CÓMO PROTEGER WORDPRESS
WordPress es el CMS más utilizado mundialmente por todos los creadores de páginas web. Su simplicidad y su fácil instalación de temas hacen que sea muy intuitivo en el manejo y la creación de contenidos. Pero no es oro todo lo que reluce, ya que este CMS es muy propenso a sufrir cientos de ataques de seguridad diarios y, si no estamos bien preparados, podríamos tener más de un dolor de cabeza.
A continuación te damos unos cuantos consejos para blindar y mejorar tu WordPress de forma rápida:
1. Cambiar el prefijo wp_ para crear las tablas en la base de datos
La primera vez que ejecutemos la instalación de WordPress nos pedirá los datos de configuración para poder conectarse con la BBDD de tu servidor, de esa manera podrá crear las tablas necesarias para poder iniciarse.
Por defecto, el nombre de todas las tablas comienza por “wp_”, por lo que es muy aconsejable cambiarlo.
2. No utilizar nunca el usuario admin para acceder a WordPress
Una vez realizada la instalación, WordPress nos pedirá crear un usuario administrador para poder acceder a su panel de control. El usuario por defecto es admin, por lo que debemos cambiarlo para evitar posibles intentos de acceso a nuestra site.
3. Crea una contraseña segura
Algo que todo el mundo sabe, pero que no siempre hacemos. Olvídate de utilizar contraseñas fáciles de recordar donde aparezca tu nombre, edad o fecha de nacimiento. Este es uno de los más graves problemas de seguridad que podemos cometer.
WordPress cuenta con un generador de contraseñas cuando creas tu usuario Administrador, pero si estás empeñado en usar algo fácil de recordar, intenta utilizar una combinación de letras mayúsculas, minúsculas, números y símbolos especiales, con una longitud mínima de 8 caracteres.
4. Usa siempre la última versión de WordPress
Si tienes una versión de WordPress obsoleta, debes actualizarla sin falta. Aunque WordPress cuenta con un sistema de actualización automático con parches de seguridad, si tu página tiene una versión posterior o igual a la 4.2 no estarás protegido, ya que abandonaron su mantenimiento para que la comunidad estuviera obligada de esa forma a actualizar a versiones superiores.
Las actualizaciones menores con parches de seguridad se realizan de forma automática sin intervención del usuario (4.7.1à4.7.2), pero las versiones finales sí las debemos aplicar nosotros (4.7.Xà4.8). Esto es algo muy simple, ya que cuando aparezca la advertencia de que existe una nueva versión de WordPress, tendremos un botón accesible en la parte superior que podremos pulsar con el fin de actualizarla.
NOTA: crea una copia de seguridad de archivos y BBDD por si algo falla.
5. Actualizar los plugins activos y no activos
Igual que WordPress, los plugins siempre sacan nuevas actualizaciones para tapar agujeros de seguridad o implementar nuevas mejoras. Para estar al tanto, nos aparecerán notificaciones de que existen actualizaciones en nuestro panel de administrador para que nosotros manualmente podamos actualizarlos sin problema.
6. Actualizar el tema que tengas en tu página
Tener un tema atractivo para tu página es importante, pero lo es aún más que tenga actualizaciones cada cierto tiempo. Si tu plantilla se ha quedado estancada en una versión muy inicial, es muy probable que sea un buen objetivo de ataque.
Mantente al día de los cambios que haya en ella para actualizarla a su última versión.
7. No utilices plugins o temas obsoletos
Los plugins y temas que no han sido actualizados desde hace años, no han podido ser probados con las versiones modernas de WordPress por sus creadores. Esto quiere decir que podemos crashear nuestro sitio si lo instalamos y no es compatible con la versión.
Si no te ha parecido suficientemente peligroso, ten en cuenta que seguramente existan grandes agujeros de seguridad que no hayan sido solucionados desde hace mucho tiempo.
8. Descarga plugins y temas de sitios seguros
Si deseas instalar una nueva plantilla o plugin siempre es recomendable hacerlo a través del directorio oficial de WordPress:
- https://es.wordpress.org/plugins/
- https://es.wordpress.org/themes/
Existen otros portales muy reconocidos y de gran calidad, aunque sus contenidos son de pago:
- Envato
- Woothemes
- Elegant Themes
Algo muy importante es no bajar plugins y temas de pago en páginas no seguras, porque lo más probable es que hayan sido modificados con malware y esto podría acarrearte muchos problemas futuros.
9. Protege el archivo wp-config.php
Este archivo tiene toda la configuración de WordPress, así como los datos de conexión con tu servidor, por ello es tan importante mantener unas reglas de seguridad especiales.
