A estas alturas debe preocuparte la seguridad en WordPress. Tu blog no esta nada seguro si no usas algún plugin de seguridad.
Y que no te confunda el nombre, hablamos del veterano Better WP Security, que ha cambiado de nombre.
Y con respecto a la seguridad en WordPress hay dos grandes verdades:
- Debes preocuparte por la seguridad de tu blog. Se producen contantes intentos de login, y de vez en cuando hay ataques masivos a WordPress.
- No es algo que deba quitarte el sueño. Duerme tranquilo, instala un plugin para mejorar la seguridad de WordPress como Wordfence o iThemes Security.
La seguridad es lo primero en lo que pensar al montar tu sitio WordPress.
La seguridad en WordPress es un tema serio y que debes tratar desde el principio. No pienses que un blog recién abierto y con unas pocas visitas cada día no recibe ataques.
Los objetivos que persiguen estos ataques suelen ser fundamentalmente tres:
- Crear redes de botnet para ataques mayores a webs más importantes, usando la potencia combinada de todos los sitios bajo su control.
- Redes para envío de SPAM desde tu servidor.
- Instalación de malware en tu servidor que infectara a tus visitantes.
Los tipos de ataques que se realizan entre otros son:
- Inyecciones de código malicioso, aprovechando vulnerabilidades del código de WordPress o sus plugins.
- Ataques de fuerza bruta para acceder como administrador.
La forma de defenderse de estos ataques es realmente muy sencilla, y ese es el objetivo de este post, que aprendas a defenderte desde el primer momento con un veterano de los plugins de seguridad y con algunos consejos básicos.
Como proteger WordPress de ataques
Como te iba contando, es bien sencillo. Te enumero algunas buenas practicas para mejorar la seguridad de WordPress.
- Descarga e instala WordPress desde su web oficial, o desde el panel de tu hosting si este es de confianza (debería serlo). Mantenlo siempre actualizado.
- Instala los plugins desde el repositorio oficial, desde la propia administración de tu WordPress, o descargarlo de sitios de confianza si son de pago. Nuevamente ocúpate de mantenerlos siempre actualizados, y usa el mínimo imprescindible. El mayor agujero de seguridad son los plugins.
- Usa temas premium o desde el repositorio de WordPress. Desconfía de las descargas gratuitas de temas. Los temas basados en Génesis o Gavern son ideales para la seguridad.
- Usa un plugin para mejorar la seguridad de WordPress. Mi sugerencia es que uses iThemes Security o Wordfence.
- Usa un hosting de calidad que de por si aplique medidas de seguridad. Mira esta entrevista a Gerard Martínez y descubre como Webempresa te ayuda a proteger tu WordPress.
icon-gears iThemes Security. Conjunto de herramientas para asegurar tu tranquilidad.
Es un plugin todo en uno dedicado a proteger la instalación de WordPress aplicando para ello varias técnicas.
Ocultandote
- Remover el meta generador de etiquetas.
- Cambiar las direcciones o urls del escritorio de WordPress dashboard incluidas por defecto en login, admin, y más.
- Desactiva la posibilidad de mantenerte loggeado por un determinado período de tiempo (away mode)
- Remueve las notificaciones de actualización, temas, plugins en los usuarios que no tienen permisos.
- Remueve información del header en Windows Live Write.
- Remueve información del header en RSD
- Renombra la cuenta “admin”
- Cambia en ID en el usuario con ID 1
- Cambia los prefijos en las bases de datos de WordPress.
- Cambia la ruta al contenido de WP alojado en wp-content
- Remueve mensajes de error de login
- Muestra un mensaje aleatorio del número de versión a los usuarios que no son administrativos.
Protegiendote
- Analiza tu sitio para decirte al instante que vulnerabilidades ahi y arreglarlas en segundos.
- Bloquea bots y agentes problemáticos y otros hosts
- Prevenir ataques de fuerza bruta baneando hosts y usuarios con demasiados intentos de inicio de sesión no válidos.
- Fortalecer la seguridad del servidor.
- Obligar al uso de contraseñas seguras para todas las cuentas configurando un rol mínimo.
- En servidores que lo soporten obliga al uso de SSL para las páginas de administración o páginas y posts.
- Deshabilita la edición de archivos desde dentro del área de administración de WordPress.
- Detectar y bloquear numerosos ataques a su sistema de archivos y base de datos.
Y esto entre otros beneficios. Además es realmente sencillo de usar.
Un paseo por iThemes Security.
Tras instalarlo de la manera habitual, desde plugin /añadir nuevo, y activarlo, os aparecerá en la barra derecha un nuevo menú llamado Seguridad.
Si entramos, el primer aviso será que realicemos una copia de seguridad de la base de datos. ¡No te lo saltes!.
En el segundo paso, nos preguntara si queremos una protección básica. Ideal para principiantes y con esto ya nos podemos relajar.
