El tema de seguridad en WordPress es esencial para evitar ataques a nuestro sitio Web causados por hackers, códigos de inyección, plugins de dudosa procedencia, entre muchas otras formas.
En este artículo vamos a repasar aspectos básicos de seguridad en WordPress que deberías aplicar ya mismo en tu blog, landing page, Web básica, corporativa o Ecommerce que estés trabajando.
También te mostraré algunas técnicas menos utilizadas, pasando por plugins de seguridad wordpress que considero fundamentales y recomendables que les eches al menos un vistazo y que te ayudarán a mantener tu web un poco más segura.
Primeros pasos a considerar en la seguridad en WordPress
WordPress Actualizado
A pesar que WordPress actualiza su CMS con frecuencia, muchos sitios Webs mantienen versiones antiguas u obsoletas de WordPress que son muy vulnerables a ataques malintencionados, ya que su seguridad es muy baja.
Cada vez que hay una nueva versión de WordPress incluye mejoras en su diseño, navegabilidad y rapidez, además añaden y/o corrigen alguna vulnerabilidad de la versión anterior que muchos hackers utilizan para invadir tu sitio.
Si ese es tu caso no olvides hacer siempre primero una copia de seguridad en WordPress de tu sitio, un backup. Puedes apoyarte de algún plugin para realizar esa tarea. Ya lo veremos más adelante.
Tema y plugins actualizados
Sobre los temas usados en WordPress está demás recalcar que lo conveniente es que uses un tema legal y no obtenido de un sitio de dudosa reputación. Evita en lo posible sitios que te ofrecen temas NULLED.
Así podrás actualizar el tema cuando una nueva versión del mismo salga al mercado lo que te ayudará en la seguridad en WordPress ya que, al igual que las versiones de WordPress los temas van añadiendo cerrojos en las vulnerabilidades que puedan tener sus versiones anteriores, además de mejoras en funcionalidad y velocidad.
TIP: “Instala y trabaja tu Web sobre un tema hijo, así en cada actualización del tema principal no perderás los cambios hechos”
Lo mismo sucede con los plugins. Personalmente te recomiendo los plugins del repositorio oficial de WordPress. Pero también debes revisar la periodicidad con que un plugin es actualizado ya que eso es indicativo de que existen personas trabajando tras él.
Si vas a usar un plugin fuera del repositorio oficial de WordPress, trata al igual que los temas, que sea legal ya que de lo contrario, si es proveniente de un sitio de dudosa reputación puede contener códigos de inyección o malware que afectarán tu Web.
Los plugins en ese tipo de casos, son muy usados por personas malintencionadas. Muchos casos de errores 503 son provocados por plugins hackeados, con virus o inyectados con código malicioso que lo vuelve incompatible con WordPress, volviendo tu web vulnerable o puede romperse y ya no ser visible.
Cómo hacer copia de Seguridad en WordPress
Una parte fundamental en WordPress es la realización de copias de seguridad periódicas. De preferencia una por semana. Esto debido a que cuando hay una actualización de WordPress en muchos casos algunos plugins o tema se vuelven incompatibles con la nueva versión de WordPress creada.
Lo recomendable antes de hacer una actualización, tanto de WordPress, el tema usado o los plugins, realices siempre una copia de seguridad. Si tu web por cualquier motivo deja de funcionar tendrás una versión no tan antigua de tu Web para restaurarla.
En este caso te recomiendo el plugin: All in One WP Migration que te facilita la realización de un backup completo de tu WordPress así como de tu base de datos. Con la versión gratuita del plugin, puedes exportar cualquier Web, pero si tu sitio es muy grande necesitarás una versión paga para la restauración (importación) del mismo.
Cambia el nombre de Usuario Admin
Las primeras versiones de WordPress predeterminaban el nombre del administrador llamándolo ADMIN. Esto hacía muy vulnerable a ataques de hackers. Con los años gradualmente se fue mejorando hasta llegar a las nuevas versiones de WordPress y donde se permite tener un nombre de administrador a gusto del cliente.
Sin embargo aún ahora muchos siguen usando el nombre ADMIN como usuario de acceso a WordPress por la facilidad de memorizarlo, pero como hemos visto resulta contraproducente si queremos mantener un sitio Web WordPress seguro.
Mi recomendación es que lo cambies ahora mismo si aún usas el nombre ADMIN.
Con estos puntos básicos comentados, los cuales espero que pongas en práctica desde ya vamos a ver otros puntos que te recomiendo seguir si quieres que tu Web con WordPress sea más segura
Seguridad en WordPress con el plugin Defender
Defender es un plugin de seguridad multifuncional que utilizo en mis sitios Web por las bondades y razones que te comento a continuación: Es un plugin muy completo y con variedad de funciones.
La versión gratuita considero muy buena en temas de seguridad y si quieres aumentar aún más este tema puedes adquirir su versión de paga.
