Cómo aumetar la seguridad en tu web WordPress de una vez por todas
Ponte en situación. Lanzaste hace tiempo tu web o proyecto online y has trabajado mucho en él. Has escrito artículos para tu blog y tienes diseñada una buena estrategia para que tus usuarios disfruten navegando y se conviertan en prospectos.
Pero de buenas a primeras… lo pierdes todo. Respira, es sólo un simulacro. Pero imagina que te ocurre. Que alguien te hackeó la web y has perdido meses de trabajo.
Sí, ya sé que piensas que tu web o blog no merecen la atención de los hackers pero esto no trata de eso. Los ataques de hoy en día son automatizados y aunque tu blog o web en WordPress no sea objetivo, puede que caiga en las redes de ataque automatizado y te quedes son información.
Si estás utilizando WordPress y te preocupa perder este trabajo, sigue leyendo para descubrir cómo ponérselo mucho más difícil y salvaguardar tu web o blog y, por tanto, tu dinero.
Cada vez nos encontramos más casos de webs hackeadas y sin copia de seguridad.
Por favor, lee atentamente este post sobre seguridad en WordPress para no correr riesgos.
La batalla se está librando y tú aún no sabes que formas parte de ella
¿Qué puedes leer aquí?
- 1 Cómo hacer seguro WordPress definitivamente
- 2 #1 – Mantén actualizado el ‘core’ de WordPress
- 3 #2 – Mantén actualizados los plugins
- 4 #3 – Mantén actualizada tu plantilla
- 5 #4 – No uses plugins o themes piratas o descargados de webs con poca reputación
- 6 #5 – Elige un buen servicio de hosting
- 7 #6 – Haz copias de seguridad
- 8 #7 – Haz pequeños cambios en la instalación por defecto de WordPress
- 9 #8 – Instala plugins de seguridad
Cómo hacer seguro WordPress definitivamente
Así es, si tienes una web o un blog, estás dentro de la guerra. Quizás no seas consciente pero me gustaría que estuvieras precavido.
Antes de nada, mira este vídeo de cómo con 3 simples acciones puedes hacer tu WordPress 10 veces más seguro:
Si quieres profundizar aún más y saber de una vez por todas si WordPress es seguro o no, te recomiendo esta entrevista a Luis Méndez Alejo (gnumax):
(Puedes ver la entrevista directamente en Youtube: https://www.youtube.com/watch?v=VAo1iD_44bo&t=239s)
Te recomiendo pasarte por las webs de referencia o por el repositorio de WordPress y verás de lo que te hablo.
WordPress es un gran gestor de contenidos. Para mí, uno de los mejores. Pero está muy extendido. Y en informática, estar extendido quiere decir ser objetivo de “los malos”.
No quiero asustarte. Tampoco quiero que pienses quew WordPress no es la solución para tu web.
Si no estás relacionado con el trabajo de desarrollo puede que no seas consciente, pero cualquier sistema es susceptible de ser hackeado. WordPress no iba a ser menos.
Por suerte, al tener una comunidad tan grande, si sigues una serie de consejos podrás dormir tranquilo.
Descubre si tienes estos síntomas:
¿Está mi WordPress Hackeado?Pero… empecemos con estos consejos para que tu WordPress sea más seguro que el de los demás:
#1 – Mantén actualizado el ‘core’ de WordPress
Probablemente te habrás fijado. Cuando accedes a WordPress como administrador, te aparece un cartelito en la parte de arriba de tu cuadro de mandos en el que WordPress nos avisa de que hay una nueva versión (si es que la hay).
WordPress es un sistema de ficheros que se actualiza. Estos ficheros son comunes a todos los WordPress que existen. Es el ‘core’ o núcleo del gestor de contenidos.
Necesitas tener el núcleo de tu WordPress actualizado. No hay excusas. Un núcleo desactualizado es un riesgo grande de seguridad.
Normalmente las actualizaciones son correcciones de huecos de seguridad. Y, además, son públicos. Así que si no actualizas es cómo si públicamente dijeras que todas las noches estás dejando la puerta de tu casa abierta. Puede que alguien entre…
Hay dos procesos posibles para actualizar el núcleo de WordPress. Uno es automático y otro es manual. Haz una copia de seguridad y actualiza como más te guste pero ¡actualiza!
