Top

Cargando cosas bonitas...

Recargar...

Recomendaciones para mantener nuestro WordPress más seguro


Mantener nuestros sistemas invulnerables ante las amenazas del exterior es una ardua tarea. Cada vez hay más formas de vulnerar la seguridad de nuestros sitios web y blogs.

wordpress-logo

Por ejemplo, este sitio web recibe diariamente cientos de ataques con ánimo de hacerse con el control total del mismo. Ataques de fuerza bruta, SQL Injection, ataques de denegación de servicio (DDoS), y un largo etcétera que podría comentar en una entrada futura.

Las estadísticas confirman la popularidad de WordPress a nivel mundial. Ha aumentado su porcentaje de uso a nivel global, ya que más del 60% de las Web que hay en Internet están diseñadas en WordPress.

Esto también conlleva a que la comunidad de desarrolladores también se encuentre en aumento. En la actualidad existen más de 30.000 plugins que multiplican las funcionalidades que trae WordPress por defecto.

Se manejan cantidades de más del millón y medio de nuevos posts diarios escritos a través de este CMS. También, se realizan al mes en torno a cinco millones y medio de comentarios (muchos serán SPAM).

(Enlace a infografía: WordPress en números)

wordpress-seguridad

Al ser el sistema de gestión de contenidos más popular también se trata del más atacado. Es algo parecido a lo que ocurre con los sistemas operativos. El número de virus y malware desarrollado para un sistema operativo es directamente proporcional a lo popular que sea.

Sin embargo hay una serie de recomendaciones que puedes llevar a cabo para que sea menos probable que los ataques puedan afectarte.

#1 USUARIO Y PASSWORD DEL ADMINISTRADOR

Te recomendamos encarecidamente que cambies el nombre de usuario del administrador que viene por defecto (admin, administrator,…). Los atacantes van a realizar los ataques principalmente utilizando el usuario que WordPress establece por defecto. También es muy importante que tengas una contraseña robusta que sea difícil de obtener por un ataque de fuerza bruta. Utiliza símbolos, combinación de mayúsculas y minúsculas, números y letras, cuanto más difícil de recordar más robusta es.

Los intentos de login fallidos que ha habido en mi sitio web este mes.

Los intentos de login fallidos que ha habido en mi sitio web este mes.

#2 UTILIZAR PLUGINS DE DESARROLLADORES CONFIABLES Y ACTUALIZADOS

Esto también es de vital importancia. La mayoría de las vulnerabilidades que tienen los sitios con WordPress se encuentran en los plugins. Los atacantes saben encontrar agujeros de seguridad en las plugins, sobre todo suelen ser poco populares y desactualizados. Esto también es aplicable a los temas que hayan sido descargados de sitios poco fiables o desarrollados por alguien anónimo.

Es muy importante que solo instales los plugins que vayas a utilizar y sean estrictamente necesarios. Tampoco instales plugins poco confiables que hayan tenido muy pocas instalaciones, es recomendable que leas acerca del plugin en otros sitios para ver si es fiable.

wordpress-vulnerabilidades

¡Mantén tu WordPress actualizado!

#3 PONER ‘SEGURATAS’ A TU WEB

Yo llamo ‘seguratas’ en WordPress a los distintos plugins que controlan los accesos indebidos a la administración de tu sitio.

Los que a mí personalmente más me gustan son los siguientes:

  • Login LockDownLimita el número de intentos al acceso de la administración desde una IP o un rango de IPs durante un cierto período de tiempo.
  • Wordfence Security – El plugin Wordfence Security ofrece seguridad a nivel empresarial gratuita para WordPress, protegiendo tu web de hacks y malware. A mí este personalmente me encanta, muestra muchísima información acerca de la seguridad de tu sitio. Incluso las IPs desde las que te atacan, plugin desactualizados, cambios recientes en el sistema de archivos, etc.

#4 COPIAS DE SEGURIDAD EN CASO DE EMERGENCIA

backup-iconDebes hacer copias de seguridad de manera periódica. Todo depende de la envergadura de tu sitio. Pero es muy recomendable hacerlas al menos una vez por semana.

Y si puedes automatizarlas es incluso mejor. Por que es muy probable que se te olvide,… Mejor prevenir que curar. Además con la inmensa cantidad de plugins (de los buenos) que hay, no debes tener excusa para hacerlo.

Aquí te dejo algunos plugins que te pueden ayudar con esta tarea:

  • UpdraftPlus Backup and RestorationCopias de seguridad completas; manuales o programadas, con posibilidad de subirlas a servicios en la nube (S3, Dropbox, Google Drive, FTP, SFTP, email, Rackspace +others).
  • BackUpWordPress – Permite enviarte las copias de seguridad a un email que le indiques previamente.

#5 MODIFICAR EL ARCHIVO .HTACCESS DE TU SERVIDOR

El fichero .htaccess es un archivo especial que permite definir diferentes directivas de configuración para cada directorio (con sus respectivos subdirectorios) sin necesidad de editar el archivo de configuración principal de Apache.

Aquí te dejo algunos de los trozos de código que puedes añadir a tu fichero para aumentar la seguridad de tu sitio:

Navegación por ficheros

Control de seguridad

Anti-inyección de código

Espero que con estas cinco recomendaciones puedas mejorar la seguridad de tu sitio hecho con WordPress. ¡Ahora es más difícil que tengas ataques!


Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *