una serie de consejos con los que podrás mantener tu sitio web realizado en WordPress lejos de las manos de los atacantes.

Es importante que sepas que igual que cualquier empresa grande sufre ataques de hackers tu web casi desde el primer día recibirá ataques de estos individuos. WordPress potencia alrededor del 33% de los sitios web en el mundo, lo que no sólo la convierte en la plataforma CMS más popular, sino que también es más propensa a los ataques. Sólo para que lo sepas, en los últimos tiempos, WordPress ha sido altamente atacado por los hackers. Muchos usuarios han preguntado: «¿Es seguro WordPress?»

y nuestra respuesta es: «Sí, WordPress es seguro.»

Sin embargo es muy normal que nos hagamos vulnerables a estos ataque sobretodo, siendo normalmente causa de esto el uso de varios plugins, temas y en algún momento el hosting, que sigue las peores prácticas de seguridad y por lo tanto hace que nuestro sitio web WordPress sea vulnerable a diferentes tipos de ataques y hacks.

Como usuario final, hay algunas cosas que puedes hacer para proteger tu web WordPress. Seguro que no encontrarás a nadie (nosotros incluidos en el pasado) que no haya sufrido algún pirateo de su web o de alguna de sus clientes a lo largo de su vida profesional. Para cualquiera de esos profesionales es lo les hace descubrir cómo podría endurecer la seguridad de WordPress.

Durante un período de 15 años, hemos aprendido muchos trucos que hoy queremos compartir contigo para que no tengan que enfrentarte a la molestia de perder tu sitio web WordPress en manos de hackers.

Si WordPress es seguro, ¿por qué la seguridad de WordPress es tan crucial?

Como he apuntado anteriormente, WordPress es seguro por defecto pero cuando lo alojas en un servidor no seguro o cuando agregas nuevos códigos en forma de temas y plugins, estás aumentando las posibilidades de ser pirateado.

Las vulnerabilidades que más afectan a los propietarios de sitios web de WordPress provienen de las partes extensibles de la plataforma, específicamente los plugins y los temas. Estos son los vectores de ataque #1 que están siendo explotados por los ciberdelincuentes para hackear y de otra manera abusar de los sitios de WordPress.

Estas vulnerabilidades normalmente no se introducen intencionadamente, sino que son el resultado de errores y descuidos durante el desarrollo. Muchos desarrolladores de plugins y temas no están muy versados en seguridad, por lo que son propensos a escribir código vulnerable sin darse cuenta. A medida que se descubren las vulnerabilidades, los desarrolladores suelen resolverlas publicando actualizaciones.

Los hackers suelen hackear un sitio de WordPress para su beneficio personal, que suele ser en forma de añadir backlinks a algunos sitios spam o redirigir un sitio de WordPress a otros sitios web. A veces se hace de forma tan sofisticada que ni siquiera puedes saber que estás pirateado o que hay una puerta trasera instalada en tu sitio web.

Sin embargo, el propietario comienza a perder el tráfico con el tiempo  y para el momento en que se da cuenta de la verdadera cuestión, las cosas están fuera de sus manos. Otra cosa peor que podría ocurrir es que te pongan en una lista negra de sitios peligrosos. Puedes salir de ahí pero es posible que te cueste una cantidad significativa de tiempo y dinero.

En este estudio de una de las mejores empresas de seguridad, Sucuri, en la red vemos la diferencia entre los distintos CMS a la hora de ser pirateados.

infección wordpress sucuri

Estos datos asustan a cualquier propietario de WordPress y es por eso que es muy importante que te pongas manos a la obra y sigas estas prácticas para mejorar la seguridad de WordPress. Vamos allá.

Configurar copias de seguridad de WordPress

Necesitas asegurarte de que si algo sucede en tu web, no perderás nada.

No tener una solución de copia de seguridad de WordPress adecuada es el mayor error que puedes cometer. Cómo he dicho antes, si una gran empresa puede ser pirateada, tu blog de WordPress será relativamente fácil de ser pirateado por un hacker.

Así que lo primero es asegurarse de que estás haciendo una copia de seguridad diaria de tu blog.

Puedes usar el sistema de respaldo ofrecido por tu compañía de hosting  o usar un sistema de respaldo de terceros como VaultPress o Updraftplus.

Si su empresa de alojamiento ofrece copias de seguridad, asegúrate de que éstas se almacenan en un servidor diferente.

Utiliza una empresa de hosting fiable y segura

La instalación de WordPress es sólo software instalado en un servidor. La base de un sitio web seguro es un servidor que tiene suficientes protecciones que aseguran que tu sitio web está protegido contra los hackers.

Un alojamiento seguro de WordPress por lo general tiene:

  • Cortafuegos a nivel de servidor para mitigar los ataques de DDOS.
  • Utiliza el hardware más reciente y un centro de datos de primera clase para la seguridad física.
  • Actualiza regularmente el sistema operativo y aplica los últimos parches de seguridad
  • Tiene sistemas de detección de intrusos para actividades maliciosas o violaciones de políticas.