#2 – Mantén actualizados los plugins
Como te decía, WordPress está compuesto por ficheros. Otro de los tipos de ficheros que tiene son los plugins. Se trata de funcionalidades extras al núcleo puro de WordPress. Seguro que sabes de qué te hablo.
Necesitas también estar al día en las actualizaciones de estos plugins. Tampoco hay excusa.
Te diría que la mayoría de los problemas de seguridad de WordPress vienen por un plugin no actualizado o de dudosa reputación.
Así que vete a la sección de Plugins de tu WordPress. Chequea los plugins que no están actualizados y vete haciéndolo.
Ocurre lo mismo que en la #1, los desarrolladores van detectando fallos de seguridad y los van corrigiendo, así que no vuelvas a dejar la puerta de tu casa abierta.
Los mejores plugins de seguridad para WordPress
No se trata de hacer un ranking sobre los mejores. Es cuestión de tener una lista y decidir en función de tus necesidades y de lo “blindado” que quieras tener tu WordPress. Pero empecemos con la lista:
Wordfence Security
Nuestro favorito en cuanto a seguridad en WordPress. Servirá para prevenirte de que tu WordPress sea hackeado. Lleva mucho tiempo en el candelero y por ello tiene ya muchas batallas ganadas. Es bastante confiable y su blog es una maravilla puesto que explican los últimos ataques que está habiendo o investigan por ejemplo si un WordPress hackeado afecta a tu SEO o no.
Si realmente te interesa todo lo que se cuece en seguridad WordPress, no olvides suscribirte en su newsletter pues te enviarán emails muy útiles e interesantes. Cuando hay ataques masivos o generalizados, también te mantendrán al día de ellos.
Este plugin tiene varios módulos que son de gran utilidad para proteger WordPress:
- Cortafuegos de WordPress. Detecta tráfico malicioso y bloquea a los usuarios para que no puedan acceder a tu web. Tienen un sistema inteligente bastante novedoso que genera las reglas específicas para tu propia web. Detecta falsos bots o escaneo de hackers y los bloquea.
- Bloqueos. Usa el conocimiento colectivo de todos los WordPress que usan Wordfence para que si un atacante es bloqueado en una web del otro lado del planeta, tu web esté segura. Bloquea por IPs, por países, por redes. Un buen sistema para tener a los malos a raya.
- Seguridad de Login. Gran parte de los ataques a WordPress son por fuerza bruta. Con el sistema de bloqueo por intentos, estarás protegido. Cuando un usuario intenta loguearse sin éxito varias veces en un período corto de tiempo, le bloqueará. También confirma si las passwords de tus usuarios son seguras o tienes alguna brecha de seguridad que corregir con ellos.
- Escaneo de seguridad. Posee un escáner que te hará detectar amenazas conocidas y malware de un montón de variantes. Está continuamente escaneando para detectar el malware antes de que lo haga Google o de que empiece a causar daños.
- Monitorización. Verás tu tráfico en tiempo real y todos los bloqueos que se producen. Monitoriza también ataques DDoS o de cambios de DNS no autorizados.
- Seguridad para multi-site. Sirve para la versión multi-site de WordPress.
Tiene una versión de pago que cubre un mayor número de vulnerabilidades que la versión gratis.
Mira este vídeo sobre sus ventajas:
iThemes Security
Un todo terreno como la copa de un pino. Tienes en él una navaja suiza de la seguridad. En ocasiones, ser tan completo y con tanta funcionalidad juega en su contra pues es complicado dominar la configuración de este plugin.
iThemes lleva mucho tiempo desarrollando buenos plugins y eso se nota. Calidad y fiabilidad es su marca de garantía. Se trata de un plugin que ofrece máxima seguridad para WordPress.
Las principales funcionalidades de este plugin son:
- Autenticación en dos pasos. Usa el móvil para asegurar que cuando estés haciendo login eres realmente tú.
- Escaneo de malware programado. Cada día puede pasarle un escáner de seguridad a tu WordPress de forma automática.
- Seguridad de las contraseñas. Verifica que usas contraseñas fuertes y que las cambias cada poco tiempo.
- Comparador de ficheros. Cuando algún fichero de tu WordPress es modificado lo compara con la versión fiable del repositorio y alerta si hay algún código sospechoso.
- Protección contra fuerza bruta. Filtra por IP y bloquea intentos muy seguidos y fallidos desde una misma IP.
