Hacer seguro wordpress

C贸mo aumetar la seguridad en tu web WordPress de una vez por todas

C贸mo aumetar la seguridad en tu web WordPress de una vez por todas
4.8 (95.56%) 9 votes

Ponte en situaci贸n. Lanzaste hace tiempo tu web o proyecto online y has trabajado mucho en 茅l. Has escrito art铆culos para tu blog y tienes dise帽ada una buena estrategia para que tus usuarios disfruten navegando y se conviertan en prospectos.

Pero de buenas a primeras… lo pierdes todo. Respira, es s贸lo un simulacro. Pero imagina que te ocurre. Que alguien te hacke贸 la web y has perdido meses de trabajo.

S铆, ya s茅 que piensas que tu web o blog no merecen la atenci贸n de los hackers pero esto no trata de eso. Los ataques de hoy en d铆a son automatizados y aunque tu blog o web en WordPress no sea objetivo, puede que caiga en las redes de ataque automatizado y te quedes son informaci贸n.

Si est谩s utilizando WordPress y te preocupa perder este trabajo, sigue leyendo para descubrir c贸mo pon茅rselo mucho m谩s dif铆cil y salvaguardar tu web o blog y, por tanto, tu dinero.

Cada vez nos encontramos m谩s casos de webs hackeadas y sin copia de seguridad.

Por favor, lee atentamente este post sobre seguridad en WordPress para no correr riesgos.

La batalla se est谩 librando y t煤 a煤n no sabes que formas parte de ella

C贸mo hacer seguro WordPress definitivamente

As铆 es, si tienes una web o un blog, est谩s dentro de la guerra. Quiz谩s no seas consciente pero me gustar铆a que estuvieras precavido.

Antes de nada, mira este v铆deo de c贸mo con 3 simples acciones puedes hacer tu WordPress 10 veces m谩s seguro:

 

Si quieres profundizar a煤n m谩s y saber de una vez por todas si WordPress es seguro o no, te recomiendo esta entrevista a Luis M茅ndez Alejo (gnumax):

(Puedes ver la entrevista directamente en Youtube: https://www.youtube.com/watch?v=VAo1iD_44bo&t=239s)

Te recomiendo pasarte por las webs de referencia o por el repositorio de WordPress y ver谩s de lo que te hablo.

WordPress es un gran gestor de contenidos. Para m铆, uno de los mejores. Pero est谩 muy extendido. Y en inform谩tica, estar extendido quiere decir ser objetivo de 鈥渓os malos鈥.

No quiero asustarte. Tampoco quiero que pienses quew WordPress no es la soluci贸n para tu web.

Si no est谩s relacionado con el trabajo de desarrollo puede que no seas consciente, pero cualquier sistema es susceptible de ser hackeado. WordPress no iba a ser menos.

Por suerte, al tener una comunidad tan grande, si sigues una serie de consejos podr谩s dormir tranquilo.

WordPress Hackeado
WARNING: Si tu web parece rara, aparecen links que no has puesto o tarda mucho en cargar, quiz谩s est茅 hackeada.

Descubre si tienes estos s铆ntomas:

驴Est谩 mi WordPress Hackeado?

Pero鈥 empecemos con estos consejos para que tu WordPress sea m谩s seguro que el de los dem谩s:

#1 – Mant茅n actualizado el 鈥榗ore鈥 de WordPress

Probablemente te habr谩s fijado. Cuando accedes a WordPress como administrador, te aparece un cartelito en la parte de arriba de tu cuadro de mandos en el que WordPress nos avisa de que hay una nueva versi贸n (si es que la hay).

WordPress es un sistema de ficheros que se actualiza. Estos ficheros son comunes a todos los WordPress que existen. Es el 鈥榗ore鈥 o n煤cleo del gestor de contenidos.

Necesitas tener el n煤cleo de tu WordPress actualizado. No hay excusas. Un n煤cleo desactualizado es un riesgo grande de seguridad.