Usa la última versión de WordPress

Mantener tu software WordPress actualizado es el consejo de seguridad más básico para cualquier usuario de WordPress. Esto es algo que nunca te puedes dejar atrás.

Cada vez que WordPress lanza una actualización, significa que han corregido algunos errores, añadido algunas características, y lo más importante, añadido algunas características de seguridad y correcciones.

Así que cuando veas el mensaje: «WordPress x.x.x.x está disponible» Actualízalo.

Hoy en día, con actualizaciones con un solo clic, es muy fácil actualizar tu blog.

Asegúrate de que el tema y los plugins son compatibles con esta última versión de WordPress. Si se ha implementado una actualización y no es una actualización de seguridad, te sugiero que esperes de 5 a 6 días antes de que otros usuarios dejen de informar de errores en la última versión.

Actualizar los plugins de WordPress

Como mencioné anteriormente, WordPress lanza una actualización para corregir errores y agujeros de seguridad, y lo mismo ocurre con los plugins.

Muchas veces, un plugin vulnerable o un script de terceros puede crear un agujero de seguridad en tu sitio web de WordPress.

Uno de esos problemas que hemos visto en el pasado es la vulnerabilidad de Timthumb. Esto se debió a un script, y muchos plugins que estaban usando este script también se volvieron vulnerables. Este tipo de vulnerabilidad de día cero es difícil de evitar, pero limitando el número de plugins, scripts y temas puedes hacer que tu WordPress sea más seguro.

Utiliza siempre plugins que se actualicen continuamente y que tengan un buen soporte. Si está usando un plugin que no ha sido actualizado por un tiempo, es mejor que busques una alternativa.

Usar la última versión de PHP

PHP es la columna vertebral de WordPress y actualmente, la 7.3 es la última versión de PHP. Según la página oficial de estadísticas de PHP, ofrecen soporte de seguridad a cualquier versión estable de PHP durante 2 años solamente. Esto significa que si estás usando algo por debajo de PHP 7.1, no vas a recibir actualizaciones de seguridad.

Dependiendo del entorno de alojamiento que estés utilizando, puede cambiar rápidamente tu versión de PHP. Te recomiendo encarecidamente que primero crees un entorno de preparación y luego pruebes la última versión de PHP. Esto es para asegurar la compatibilidad, ya que a veces, algún plugin obsoleto o un tema podría causar un problema.

Puede comprobar la versión PHP de WordPress desde el panel de control y solicitar a tu soporte de hosting que pruebe y actualice tu versión PHP.

Usar el cortafuegos de la aplicación Web (WAF)

Existe un cortafuegos entre su servidor de alojamiento y el tráfico de red. La función del firewall es filtrar la amenaza más común antes de que llegue a la máquina en la que está alojado su sitio web WordPress.

Hay tres tipos más comunes de soluciones de firewall que puedes usar en WordPress:

  • A nivel de red: Esto se almacena generalmente a nivel de red o de máquina y funciona cuando tu web está alojando WordPress en un centro de datos de tu propiedad. Esta es la opción más costosa y normalmente utilizada por un sitio web de nivel empresarial donde tienen control sobre el espacio físico donde está instalado el servidor.
  • A nivel del anfitrión: Esto está alojado en el nivel de la aplicación web, en nuestro caso es WordPress. Esto no es recomendable ya que eventualmente, su anfitrión tiene que hacer el trabajo pesado de filtrar el tráfico. Esto es definitivamente mejor que un WAF basado en red, pero los recursos del servidor local que requiere, no es la mejor opción.
  • WAF basado en la nube: El WAF basado en la nube se implementa normalmente a nivel de DNS y filtra el tipo más común de amenazas antes de que llegue a tu servidor WordPress. Este es el más fácil de implementar y el más económico en sentido estricto. La única desventaja es que puede requerir que cambies las DNS.

Algunos tipos comunes de amenazas que son detectadas y protegidas por WAF son: Ataques de secuencias de comandos entre sitios (XSS), ataques de inyección de SQL, secuestro de sesión y desbordamientos de búfer. Esta es una defensa de protocolo nivel 7 en el modelo OSI.

Esta es una función de seguridad de WordPress altamente recomendada para WooCommerce y otros sitios web de WordPress que está hecha para los negocios.

Ocultar la versión de WordPress

Supongamos que no tienes esos 2 minutos para actualizar sus archivos principales de WordPress. La versión WP apareciendo en tu web, normalmente en el pie de página, puede dar lugar a una idea para que un hacker entre. Si estás ejecutando una versión anterior de WP y todo el mundo lo sabe, créeme, estás condenado.