Además, si no quieres tener otro plugin de copias de seguridad, este plugin permite hacer tu reglamentaria copia de seguridad para WordPress.
All in One WP Security & Firewall
Un plugin de seguridad muy completo y que incorpora un cortafuegos potente. Comprueba vulnerabilidades de tu WordPress y tiene sistemas preventivos contra malware. Usa un sistema de puntos para valorar si tu sitio web está bien protegido o no.
Las medidas de seguridad para WordPress que permite habilitar este plugin son:
- Detección de debilidades en tu WordPress. Detecta cuentas “admin”, usuario idénticos, contraseñas débiles, etc.
- Protección contra fuerza bruta, Bloqueos de intento de sesión repetidos y no fructíferos. listas de IP accediendo al sitio y bloqueo por IP, cierre de sesión forzado, actividad del usuario, bloquear por intervalos de IP, captchas, etc
- Escáner de seguridad. Detecta cambios en archivos sospechosos y escanea también la base de datos en busca de código javascript y HTML sospechosos.
- Cortafuegos. Controlarás fácilmente los accesos a tu backend, varios niveles de seguridad, proteger contra ataques DDoS (denegación de servicio) y XSS (Cross Site Scripting). Protege también contra vulnerabilidades de Pingback y hotlinking.
Si no te convencen ninguno de los dos anteriores, prueba este y lo hará.
Os dejamos un vídeo explicativo del desarrollador:
Bulletproof
Lo más destacado de este plugin es su “wizard” para paso a paso definir las medidas de seguridad en la instalación de tu WordPress.
Tiene una versión Premium que le hacen mucho más potente.
Básicamente cubre las mismas funcionalidades que los anteriores. Lo que le hace diferente es:
- Protección de .htaccess. En el caso de que tengas malware y quieran actuar, BulletProof hará que esos scripts maliciosos estén aislados y no puedan alcanzar el código PHP WordPress que es donde realmente hacen daño. Así que previenen los ataques antes de que sean realmente una amenaza.
Os dejamos también un vídeo explicativo:
Bonus track: 2 plugins de servicios de seguridad para web
Aunque no son realmente específicos de WordPress, estos dos servicios de seguridad web tienen su propio plugin en WordPress para poderlos integrar fácilmente y son una muy buena opción también para conseguir la mejor seguridad para WordPress.
Sucuri Security
Es un plugin gratuito aunque si quieres los servicios de Sucuri tendrás que pasar a la versión Premium del servicio.
Con este plugin podrás:
- Hacer un registro de la seguridad en tu WordPress
- Monitorizar la integridad de los ficheros de tu web
- Escaneo de malware remoto
- Monitoreo para saber si tu web está en una Blacklist
- Securización de WordPress efectiva
- Acciones para después de un hackeo
- Notificaciones de seguridad
Os dejamos un vídeo explicativo:
Cloudflare
Cloudflare es un servicio que es aplicable a cualquier web, no sólo a WordPress. Se trata de un proxy inverso que ayuda a que tu web sea más segura y rápida.
Tanto el servicio como el plugin son muy fáciles de instalar y configurar. Cloudflare incluye un firewall que te protege de ataques externos.
También tiene un sistema de caché que se refrescará automáticamente.
Si tu empresa va en serio, necesitarás Cloudflare o un servicio similar para protegerte de ataques masivos.
#3 – Mantén actualizada tu plantilla
Por último, pero no menos importante, están los ficheros propios de tu plantilla o theme.
Son los ficheros que se encargan de pintar todo, de mostrarte cómo estás viendo la web en el navegador.
También son actualizables. Si tu plantilla es Premium seguramente la empresa que la desarrolló distribuirá actualizaciones periódicas. Bien, para solucionar problemas de funcionalidad o bien para corregir fallos en la seguridad.
Como en los dos anteriores. Es importante tener tu plantilla bien actualizada.
#4 – No uses plugins o themes piratas o descargados de webs con poca reputación
Seguro que no es tu caso. Pero es muy apetecible…
Encuentras una plantilla que te gusta pero tiene un precio que te parece caro. Seguro que está en internet para descarga gratuita… ¡Zas! Lo has encontrado pero seguramente se trate de una plantilla modificada por los malos. Tu WordPress nacerá hackeado sin darte cuenta siquiera.
des
Así que, mi consejo es que busques tu plantilla de pago en un portal como Themeforest y pagues. Es una cantidad ridícula para lo que obtienes a cambio. No me la jugaría con esto.
Además, obtendrás actualizaciones de la plantilla que has comprado y soporte técnica si en algún momento no sabes cómo hacer algo con ella.
Lo mismo te digo con los plugins. Intenta instalar sólo los necesario y si pueden ser de fuentes oficiales del propio WordPress mucho mejor.
#5 – Elige un buen servicio de hosting
Si te tomas en serio esto, no querrás un servicio de hosting que se caiga cada dos por tres o que sea poco seguro u optimizado para WordPress.
Busca empresas que se dediquen a esto. Nosotros en Iberzal optimizamos nuestro servidor para WordPress pero hay otras empresas de hosting WordPress que también lo hacen muy bien.
El precio del hosting hoy en día es muy inferior a hace unos años. Aprovecha a contratar un hosting confiable, serio y que responda rápido.
#6 – Haz copias de seguridad
Si, eso es lo típico que todo el mundo aconseja pero nadie hace. Bueno… nadie lo hace hasta que ocurre la catástrofe.
Puedes hacerlo manualmente pero ya hay formas muy sencillas de automatizar esto. Instala, por ejemplo, el plugin BackWPup y déjate de líos.
Es muy sencillo de configurar e incluso puedes subir el backup a un FTP o tu cuenta de Dropbox.
Es un seguro de vida tener este plugin o alguno similar. A mí este siempre me ha funcionado muy bien y por eso te lo aconsejo.
#7 – Haz pequeños cambios en la instalación por defecto de WordPress
Déjame que te agrupe en este apartado todos las pequeñas gotas de agua que hacen que el vaso de tu seguridad en WordPress se vaya llenando.
Son pequeños trucos que tratan de salirse de el “así lo hace todo el mundo” y descartar ciertos ataques masivos que están continuamente corriendo por internet. Aquí van:
- No uses Usuario admin. En la instalación por defecto de WordPress te sugerirá ese usuario como administrador. No uses nada típico. Personaliza ese nombre de usuario para que sólo tú lo sepas.
- Cambiar el prefijo de las tablas wp_. Es lo que por defecto la instalación te marca. Cambia este prefijo por otro que no se fácil adivinar. Puede ser una cadena aleatoria de números y letras. Por ejemplo: Xdd453_
- Usa contraseñas seguras. No se te ocurre poner contraseñas cortas o que no intercalen números, letras y caracteres. Puedes utilizar por ejemplo el generado de claves seguras de random.org.
- Cambiar la ruta del login del administrador. Se trata de que el acceso no esté en la URL por defecto. Básicamente consiste en modificar un fichero que se llama .htaccess de tu página. Si no te quieres liar lo mejor es que utilices un plugin como el WP Htaccess control que te lo hará fácil.
#8 – Instala plugins de seguridad
Si realizas todo lo que te he dicho hasta aquí, tu WordPress será 80% más seguro que cualquier otro WordPress que ha sido instalado con las opciones por defecto.
Si aún no te quedas satisfecho con esto, existen multitud de plugins específicos para asegurar aún más tu instalación de WordPress. El listado completo daría para otro artículo de este blog pero yo he utilizado Better WP Security y Wordfence con muy buenos resultados. Elige uno de los dos y configúralo para darle un punto más aún de seguridad a tu WordPress.
Seguramente si no eres el objetivo de un hombre malo, estas medidas serán suficientes y te ahorrarán mucho sufrimiento. No creo que te lleve más de una hora tenerlas todas funcionando así que te animo a que las incorpores.
Recuerda: Antes de tocar tu WordPress, haz copia de seguridad de todo.
Suscríbete gratis
Únete y recibe artículos interesantes y consejos para tu empresa
Habéis olvidado la mejor, porque aunque mantengas tu núcleo, plugins y themes actualizados no tienen porque ser seguros asíque la mejor recomendacion es proteger el directorio de wp-admin (o como lo hayas llamado) con autenticación Apache.
Hola Txetxu,
Lo he comentado en el punto 7: «Cambiar la ruta del login del administrador». Como está orientado a no informáticos, he sugerido el plugin WP Htaccess control que lo hace de forma sencilla.
Gracias por tu comentario!
No me refiero a cambiar el nombre de la carpeta ni a protegerla con .htaccess sino a añadirle una autenticación básica de apache. (como se explica en el link que os he enviado y que no aparece)