Normalmente las actualizaciones son correcciones de huecos de seguridad. Y, adem谩s, son p煤blicos. As铆 que si no actualizas es c贸mo si p煤blicamente dijeras que todas las noches est谩s dejando la puerta de tu casa abierta. Puede que alguien entre鈥

Hay dos procesos posibles para actualizar el n煤cleo de WordPress. Uno es autom谩tico y otro es manual. Haz una copia de seguridad y actualiza como m谩s te guste pero 隆actualiza!

#2 – Mant茅n actualizados los plugins

Como te dec铆a, WordPress est谩 compuesto por ficheros. Otro de los tipos de ficheros que tiene son los plugins. Se trata de funcionalidades extras al n煤cleo puro de WordPress. Seguro que sabes de qu茅 te hablo.

Necesitas tambi茅n estar al d铆a en las actualizaciones de estos plugins. Tampoco hay excusa.

Te dir铆a que la mayor铆a de los problemas de seguridad de WordPress vienen por un plugin no actualizado o de dudosa reputaci贸n.

As铆 que vete a la secci贸n de Plugins de tu WordPress. Chequea los plugins que no est谩n actualizados y vete haci茅ndolo.

Ocurre lo mismo que en la #1, los desarrolladores van detectando fallos de seguridad y los van corrigiendo, as铆 que no vuelvas a dejar la puerta de tu casa abierta.

Los mejores plugins de seguridad para WordPress

No se trata de hacer un ranking sobre los mejores. Es cuesti贸n de tener una lista y decidir en funci贸n de tus necesidades y de lo 鈥渂lindado鈥 que quieras tener tu WordPress. Pero empecemos con la lista:

Wordfence Security

Nuestro favorito en cuanto a seguridad en WordPress. Servir谩 para prevenirte de que tu WordPress sea hackeado. Lleva mucho tiempo en el candelero y por ello tiene ya muchas batallas ganadas. Es bastante confiable y su blog es una maravilla puesto que explican los 煤ltimos ataques que est谩 habiendo o investigan por ejemplo si un WordPress hackeado afecta a tu SEO o no.

Si realmente te interesa todo lo que se cuece en seguridad WordPress, no olvides suscribirte en su newsletter pues te enviar谩n emails muy 煤tiles e interesantes. Cuando hay ataques masivos o generalizados, tambi茅n te mantendr谩n al d铆a de ellos.

Este plugin tiene varios m贸dulos que son de gran utilidad para proteger WordPress:

  • Cortafuegos de WordPress. Detecta tr谩fico malicioso y bloquea a los usuarios para que no puedan acceder a tu web. Tienen un sistema inteligente bastante novedoso que genera las reglas espec铆ficas para tu propia web. Detecta falsos bots o escaneo de hackers y los bloquea.
  • Bloqueos. Usa el conocimiento colectivo de todos los WordPress que usan Wordfence para que si un atacante es bloqueado en una web del otro lado del planeta, tu web est茅 segura. Bloquea por IPs, por pa铆ses, por redes. Un buen sistema para tener a los malos a raya.
  • Seguridad de Login. Gran parte de los ataques a WordPress son por fuerza bruta. Con el sistema de bloqueo por intentos, estar谩s protegido. Cuando un usuario intenta loguearse sin 茅xito varias veces en un per铆odo corto de tiempo, le bloquear谩. Tambi茅n confirma si las passwords de tus usuarios son seguras o tienes alguna brecha de seguridad que corregir con ellos.
  • Escaneo de seguridad. Posee un esc谩ner que te har谩 detectar amenazas conocidas y malware de un mont贸n de variantes. Est谩 continuamente escaneando para detectar el malware antes de que lo haga Google o de que empiece a causar da帽os.
  • Monitorizaci贸n. Ver谩s tu tr谩fico en tiempo real y todos los bloqueos que se producen. Monitoriza tambi茅n ataques DDoS o de cambios de DNS no autorizados.
  • Seguridad para multi-site. Sirve para la versi贸n multi-site de WordPress.