Tendrás casi todo en verde y lo que no tengas tampoco te debe preocupar tanto. De verdad, si no quieres complicarte con esto no necesitas nada más.
Ten en cuenta que una mayor protección puede interferir en el buen funcionamiento de plugins o tu tema, o molestar a los usuarios de tu web.
Si aun así te gusta llegar más al fondo de todo, elije la forma manual.
Te cuento un poco algunas opciones interesantes.
Lo primero el escritorio.
En el escritorio veras una serie de mensajes sobre el estado del sistema.
- Lo que esta en verde esta perfecto.
- En azul te indica lo que esta bastante protegido, suele ser el caso de opciones que dejamos sin activar para no interferir con plugins o temas. No debes preocuparte.
- En naranja deberías revisarlo, solo proteges una pequeña parte.
- En rojo, revisando a la de Ya!. No has protegido ese aspecto de tu WordPress.
Lo mejor es que si tienes algo que corregir te pone un enlace que te lleva a la sección correspondiente, para que lo corrijas.
De por si te digo: ¡no tiene porque estar todo verde! Pero si que no debería haber ningún rojo, a no ser que descubramos que interfiere con el normal funcionamiento de nuestro WordPress.
En la diferentes secciones, además hay opciones que están resaltadas en amarillo. Esas tienes que estar muy seguro para activarlas, porque son las que suelen interferir con alguna otra parte de tu instalación.
icon-arrow-circle-right Un repaso a las demás pestañas
- En la pestaña Usuario, aplica el cambio de usuario admin y la ID del usuario administrador.
En mi Web esta semana recibo todos los días varios intentos de login con el usuario «admin». Debes usar un nombre personalizado, y ocultarlo con tu propio nombre. - En Away podrás configurar un modo ausente.
Imagina que te vas de vacaciones. Nadie tiene porque entrar a tu WordPress. Lo activas y no se podrá acceder en ese tiempo (aviso, ¡ni siquiera tu!). O por ejemplo durante la madrugada. ¡Usar con cautela! - Pestaña Ban. Útil para bloquear por IPs o Bots.
- En la pestaña Dir, podéis renombrar el directorio wp-content, que es el que por defecto contiene los ficheros de nuestra instalación. Esta opción no usarla en sitios ya con contenidos, solo para sitios recién instalados.
- En Backup podéis configurar copias de seguridad, pero os aconsejo mejor realizar las copias de seguridad en WodPress con BackWPup que las hace a servicios en la nube.
- Prefix: Sustituye el prefijo de las tablas de WordPress. Útil para evitar ataques por inyección de SQLi. Hacer una copia de seguridad por si las moscas y ejecutarlo.
- En Hide puedes ocultar las URLs de administración, login o registro, modificando la ruta para acceder y que no sea la de por defecto. ¡Bastante útil!
- La pestaña 404 sirve para bloquear visitantes que vistan muchas páginas inexistentes, y eso suele ser porque te están escaneando. Aquí se puede configurar el umbral.
- Con Login, podéis entre otras cosas habilitar limites de acceso y te evita los ataques por fuerza bruta.
- Si disponéis de certificado SSL en vuestro servidor, con esta pestaña podéis forzar su uso.
- Tweaks es la pestaña más completa. Encontraras multitud de opciones. Cuidado con las que están marcadas en amarillo. Pruebalas con cautela. Puedes ir activando de una en una e ir probando la mayoría de funcionalidades y plugins de tu sitio.
Si todo esta Ok dejala activa, si ves algo raro, mejor desactivarla lógicamente. - La última pestaña es Logs. Aquí encontraras información de ataques, vulnerabilidades encontradas, etc… Interesante repasarla de vez en cuando.
iThemes Security contra otras suites de seguridad.
Personalmente solo me atrevo a enfrentar iThemes Security contra Wordfence.
Para mi es la única suite de seguridad a la altura de iThemes Security.
- Pros de Wordfence: Su configuración por niveles, que de una manera sencilla fortalece más tu WordPress sin tener que tocar manualmente.
- Pros de iThemes Security: Esta en español, entiendes lo que tocas, y no ralentiza tanto el servidor. La diferencia es apenas medio segundo en mis mediciones, pero lo suficiente.
Conclusión final, ¿y ahora que haces?
Es verdad, tu lo único que querías es relajarte mientras tu WordPress esta bien protegido. Pues sigue estos 4 pasos:
- Usa una buena empresa de hosting que se encargue de protegerte también. Que tu dinero este bien empleado.
- Sigue los consejos de seguridad que has leído en este post.
- Instala el plugin iThemes Security.
- Suscribete y no te pierdas nuevos consejos sobre seguridad y como mejorar tu WordPress.
Sigue estos pasos y relájate. Y no olvides que la mejor manera de estar protegido es estar informado.
¡Y ahora comparte este post! No dejes que otros se pierdan como proteger sus instalaciones de WordPress.