La mayoría de las plantillas actualmente ya no lo traen, pero para asegurarte, ve a functions.php y añade esta línea:

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

Usar una contraseña de inicio de sesión compleja

No debería tener que mencionar esto, pero conozco a demasiada gente que usa contraseñas muy básicas como su fecha de cumpleaños, «123456» o el nombre de su hija. Por favor, tus contraseñas deben ser complejas, añade un par de caracteres especiales (%&*#), y siga cambiándolas cada 5 o 6 meses.

También me gustaría recomendar un plugin llamado Login Lockdown. Este plugin registrará todas las IPs y marcas de tiempo de los intentos fallidos de inicio de sesión. Después de un número específico de intentos fallidos de una IP en particular, la IP será puesta en una lista negra. Esto ayuda mucho a prevenir cualquier ataque de fuerza bruta.

Por tu parte, también deberías empezar a usar un gestor de contraseñas como Lastpass que te ayudará a mejorar aún más la seguridad de tu contraseña.

Cambiar la URL de inicio de sesión de WordPress

Al cambiar la página de URL de inicio de sesión de WordPress, estás evitando muchos ataques e intentos de piratería. No es la gran solución pero lo pondrás difícil a más de un pirata.

Establecer la alerta de Google para las páginas indexadas

Este es uno de los trucos menos conocidos que puedes usar de inmediato. Puedes utilizar las alertas de Google para enviarte una alerta cada vez que Google indexe una nueva página en el nombre de tu dominio. Muchas veces, los hackers de WordPress añaden nuevas páginas y mensajes que no se muestran en el backend o frontend, sino que se indexan en Google.

Cuando configuras una alerta como ésta, sabrá si estás ocurriendo algo raro en tu web. Ya que es gratis y sólo toma de 2 a 3 minutos para configurarlo, vale la pena.

He aquí cómo tienes que hacerlo:

  • Dirígete a las alertas de Google
  • En el campo «crear una alerta», añada site:tudominio.com

crear alertas en google alertas

Cambiar Frecuencia a «cuando se produzca», de idioma a «Todos los idiomas» y Cantidad «todos los resultados».

Ahora, recibirás notificaciones instantáneas cuando se indexe una nueva página de tu sitio en el buscador.

Comprueba los permisos de archivo de las carpetas de WordPress

Ve al Administrador de Archivos en su cPanel, o inicie sesión en tu software FTP, y comprueba los atributos de archivo de tu carpeta WordPress.

Es bueno si es 744 (sólo lectura). Si encuentras que son 777, considérate extremadamente afortunado de no haber sido hackeado todavía.

Cuando la mayoría de los bloggers cambian de alojamiento, no se dan cuenta de cómo también cambian sus permisos de archivo. Asegúrate de verificar todos los permisos de archivo después de migrar tu hosting.

Eliminar usuario de administración predeterminado

Este es uno de los consejos más cruciales para las personas que buscan crear un blog seguro de WordPress. El nombre de usuario «admin» por defecto es propenso a ataques de fuerza bruta porque la mayoría de la gente nunca lo cambia.

Cuando instales WordPress, asegúrate de usar un nombre de usuario personalizado y no uses «admin».

Puedes crear un nuevo usuario con derechos de «Administrador», y darle a este nuevo administrador un apodo que se mostrará públicamente en caso de que escriba un mensaje. Ahora, cierra la sesión y vuelve a iniciar sesión en la cuenta de administrador recién creada y elimina el antiguo usuario «admin».

Asegúrate de atribuir todos los nombres de usuario y enlaces al nuevo usuario que has creado.

Ocultar el directorio de plugins

La carpeta de plugins /wp-content/plugins/ no debería mostrar la lista de carpetas y archivos dentro de ellas. Intenta visitar tu carpeta de plugins (reemplaza domain.com con tu nombre de dominio):

dominio.com/wp-content/plugins/

Si ves una lista de carpetas y archivos, debes ocultarlos.

Para ocultar estas carpetas, necesitas crear un nuevo archivo .htaccess o editar el que ya tengas y ponerlo en su directorio de plugins.

# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# Prevents directory listing
IndexIgnore *
# END WordPress

Desactivar errores de la base de datos

En versiones anteriores de WordPress, si hubiera errores en la base de datos MySQL, se mostraría el error exacto en el propio navegador dando al hacker información valiosa sobre tu base de datos.

Para prevenir esto, necesitas actualizar tu WordPress a la última versión, para que sólo muestre un mensaje de error general como «Error de conexión a la base de datos» en lugar de mostrar exactamente lo que está mal.

Bueno, espero que esta guía te haya ayudado a entender la importancia de la seguridad de WordPress y te haya ayudado a aumentarla en tu web.

Una vez más, es una buena idea hacer copias de seguridad automáticas de tu blog de WordPress a intervalos regulares para asegurarte de que siempre puedes hacer retroceder tu blog a una condición en que estaba a salvo en caso de un ataque.