Tiene una versi贸n de pago que cubre un mayor n煤mero de vulnerabilidades que la versi贸n gratis.

Mira este v铆deo sobre sus ventajas:

iThemes Security

Un todo terreno como la copa de un pino. Tienes en 茅l una navaja suiza de la seguridad. En ocasiones, ser tan completo y con tanta funcionalidad juega en su contra pues es complicado dominar la configuraci贸n de este plugin.

iThemes lleva mucho tiempo desarrollando buenos plugins y eso se nota. Calidad y fiabilidad es su marca de garant铆a. Se trata de un plugin que ofrece m谩xima seguridad para WordPress.

Las principales funcionalidades de este plugin son:

  • Autenticaci贸n en dos pasos. Usa el m贸vil para asegurar que cuando est茅s haciendo login eres realmente t煤.
  • Escaneo de malware programado. Cada d铆a puede pasarle un esc谩ner de seguridad a tu WordPress de forma autom谩tica.
  • Seguridad de las contrase帽as. Verifica que usas contrase帽as fuertes y que las cambias cada poco tiempo.
  • Comparador de ficheros. Cuando alg煤n fichero de tu WordPress es modificado lo compara con la versi贸n fiable del repositorio y alerta si hay alg煤n c贸digo sospechoso.
  • Protecci贸n contra fuerza bruta. Filtra por IP y bloquea intentos muy seguidos y fallidos desde una misma IP.

Adem谩s, si no quieres tener otro plugin de copias de seguridad, este plugin permite hacer tu reglamentaria copia de seguridad para WordPress.

All in One WP Security & Firewall

Un plugin de seguridad muy completo y que incorpora un cortafuegos potente. Comprueba vulnerabilidades de tu WordPress y tiene sistemas preventivos contra malware. Usa un sistema de puntos para valorar si tu sitio web est谩 bien protegido o no.

Las medidas de seguridad para WordPress que permite habilitar este plugin son:

  • Detecci贸n de debilidades en tu WordPress. Detecta cuentas 鈥渁dmin鈥, usuario id茅nticos, contrase帽as d茅biles, etc.
  • Protecci贸n contra fuerza bruta, Bloqueos de intento de sesi贸n repetidos y no fruct铆feros. listas de IP accediendo al sitio y bloqueo por IP, cierre de sesi贸n forzado, actividad del usuario, bloquear por intervalos de IP, captchas, etc
  • Esc谩ner de seguridad. Detecta cambios en archivos sospechosos y escanea tambi茅n la base de datos en busca de c贸digo javascript y HTML sospechosos.
  • Cortafuegos. Controlar谩s f谩cilmente los accesos a tu backend, varios niveles de seguridad, proteger contra ataques DDoS (denegaci贸n de servicio) y XSS (Cross Site Scripting). Protege tambi茅n contra vulnerabilidades de Pingback y hotlinking.

Si no te convencen ninguno de los dos anteriores, prueba este y lo har谩.

Os dejamos un v铆deo explicativo del desarrollador:

 

Bulletproof

Lo m谩s destacado de este plugin es su 鈥渨izard鈥 para paso a paso definir las medidas de seguridad en la instalaci贸n de tu WordPress.

Tiene una versi贸n Premium que le hacen mucho m谩s potente.

B谩sicamente cubre las mismas funcionalidades que los anteriores. Lo que le hace diferente es:

  • Protecci贸n de .htaccess. En el caso de que tengas malware y quieran actuar, BulletProof har谩 que esos scripts maliciosos est茅n aislados y no puedan alcanzar el c贸digo PHP WordPress que es donde realmente hacen da帽o. As铆 que previenen los ataques antes de que sean realmente una amenaza.

