El hecho de que sea el CMS más utilizado del mundo tiene también su parte negativa: es la plataforma más atacada por hackers para introducir malware y otras amenazas que abren la puerta al phishing o hacerse pasar por personas o entidades de confianza para sustraer datos sensibles de los usuarios. Afortunadamente, los avances en seguridad WordPress están a un gran nivel y son capaces de proteger un sitio web desarrollado en WordPress.
Para hacerlo, recomendamos tomar en cuenta las siguientes precauciones.
Contenidos
- 1 Actualizar WordPress: plugins, temas, versión PHP, MySQL y WordPress
- 2 Cómo proteger el acceso (formulario Login) a WordPress
- 3 Proteger carpetas con el plugin iThemes Security
- 4 Instalar Wordfence Security
- 5 Análisis antivirus desde el servidor
- 6 Crear cuenta en Google Console para recibir avisos de seguridad
- 7 Eliminar carpetas innecesarias y depurar WordPress
- 8 Protegerse del Spam
- 9 Mánten limpio tu ordenador
- 10 Cambiar las contraseñas cada cierto tiempo
- 11 Deja tus comentarios para dudas o aportes.
Actualizar WordPress: plugins, temas, versión PHP, MySQL y WordPress
Cuando no se hace, se producen brechas en la seguridad de WordPress, tanto en el acceso al propio CMS como al sistema de archivos y a la base de datos. Esas brechas de seguridad pueden ser el cambio malintencionado de los datos de acceso de los administradores (usuario y contraseña) para que luego los hackers (o aplicaciones automatizadas) campen a sus anchas y copien ficheros en el sistema de archivos o desactiven plugins, entre otras acciones maliciosas.
Actualización de plugins y temas
Para tener actualizados los plugins de forma automática, existen dos formas:
- La primera es instalar el plugin Jetpack. Después hay que registrarse en Jetpack para poder acceder al panel de control en WordPress.com.
Una vez en el panel de control, en el menú de la izquierda, hay que pulsar en Plugins, y luego en el botón de la parte superior derecha “Gestionar plugins”. A continuación, sólo hay que pulsar en “actualizaciones automáticas” para que WordPress actualice los plugins de forma automática cada vez que haya una actualización. - Otra forma de actualizar los plugins de forma automática y también el Tema o plantilla de WordPress es acceder a tu cuenta de hospedaje, y en cPanel, en el menú de WordPress, elegir “Editar”. Cada servidor organiza el menú de una manera, pero la mayoría cuentan con la opción de “Auto Upgrade WordPress Themes” y «Auto Upgrade WordPress Plugins». La siguiente imagen es un ejemplo:
En cuanto a los plugins y temas instalados es muy importante que estos no hayan quedado obsoletos en el repositorio de WordPress. Si lo han hecho, es muy posible que tengas brechas de seguridad por donde pueden acceder los hackers.
Gracias a que se crean nuevos plugins y temas todos los días es fácil sustituir uno obsoleto por otro con todas las garantías en seguridad.
Actualización de bases de datos, versión PHP y versión de WordPress
En este caso, la automatización de estos tres elementos se puede realizar desde el cPanel del servidor.
En el caso de la versión WordPress, hay que hacerlo desde el mismo lugar desde donde se actualiza el tema. Incluso programarlo para que se actualice de forma automática. La otra opción es hacerlo manualmente desde el Backend de WordPress, que te avisará de que hay una nueva versión del CMS WordPress lista.
Para la versión PHP, puedes consultar al gestor de tu servidor. Si no se puede actualizar automáticamente, tendrás que hacerlo manualmente desde la sección correspondiente. Esta suele ser «Administrador MultiPHP» y, para actualizar a la última versión, sólo es necesario seleccionarla y «Aplicar». Una imagen de ejemplo:
En el caso de querer actualizar la base de datos MySql, tendrás en tu WHM un menú específico para gestionar la base de datos (donde suele estar la opción «phpMyAdmin» para acceder a la misma), y en esa sección de cPanel tendrás la posibilidad de comprobar la versión de tu MySQL y actualizarla. También es posible que tu compañía de hospedaje actualice por su lado MySQL.
Cómo proteger el acceso (formulario Login) a WordPress
Para evitar al máximo que los hackers se salten el acceso al backend de WordPress a través WP Login o WP admin, cuatro consejos:
- Utilizar nombres de usuario distintos a “admin”.
- También contraseñas fuertes creadas por el propio WordPress.
- WordPress ya permite configurar el acceso al backend a través de autentificación Doble-Opt o 2FA. Además de usuario y contraseña, WordPress añade un segundo nivel de autentificación que suele ser el uso de una App móvil para leer un código QR y añadir un código dado sólo al usuario.
- Utilizar la función de Jetpack contra ataques de fuerza bruta. Esto bloquea las IP de los usuarios que utilicen usuarios y contraseñas erróneas tras unos intentos.
Proteger carpetas con el plugin iThemes Security
Es uno de los mejores plugins para proteger las carpetas de WordPress tanto en Wp-admin como en Wp-content y wp-includes.
Una vez instalado, es importante activar en “Ajustes” todas las funcionalidades excepto:
- SSL.
- Modo de reposo.
Además, deberás asegurarte en activar ciertas funciones en:
- Ajustes del sistema: marca todas las opciones excepto “Filtrar los caracteres no ingleses” y “Filtrar cadenas de URL largas”.
- Ajustes de WordPress: marca todas las opciones menos:
- “Quita la cabecera de Windows Live Writer”.
- “Quitar la cabecera RSD (Really Simple Discovery)”.
- “Desactivar mensajes de error de inicio de sesión”.
- “Forzar a los usuarios a elegir un alias único”.
- “Alterar enlaces target=»_blank» para protegerte del tabnapping”.
- También es importante “Activar XML-RPC”, bloquear “Multiples intentos de autentificación por petición XML-RPC”, “Acceso restringido” API REST y “Correo electrónico y nombre de usuario (por defecto).
Aunque se puede profundizar y personalizar mucho más la seguridad, con estas acciones te aseguras al máximo que no se puedan modificar las carpetas de tu sitio, una de las formas de abrir brechas de seguridad para luego instalar aplicaciones o copiar ficheros en tu sistema de archivos.
Instalar Wordfence Security
Además de iThemes, Wordfence es otro plugin imprescindible para fortalecer WordPress y evitar la mayoría de los ataques de fuerza gracias a su Firewall y a su análisis de cambios en los archivos.
Cuenta con una versión gratuita muy potente que sólo requiere de registro. Los ajustes se configuran en el menú “All Options”. La mejor configuración es la automatizada, aunque con el tiempo puedes indagar más para optimizar la seguridad.
Lo que es muy importante es activar la opción Scan para analizar posibles brechas de seguridad. Tras finalizar el escaneo, Wordfence ofrece una lista de peligros y amenazas muy completa para poder repararlos desde el propio panel de Wordfence o desde cPanel.
Análisis antivirus desde el servidor
Otra práctica muy útil a realizar de vez en cuando es un análisis completo de la cuenta de hosting. La mayoría de los servidores poseen esta herramienta y es gratuita. De forma general, esta herramienta antivirus analiza:
- Amenazas en el correo.
- Amenazas en el directorio principal.
- Amenazas en el espacio web público.
- Amenazas en el espacio público de FTP.
No deja ni un sólo rincón para analizar.
Crear cuenta en Google Console para recibir avisos de seguridad
Aunque sólo sea por razones informativas, la herramienta Google Search Console es muy útil. Además, si sufres ataques de malware y phishing, Google suele añadir en Chrome un aviso de “sitio peligroso”, lo que puede hacer perder imagen corporativa, visitas, ingresos y posicionamiento.
La sección donde comprobar la salud del sitio es “Security & Manual Actions”. Si hay algún problema de seguridad, aparecerá en esta sección. También, después de solucionarlo, es esta sección donde informar a Google de la solución para que elimine –si se ha dado el caso- el aviso de sitio peligroso.
Eliminar carpetas innecesarias y depurar WordPress
Las carpetas innecesarias o inseguras son las que solemos crear fuera de WordPress, del tipo: guiaserviciosprodcutos.com/pdf. ¿Por qué son inseguras? Porque la mayoría de las herramientas que hemos mencionado no protegen esas carpetas al no estar dentro del paquete de archivos de WordPress: carpetas Wp-content, Wp-Admin y Wp-includes.
En cuanto a depurar WordPress, es importante que cuando se desinstalen Plugins se elimine su rastro. Para ello, existen plugins como “Plugin Garbage”, que elimina las carpetas u “Optimize Database after Deleting Revisions” que, además de reducir el tamaño de la base de datos eliminado “revisiones”, también permite borrar tablas de plugins ya desinstalados.
Protegerse del Spam
Otra forma de dañar un sitio web basado en Worpdress es a través del spam. Para evitarlo, además de utilizar comprobación Captcha en formularios, el plugin Akismet Anti-Spam es uno de los más eficaces para bloquear todo tipo de spam.
Mánten limpio tu ordenador
Si tu ordenador está infectado, aunque parezca difícil, puede provocar problemas en tu WordPress. ¿Cómo? Por ejemplo tomando nota de tu acceso (Usuario y Contraseña) a WordPress.
Es sorprendente la capacidad de los malware e infecciones phishing de encontrar huecos por donde meterse.
Por eso, además de un antivirus actualizado, utiliza herramientas como CCleaner o TweakNow RegCleaner. Tampoco olvides «Borrar datos de navegación» de tus exploradores. Especialmente en Chrome se instalan amenazas a través de las cookies. Por último, puedes instalar extensiones de seguridad en tu navegador como la que ofrece de forma gratuita Avast.
Cambiar las contraseñas cada cierto tiempo
El último de nuestros consejos para proteger tu WordPress y una práctica muy recomendada por las empresas de hosting, es cambiar las contraseñas de:
- Tu ordenador.
- Tu usuario y contraseña de acceso a WordPress.
- Incluso, el acceso a tu WHM o cPanel.
* * *
Por supuesto, los virus y amenazas van siempre por delante de la cura y los remedios para evitar que tu WordPress sea dañado. No obstante, con estas prácticas de seguridad WordPress puedes evitar en un alto porcentaje esos daños.