10. Cambia sus permisos a 444 desde el FTP.
11. Añade reglas para evitar accesos.
Si usas Apache, deberás incluir en el fichero .htaccess:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Si usas NGINX, deberás incluir en el fichero nginx.conf:
location ~* wp-config.php {
deny all;
}
12. Protege la carpeta Uploads
La carpeta Uploads de WordPress es la más susceptible de recibir inyección de código malicioso. Los atacantes pueden subir, si no está bien protegida, scripts y virus que pueden modificar el código interno de nuestro WordPress. Si queremos impedirlo y poner una protección extra, deberemos aplicar las siguientes reglas:
- Si usas Apache, deberás incluir en el fichero .htaccess:
<Files ~ «.*\..*»>
Order Allow,Deny
Deny from all
</Files>
<FilesMatch «\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$»>
Order Deny,Allow
Allow from all
</FilesMatch>
- Si usas NGINX, deberás incluir en el fichero nginx.conf:
location ~* ^/wp-content/uploads/.*.(html|htm|shtml|php|js|swf)$ {
deny all;
}
13. Recuerda hacer copias de seguridad
Nunca vamos a estar 100% protegidos de los ataques. Siempre aparecen nuevas vulnerabilidades que pueden poner en riesgo nuestras páginas, aun teniendo todas las reglas de seguridad y últimas actualizaciones.
Por eso debemos programar cada cierto tiempo una copia de seguridad de todos nuestros archivos y bases de datos. Si lo ves demasiado tedioso, existen en la actualidad plugins como BackWPup que te permitirán hacerlo de manera automática y programada en tu servidor FTP propio o en otro externo que tengas contratado (DropBox, Google Drive, etc.).
14. Limitar los intentos de acceso al panel de control
La gran mayoría de ataques para acceder al panel de WordPress se realizan mediante fuerza bruta, usando los llamados “diccionarios”, combinaciones de palabras y números que se van probando en la pantalla de inicio de sesión.
Para bloquear estos intentos masivos de acceso y bloquear las IP´s de los atacantes, podemos hacer uso del plugin gratuito Limit login attempts o el módulo Protect de JetPack.
15. Instala un plugin de seguridad
En la actualidad existen plugins de seguridad que nos hacen la vida mucho más fácil, configurándonos ellos mismos diferentes reglas y ajustes en nuestra instalación de WordPress para evitar diferentes tipos de ataques. Nunca está de más instalar uno de ellos. A continuación os señalamos los más populares:
- WordFence
- iThemes Security
- Bulletproof
16. Utilizar CloudFlare como proxy inverso
Este servicio CDN es utilizado por la gran mayoría de gente que trabaja con WordPress. Además de ofrecerte protección mediante el uso de reglas WAF, bloqueo de IPs y ofuscación de emails, aporta:
- Sistema de cacheado de páginas.
- Minificación de recursos HTML, CSS y JS.
- Hotlink para la protección de imágenes y para evitar el abuso de banda ancha.
- Certificados SSL gratuitos.
17. Crea una cuenta en Google Search Console
Las herramientas de Google Search Console siempre son de gran utilidad y nos mantienen informados de cambios en nuestras páginas. Entre sus ventajas cabe destacar:
- Permite indexar contenidos rápidamente mediante un sitemap.
- Comprueba si existe problemas de usabilidad web.
- Detecta páginas con errores 404.
- Nos da pautas para mejorar la velocidad de nuestra página.
- Nos avisa de si nuestro sitio ha sido atacado y/o contiene código malicioso.
18. Protege el archivo .htaccess
El .htaccess es un fichero de configuración de Apache que aplica las reglas que hemos incluido en puntos anteriores (nginx.conf en el caso de que usemos NGINX), así como otras configuraciones básicas de la instalación de WordPress.
Para protegerlo podemos aplicar en él los permisos 444 y, además, incluir la siguiente regla dentro del mismo:
<files .htaccess>
order allow,deny
deny from all
</files>
P19. Protege su sitio de spam
Los comentarios de tipo SPAM, son una fuente de enlaces hacia páginas fraudulentas que pueden penalizar tu sitio en las SERP, aun siendo enlaces de tipo “nofollow”. Además, algunos atacantes podrían usar estos formularios para realizar una inyección de código, por lo que es algo que debería controlarse y filtrarse.
Para ello podemos usar varios plugins:
- Añadir un captcha cada vez que alguien quiera poner su comentario instalando el plugin Really Simple CAPTCHA.
- Activar el plugin Akismet para comprobar si los comentarios son de tipo SPAM.
20. Vulnerabilidad pingback
WordPress nos ofrece funciones para gestionar sus contenidos de manera remota desde IOS o Android, utilizando para ello el protocolo XML-RPC. Esto es una puerta importante para intentar introducir código malicioso en nuestra página.
Si tienes muy claro que nunca vas a usar estas aplicaciones para conectarte a WordPress, y prefieres hacerlo desde tu navegador móvil, existe una sencilla solución: borra el fichero xml-rpc.php que se encuentra en la raíz de instalación y listo.
Además, podemos crear las siguientes reglas dentro del fichero .htaccess para evitar el acceso a él:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>