Os dejamos tambi茅n un v铆deo explicativo:

 

Bonus track: 2 plugins de servicios de seguridad para web

Aunque no son realmente espec铆ficos de WordPress, estos dos servicios de seguridad web tienen su propio plugin en WordPress para poderlos integrar f谩cilmente y son una muy buena opci贸n tambi茅n para conseguir la mejor seguridad para WordPress.

Sucuri Security

Es un plugin gratuito aunque si quieres los servicios de Sucuri tendr谩s que pasar a la versi贸n Premium del servicio.

Con este plugin podr谩s:

  • Hacer un registro de la seguridad en tu WordPress
  • Monitorizar la integridad de los ficheros de tu web
  • Escaneo de malware remoto
  • Monitoreo para saber si tu web est谩 en una Blacklist
  • Securizaci贸n de WordPress efectiva
  • Acciones para despu茅s de un hackeo
  • Notificaciones de seguridad

Os dejamos un v铆deo explicativo:

Cloudflare

Cloudflare es un servicio que es aplicable a cualquier web, no s贸lo a WordPress. Se trata de un proxy inverso que ayuda a que tu web sea m谩s segura y r谩pida.

Tanto el servicio como el plugin son muy f谩ciles de instalar y configurar. Cloudflare incluye un firewall que te protege de ataques externos.

Tambi茅n tiene un sistema de cach茅 que se refrescar谩 autom谩ticamente.

Si tu empresa va en serio, necesitar谩s Cloudflare o un servicio similar para protegerte de ataques masivos.

#3 – Mant茅n actualizada tu plantilla

Por 煤ltimo, pero no menos importante, est谩n los ficheros propios de tu plantilla o theme.

Son los ficheros que se encargan de pintar todo, de mostrarte c贸mo est谩s viendo la web en el navegador.

Tambi茅n son actualizables. Si tu plantilla es Premium seguramente la empresa que la desarroll贸 distribuir谩 actualizaciones peri贸dicas. Bien, para solucionar problemas de funcionalidad o bien para corregir fallos en la seguridad.

Como en los dos anteriores. Es importante tener tu plantilla bien actualizada.

#4 – No uses plugins o themes piratas o descargados de webs con poca reputaci贸n

Seguro que no es tu caso. Pero es muy apetecible鈥

Encuentras una plantilla que te gusta pero tiene un precio que te parece caro. Seguro que est谩 en internet para descarga gratuita鈥 隆Zas! Lo has encontrado pero seguramente se trate de una plantilla modificada por los malos. Tu WordPress nacer谩 hackeado sin darte cuenta siquiera.
des
As铆 que, mi consejo es que busques tu plantilla de pago en un portal como Themeforest y pagues. Es una cantidad rid铆cula para lo que obtienes a cambio. No me la jugar铆a con esto.

Adem谩s, obtendr谩s actualizaciones de la plantilla que has comprado y soporte t茅cnica si en alg煤n momento no sabes c贸mo hacer algo con ella.

Lo mismo te digo con los plugins. Intenta instalar s贸lo los necesario y si pueden ser de fuentes oficiales del propio WordPress mucho mejor.

#5 – Elige un buen servicio de hosting

Si te tomas en serio esto, no querr谩s un servicio de hosting que se caiga cada dos por tres o que sea poco seguro u optimizado para WordPress.

Busca empresas que se dediquen a esto. Nosotros en Iberzal optimizamos nuestro servidor para WordPress pero hay otras empresas de hosting WordPress que tambi茅n lo hacen muy bien.

El precio del hosting hoy en d铆a es muy inferior a hace unos a帽os. Aprovecha a contratar un hosting confiable, serio y que responda r谩pido.

#6 – Haz copias de seguridad

Si, eso es lo t铆pico que todo el mundo aconseja pero nadie hace. Bueno鈥 nadie lo hace hasta que ocurre la cat谩strofe.

Puedes hacerlo manualmente pero ya hay formas muy sencillas de automatizar esto. Instala, por ejemplo, el plugin BackWPup y d茅jate de l铆os.

Es muy sencillo de configurar e incluso puedes subir el backup a un FTP o tu cuenta de Dropbox.

Es un seguro de vida tener este plugin o alguno similar. A m铆 este siempre me ha funcionado muy bien y por eso te lo aconsejo.

#7 – Haz peque帽os cambios en la instalaci贸n por defecto de WordPress

D茅jame que te agrupe en este apartado todos las peque帽as gotas de agua que hacen que el vaso de tu seguridad en WordPress se vaya llenando.

Son peque帽os trucos que tratan de salirse de el 鈥渁s铆 lo hace todo el mundo鈥 y descartar ciertos ataques masivos que est谩n continuamente corriendo por internet. Aqu铆 van:

  • No uses Usuario admin. En la instalaci贸n por defecto de WordPress te sugerir谩 ese usuario como administrador. No uses nada t铆pico. Personaliza ese nombre de usuario para que s贸lo t煤 lo sepas.
  • Cambiar el prefijo de las tablas wp_. Es lo que por defecto la instalaci贸n te marca. Cambia este prefijo por otro que no se f谩cil adivinar. Puede ser una cadena aleatoria de n煤meros y letras. Por ejemplo: Xdd453_
  • Usa contrase帽as seguras. No se te ocurre poner contrase帽as cortas o que no intercalen n煤meros, letras y caracteres. Puedes utilizar por ejemplo el generado de claves seguras de random.org.
  • Cambiar la ruta del login del administrador. Se trata de que el acceso no est茅 en la URL por defecto. B谩sicamente consiste en modificar un fichero que se llama .htaccess de tu p谩gina. Si no te quieres liar lo mejor es que utilices un plugin como el WP Htaccess control que te lo har谩 f谩cil.

#8 – Instala plugins de seguridad

Si realizas todo lo que te he dicho hasta aqu铆, tu WordPress ser谩 80% m谩s seguro que cualquier otro WordPress que ha sido instalado con las opciones por defecto.

Si a煤n no te quedas satisfecho con esto, existen multitud de plugins espec铆ficos para asegurar a煤n m谩s tu instalaci贸n de WordPress. El listado completo dar铆a para otro art铆culo de este blog pero yo he utilizado Better WP Security y Wordfence con muy buenos resultados. Elige uno de los dos y config煤ralo para darle un punto m谩s a煤n de seguridad a tu WordPress.

Seguramente si no eres el objetivo de un hombre malo, estas medidas ser谩n suficientes y te ahorrar谩n mucho sufrimiento. No creo que te lleve m谩s de una hora tenerlas todas funcionando as铆 que te animo a que las incorpores.

Recuerda: Antes de tocar tu WordPress, haz copia de seguridad de todo.

Suscr铆bete gratis

脷nete y recibe art铆culos interesantes y consejos para tu empresa



Deja un comentario

    • txetxu
    • 21 octubre, 2014
    Responder

    Hab茅is olvidado la mejor, porque aunque mantengas tu n煤cleo, plugins y themes actualizados no tienen porque ser seguros as铆que la mejor recomendacion es proteger el directorio de wp-admin (o como lo hayas llamado) con autenticaci贸n Apache.

      • iberzal
      • 21 octubre, 2014
      Responder

      Hola Txetxu,

      Lo he comentado en el punto 7: “Cambiar la ruta del login del administrador”. Como est谩 orientado a no inform谩ticos, he sugerido el plugin WP Htaccess control que lo hace de forma sencilla.

      Gracias por tu comentario!

        • txetxu
        • 21 octubre, 2014
        Responder

        No me refiero a cambiar el nombre de la carpeta ni a protegerla con .htaccess sino a a帽adirle una autenticaci贸n b谩sica de apache. (como se explica en el link que os he enviado y que no aparece)