Edición de archivos
Por defecto WordPress muestra los archivos editables del tema usado o de los plugins. Defender cuenta con esta seguridad y lo único que debes hacer es activar dicha función.
Inmediatamente luego de activar estas características notarás que el acceso a dichos archivos está deshabilitado y queda a tu disposición para su edición.
Limitar intentos fallidos de ingreso
Otra de las funciones que Defender permite es limitar los intentos de ingreso de sesión fallidos. Los usuarios a WordPress cuentan con un número ilimitado de inicio de sesión por defecto, lo que es conveniente para los ataques de hackers ya que tienen el tiempo para encontrar los accesos al panel de tu Web.
Defender te ayuda limitando dicho acceso y puedes establecer una cantidad de sesiones permitidas y una cantidad en milisegundos para ese acceso. Si pasado el tiempo que estipules (aún si son usuarios registrados) y no logra acceder, será bloqueado en una cantidad de tiempo que también estimes.
La duración del bloqueo puede ser en una cantidad de segundos que establezcas o de manera permanente. Puedes establecer un mensaje personalizado cuando el usuario quede bloqueado. También dentro del mismo plugin verás la lista de los usuarios o IPs bloqueadas y su lugar de procedencia para que tomes una acción sobre ellos al respecto.
Cambiar la URL de inicio de sesión
En WordPress por defecto para acceder a la página de inicio de sesión se añade al final de la URL de tu Web “/wp-login.php” o bien “/wp-admin/”. No cambiar la ruta por defecto para intentar acceder al panel de control de WordPress es dar ventaja para saltarse el primer paso e ir por el siguiente, que es intentar forzar la contraseña.
Para hacer este proceso Defender cuenta con esta opción integrada en “Tools” o “herramientas”. Si lo tienes en inglés lo encontrarás con el nombre de “Mask Login Area”. Sólo los usuarios que conozcan la URL podrán acceder.
Puedes indican el nombre que desees, pero es sumamente importante que no te olvides del nombre que has puesto, sino luego ya no podrás acceder a la ventana de login. Podrás acceder, pero para recuperar el acceso deberás acceder a la base de datos y ver qué es lo que has indicado en su momento.
Incluso puedes redirigir a los visitantes que intenten ingresar por medio de la ruta común de login.php o admin, pueden ser redirigidos a la página 404 y llevar un control de los que ha intentado ingresar a tu WordPress.
Más sobre seguridad en WordPress
Otros puntos que el plugin Defender te permite para mejorar la seguridad en WordPress y que son de utilidad es que en tu panel principal te indica recomendaciones adicionales para protegerte de hackers y bots.
Te permite realizar un scaneo para detectar Malware. En su versión gratis te muestra si los archivos de tu sitio han sufrido cambios repentinos y te ayuda a solucionarlos. En la versión pagada te permite mostrar archivos con vulnerabilidades y códigos sospechosos. Te permite login mediante 2 factores de autenticación entre muchas otras funcionalidades.
Además de contar con un área de notificaciones por posibles cambios que sufran los archivos y te informe inmediatamente a tu email.
Otros plugins de seguridad en WordPress recomendados
Existen algunos plugins de seguridad WordPress que nos facilitan aún más la vida a la hora de mantener nuestro sitio web lo más seguro posible. Te recomiendo los siguientes tres plugins:
Word fense
Wordfense consta de un completo conjunto de herramientas, así como un antivirus, analizador de malware, firewall, analizador de visitas en tiempo real y un potente sistema de bloques de IPs con lo que podrás monitorizar tu sitio y protegerlo de atacantes. Un plugin que no debes dejar pasar.
iTheme Security
Con el iTheme Security podrás proteger tu blog, reforzando la seguridad de las contraseñas, detectando y bloqueando usuarios maliciosos, evitando ataques de fuerza bruta y repetidos intentos de accesos fallidos, así como otras 30 características más que lo convierten en uno de los plugins de seguridad más utilizados actualmente.
Este plugin dispone de una versión gratuita y una más completa de pago.
Sucuri
Sucuri, es un plugin de seguridad y monitoreo gratuito. Es fácil utilizar ligero y muy eficaz. Te permitirá monitorizar la integridad de tus archivos. Comprobación de malware. Verificación de seguridad y detección de incidentes, entre otras muchas características. Pero si requieres algo mucho más completo, cuenta con una versión pagada directamente en su sitio Web.
Y eso es todo hasta el momento. No olvides que puedes dejar tu comentario si tienes alguna consulta o duda.
Un saludo.
Wilfredo Rojas
P.D.: Mantener un sitio seguro principalmente cuando hablamos de WordPress es algo que debemos hacer ahora mismo, caso contrario podemos ser expuestos a ataques por parte de hackers y luego la recuperación es complicada. Si necesitas ayuda, no olvides ponerte en contacto.
0 comentarios