WordPress es el gestor de contenidos más usado en Internet, con diferencia, y por lo tanto es el objetivo principal de los ataques informáticos en la red. Digamos que resulta mas fácil encontrar sitios que no estén correctamente asegurados y ademas es mas «rentable» hacer ataques a WordPress que a otros sistemas, simplemente porque hay más donde atacar.
Entonces ¿WordPress no es seguro?, pues depende, sobre todo de ti.
En tu casa puedes comprar mil tipos de puertas. Si eliges una simple y además tienes la cerradura en mal estado, es fácil que te entren. También puedes tener una puerta acorazada con una cerradura supersegura, pero si no cierras esa puerta, o dejas las llaves puestas por fuera, de poco sirve.
En Internet ocurre lo mismo. Debemos tener nuestro sistema seguro y no dejar «puertas de fácil acceso».
Podías pensar que tu sitio web no tiene interés para los piratas pero te equivocas. La mayoría de los ataques no van a un sitio en concreto, se hacen de forma aleatoria por lo que todos estamos en el punto de mira.
En esta entrada vamos a dar una serie de sugerencias básicas para tener nuestra web WordPress segura.
1.- Cuidado con las contraseñas y los usuarios.
Este es el primer nivel de seguridad. La identificación en tu web debes cuidarla mucho.
- Esto es serio, muy serio. Dejad de usar la misma contraseña para todo de una vez. Es una practica muy insegura.
- No tengas un usuario con el nombre admin, administrator, administrador o root. Son los nombres de usuario más usados para los ataques.
- Usa contraseñas seguras. Nada de password1234 o el DNI.
- Si es posible, utiliza un sistema de doble autorización vía email, teléfono, etc.
- Modifica la contraseña cada cierto tiempo.
2.- Todos los componentes de las web deben estar actualizados.
Las actualizaciones son esenciales para la seguridad y evitarán la mayoría de los ataques. No solo las de el mismo WordPress, también los plugin y themes. Por ello ten presente que:
- Utiliza Themes y Plugin que vengan de un sitio fiable.
- Utiliza Themes y Plugin que estén al día. En el repositorio de WordPress existen miles pero muchos están abandonados. No los uses.
- Cuidado con lo gratis. Si un Plugin o Theme tiene un precio X ¿No es raro que te lo den gratis o mucho mas barato? Casi siempre traen regalos indeseables.
- Elimina los Themes y Plugins que no utilices.
3.- Esconde el Backend (el escritorio de WordPress)
Esto se puede hacer de forma manual o con plugin como WPS Hide Login. Eso si cuidado con la forma que pones de entrar, no lo pierdas o te quedas sin sistema. También es posible hacerlo de forma manual, siendo esta opción mucho mas limpia, pero déjalo para profesionales.
4.- En la base de datos no uses el prefijo wp_ en las tablas
Al instalar WordPress es uno de los datos que el sistema pregunta. Utiliza un prefijo personalizado nombrepersonalizando_ . Con este sencillo paso puedes eliminar gran parte de los ataques destinados a la base de datos.
Si tu WordPress ya esta instalado, y tiene el prefijo wp_ delante de las tablas, también se puede cambiar pero recomendamos que lo realice un profesional.
5.- Esconde el nombre del Theme y la versión de WordPress
El Theme da mucha información sobre nuestro sitio, ademas suele estar relacionado con la instalación de diferentes plugin. Esconder la información del Theme es algo que solemos hacer de forma manual, pero existen plugin que te pueden ayudar a hacerlo y te ahorraras muchos ataques.
En cuanto a la versión de WordPress también existen plugins para solucionarlo, pero con un pequeño código en el archivo functions.php de tu Theme suele ser suficiente.
6.- Usa un Hosting de calidad
Esto es algo que no se suele tener presente. El Hosting es el lugar donde se almacenan tus datos de la web y email. Es el que sirve esa información a tus visitantes. Debe ser de la mayor calidad posible. Un Hosting de baja calidad puede generar problemas de velocidad, caídas de la web, dificultad a la hora de contactar con ellos. Un sin fin de problemas que son sencillos de evitar eligiendo el Hosting adecuado.
7.- Las copias de seguridad son imprescindibles
Si todo falla la copia de seguridad es lo único que puede salvarte. No te fíes de la copia que realiza normalmente tu Hosting. Casi siempre son correctas, pero si tienes la tuya propia mejor. No te olvides de hacerla de una forma periódica.
8.- Usa el sistema SSL
Esto es esencial hoy por hoy. No solo mejora tu SEO y confianza de los visitantes, también aporta una seguridad añadida al sitio.
9.- Protege los archivos y carpetas más importantes
Hay varias tareas que hacer con los archivos de nuestro WordPress.
En primer lugar es importante proteger el archivo wp-config.php ya que en el se encuentra toda la información de acceso a nuestra base de datos. Para ello puedes hacer varias cosas:
- Protegerlo contra escritura cambiando los permisos del archivo a 444.
- Añadir unas reglas al archivo de Apache .htaccess para evitar accesos no deseados:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Es muy bueno proteger la carpeta tusitio.es/wp-content/uploads. Es uno de los lugares donde más ataques de produce y es la carpeta donde se almacenan todos los archivos que subes a tu web (imágenes, documentos, vídeos, etc). Los mas fácil es limitar las extensiones de los archivos que quieres subir para no permitir subir archivos ejecutables. Es cierto que WordPress viene protegido para que no se puedan ejecutar programas desde esa carpeta, pero existen técnicas para poder saltar esa regla.
Esto se puede hacer plugins de seguridad o modificando el .htaccess.
10.- Utiliza un plugin de seguridad
Te ayudara contra los ataques de fuerza bruta, inyecciones de código malicioso, ataques de modificación de archivos de sistema, etc.
Te informaran sobre quien entra en tu web y, en muchos casos, incorporan Firewall, y filtros antispam.
Es cierto que hay que saber configurarlos para sacarles todo el partido, pero suelen traer un asistente que te ayudara en lo básico.
Te recomendamos los siguientes (instala solo uno de ellos):
Nuestra recomendación es que confíes en profesionales de verdad y sean ellos los que mantengan tu sitio seguro. Lefty Garage dispone de diferentes planes de mantenimiento web que podrán dar solución a todos tus posibles problemas, para que no vuelvas a preocuparte de este tema.